Evento: Confraria 0day 2015
Data: 29/01/2015
Palestrante: Thiago Dieb
Não é segredo para ninguém que no Brasil é fácil encontrar sites com falhas de segurança, muito delas bem graves. Entretanto não é muito divulgado a quantidade de sistemas governamentais com fragilidade. Objetivo é relacionar as principais falhas encontradas e no ambiente governamental e suas prováveis causas. É surpreendente a quantidade e variedade presentes nesta situação.
15. @ThiagoDieb
Shellshock Bash
2014 foi o ano das falhas,
outra vulnerabilidade de
altíssimo nível.
Bug no Bash atingiu um boa
parte dos servidores com os
sistemas operacionais em
Linux e Mac/OS.
17. @ThiagoDieb
Possíveis Causas
● Servidores sem experiência (Devel/Infra)
● Alta imaturidade, principalmente na fase de
teste
● Equipe terceirizada descompromissada com
a qualidade do produto
● Grande quantidade de sistemas legados,
inclusive com baixo nível de segurança.
● Falta de patrocínio da alta administração
sobre o tema de segurança da informação
18. @ThiagoDieb
● Departamento de Segurança da Informação
e Comunicações - GSI - PR
● Fiscalização de tecnologia da informação -
TCU
● Governo eletrônico - SISP
● Lei 12.737/212 (Lei Carolina Dieckman)
● Decreto 8.135/2013 (Segurança de dados)
Em contrapartida
19. @ThiagoDieb
Sugestões de melhoria
● Capacitação técnica dos servidores
(desenvolvimento seguro / teste de intrusão)
● Cargos específicos para área de segurança
da informação na AP.
● Maior divulgação e cobrança sobre
segurança da informação na AP.
● Política de análise de impacto e risco dos
sistemas legados da AP.
20. @ThiagoDieb
Sugestões de melhoria
● Maior divulgação dos comitês do DSIC
● Entidade de avaliação e monitoramento da
qualidade dos sites e sistemas da AP.
● Criação do selo de qualificação para os sites
e sistemas da AP.