Vulnerabilidades em Sistemas de Informação:

Tamanho: px

Começar a partir da página:

Download "Vulnerabilidades em Sistemas de Informação:"

Raíssa Barreiro Palma
8 Há anos
Visualizações:

1 Vulnerabilidades em Sistemas de Informação: (Discussão e História) Carlos.Ribeiro@tecnico.ulisboa.pt 02/07/2014 1

2 Vírus Inicio dos anos 80: Primeira infecção do IBM PC Mas o sabia-se como desde os anos 60 Continuam a ser um grande problema 02/07/2014 2

3 Vírus Worms rápidas Code Red [2001] (IIE servers) (8 meses <0,5 Milhões) Samy [2005] (MySpace) (20 horas; 1 Milhão) Worms lentas Stuxnet [2010] (Windows, SCADA, PLC, Controlo de motores) Web2.0 worms lentas e específicas nas redes sociais 02/07/2014 3

4 Vírus Autenticação Ecrãs de login falsos nos terminais vt100 02/07/2014 4

5 Vírus Script attacks (XSS) Request Forgery attacks (CSRF) Confused Deputy problem (Meados dos anos 80) 02/07/2014 5

6 Cross-Site Request Forgery Ok, estás chumbado Vou fazer uma cópia exacta <img src= " for=mallory"> 02/07/2014 6

7 Virus Code-injection attacks PHP injection SQL injection Shell injection (Meados dos anos 80) 02/07/2014 7

8 Vírus Code-injection attacks Roubo de Credenciais Passwords (e.g. Ataques de Dicionário) 02/07/2014 8

9 Virus Code-injection attacks Roubo de Credenciais Passwords (e.g. Dictionary attacks) Cookies (e.g. Firesheep) 02/07/2014 9

10 Autenticação tipíca na web Token de autenticação 02/07/

11 Firesheep attack 02/07/

12 Vírus Code-injection attacks Roubo de credenciais Passwords (e.g. Dictionary attacks) Cookies (e.g. Firesheep) 02/07/

13 são as mesmas Card Authentication embora em diferentes tecnologias. Send PIN Send PIN Vírus PIN OK PIN OK Ask for signature on T Signed<AuthOK,T> Code-injection attacks Roubo de Credenciais Ataques de interposição NO PIN, Signed <Auth OK,T> Authorization done eidas Electronic Identification and Signature European Regulation (Approved 25 th February) - Holder of Key Profile Smartcards (e.g. Pin&Chip authentication broken [R. Anderson 2010] 02/07/

14 são as mesmas Card Authentication embora em diferentes tecnologias. Send PIN Vírus PIN OK Ask for signature on T Signed<AuthOK,T> Code-injection attacks Roubo de Credenciais Ataques de interposição PIN, Signed <Auth OK,T> Authorization done eidas Electronic Identification and Signature European Regulation (Approved 25 th February) - Holder of Key Profile Smartcards (e.g. Pin&Chip authentication broken [R. Anderson 2010]) 02/07/

15 Vírus Code-injection attacks Roubo de Credenciais Ataques de Interposição Spoofing IP DNS (Kaminsky) 02/07/

Qual o IP da www.ulisboa.pt Quem souber o IP da www.

pt venha ter comigo e diga-me o IP e a senha de validação

16 Qual o IP da Quem souber o IP da venha ter comigo e diga-me o IP e a senha de validação 1 IP da O IP da é é X.X.X.X teu X.X.X.X e o teu segredo 0 segredo é 1 02/07/

17 Vírus Code-injection attacks Roubo de Credenciais Ataques de interposição Spoofing DDoS Estonia attack /07/

18 Virus Code-injection attacks Roubo de Credenciais Spoofing Ataques de Interposição DDoS BotNets Como usar a Web para criar um rede de Cmd&Ctrl 02/07/

19 Questão Final Sendo sempre o mesmo tipo de vulnerabilidades, porque não foram erradicadas? Várias respostas: A tese está errada e estamos perante novas vulnerabilidades resultantes da crescente complexidade da tecnologia; A complexidade crescente das tecnologias esconde as vulnerabilidades; Faltam profissionais capazes de detectar estas vulnerabilidades nas várias tecnologias. 02/07/

Documentos relacionados

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.