Quem sou eu
Pesquisador Independente em Segurança
Fundador do Projeto Stay Safe
Membro do Projeto GNSS – INPE
Membro Diretor do Cloud Security Alliance – Brasil
Membro da Comissão de Crimes de Alta Tecnologia da OAB
Docente na área de Segurança da Informação
Organizador da Vale Security Conference
Agenda
Valor da Informação;
Problemática;
Novo Modelo OSI;
Exemplos;
Impactos e
Necessidades
Valor da Informação Quanto vale as informações da sua empresa?
Valor da Informação E se você não mais tiver essas informações...
Uma fatia do mercado?
Se estas informações estiverem nas mãos de seus concorrentes.
Valor da Informação
É a sua fatia do mercado...
Valor da Informação Então porque não cuidar?
“Mas, nós cuidamos...”
* Os softwares e equipamentos aqui demonstrados são meramente ilustrativos...
Mecanismos Físicos
Mecanismos Lógicos
Serviços
Fechaduras IDS / IPS Políticas - Normas
Kits LockPick Hackers/Crackers Usuários
O MSN não está estava logando.... #novidade
“Temos até um CSO...”
Então, resolvido ? Infelizmente não....
O Processo construtivo pelo qual
as empresas passam no momento
de criar e estruturar suas
políticas.
Problemática
Alguma semelhança entre as
imagens anteriores?
Problemática
Processo Construtivo
Processo Construtivo Portanto, processo construtivo #FAIL
Vamos analisar...
NOVIDADE: Os terceiros (Crackers) / Concorrentes não fazem parte
do SEU plano!!!
Visão “inbox” X “outbox”
Pseudo Segurança
O nosso matador!!!
Problemática
Processo Construtivo
Visão “Inbox”
Pseudo Segurança
Novo Modelo OSI ?
Falha Humana
Aplicação
Apresentação
Sessão
Transporte
Rede
Enlace
Física
Por razões óbvias as URL’s e nomes foram omitidos,
preservando assim a imagem das instituições.
Casos Práticos
Exemplos Restaurantes Corporativos
Instituição Financeira
Nada como começar com um:
“HELLO WORLD!”
Exemplos Restaurantes Corporativos
Saúde
Exemplos
Saúde
Exemplos
Saúde
Exemplos Restaurantes Corporativos
Instituição Financeira
Google site:com.br filetype:txt
banco
Exemplos Restaurantes Corporativos
Instituição Financeira
Exemplos Restaurantes Corporativos
Restaurantes Empresariais
Diretamente na Internet... Vai dar Samba!
#piada_nerd
Exemplos
Restaurantes Empresariais
Exemplos
Restaurantes Empresariais
Criptografia? Não precisa....
Exemplos
Construtora
Editora
Exemplos Universidade
Exemplos Jornalismo - Comunicação
Exemplos Jornalismo - Comunicação
W.A.F.
Exemplos Agronegócio
Mais fácil...
Exemplos
Agronegócio
Escolher SQL ou sh?
Exemplos
Agronegócio
Ok, sh
Exemplos Franquias
Criptografia?
Exemplos Franquias
E se ...
Exemplos Franquias
...
Exemplos
Franquias
Franquias
Exemplos
Exemplos
Exemplos
Exemplos
Exemplos
Exemplos
Open Proxy? Só??
Norma da Empresa:
Proibido entrar com notebook
“Celular” pode normalmente.
Exemplos
Exemplos
Exemplos
Impactos
Conhecimentos Técnicos
Riscos Corporativos
Falhas acessíveis para qualquer usuário pois exige pequeno grau de
conhecimento técnico;
Escalação de Privilégio;
Possibilidades de alterações de conteúdo (denigrir imagem);
Alterações de informações, podendo gerar prejuízos financeiros.
Calma! Nem tudo está perdido...
É mais fácil encontrar vulnerabilidades quando não se está no dia a dia da empresa.
Pessoas que não vivenciem.
Necessidades
Melhor integração Hackers com CSOs;
Visão outbox no desenvolvimento de políticas de segurança;
Canais de Report mais específicos e claros.
Pentest!!!
E as SUAS informações? Estão Seguras?
Vale Security Conference 03 e 04 de Setembro
São José dos Campos - SP
www.valesecconf.com.br