advertisement

Seg da Informação e Comp Movel Novos Desafios

50 %
50 %
advertisement
Information about Seg da Informação e Comp Movel Novos Desafios
Technology

Published on October 28, 2008

Author: gilsudre

Source: slideshare.net

Description

A computação móvel e sem fio oferece à empresas e usuãrios muitos benefícios como portabilidade, flexibilidade e mobilidade. Em paralelo a estas vantagens novos desafios surgem na forma de riscos e
vulnerabilidades nesta nova plataforma. A palestra irá abordar esta nova realidade apresentando as formas mais comuns de ataque e os procedimentos e ferramentas hoje disponíveis para proteção.
advertisement

Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 1 Gilberto Sudré

2 Gilberto Sudré

Agenda » Novos paradigmas da computação » Privacidade » Classificação das vulnerabilidades » Dispositivos móveis » Segurança em redes sem fio » Checklist de segurança 3 Gilberto Sudré

Novos Paradigmas

Novos Paradigmas » Mobilidade » Dispositivos móveis » Acesso remoto • Tele-trabalho (“telecommuters”) » Redes sem fio » M-Serviços • M-Commerce, M-Banking, M-Qualquer coisa . . . » Reflexos em nossa privacidade 5 Gilberto Sudré

Privacidade » Privacidade é a habilidade de controlar as suas informações ou aquelas armazenadas sobre você » Por exemplo informações sobre a sua localização • Aquisição • Armazenamento • Uso • Compartilhamento • Combinação 6 Gilberto Sudré

Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? » Vamos experimentar ... 7 Gilberto Sudré

Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? • Você usou o cartão de crédito? • Sua imagem foi capturada por alguma câmera de segurança? • Seu celular está ligado? • Você usou seu notebook conectado em alguma rede? 8 Gilberto Sudré

M-Commerce » M-commerce é o processo de compra ou venda de produtos e serviços através de dispositivos sem fio portáteis » Significados diferentes • Navegar e pagar através do dispositivo móvel • Navegar com o Micro e pagar através do dispositivo móvel • Utilizar o dispositivo móvel para pagar algum bem ou serviço » Pode ser feito a partir de Celulares, Laptops ou PDAs 9 Gilberto Sudré

Classificação das Vulnerabilidades » No dispositivo do cliente • Dispositivos móveis são fisicamente vulneráveis » Na transmissão de dados pelo ar • Sistemas de segurança utilizados no link sem fio nem sempre garantem a segurança suficiente » No provedor de acesso ou dentro de redes internas • Processos de acesso a rede sem sempre garantem a identificação correta do usuário 10 Gilberto Sudré

Segurança da Informação

Definições de Segurança “Segurança da Informação é uma proteção da informação de um grande número de ameaças, para assegurar a continuidade do negócio, minimizar o risco aos negócios e maximizar o retorno dos investimentos e oportunidade de negócios” Cláusula 0.1 ISO/IEC 17799:2005 12 Gilberto Sudré

Serviços de Segurança da Informação » Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança. » Os serviços de segurança devem ter: • Confidencialidade • Integridade • Autenticidade • Disponibilidade • Controle de acesso • Não-repúdio • Auditoria 13 Gilberto Sudré

Dispositivos móveis

Dispositivos móveis Ameaças e vulnerabilidades » Pequenos, fáceis de perder, esquecer, etc » Comunicação sem fio • Conexão via infra-vermelho • Redes sem fio 802.11 • Redes de celular (2,5G, 3G) » Vírus • Múltiplas formas de infecção • Anexos de e-mails, Bluetooth, HotSync com o PC • Antivírus nesta plataforma ainda pouco utilizado 15 Gilberto Sudré

Dispositivos móveis Ameaças e vulnerabilidades » Grande capacidade de armazenamento • Dispositivo de memória removível » Ataques ao SIM card ou aos dados internos em busca de: • Ligações executadas ou recebidas • Agenda de contatos • Mensagens e documentos • Fotos e filmes » A maioria dos fabricantes já tem disponível aplicativos para acesso a estas informações. • Necessário o PIN code do chip ou acesso físico a 16 Gilberto Sudré memória flash.

