Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016

Documentos relacionados
SBSeg 2016 Niterói, RJ 08 de novembro de 2016

I Security Day 2017 FATEC Americana Americana, SP 01 de julho de 2017

IX Fórum de dezembro de 2016 São Paulo, SP

2º Seminário Internacional Brasil 100% Digital Brasília, DF 11 de novembro de 2016

XII Semana da Informática COTIL, Limeira, SP 04/09/17

Jornada IESCAMP de Tecnologia da Informação Campinas, SP 18/10/17

II Encontro Anual da Academia Nacional de Engenharia Rio de Janeiro, RJ 25 de novembro de 2016

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

Segurança Cibernética Hoje em Dia 26 de Outubro de 2016 Consulado Geral dos EUA /FAAP, São Paulo

3º Cyber Security Brazil Energy & Utilities São Paulo, SP 28 de março de 2017

Conferência Web.br 2017 São Paulo, SP 25 de outubro de 2017

5º Fórum Brasileiro de CSIRTs 23 de setembro de 2016 São Paulo, SP

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

Web br 2016 São Paulo, SP 14 de outubro de 2016

Tratamento de Incidentes de Segurança em Grandes Eventos Cristine Hoepers

Aritana Pinheiro Falconi Klaus Steding-Jessen Marcelo H. P. C. Chaves

PROGRAMA POR UMA INTERNET MAIS SEGURA. Gilberto Zorello

PROJETO INICIATIVA INTERNET SEGURA. Gilberto Zorello

Segurança da Internet no Brasil: Estudos e Iniciativas

VII Fórum da Internet no Brasil Rio de Janeiro, RJ 15 de novembro de 2017

Klaus Steding-Jessen Esta apresentação:

SET Expo 2016 São Paulo, SP 01 de setembro de 2016

O Que nos Mostram os Incidentes Atuais: Evolução ou Involução da Segurança nos últimos 20 anos?

IX (PTT) Fórum Regional São Paulo, SP 11 de agosto de 2017

SQuaRE system and software quality models security

Aspectos de segurança na conectividade da rede acadêmica. Italo Valcy 25/Set/2017, VII WTR do PoP-BA

Tendências em Atividades Maliciosas na Internet Brasileira

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

IX Fórum Regional Campo Grande, MS 26/04/19

Workshop em Segurança Cibernética e Crime Cibernético para África Lusófona 22 a 24 de Setembro de 2015 Maputo, Moçambique

Painel Telebrasil 2018 Brasília, DF 22 de maio de 2018

APRONET Florianópolis, SC 23/02/19

Rio Info 2016 Rio de Janeiro, RJ 04 de julho de 2016

Desafios e Lições Aprendidas no Tratamento de Incidentes em Grandes Eventos

A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP

IX FÓRUM 12 São Paulo, SP 11/12/18

Segurança: Tendências Atuais e Recomendações do NBSO

Segurança e IoT: desafios e expectativas, com base nos incidentes que já estão ocorrendo. Cristine Hoepers, D.Sc. Gerente Geral CERT.br/NIC.

nas Instituições de Ensino Superior Universidade de Aveiro Ricardo T. Martins 2018 / 04 / 13

Hardening de equipamentos

Cooperação Internacional na Segurança da Internet e no Tratamento de Incidentes

IoT (Internet of Things) e Segurança

CERT.br, NIC.br e CGI.br Apresentação e Atuação

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

IX Fórum Regional São Paulo, SP 10 de junho de 2019

Como conviver com tantas senhas

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

ITIL INTERMEDIATE ISO RHCE

Resposta a Incidentes no Brasil: Situação Atual e o Papel do NBSO

Semana de Segurança da Informação TRF3 São Paulo / SP 19/06/2018

Crimes pela Internet: Aspectos Técnicos e o Papel dos Grupos de Tratamento de Incidentes Cristine Hoepers

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Curso de capacitação Uso consciente e responsável da Internet nas escolas São Paulo / SP 27 de março de 2018

Intelbras São José, SC 08 de fevereiro de 2018

AOS CONSELHEIROS DO COMITÊ GESTOR DA INTERNET (CGI.BR) Prezados senhores conselheiros e senhoras conselheiras do Comitê Gestor da Internet,

5º Seminário de Defesa Cibernética Brasília, DF 01 de agosto de 2017

Indicadores para a Inclusão Digital de outubro de 2005

Atuação do CERT.br. Cristine Hoepers

Grupos de Resposta a Incidentes: e o Papel do NBSO

IX Fórum Regional 17 de maio de 2018 São Paulo, SP


1 Semana da Computação Rio das Ostras, RJ 04 de maio de 2016

Segurança no Plone. Fabiano Weimar dos Santos [Xiru]

Aula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.

