SlideShare uma empresa Scribd logo

Seg da Informação e Comp Movel Novos Desafios

Gilberto Sudre
Gilberto Sudre

O documento discute os novos desafios de segurança da informação e computação móvel, abordando tópicos como privacidade, vulnerabilidades em dispositivos móveis, segurança em redes sem fio e checklist de segurança. É apresentada uma classificação das vulnerabilidades em três níveis: no dispositivo do cliente, na transmissão de dados e no provedor de acesso. Conclui-se que usuários desempenham um papel fundamental no uso responsável de dispositivos móveis para evitar vazamentos de informações.

Tecnologia
1 de 39
Baixar para ler offline
Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 1 Gilberto Sudré
2 Gilberto Sudré
Agenda » Novos paradigmas da computação » Privacidade » Classificação das vulnerabilidades » Dispositivos móveis » Segurança em redes sem fio » Checklist de segurança 3 Gilberto Sudré
Novos Paradigmas
Novos Paradigmas » Mobilidade » Dispositivos móveis » Acesso remoto • Tele-trabalho (“telecommuters”) » Redes sem fio » M-Serviços • M-Commerce, M-Banking, M-Qualquer coisa . . . » Reflexos em nossa privacidade 5 Gilberto Sudré
Privacidade » Privacidade é a habilidade de controlar as suas informações ou aquelas armazenadas sobre você » Por exemplo informações sobre a sua localização • Aquisição • Armazenamento • Uso • Compartilhamento • Combinação 6 Gilberto Sudré
Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? » Vamos experimentar ... 7 Gilberto Sudré
Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? • Você usou o cartão de crédito? • Sua imagem foi capturada por alguma câmera de segurança? • Seu celular está ligado? • Você usou seu notebook conectado em alguma rede? 8 Gilberto Sudré
M-Commerce » M-commerce é o processo de compra ou venda de produtos e serviços através de dispositivos sem fio portáteis » Significados diferentes • Navegar e pagar através do dispositivo móvel • Navegar com o Micro e pagar através do dispositivo móvel • Utilizar o dispositivo móvel para pagar algum bem ou serviço » Pode ser feito a partir de Celulares, Laptops ou PDAs 9 Gilberto Sudré
Classificação das Vulnerabilidades » No dispositivo do cliente • Dispositivos móveis são fisicamente vulneráveis » Na transmissão de dados pelo ar • Sistemas de segurança utilizados no link sem fio nem sempre garantem a segurança suficiente » No provedor de acesso ou dentro de redes internas • Processos de acesso a rede sem sempre garantem a identificação correta do usuário 10 Gilberto Sudré
Segurança da Informação
Definições de Segurança “Segurança da Informação é uma proteção da informação de um grande número de ameaças, para assegurar a continuidade do negócio, minimizar o risco aos negócios e maximizar o retorno dos investimentos e oportunidade de negócios” Cláusula 0.1 ISO/IEC 17799:2005 12 Gilberto Sudré
Serviços de Segurança da Informação » Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança. » Os serviços de segurança devem ter: • Confidencialidade • Integridade • Autenticidade • Disponibilidade • Controle de acesso • Não-repúdio • Auditoria 13 Gilberto Sudré
Dispositivos móveis
Dispositivos móveis Ameaças e vulnerabilidades » Pequenos, fáceis de perder, esquecer, etc » Comunicação sem fio • Conexão via infra-vermelho • Redes sem fio 802.11 • Redes de celular (2,5G, 3G) » Vírus • Múltiplas formas de infecção • Anexos de e-mails, Bluetooth, HotSync com o PC • Antivírus nesta plataforma ainda pouco utilizado 15 Gilberto Sudré
Dispositivos móveis Ameaças e vulnerabilidades » Grande capacidade de armazenamento • Dispositivo de memória removível » Ataques ao SIM card ou aos dados internos em busca de: • Ligações executadas ou recebidas • Agenda de contatos • Mensagens e documentos • Fotos e filmes » A maioria dos fabricantes já tem disponível aplicativos para acesso a estas informações. • Necessário o PIN code do chip ou acesso físico a 16 Gilberto Sudré memória flash.
Dispositivos móveis Ameaças e vulnerabilidades 17 Gilberto Sudré
Dispositivos móveis Ameaças e vulnerabilidades » Sistema Operacional • Senha de acesso • Todos são administradores • Métodos de digitação • Caneta ou teclado numérico (escolha de senhas simples) • Poucos sistemas operacionais suportam o armazenamento de dados criptografados • Necessário o uso de aplicativos de terceiros • Muitas vulnerabilidades ainda em aberto 18 Gilberto Sudré
Dispositivos móveis Limitações » Energia • Bateria suporta apenas algumas horas quando conectados a uma rede sem fio • Pouco tempo para execução de aplicativos • Autonomia é hoje a maior limitação » Poder de processamento • Adequado para a maioria das operações criptográficas » Memória • Não é mais uma limitação • Cartões de expansão com muitos GBytes 19 Gilberto Sudré