Dispositivos móveis Ameaças e vulnerabilidades 17 Gilberto Sudré

Dispositivos móveis Ameaças e vulnerabilidades » Sistema Operacional • Senha de acesso • Todos são administradores • Métodos de digitação • Caneta ou teclado numérico (escolha de senhas simples) • Poucos sistemas operacionais suportam o armazenamento de dados criptografados • Necessário o uso de aplicativos de terceiros • Muitas vulnerabilidades ainda em aberto 18 Gilberto Sudré

Dispositivos móveis Limitações » Energia • Bateria suporta apenas algumas horas quando conectados a uma rede sem fio • Pouco tempo para execução de aplicativos • Autonomia é hoje a maior limitação » Poder de processamento • Adequado para a maioria das operações criptográficas » Memória • Não é mais uma limitação • Cartões de expansão com muitos GBytes 19 Gilberto Sudré

Dispositivos móveis Vulnerabilidades do GSM » Algoritmos de geração de chaves entre o dispositivo móvel e a estação base • Trabalhos científicos comprovam o sucesso da técnica através do ataque com o uso de textos planos conhecidos » Algoritmo de criptografia • Já quebrado através do acesso ao cartão SIM ou por requisições “através do ar” ao telefone 20 Gilberto Sudré

Segurança em Redes sem Fio (Wi-Fi)

Políticas de Segurança » Levantamento dos riscos e vulnerabilidades » Definição de procedimentos para ativação e uso das Redes sem Fio • Quem, quando e onde » Proibição de Access Points e “redes ad-hoc” não autorizados » “No final de 2004 o uso de Access Points e redes ad-hoc’s não autorizadas será responsável por mais de 50% das vulnerabilidades em redes sem fio (probabilidade de 0.8)” 22 Gilberto Sudré Gartner Group - Set/2002

WEP - Wired Equivalent Privacy » Criptografia entre o cliente e o Access Point » Opera na camada de enlace • Não provê segurança fim-a-fim » Utilizado também para confidencialidade e controle de acesso 23 Gilberto Sudré

WEP - Wired Equivalent Privacy » Vulnerável a ataques • Ataques passivos podem decriptografar o tráfego baseado em analises estatísticas » Os cabeçalhos dos quadros continuam em texto plano, permitindo ao atacante “ver” • Origem e destino (MAC) • ESSID 24 Gilberto Sudré

Quebra de Chaves WEP » Quebra de Chaves WEP com Backtrack (Vídeo) 25 Gilberto Sudré

WPA – Wi-fi protected access » Tenta solucionar os problemas do WEP • Criptografia mais forte • Troca periódica de chaves » Inclui a característica de autenticação • 802.1x • EAP – Extensible Authentication Protocol 26 Gilberto Sudré

WPA – Wi-fi protected access » Dois tipos • WPA-PSK • Similar ao WEP • Chave compartilhada • Troca de chaves automatizada (TKIP – Temporal Key Integrity Protocol) • Vetor de inicialização de 48 bits • Infra-estrutura • Requer um servidor de autenticação (RADIUS) • Opcionalmente pode necessitar de uma Infra- estrutura de chaves públicas (PKI / ICP) 27 Gilberto Sudré

Quebra de Chaves WPA » Quebra de Chaves WPA (Vídeo) 28 Gilberto Sudré

APs Impostores » Em redes abertas • Quem impede do atacante instalar seu próprio Access Point? » Em redes fechadas • Conhecendo-se as configurações e a chave WEP • Ataque Man-in-the-Middle » Pode ser detectado por alguns aplicativos de monitoração » WarDriving “inverso” 29 Gilberto Sudré

APs Impostores » Forma de ataque Access Point mais perto ou com Access Point o sinal mais forte correto SSID: “Verdadeiro” SSID: “Falso” 30 Gilberto Sudré