Sobre o CGI.br Criado em maio de 1995 Pela Portaria Interministerial Nº 147 de 31/05/1995, alterada pelo Decreto Presidencial Nº de 03/09/2003 R

Mariana Balboni. de Gestor de TI CONIP DF 22 e 23 de novembro e CONIP Brasília

MANRS. Mutually Agreed Norms for Routing Security

ABRINT na Estrada Campina Grande, PB 14/02/19

TIC DOMICÍLIOS 2009 Pesquisa sobre o Uso das Tecnologias de Informação e Comunicação no Brasil

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

Dispõe sobre a criação do Comitê Gestor da Internet no Brasil - CGI.br, sobre o modelo de governança da Internet no Brasil, e dá outras providências.

MANRS. Mutually Agreed Norms for Routing Security

Quem tem medo de XSS? William Costa

Panorama de Incidentes de Segurança no Brasil

Aspectos de Segurança. Internet das Coisas (IoT)

Workshop Internacional Segurança Cibernética ANEEL, Brasília, DF 20 de outubro de 2016

Os desafios de segurança na era da Internet das Coisas (IoT)

Soluções de cibersegurança para sistemas de segurança electrónica

Panorama de segurança da informação e combate a atividade maliciosa na Rede Ipê. WTR PoP-RJ André Landim

Incorporar Segurança Digital nas organizações é uma questão fundamental. Italo Valcy 01/Out/2018, IX WTR do PoP-BA

Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais

Principais Ameaças na Internet e

Centro de Tratamento de Incidentes em Redes de Computadores da Administração Pública Federal CTIR Gov

O CGI.br tem entre suas atribuições coletar e disseminar informações sobre os serviços Internet. Esses dados e indicadores são fundamentais para:

Segurança em Redes Sociais

Curso de capacitação Uso consciente e responsável da Internet São Paulo / SP 24 de agosto de 2018

Soluções Técnicas em Segurança. Andre Landim Yuri Alexandro

Conviso Security Training Ementa dos Treinamentos

Taxonomia Comum para a Rede Nacional de CSIRTs

Desafios de defesa cibernética na Internet do Futuro. Antonio M. Moreiras

Internet, Pragas e Segurança

Eduardo Barasal Morales Tiago Jun Nakamura Maputo, Moçambique 18/07/17-21/07/17

Workshop Lições Aprendidas Jogos Rio de abril de 2017 Brasília, DF

Transcrição:

Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016

Segurança em IoT: Novos desafios, velhos problemas Miriam von Zuben miriam@cert.br

Tratamento de Incidentes Articulação Apoio à recuperação Estatísticas Criado em 1997 para: Treinamento e Conscientização Cursos Palestras Documentação Reuniões Análise de Tendências Honeypots Distribuídos SpamPots - Ser um ponto de contato nacional para notificação de incidentes - Prover a facilitação e o apoio necessários no processo de resposta a incidentes - Estabelecer um trabalho colaborativo com outras entidades - Aumentar a conscientização sobre a necessidade de segurança na Internet - Auxiliar novos CSIRTs (Grupos de Tratamento de Incidentes de Segurança) a estabelecerem suas atividades Rumo a Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil http://www.nic.br/grupo/historico-gts.htm http://www.cert.br/sobre/

Estrutura do CGI.br e NIC.br 1 Ministério da Ciência e Tecnologia (Coordenação) 2 Ministério das Comunicações 3 Casa Civil da Presidência da República 4 Ministério da Defesa 5 Ministério do Desenvolvimento, Indústria e Comércio Exterior 6 Ministério do Planejamento, Orçamento e Gestão 7 Agência Nacional de Telecomunicações (Anatel) 8 Cons. Nacional de Desenvolvimento Científico e Tecnológico 9 Fórum Nac. de Secretários Estaduais para Assuntos de C&T 10 Representante de Notório Saber em assuntos de Internet 11 provedores de acesso e conteúdo 12 provedores de infra-estrutura de telecomunicações 13 indústria de bens de informática, telecomunicações e software 14 segmento das empresas usuárias de Internet 15-18 representantes do terceiro setor 19-21 representantes da comunidade científica e tecnológica

Comitê Gestor da Internet no Brasil CGI.br Entidade multissetorial, criada em 1995, responsável por coordenar e integrar as iniciativas e serviços da Internet no País. Dentre as atribuições definidas no Decreto Presidencial nº 4.829, de 03 de setembro de 2003, destacam-se: - a proposição de normas e procedimentos relativos à regulamentação das atividades na internet; - a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil; - o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil; - a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país; - a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br>; - a coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e estatísticas. - ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet; http://www.cgi.br/sobre/

Velhos problemas...