Dispositivos móveis Vulnerabilidades do GSM » Algoritmos de geração de chaves entre o dispositivo móvel e a estação base • Trabalhos científicos comprovam o sucesso da técnica através do ataque com o uso de textos planos conhecidos » Algoritmo de criptografia • Já quebrado através do acesso ao cartão SIM ou por requisições “através do ar” ao telefone 20 Gilberto Sudré
Segurança em Redes sem Fio (Wi-Fi)
Políticas de Segurança » Levantamento dos riscos e vulnerabilidades » Definição de procedimentos para ativação e uso das Redes sem Fio • Quem, quando e onde » Proibição de Access Points e “redes ad-hoc” não autorizados » “No final de 2004 o uso de Access Points e redes ad-hoc’s não autorizadas será responsável por mais de 50% das vulnerabilidades em redes sem fio (probabilidade de 0.8)” 22 Gilberto Sudré Gartner Group - Set/2002
WEP - Wired Equivalent Privacy » Criptografia entre o cliente e o Access Point » Opera na camada de enlace • Não provê segurança fim-a-fim » Utilizado também para confidencialidade e controle de acesso 23 Gilberto Sudré
WEP - Wired Equivalent Privacy » Vulnerável a ataques • Ataques passivos podem decriptografar o tráfego baseado em analises estatísticas » Os cabeçalhos dos quadros continuam em texto plano, permitindo ao atacante “ver” • Origem e destino (MAC) • ESSID 24 Gilberto Sudré
Quebra de Chaves WEP » Quebra de Chaves WEP com Backtrack (Vídeo) 25 Gilberto Sudré
WPA – Wi-fi protected access » Tenta solucionar os problemas do WEP • Criptografia mais forte • Troca periódica de chaves » Inclui a característica de autenticação • 802.1x • EAP – Extensible Authentication Protocol 26 Gilberto Sudré
WPA – Wi-fi protected access » Dois tipos • WPA-PSK • Similar ao WEP • Chave compartilhada • Troca de chaves automatizada (TKIP – Temporal Key Integrity Protocol) • Vetor de inicialização de 48 bits • Infra-estrutura • Requer um servidor de autenticação (RADIUS) • Opcionalmente pode necessitar de uma Infra- estrutura de chaves públicas (PKI / ICP) 27 Gilberto Sudré
Quebra de Chaves WPA » Quebra de Chaves WPA (Vídeo) 28 Gilberto Sudré
APs Impostores » Em redes abertas • Quem impede do atacante instalar seu próprio Access Point? » Em redes fechadas • Conhecendo-se as configurações e a chave WEP • Ataque Man-in-the-Middle » Pode ser detectado por alguns aplicativos de monitoração » WarDriving “inverso” 29 Gilberto Sudré
APs Impostores » Forma de ataque Access Point mais perto ou com Access Point o sinal mais forte correto SSID: “Verdadeiro” SSID: “Falso” 30 Gilberto Sudré
Checklist de segurança
c Checklist de segurança » Mantenha seu sistema operacional, aplicações e utilitários atualizados » Utilize um bom anti-vírus e anti-spyware e os mantenha atualizados » Configure seu browser para que este utilize as opções mais seguras de navegação » Utilize senhas fortes » Tenha um Firewall pessoal e corporativo instalado e 32 Gilberto Sudré atualizado
c Checklist de segurança » Sempre que possível estabeleça uma VPN (Virtual Private Network) para a comunicação » Desabilite o compartilhamento de impressoras e arquivos » Nunca use senhas importantes ou outras informações sensíveis em computadores públicos » Mantenha os dispositivos móveis e meios de armazenamento digital com você ou em algum local protegido por cadeado ou chave 33 Gilberto Sudré
c Checklist de segurança » Mude imediatamente sua senha caso suspeite que ela tenha sido comprometida » Criptografe os dados armazenados (principalmente em pen- drives) » Exclua completamente os dados sensíveis depois de utilizá- los e destrua mídias antigas antes de descarta-las » Mantenha backups atualizados » Escolha cuidadosamente a rede sem fio que você irá se 34 Gilberto Sudré conectar
Conclusão
Conclusão » Dispositivos móveis fazem parte do dia a dia de pessoas físicas e corporações » Usuários são afetados diretamente por questões de segurança e privacidade quando utilizam os dispositivos móveis » Os usuários são peça fundamental no uso responsável destes dispositivos para evitar falhas e vazamento de informações » Já existem procedimentos e ferramentas que podem estabelecer uma solução de segurança adequada no uso de dispositivos móveis 36 Gilberto Sudré
www.unitera.com.br www.labseg.com.br » Serviços Gerenciados de » Perícia em: Segurança de Perímetro • Equipamentos de informática » Soluções de proteção contra • Dispositivos de malwares e spywares armazenamento digital Smartphones e PDA's » Soluções em Software Livre » Análise de invasão » Outsourcing Parcial ou Total » Testes de Penetração de Infra-Estrutura » Gestão de Risco 37 Gilberto Sudré
Perguntas !!
Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 39 Gilberto Sudré

Recomendados

Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresCesar Augusto Pinheiro Vitor
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Solução TELEMÁTICA para controle e modernização de arenas e estádios
Solução TELEMÁTICA para controle e modernização de arenas e estádiosSolução TELEMÁTICA para controle e modernização de arenas e estádios
Solução TELEMÁTICA para controle e modernização de arenas e estádiosTelemática Sistemas Inteligentes
 
Safend- DL
Safend- DLSafend- DL
Safend- DLdanilopv
 
Raimundo ztec
Raimundo ztecRaimundo ztec
Raimundo ztecJoão Rufino de Sales
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Evento gsi -ACECO
Evento gsi -ACECOEvento gsi -ACECO
Evento gsi -ACECOJoão Rufino de Sales
 

Recomendados

Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresCesar Augusto Pinheiro Vitor
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Solução TELEMÁTICA para controle e modernização de arenas e estádios
Solução TELEMÁTICA para controle e modernização de arenas e estádiosSolução TELEMÁTICA para controle e modernização de arenas e estádios
Solução TELEMÁTICA para controle e modernização de arenas e estádiosTelemática Sistemas Inteligentes
 
Safend- DL
Safend- DLSafend- DL
Safend- DLdanilopv
 
Raimundo ztec
Raimundo ztecRaimundo ztec
Raimundo ztecJoão Rufino de Sales
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Evento gsi -ACECO
Evento gsi -ACECOEvento gsi -ACECO
Evento gsi -ACECOJoão Rufino de Sales
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Fernando martins seguranca holistica
Fernando martins seguranca holisticaFernando martins seguranca holistica
Fernando martins seguranca holisticaiseltech
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialKurte Wagner
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Diogenes Freitas
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Personal Security Goldentech
Personal Security GoldentechPersonal Security Goldentech
Personal Security GoldentechManoel Felipe Ramos
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Modelo
ModeloModelo
ModeloDe Sá Sites
 
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecerIoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecerFernando Nogueira Cesar
 
Palestra gts-2010-2-final
Palestra gts-2010-2-finalPalestra gts-2010-2-final
Palestra gts-2010-2-finalIvo Peixinho
 
Kryptus 1o wtpis v1
Kryptus 1o wtpis v1Kryptus 1o wtpis v1
Kryptus 1o wtpis v1João Rufino de Sales
 
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...Symantec Brasil
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Aline Cruz
 
802.11i
802.11i802.11i
802.11iherbertsantosrj
 
Secured algorithm for gsm encryption & decryption
Secured algorithm for gsm encryption & decryptionSecured algorithm for gsm encryption & decryption
Secured algorithm for gsm encryption & decryptionTharindu Weerasinghe
 
Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?Symantec Brasil
 
Integração de Dados, Informação, Conhecimento e Saber
Integração de Dados, Informação, Conhecimento e SaberIntegração de Dados, Informação, Conhecimento e Saber
Integração de Dados, Informação, Conhecimento e Saberrdfioravante
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 

Mais conteúdo relacionado

Mais procurados

Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Fernando martins seguranca holistica
Fernando martins seguranca holisticaFernando martins seguranca holistica
Fernando martins seguranca holisticaiseltech
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Diogenes Freitas
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecerIoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecerFernando Nogueira Cesar
 
Palestra gts-2010-2-final
Palestra gts-2010-2-finalPalestra gts-2010-2-final
Palestra gts-2010-2-finalIvo Peixinho
 

Mais procurados (15)

Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Fernando martins seguranca holistica
Fernando martins seguranca holisticaFernando martins seguranca holistica
Fernando martins seguranca holistica
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Personal Security Goldentech
Personal Security GoldentechPersonal Security Goldentech
Personal Security Goldentech
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2
 
Modelo
ModeloModelo
Modelo
 
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecerIoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
IoT: Aplicações disruptivas na Indústria Financeira e como fazê-las acontecer
 
Palestra gts-2010-2-final
Palestra gts-2010-2-finalPalestra gts-2010-2-final
Palestra gts-2010-2-final
 
Kryptus 1o wtpis v1
Kryptus 1o wtpis v1Kryptus 1o wtpis v1
Kryptus 1o wtpis v1
 

Destaque

Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...Symantec Brasil
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Aline Cruz
 
Secured algorithm for gsm encryption & decryption
Secured algorithm for gsm encryption & decryptionSecured algorithm for gsm encryption & decryption
Secured algorithm for gsm encryption & decryptionTharindu Weerasinghe
 
Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?Symantec Brasil
 
Integração de Dados, Informação, Conhecimento e Saber
Integração de Dados, Informação, Conhecimento e SaberIntegração de Dados, Informação, Conhecimento e Saber
Integração de Dados, Informação, Conhecimento e Saberrdfioravante
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
DICS - Dados, Informação, Conhecimento e Saber
DICS - Dados, Informação, Conhecimento e SaberDICS - Dados, Informação, Conhecimento e Saber
DICS - Dados, Informação, Conhecimento e Saberguest97762d
 
Dados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E SaberDados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E SaberGrupoBass
 
Dados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E SaberDados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E Sabercladrocha
 

Destaque (14)

Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
Be Aware Webinar Symantec - Relatório de Ameaças à Segurança na Internet de 2...
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
 
802.11i
802.11i802.11i
802.11i
 
Secured algorithm for gsm encryption & decryption
Secured algorithm for gsm encryption & decryptionSecured algorithm for gsm encryption & decryption
Secured algorithm for gsm encryption & decryption
 
Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?Be Aware - Eu sou o próximo alvo?
Be Aware - Eu sou o próximo alvo?
 
Integração de Dados, Informação, Conhecimento e Saber
Integração de Dados, Informação, Conhecimento e SaberIntegração de Dados, Informação, Conhecimento e Saber
Integração de Dados, Informação, Conhecimento e Saber
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
DICS - Dados, Informação, Conhecimento e Saber
DICS - Dados, Informação, Conhecimento e SaberDICS - Dados, Informação, Conhecimento e Saber
DICS - Dados, Informação, Conhecimento e Saber
 
Dados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E SaberDados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E Saber
 
Dados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E SaberDados Informacao Conhecimento E Saber
Dados Informacao Conhecimento E Saber
 
Audio steganography - LSB
Audio steganography - LSBAudio steganography - LSB
Audio steganography - LSB
 
Aula 3 dado, informação e conhecimento
Aula 3 dado, informação e conhecimentoAula 3 dado, informação e conhecimento
Aula 3 dado, informação e conhecimento
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 

Semelhante a Seg da Informação e Comp Movel Novos Desafios

Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfEdkallenn Lima
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoFernando Gomes Chaves
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresRodrigo Jorge
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Prospecto AlertBoot
Prospecto AlertBootProspecto AlertBoot
Prospecto AlertBootrodmoura
 
T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)Cleiton Cunha
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidadejoaozinhu
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeInsegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeTchelinux
 

Semelhante a Seg da Informação e Comp Movel Novos Desafios (20)

Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
Apresentação GVTech
Apresentação GVTechApresentação GVTech
Apresentação GVTech
 
Sc aula 03 12-03-13
Sc aula 03 12-03-13Sc aula 03 12-03-13
Sc aula 03 12-03-13
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Sc aula 05 30-08-13
Sc aula 05 30-08-13Sc aula 05 30-08-13
Sc aula 05 30-08-13
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informação
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1
 
SDI Aula 1
SDI Aula 1SDI Aula 1
SDI Aula 1
 
Crimes digitais
Crimes digitaisCrimes digitais
Crimes digitais
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
Prospecto AlertBoot
Prospecto AlertBootProspecto AlertBoot
Prospecto AlertBoot
 
T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidade
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeInsegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio Grande
 

Mais de Gilberto Sudre

IPv6: Você está preparado para ele?
IPv6: Você está preparado para ele?IPv6: Você está preparado para ele?
IPv6: Você está preparado para ele?Gilberto Sudre
 
Redes Sociais e Oportunidades De Negocio
Redes Sociais e Oportunidades De NegocioRedes Sociais e Oportunidades De Negocio
Redes Sociais e Oportunidades De NegocioGilberto Sudre
 
INTERNET Ferramentas de Colaboração
INTERNET Ferramentas de ColaboraçãoINTERNET Ferramentas de Colaboração
INTERNET Ferramentas de ColaboraçãoGilberto Sudre
 
Como proteger seu filho da Internet
Como proteger seu filho da InternetComo proteger seu filho da Internet
Como proteger seu filho da InternetGilberto Sudre
 
Tv Digital O Que Voce Precisa Saber
Tv Digital O Que Voce Precisa SaberTv Digital O Que Voce Precisa Saber
Tv Digital O Que Voce Precisa SaberGilberto Sudre
 
Software Livre: Que Bicho é Este
Software Livre: Que Bicho é EsteSoftware Livre: Que Bicho é Este
Software Livre: Que Bicho é EsteGilberto Sudre
 
Asterisk O Pabx Livre Para Voip
Asterisk O Pabx Livre Para VoipAsterisk O Pabx Livre Para Voip
Asterisk O Pabx Livre Para VoipGilberto Sudre
 
Entendendo A Tecnologia VoIP
Entendendo A Tecnologia VoIPEntendendo A Tecnologia VoIP
Entendendo A Tecnologia VoIPGilberto Sudre
 
O Ambiente de Software Livre no Espirito Santo
O Ambiente de Software Livre no Espirito SantoO Ambiente de Software Livre no Espirito Santo
O Ambiente de Software Livre no Espirito SantoGilberto Sudre
 

Mais de Gilberto Sudre (9)

IPv6: Você está preparado para ele?
IPv6: Você está preparado para ele?IPv6: Você está preparado para ele?
IPv6: Você está preparado para ele?
 
Redes Sociais e Oportunidades De Negocio
Redes Sociais e Oportunidades De NegocioRedes Sociais e Oportunidades De Negocio
Redes Sociais e Oportunidades De Negocio
 
INTERNET Ferramentas de Colaboração
INTERNET Ferramentas de ColaboraçãoINTERNET Ferramentas de Colaboração
INTERNET Ferramentas de Colaboração
 
Como proteger seu filho da Internet
Como proteger seu filho da InternetComo proteger seu filho da Internet
Como proteger seu filho da Internet
 
Tv Digital O Que Voce Precisa Saber
Tv Digital O Que Voce Precisa SaberTv Digital O Que Voce Precisa Saber
Tv Digital O Que Voce Precisa Saber
 
Software Livre: Que Bicho é Este
Software Livre: Que Bicho é EsteSoftware Livre: Que Bicho é Este
Software Livre: Que Bicho é Este
 
Asterisk O Pabx Livre Para Voip
Asterisk O Pabx Livre Para VoipAsterisk O Pabx Livre Para Voip
Asterisk O Pabx Livre Para Voip
 
Entendendo A Tecnologia VoIP
Entendendo A Tecnologia VoIPEntendendo A Tecnologia VoIP
Entendendo A Tecnologia VoIP
 
O Ambiente de Software Livre no Espirito Santo
O Ambiente de Software Livre no Espirito SantoO Ambiente de Software Livre no Espirito Santo
O Ambiente de Software Livre no Espirito Santo
 

Seg da Informação e Comp Movel Novos Desafios

  • 1. Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 1 Gilberto Sudré
  • 3. Agenda » Novos paradigmas da computação » Privacidade » Classificação das vulnerabilidades » Dispositivos móveis » Segurança em redes sem fio » Checklist de segurança 3 Gilberto Sudré
  • 5. Novos Paradigmas » Mobilidade » Dispositivos móveis » Acesso remoto • Tele-trabalho (“telecommuters”) » Redes sem fio » M-Serviços • M-Commerce, M-Banking, M-Qualquer coisa . . . » Reflexos em nossa privacidade 5 Gilberto Sudré
  • 6. Privacidade » Privacidade é a habilidade de controlar as suas informações ou aquelas armazenadas sobre você » Por exemplo informações sobre a sua localização • Aquisição • Armazenamento • Uso • Compartilhamento • Combinação 6 Gilberto Sudré
  • 7. Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? » Vamos experimentar ... 7 Gilberto Sudré
  • 8. Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? • Você usou o cartão de crédito? • Sua imagem foi capturada por alguma câmera de segurança? • Seu celular está ligado? • Você usou seu notebook conectado em alguma rede? 8 Gilberto Sudré
  • 9. M-Commerce » M-commerce é o processo de compra ou venda de produtos e serviços através de dispositivos sem fio portáteis » Significados diferentes • Navegar e pagar através do dispositivo móvel • Navegar com o Micro e pagar através do dispositivo móvel • Utilizar o dispositivo móvel para pagar algum bem ou serviço » Pode ser feito a partir de Celulares, Laptops ou PDAs 9 Gilberto Sudré
  • 10. Classificação das Vulnerabilidades » No dispositivo do cliente • Dispositivos móveis são fisicamente vulneráveis » Na transmissão de dados pelo ar • Sistemas de segurança utilizados no link sem fio nem sempre garantem a segurança suficiente » No provedor de acesso ou dentro de redes internas • Processos de acesso a rede sem sempre garantem a identificação correta do usuário 10 Gilberto Sudré
  • 12. Definições de Segurança “Segurança da Informação é uma proteção da informação de um grande número de ameaças, para assegurar a continuidade do negócio, minimizar o risco aos negócios e maximizar o retorno dos investimentos e oportunidade de negócios” Cláusula 0.1 ISO/IEC 17799:2005 12 Gilberto Sudré
  • 13. Serviços de Segurança da Informação » Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança. » Os serviços de segurança devem ter: • Confidencialidade • Integridade • Autenticidade • Disponibilidade • Controle de acesso • Não-repúdio • Auditoria 13 Gilberto Sudré
  • 15. Dispositivos móveis Ameaças e vulnerabilidades » Pequenos, fáceis de perder, esquecer, etc » Comunicação sem fio • Conexão via infra-vermelho • Redes sem fio 802.11 • Redes de celular (2,5G, 3G) » Vírus • Múltiplas formas de infecção • Anexos de e-mails, Bluetooth, HotSync com o PC • Antivírus nesta plataforma ainda pouco utilizado 15 Gilberto Sudré
  • 16. Dispositivos móveis Ameaças e vulnerabilidades » Grande capacidade de armazenamento • Dispositivo de memória removível » Ataques ao SIM card ou aos dados internos em busca de: • Ligações executadas ou recebidas • Agenda de contatos • Mensagens e documentos • Fotos e filmes » A maioria dos fabricantes já tem disponível aplicativos para acesso a estas informações. • Necessário o PIN code do chip ou acesso físico a 16 Gilberto Sudré memória flash.
  • 17. Dispositivos móveis Ameaças e vulnerabilidades 17 Gilberto Sudré
  • 18. Dispositivos móveis Ameaças e vulnerabilidades » Sistema Operacional • Senha de acesso • Todos são administradores • Métodos de digitação • Caneta ou teclado numérico (escolha de senhas simples) • Poucos sistemas operacionais suportam o armazenamento de dados criptografados • Necessário o uso de aplicativos de terceiros • Muitas vulnerabilidades ainda em aberto 18 Gilberto Sudré
  • 19. Dispositivos móveis Limitações » Energia • Bateria suporta apenas algumas horas quando conectados a uma rede sem fio • Pouco tempo para execução de aplicativos • Autonomia é hoje a maior limitação » Poder de processamento • Adequado para a maioria das operações criptográficas » Memória • Não é mais uma limitação • Cartões de expansão com muitos GBytes 19 Gilberto Sudré
  • 20. Dispositivos móveis Vulnerabilidades do GSM » Algoritmos de geração de chaves entre o dispositivo móvel e a estação base • Trabalhos científicos comprovam o sucesso da técnica através do ataque com o uso de textos planos conhecidos » Algoritmo de criptografia • Já quebrado através do acesso ao cartão SIM ou por requisições “através do ar” ao telefone 20 Gilberto Sudré
  • 21. Segurança em Redes sem Fio (Wi-Fi)
  • 22. Políticas de Segurança » Levantamento dos riscos e vulnerabilidades » Definição de procedimentos para ativação e uso das Redes sem Fio • Quem, quando e onde » Proibição de Access Points e “redes ad-hoc” não autorizados » “No final de 2004 o uso de Access Points e redes ad-hoc’s não autorizadas será responsável por mais de 50% das vulnerabilidades em redes sem fio (probabilidade de 0.8)” 22 Gilberto Sudré Gartner Group - Set/2002
  • 23. WEP - Wired Equivalent Privacy » Criptografia entre o cliente e o Access Point » Opera na camada de enlace • Não provê segurança fim-a-fim » Utilizado também para confidencialidade e controle de acesso 23 Gilberto Sudré
  • 24. WEP - Wired Equivalent Privacy » Vulnerável a ataques • Ataques passivos podem decriptografar o tráfego baseado em analises estatísticas » Os cabeçalhos dos quadros continuam em texto plano, permitindo ao atacante “ver” • Origem e destino (MAC) • ESSID 24 Gilberto Sudré
  • 25. Quebra de Chaves WEP » Quebra de Chaves WEP com Backtrack (Vídeo) 25 Gilberto Sudré
  • 26. WPA – Wi-fi protected access » Tenta solucionar os problemas do WEP • Criptografia mais forte • Troca periódica de chaves » Inclui a característica de autenticação • 802.1x • EAP – Extensible Authentication Protocol 26 Gilberto Sudré
  • 27. WPA – Wi-fi protected access » Dois tipos • WPA-PSK • Similar ao WEP • Chave compartilhada • Troca de chaves automatizada (TKIP – Temporal Key Integrity Protocol) • Vetor de inicialização de 48 bits • Infra-estrutura • Requer um servidor de autenticação (RADIUS) • Opcionalmente pode necessitar de uma Infra- estrutura de chaves públicas (PKI / ICP) 27 Gilberto Sudré
  • 28. Quebra de Chaves WPA » Quebra de Chaves WPA (Vídeo) 28 Gilberto Sudré
  • 29. APs Impostores » Em redes abertas • Quem impede do atacante instalar seu próprio Access Point? » Em redes fechadas • Conhecendo-se as configurações e a chave WEP • Ataque Man-in-the-Middle » Pode ser detectado por alguns aplicativos de monitoração » WarDriving “inverso” 29 Gilberto Sudré
  • 30. APs Impostores » Forma de ataque Access Point mais perto ou com Access Point o sinal mais forte correto SSID: “Verdadeiro” SSID: “Falso” 30 Gilberto Sudré
  • 32. c Checklist de segurança » Mantenha seu sistema operacional, aplicações e utilitários atualizados » Utilize um bom anti-vírus e anti-spyware e os mantenha atualizados » Configure seu browser para que este utilize as opções mais seguras de navegação » Utilize senhas fortes » Tenha um Firewall pessoal e corporativo instalado e 32 Gilberto Sudré atualizado
  • 33. c Checklist de segurança » Sempre que possível estabeleça uma VPN (Virtual Private Network) para a comunicação » Desabilite o compartilhamento de impressoras e arquivos » Nunca use senhas importantes ou outras informações sensíveis em computadores públicos » Mantenha os dispositivos móveis e meios de armazenamento digital com você ou em algum local protegido por cadeado ou chave 33 Gilberto Sudré
  • 34. c Checklist de segurança » Mude imediatamente sua senha caso suspeite que ela tenha sido comprometida » Criptografe os dados armazenados (principalmente em pen- drives) » Exclua completamente os dados sensíveis depois de utilizá- los e destrua mídias antigas antes de descarta-las » Mantenha backups atualizados » Escolha cuidadosamente a rede sem fio que você irá se 34 Gilberto Sudré conectar
  • 36. Conclusão » Dispositivos móveis fazem parte do dia a dia de pessoas físicas e corporações » Usuários são afetados diretamente por questões de segurança e privacidade quando utilizam os dispositivos móveis » Os usuários são peça fundamental no uso responsável destes dispositivos para evitar falhas e vazamento de informações » Já existem procedimentos e ferramentas que podem estabelecer uma solução de segurança adequada no uso de dispositivos móveis 36 Gilberto Sudré
  • 37. www.unitera.com.br www.labseg.com.br » Serviços Gerenciados de » Perícia em: Segurança de Perímetro • Equipamentos de informática » Soluções de proteção contra • Dispositivos de malwares e spywares armazenamento digital Smartphones e PDA's » Soluções em Software Livre » Análise de invasão » Outsourcing Parcial ou Total » Testes de Penetração de Infra-Estrutura » Gestão de Risco 37 Gilberto Sudré
  • 39. Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 39 Gilberto Sudré