- Apresentação realizada no Roadsec Fortaleza 04/2016;
- Chegamos a era onde todos falam sobre IOT, porém com essas novidades tecnológicas vieram também os avanços no cibercrime. Muitos dos criminosos resolveram mudar o foco, como por exemplo instituições financeiras, ecommerce e começaram a se dedicar ao "Healthcare Hacking".
3. Who am i?
• Formado no Curso Técnico em ADS-UNIBRATEC.
• Graduado em Segurança da Informação – FG.
• Pós graduando em Segurança da Informação
Aplicada à Engenharia de Software –
C.E.S.A.R
• Engenheiro de Software Sênior – MV s/a.
• CTF Player RTFM[SCR34M0].
• Finalista do Hackaflag 2015.
03/05/2016 3
#RTFM
#CTF-BR
4. Agenda
• The internet progress...
• The age of “Cybercrimes”
• What motivates me?
• Modern Healthcare Hacking
• Application Vulnerability
• The guilt is...
• Good pratices, where are you?
03/05/2016 4
Calanguinho e
suas perguntas...
5. The internet progress…
• Desde antigamente o homem usou meios nativos para se comunicar e
transmitir conhecimento entre as pessoas. A sociedade moderna criou
muitos meios modernos para difundir a comunicação, esses meios
modificaram a maneira como as pessoas se interagem atualmente, pois
deu um salto na agilidade e diversificou a escala na disseminação da
informação.
03/05/2016 5
6. “MÓ LEGAL SABER SOBRE OS AVANÇOS DA INTERNET, MAS O
QUE ISSO TEM HAVER COM HOSPITAIS?”
03/05/2016 6
11. What motivates me?
• Diversão
• Black Hats
• HackAtivistas
• Hackers Patrocinados pelo Estado
• Terrorismo
03/05/2016 11
12. “JÁ SABEMOS QUE OCORREM ATAQUES TODOS OS DIAS, PORÉM O
QUE HOSPITAIS TEM HAVER COM ISSO?”
03/05/2016 12
13. Modern Healthcare Hacking
• As tendências de compartilhamento de informações médicas procuram
atingir um melhor resultado nos tratamentos dos pacientes,
considerando-se que esta meta será atingida com diagnósticos mais
exatos e mais rápidos, maior troca de informações entre os diversos
especialistas e redução nos custos gerais.
03/05/2016 13
14. Modern Healthcare Hacking
• Uma pesquisa recente da InfoMoney mostra que a população brasileira
tem consciência quanto aos riscos de ter seus dados pessoais
expostos em instituições de saúde:
“Quando perguntados sobre ameaças relacionadas à violação de dados
causada pela perda acidental, roubo ou ação de hackers em empresas que
hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar
com essa questão nas empresas da área de saúde. Essa conclusão contraria
a média mundial, que em geral considera o setor de saúde como um dos
mais seguros no que diz respeito à proteção dos dados pessoais”
03/05/2016 14
15. “AHHH, ESTOU COMEÇANDO A ENTENDER... MAS ESTA PESQUISA
REALMENTE ESTÁ FALANDO A VERDADE?”
03/05/2016 15
26. Application Vulnerability
• Política de Segurança
70% das aplicações testadas possuem uma ou mais falhas de segurança
consideradas sérias de acordo com políticas de segurança das empresas.
• OWASP Top 10
87% das aplicações testadas possuem uma ou mais falhas classificadas
entre as 10 principais falhas de segurança em aplicações web.
• SANS Top 25
69% das aplicações testadas possuem uma ou mais classificadas entre as
25 principais falhas de software.
03/05/2016 26
27. Modern Healthcare Hacking
• Os sistemas possuem meios compatíveis para definição dos vários
níveis de permissão de acesso?
• O tempo de acesso a estas informações pode inviabilizar seu uso
distribuído?
• As bases de dados usadas permitem salvar os dados de forma
encriptada?
• As instituições possuem infraestrutura de segurança capaz de proteger
estas informações de ataques cibernéticos externos?
03/05/2016 27
28. Modern Healthcare Hacking
• Os meios de comunicação permitem o uso de encriptação?
• Quais serão as regras que definirão qual profissional de saúde terá
acesso aos dados do paciente e a seu prontuário?
• É necessária uma gestão centralizada destes acessos ou este controle
pode ser descentralizado?
• Os pacientes precisarão estar cientes deste intercâmbio de
informações e o autorizarem previamente?
03/05/2016 28
32. Show me the argument!
• “Contratei uma boa empresa”
Empresas de desenvolvimento de software geralmente não dominam práticas
de segurança em desenvolvimento de software.
• “Segurança aumenta o custo”
Segurança não é opcional. O desenvolvimento deve compreender as práticas
de desenvolvimento seguro e entregar software com qualidade.
• “Tenho bons programadores”
Bons programadores sem a devida capacitação desconhecem práticas de
segurança de software.
• “Meu sistema é seguro”
Seu maior problema é a ignorância, causada pela falta de informação.
03/05/2016 32
38. Good pratices, where are you?
• Elabore um plano de ação.
• Conscientize os funcionários.
• Teste a segurança de aplicações que já existem.
• Contrate uma consultoria especializada.
• Valorize os resultados positivos.
• Invista na continuidade do processo.
• Adotar e SEGUIR uma politica de segurança.
• Ter um CSIRT em caso de incidentes.
03/05/2016 38