![Page 1: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/1.jpg)
CONFRARIA 0DAY - 10/2016MARCELO SOUZA
JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?
![Page 2: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/2.jpg)
# WHOAMINot root… :-/
Consultor
Fuçador
Co-fundador DEFCON Group BSB (dc5561.org)
~15 anos atuando em InfoSec
![Page 3: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/3.jpg)
![Page 4: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/4.jpg)
POR QUE ME PREOCUPAR?
![Page 5: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/5.jpg)
MOTIVAÇÃOMilhões de $$$ investidosem segurança nosambientes corporativos
Incidentes… incidentes…
Mais milhões de $$$!
Incidentes…
Já falei dos milhões??? J
![Page 6: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/6.jpg)
SOLUÇÃO A, B, C…
AntivirusAnti-APT
App Firewall
IDS/IPS
Proxy
Firewall
![Page 7: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/7.jpg)
”A” NÃO FALA COM ”B” NEM ”C”…
Se dependesse da quantidade de soluções de InfoSec, nãoteríamos mais problemas de InfoSec…
Pior de tudo: cada umafuncionando isoladamente (silos)
Nosso paradigma está correto?
![Page 8: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/8.jpg)
ESTAMOS PERDIDOS!?!?
"A definição de insanidade é fazera mesma coisa repetidamente e esperar resultados diferentes" -Albert Einstein (!!!)
Em resumo: cometemos osmesmos erros há anos… e não adianta botar a culpa no usuário!
Software continua mal escrito, vulnerabilidades antigas ainda presentes, ”stupid assumptions”...
(!!!) Ok, não foi ele que disse isso mas vou usar a frase mesmo assim! :-)
![Page 9: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/9.jpg)
HOW TO SUCK AT INFOSEC?
https://blog.marcelosouza.com/como-ser-um-idiota-em-seginfo-reloaded/
![Page 10: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/10.jpg)
HOW TO SUCK AT INFOSEC?
![Page 11: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/11.jpg)
”THERE’S NO PATCH FOR THAT…”
https://www.schneier.com/blog/archives/2016/10/security_design.html
![Page 12: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/12.jpg)
CENÁRIOS…
...BASEADOS EM FATOS REAIS!
![Page 13: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/13.jpg)
CENÁRIO 1: DUMP DE SENHAS
”Senha forte é bobagem!”
NLTM hashes de senhas de 8 caracteres(números e letras min.) à quebradas em< 1 minuto (Rainbow Table de 8GB)
mimikatz (2012) rul3z!!!
Muitas vezes nem é necessário quebrarhashes (WDigest)
![Page 14: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/14.jpg)
CENÁRIO 1: DUMP DE SENHAS
Vídeo (dump LSASS)
http://ophcrack.sourceforge.net/tables.php
![Page 15: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/15.jpg)
CENÁRIO 2: ”POWER MALWARE”
Vídeo (”Power Malware”)
![Page 16: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/16.jpg)
CENÁRIO 3: RUBBER DUCKY
https://www.hak5.org/blog/15-second-password-hack-mr-robot-style
![Page 17: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/17.jpg)
SO WHAT?
![Page 18: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/18.jpg)
NÃO MELHORAMOS NADA?!?Não o bastante!
Algumas poucas iniciativas em busca de melhorias
Reviravoltas em InfoSec ”pós-Snowden” (2013)
TLS ”everywhere”, HSTS, ”cloud fear”...
”APT fear” (não é FUD!)
Mudança de mentalidade interessante (~2014/2015)
”vulnerability-centric” à ”threat-centric”
![Page 19: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/19.jpg)
VULN MNGMT X THREAT INTEL
https://www.google.com/trends/explore?q=vulnerability%20management,threat%20intelligence
![Page 20: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/20.jpg)
O QUE FALTA, DOUTOR?
![Page 21: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/21.jpg)
”INCIDENT-CENTRIC” INFOSECNecessidade de mais uma mudança de paradigma
”vulnerability-centric” à ”threat-centric” à ”incident-centric”
Mudança não significa abandonar totalmente o legado
Dar a devida importância a Resposta a Incidentes
Em outras palavras: ”Vou ser invadido cedo outarde, melhor estar preparado!”
Pro+Pe+Tec and Situational Awareness to the rescue!
![Page 22: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/22.jpg)
PRO+PE+TEC
Preparação para IR: PROcessos, PEssoas e TECnologia
Pessoas
Tecnologia
Processos
(!!!) Não, não é uma palestra de vendas!
![Page 23: JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era para estarmos seguros, nÃo era?](https://reader034.vdocuments.pub/reader034/viewer/2022043000/5f762a84775e9d39dd061caf/html5/thumbnails/23.jpg)
SITUATIONAL AWARENESSMecanismos para perceberquando incidentes acontecem e reagir a eles
Objetivo principal: auxiliar no tempo de resposta
Yahoo levou 2 anos (!!!) pra descobriro vazamento de 500M contas
Necessidade de integraçãoentre as ferramentas de segurança
Correlação e contextualização de eventos
IOCs + Logs + Tráfego de rede