Checklist de segurança

c Checklist de segurança » Mantenha seu sistema operacional, aplicações e utilitários atualizados » Utilize um bom anti-vírus e anti-spyware e os mantenha atualizados » Configure seu browser para que este utilize as opções mais seguras de navegação » Utilize senhas fortes » Tenha um Firewall pessoal e corporativo instalado e 32 Gilberto Sudré atualizado

c Checklist de segurança » Sempre que possível estabeleça uma VPN (Virtual Private Network) para a comunicação » Desabilite o compartilhamento de impressoras e arquivos » Nunca use senhas importantes ou outras informações sensíveis em computadores públicos » Mantenha os dispositivos móveis e meios de armazenamento digital com você ou em algum local protegido por cadeado ou chave 33 Gilberto Sudré

c Checklist de segurança » Mude imediatamente sua senha caso suspeite que ela tenha sido comprometida » Criptografe os dados armazenados (principalmente em pen- drives) » Exclua completamente os dados sensíveis depois de utilizá- los e destrua mídias antigas antes de descarta-las » Mantenha backups atualizados » Escolha cuidadosamente a rede sem fio que você irá se 34 Gilberto Sudré conectar

Conclusão

Conclusão » Dispositivos móveis fazem parte do dia a dia de pessoas físicas e corporações » Usuários são afetados diretamente por questões de segurança e privacidade quando utilizam os dispositivos móveis » Os usuários são peça fundamental no uso responsável destes dispositivos para evitar falhas e vazamento de informações » Já existem procedimentos e ferramentas que podem estabelecer uma solução de segurança adequada no uso de dispositivos móveis 36 Gilberto Sudré

www.unitera.com.br www.labseg.com.br » Serviços Gerenciados de » Perícia em: Segurança de Perímetro • Equipamentos de informática » Soluções de proteção contra • Dispositivos de malwares e spywares armazenamento digital Smartphones e PDA's » Soluções em Software Livre » Análise de invasão » Outsourcing Parcial ou Total » Testes de Penetração de Infra-Estrutura » Gestão de Risco 37 Gilberto Sudré

Perguntas !!

Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 39 Gilberto Sudré

Add a comment

Related presentations

Presentación que realice en el Evento Nacional de Gobierno Abierto, realizado los ...

In this presentation we will describe our experience developing with a highly dyna...

Presentation to the LITA Forum 7th November 2014 Albuquerque, NM

Un recorrido por los cambios que nos generará el wearabletech en el futuro

Um paralelo entre as novidades & mercado em Wearable Computing e Tecnologias Assis...

Microsoft finally joins the smartwatch and fitness tracker game by introducing the...

Related pages

2 - Evolução do serviço Móvel e Fixo (Parte 1) - YouTube

... no 1º Forum Angolano de Telecomunicações e Tecnologias da Informação, ... Informação, sobre a evolução do serviço ... Novo ...
Read more

Os desafios da inclusão digital - proposta de redação ...

Os desafios da inclusão digital ... de trocas e de construção de novos cenários. ... A tecnologia da informação é uma aliada, ...
Read more

Desenvolvimento da informação – Wikipédia, a ...

A velocidade da informação é inevitável em nosso tempo, ... desafios esse de adaptabilidade ao novo, encaixar as mudanças na economia, ...
Read more

Por um turismo mais tecnológico e com mais apps | Luisa ...

Com as férias do Verão ao virar da página do calendário surgem novos desafios para este importante sector da ... as tecnologias de informação e ...
Read more

INCM - Instituto Nacional das Comunicações de Moçambique

INCM - Instituto Nacional das Comunicações de ... capital são-tomense sob o lema Desafios da ... Ministério da Informação e ...
Read more

Por um turismo mais tecnológico e com mais apps | Carlos ...

Com as férias do Verão ao virar da página do calendário surgem novos desafios para este importante sector da economia portuguesa.
Read more

Tecnologias da informação e comunicação – Wikipédia ...

Tecnologias da informação e ... e promovida pela documentação do Novo ... que dificultam às pessoas se comunicarem, portanto um dos desafios de ...
Read more