620Gbps contra o Blog do Brian Krebs http://www.bbc.co.uk/news/amp/37439513

http://arstechnica.com/security/2016/09/botnet-of-145k-cameras-reportedly-deliver-internets-biggest-ddos-ever/

http://www.zdnet.com/article/source-code-of-mirai-botnet-responsible-for-krebs-on-security-ddos-released-online/

http://www.computerworld.com/article/3132359/security/hackers-create-more-iot-botnets-with-mirai-source-code.html

Problema: telnet e senhas fracas

IoT botnets CPEs, DVRs, CCTVs, NAS, roteadores domésticos, etc Malware se propaga geralmente via telnet Explora senhas fracas ou padrão muitas vezes são backdoors dos fabricantes Em nossos honeypots IPs de IoT infectados 18/10/2016 BR: 81.986 NOTBR: 470.545

Notificações ao CERT.br: Scans por porta em 2015

Notificações ao CERT.br: Scans por 23/TCP 2013 a jun/2016 70 Porcentagem das Notificações de Scan Varreduras por 23/TCP 60 Porcentagem das notificações de scan por mês 50 40 30 20 10 0 01/2013 01/2014 01/2015 01/2016 06/2016 Período: 01/2013 a 06/2016

http://www.pcworld.com/article/2987813/thousands-of-medical-devices-are-vulnerable-to-hacking-security-researchers-say.html

Problema: dados sensíveis armazenados em texto claro

http://www.bbc.com/news/technology-36903274

Problema: backdoor e senhas facilmente descobertas

Problema: DRDos e endereços spoofados

http://www.darkreading.com/attacks-breaches/report-iot-connected-devices-leading-to-rise-in-ssdp-based-reflection-attacks-/d/d-id/ 1320149

Estatísticas CERT.br 2015 1900/UDP: 2012: posição 107 2015: posição 18 fator de amplificação de 30.8

Tipos de ataques DDoS Volumétrico DRDoS Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo aberto, entre outros Notificações sobre computadores participando em ataques de DoS 1999 -- 2015 Ano 2015 25360 2014 223935 2013 1030 2012 2011 2010 198 309 272 2009 896 2008 327 2007 954 2006 277 2005 2004 96 104 2003 2002 50 62 2001 26 2000 159 1999 21 10 20 40 100 200 400 1k 2k 4k 10k 20k 40k 100k 200k 400k 1M Notificações CERT.br -- by Highcharts.com

Problema: malware

http://motherboard.vice.com/read/internet-of-things-ransomware-smart-thermostat

Desafios

Como melhorar o cenário Solução depende de diversas camadas usuários desenvolvedores administradores fabricantes

Usuários (1/2) Assumir que os dispositivos virão com sérios problemas necessário fazer hardening testar em ambiente controlado assumir que terá um backdoor do fabricante Considerar uma rede de gerência isolar os dispositivos completamente Antes de comprar verificar se o fabricante possui política de atualização de firmware

Usuários (2/2) Ao fazer a implantação, planejar se haverá algum esquema de gerência remota como atualizar remotamente Ser criterioso ao escolher o fornecedor fazer testes, identificar qual o chipset, verificar histórico de tratamento de vulnerabilidades do fabricante do chipset, etc Dificuldades de fazer análise / perícia

Desenvolvedores Não usar protocolos obsoletos Usar criptografia e autenticação forte Não ter senha do dia, senha padrão não documentada, reset de configuração via rede, etc Defaults seguros Atualização precisa ser possível necessário prever algum mecanismo de autenticação Usar práticas de desenvolvimento seguro

Desenvolvedores OWASP Top 10 Applications - 2013 IOT - 2014 1 Injection Insecure Web Interface 2 Broken Authentication and Session Management Insufficient Authentication/Authorization 3 Cross-Site Scripting (XSS) Insecure Network Services 4 Insecure Direct Object References 5 Security Misconfiguration Privacy Concerns Lack of Transport Encryption/Integrity Verification 6 Sensitive Data Exposure Insecure Cloud Interface 7 Missing Function Level Access Control Insecure Mobile Interface 8 Cross-Site Request Forgery (CSRF) Insufficient Security Configurability 9 Using Components with Known Vulnerabilities Insecure Software/Firmware 10 Unvalidated Redirects and Forwards Poor Physical Security https://www.owasp.org/index.php/category:owasp_top_ten_project https://www.owasp.org/images/7/71/internet_of_things_top_ten_2014-owasp.pdf

Administradores Implementar boas práticas: BCP38/BCP84 filtrar pacotes com endereços spoofados http://bcp.nic.br/entenda-o-antispoofing/ Manter os equipamentos atualizados sistema operacional e todos os serviços nele executados serviço Web, SGBD, extensões, módulos e plugins Desabilitar serviços desnecessários Ser cuidadoso ao usar e elaborar senhas se disponível, usar verificação em duas etapas

Fabricantes Segurança deve ser nativa não deve ser opcional requisitos de segurança devem ser considerados desde o projeto Deve ser incluída na analise de risco das empresas danos à imagem danos aos usuários Como implementar segurança em larga escala Ter grupo de resposta a incidentes preparado para lidar com os problemas

Obrigada www.cert.br miriam@cert.br @certbr 20 de outubro de 2016

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback