 E aí pessoal, boa tarde. Tudo bom? Essa massa boa aqui, né? Tô curtindo também. Bom, essa palestra inicialmente era no workshop, só que levava umas quatro horas, né, porque o pessoal ia acompanhando e tinha contador. Aí apareceu a oportunidade de apresentar ela pra vocês e eu comecei a me contar. Aí ficou por uma hora e, gente, aí o pessoal da organização me dizia, eu quero só por cinco minutos. Aí eu deixei a palestra de lado e peguei só um check-list. Aí então vai ser um check-list de muitas coisas técnicas e bem complexas, às vezes, mas que vocês vão poder seguir quando precisar deixar o outro preso de uma forma mais segura, né, do Caled. Tem que já foi hackeado, já teve um website hackeado. Então o resto, acha que nunca foi hackeado. Bom, porque eu acabei desenvolvendo isso daqui, né? Porque o Wordpress, por estar muito presente na web, é o ambiente que é o mais perto de problemas de invasão. Não pelo Wordpress, mas pelas falhas, o pessoal comete e coloca ele no ar com uma forma frágil, né? Então, vamos deixar ele mais brindado. Quem trabalha faz de depois? Então, esse aqui é um check-list da minha experiência também. Ela já é de maior, eu sou jovem um pouco mais de tempo com vocês, mas o check-list encontrou também lá no começo, inclusive, e foi aqui no Senac, né? Em 1993, quando eu estava com os deslografias. Nessa época, ela era do Bytes Lascato, porque eu não tinha tanto recurso, era bem mais chato. Aí, trabalhei como administrador de redes por bastante tempo, em 2005 eu comecei a trabalhar no Insight, é a empresa que eu fundei também. Em 2010 eu comecei a atuar só na área de segurança por causa da quantidade de invasão, por necessidade. Aí eu me desenvolvi desde então nessa área. Mas, enfim, o que é essa tal de segurança da informação, que todo mundo fala? Esse foi a explicação mais simples e completa do que seria segurança da informação, que é basicamente proteger a informação desde que ela nasce, até a forma que você armazena ela, transita ela até o final, e até a forma que você destrói ela, nos casos é a informação que você se destruíra depois. Tem uma forma correta para fazer isso, só apagar. Então, essa... a fonte dessa descrição, é bem massa, é recomendado, deve ter umas 800 pás, é muito interessante. Mas por que eu preciso de segurança, né? Eu sei que tá no ar, tá tudo certo. O que mal faz o cara invadir meu site? Se ele não mudar nada, tá tudo bem. Mas a opção do lado negro é foda nessa, tem umas opções a mais. Então, eu lembrei aqui algumas coisas que normalmente a gente vê acontecendo nos servidores invadidos. E são coisas que podem estar acontecendo com vocês nesse exato momento. Então, coisas que podem estar cadeindo, inclusive, né? Por exemplo, cada vez em pornografia, você vai provar que não é sua. Outras coisas como, por exemplo, a propagação de artefatos maliciosos, né? Não só é, o generador de encrypted não é, etc. Muitas vezes o hack dele não quer o teu dinheiro, né? O teu servidor. Ele quer o teu cuio. Você tem lá 20 mil, 60 mil, 600 mil acessos, 6 milhões de acessos. E ele injecta código lá para infectar 600 mil pessoas. Vai ficar famoso rápido, né? Vai ser mais atacado muita gente, né? Então, essa é uma das coisas que eu mais tenho feito, ultimamente. Participação em ataque DDoS, DRDOS, né? Quando você viu um Zumbi, né? O cara tem um acental de controle comando, e quando ele dispara lá, o teu servidor passa a atacar alguém para ele. Essa também é uma coisa que é bastante usada, e você só sente que o seu servidor também é um pouco mais velho. Robo de crenecial, identidade. Ele vai roubar os dados da pessoa que acessa em vocês. Robo de dados, né? Os segredos, no caso de empresas, os negócios que tem a internet, o que ele passa a colocar, o que ele passa a acessar, para roubar lá, né? Mineração de criptomeda. Nesse caso aqui, ele está distribuindo o minerador, né? O teu browser, que vai... O browser de quem visita que vai minerar a criptomeda, mas ele pode usar o teu servidor para minerar. E aí você acha que o site está pesado, às vezes, né? Não é o site. Aí fica briguendo com Luan, né? E aí eu fico com a música aí. Invite Spam. Ele pode estar sendo usado para encaminhar milhões de beijos para outros fins e coisa tal. Enfim, se você tiver um amigo bem de boa, só para zoar o barragem. ano passado eu fiz uma pesquisa, que eu não encontrei a fonte depois, mas que mostrava que um servidor ou nada pode chegar a render 500 mil dólares por ano, né? Estou até procurando a pesquisa de novo, porque talvez a gente cuida de profissão. Mas, então, tá, chega de festinha, de raca. Quais são, então, os objetivos da segurança da encamação? Esse é um modelo de segurança bem fundido, já bem antigo, que mostra para a gente que pontos que a gente precisa tomar cuidado para você estar efetivamente de uma forma um pouco mais segura na web, né? Então, o que você precisa garantir para estar seguro online? Você precisa garantir disponibilidade. Esse é o primeiro atributo. Todo mundo vai sair quando sai que está fora do ar, né? A disponibilidade você precisa garantir. Depois a gente vai ver algumas formas. Integridade, você precisa garantir que a informação que está lá não vai modificada e vai chegar lá no teu destino da mesma forma que saiu do servidor, que às vezes você acha que está chegando lá de uma forma e então chega de outra. E aí a infasão nem foi no seu servidor às vezes. E confidencialidade. Eu preciso garantir que o meu WB adivinha está sendo acessado só por quem é autenticado lá, né? Não só por quem bota, assim, um, dois, três. Existem outros modelos de segurança e coisa tal, e com outros objetivos também. Mas, se basicamente você conseguir cobrir isso daqui, você vai tentar um nível bem superior. Normalmente, pessoal, adota umas formas de segurança por obscuridade, por exemplo, mudar a porta do SSH a botar lá na 33.444. Não adianta, gente. O cara não vai escanear uma porta de cada vez. Ele passa um software e escanea 65 mil portas. Hoje em dia, com os processadores, com a rede que a gente tem, escanear 65 mil portas para o computador é 40 segundos. Então, não faz diferença mais mudar. Segurança por obscuridade não funciona, tá? O pessoal está bem mais avançado. Eu costumo adotar a segurança por compartimentalização, que é você manter o que se separado, a quantidade para lá, ficar sempre aqui, cache para o outro lado, o PWA separado. Gostei lá com o nosso amigo do PWA falou, né, que se separado apoia a ideia dele. E segurança por camadas também. Então, você protege no file, protege no file da aplicação, protege no quantidade de dados, protege nas permissões, vai criando camadas. Se o cara passar num, ele não passa no outro. E esse aqui é o checklist macro, foi o que eu comecei a escrever e que seria o... os itens que você deveria tomar cuidado quando vai colocar um ambiente lá. Pode fotografar já, vai entrar depois na postula, né? Então, a gente vai ver cada intendência. Se você ver um asterisco assim, é um item que o Samuel, que vai apresentar depois de mim, vai falar. Aí eu passei para ele porque não ia acabar em 2005. Então, vamos lá, resisto do domínio. Todo mundo aqui já fez um resisto do domínio, imagino, né? Entrou lá no registro de pele, criou um ID, cadastrou lá o seu domínio. Então, algumas coisas que eu sigo para deixar essa parte mais robusta, mais blindada, usar e desdiferente para cada contato. Normalmente a pessoa, você vai lá dar um Ruiz no site, dá o mesmo ID em todos nos quatro. Eu uso um ID para cada coisa. Por quê? Primeiro porque eu posso precisar delegar o meu ID técnico para alguém. Ou eu posso trabalhar em uma empresa que tem 600 funcionários e desenvolvedores, por exemplo, e tem um monte de gente pra utilizar o ID. Entendeu? Então, não posso dar o mesmo ID da entidade, que tem acesso a outros domínios. Usar grupos de pessoas no lugar de e-mails individuais. Então, cada ID desse tem um e-mail de contato. Se esse e-mail de contato for um grupo, mais pessoas vão estar alertas no caso de uma mudança. Então, aconteceu uma mudança lá de servidor DNS, 20 pessoas recebem essa mudança. Muito possivelmente isso acontece de madrugada. Se eu fosse fazer um ataque desse, não ia fazer ele durante o dia. Mais um desses 20 tem insônia, sempre tem. Alguém vai ver o e-mail. O endereço de um contato diferente do domínio. Ou seja, eu tenho o meu domínio.com.br. Então, eu uso o contato de entidade ou o contato de mim, que são dois mais. Mais pau, mais cima. Um grupo do... A roba por Google Groups, por exemplo. Ou um e-mail que encaminha pra mais pessoas. Por quê? Porque se o atacante tiver acesso no seu servidor de e-mail, do meu domínio, do meu domínio.com.br, ele pode desfiar os e-mails pra ele. Você não vai conseguir pedir reset de 100. Você vai pedir, vai chegar pra ele ainda. Adota alguns fora do seu próprio domínio. 100 esportes nos IDs. 100 esportes hoje tem que ser pra tudo. Usa o cofre de 100. Lá no registro br já tem um defector authentication. Então, ligue em lá uma opçãozinha token lá em cima, que ele vai pedir, é o segundo fator. Aí você usa o Google Authenticator. E monitorar alterações. Depois eu vou falar pra vocês sobre monitoramento desse ambiente também. Eu escrevi recentemente um post, o endereço tá lá embaixo. Explicando detalhadamente essa parte do registro. O endereço é aqui depois. Servidores DNS. Quando a gente faz um registro do domínio lá, uma das coisas que é obrigatória é você colocar dois servidores DNS, no mínimo. Então, essa parte de servidores também dá pra gente dar uma robusta excida dela, deixar ela mais hard. Por exemplo, colocar servidores em regiões, ou data centers diferentes. Quando eu coloco os dois, o DNS que tá no mesmo local físico, por exemplo, se você tiver um problema nesse data center, vai sair tudo do ar. Bem espaçado teve um incêndio em um data center grande lá, por exemplo, vários impressórios fora do ar que tá no mesmo ambiente. Então, o registro brilho, por exemplo, já te oferece esse recurso quando você coloca os dois domínios do registro, os dois DNS do registro brilho já ficam em cada data center. Ah, mas não também já separa pra você. Mas você pode fazer isso manualmente também, colocar um DNS de um provedor e outro DNS do outro provedor desde que tenham as mesmas tabelas lá dentro, lá dentro dos mesmos registros. Usar o DNS SEK o DNS SEK é uma tecnologia já antiga, mas pouco usada, agora tá mais frequente, que basicamente funciona como SSR. A minha máquina vai fazer uma consulta no registro, vai fazer uma troca de certificados e vai se certificar que a resposta que ela tá me dando é a verdadeira e isso vai garantir o quê? Vai garantir que eu, na minha máquina, não tô sendo desviado pra um site clone falso, que é muito comum hoje em dia, por exemplo. Tipo como eu fiz aqui nessa Wi-Fi, que vocês achavam que tava acessando Facebook e era fake. Clicadeira. Mas é dessa forma que acontece. Daí eu desvio todo mundo pra um site clone que tá na minha máquina e daqui ao direcione do site original vocês acham que estão acessando e estão passando por aqui. Se tivesse esse DNS SEK ligado isso não aconteceria, porque o browser de vocês também é navegado. Usar o DNS Proxy Cache Servers Acamai, Cloudflare, Incapsular isso aqui serve pra mitigação de ataque DDoS. Basicamente esse pessoal aqui Acamai, Cloudflare, Incapsular vai ficar, eles estão com algo lá tomando tiro, digamos assim e eles ficam desviando vocês do ataque. É a única saída e feita de DDoS. Se vocês sofrem, essa é uma das formas de mitigar. Tem uma cópia das configurações? Eu já perdi várias dessas. Várias configurações DNS e por as vezes porque alguém mexeu corretamente, ou porque o proveitor foi lá e recebeu a tabela e monitorar alterações e tempos de resposta. Já vou explicar pra vocês porque isso também. Uma dúvida que o pessoal me pergunta muito ah, mas quem que é melhor? Aospedagem, plataforma ou infraestrutura, enfim, onde é que eu coloco? Depende, né, o que você vai fazer. Então, no exemplo de hospedagem provedores de hospedeiros plataforma da WBNJ infraestrutura, Amazon, digital 8, Google Cloud, Cloudflare Basicamente o que a gente se elevar em consideração? Você quer ter muito setup? Usa infraestrutura? Ah, não, eu não quero setup nenhum. Então, vamos usar plataforma que é só fazer um login, pronto. Ah, preciso ter compliance, conformidade com leis hospedagem não vai atender. Plataforma não atender em alguns casos e infraestrutura pode atender. Depende de como você configurar. Mas se você quiser afacenar a cartão de cartão de crédito, por exemplo, as duas partes de lá não vão costurar. Não vão servir legalmente. Vai funcionar, mas customização. Ah, eu quero customizar aqui, não consigo customizar muita coisa. Já vi o pessoal dizendo que puta, não dá pra fazer nada lá no outro prédio. Mas se eu tiver numa infraestrutura toda minha posso me divertir o quanto eu quiser. É a insegurança, o que é mais seguro. Depende de onde você quer cuidar. Por exemplo, lá na hospedagem você compartilha a segurança com o hospedeiro e com os terceiros que estão no mesmo servidor. Aqui na plataforma vai ser compartilha só com o hospedeiro, porque o hospedeiro não deixa a outra a outra a outra parte fazer bagunça. E na infraestrutura é compartilhada com o Datacenter, só conectividade hardware. Você tem que cuidar da segurança toda. Então, nesse caso aqui você acha que não tem expertise contra também. Mas vai ser mais fácil de deixar inseguro. E é exatamente que eu pego os maiores curos, né? Quando o cara escolhe a coisa mais complexa e acha que dá conta de fazer. Firewall, todos eles tem e o pessoal normalmente configura errado. Forward, né? Forward são as regras que passam pelo Firewall. Como o teu ambiente não tá repassando um pacote pra ninguém, só recebe e manda de volta. Então drop-out, você não precisa repassar nada do pacote. Input. Eu preciso que entre no meu site o quê? Somente porta 44380TCP. O pessoal tem costume aqui de abrir também o dp. Não precisa. É só 443 as portas do browser 44380TCP. Ah, mas aí como é que eu faço na intenção, né? Beleza? Acesse na intenção, né? Porta do SSH, porta do MySQL, somente pra IP específicos. Ah, mas eu não tenho IPfix na empresa. Então coloca VPN. Puta, fazer pppn, vai ornear o servidor pra mim, escoistar, tá bom? Então eu uso uma técnica chamada Porto Pinocchio, né? Que é basicamente e eu vou dizer pro meu faro assim toda vez que eu bater aqui em portas diferentes aí você abre a porta 22 por meu IPetal. Por 10 segundos. Depois fecha. É uma técnica de você poder ser um momento digital não conectado em qualquer lugar, mas ter a segurança de que a porta 22 está fechada. Lógico não vou colocar a porta na sequência, né? Porque senão o próprio scan, a própria barredura vai abrir a porta. Você vai botar uma porta aula, uma abaixa, uma aula, uma abaixa? Não põe o telefone. O restante dos inputs, né? Do que entra na minha máquina, é drop-out. Não aceita nada. E é drop, não é reject. Eu estou avisando pro cara. Ah, esse pacote foi rejeitado. E aí o atacante sabe que ali tem alguma coisa. O drop é não falo contigo. Ele recebe pacote e descarre. Output, o que sai do meu faro é somente para decidir nos conhecidos, né? Update, por exemplo. Ah, puta, não vai precisa fazer regra de sábio, né? Que sábio. Deixa eu ver, ao menos você não pode navegar em tudo, né? Mas se eu for tacado, invadido, o cara pode mandar os dados pra qualquer lugar e se eu tiver limitado somente pros destinos que eu quero, aí ele vai ter dificuldade pra tirar informação do meu servidor. Então é isso que eu quero. Fico, tá? Hardly. Então, uma técnica boa, porque é difícil de a gente achar tudo que ele precisa, é você ficar, deixa um tempo aberto, todo o output iloga, registra tudo e aí depois você diz o que ele fez e libera sua output pra mim. Pelo menos você tá com mais restrito, né? Quanto mais restrito, melhor. Então, registrar tudo, dê tantas entradas, quantas saídas, quanto que pode, quanto que não pode. E lembrar que agora a gente tem IPv6, né? Então, faça um firewall pra IPv4 e pra IPv6. IPv6 é bem é bem recente, tem um monte de gente que tem e não tem firewall, gente. Aliás, o pessoal, eu vou até a senada depois mais uma bolinha o Intrusion Detection System, as vezes o pessoal põe lá, o IDS, não beleza, eu tenho um Watchdog aqui cuidando do meu Obed, só que também tá em cima do IPv4. Aí ele não tem nada, né? Porque tem o IPv6. Monitório, eu uso najos, mas dá pra fazer nos apps também. Coisas que eu monitoro lá no najos. Isso, lógico, né? Se você tem um site só, dá pra ver manualmente, né? Monitório é uns 300. Quando vence o domínio lá no registro, se teve alguma alteração de DNS ou nos apontamentos, se tiver, somente madrugada, assim, vou ligar pra gente, tá sabendo quem foi. O tempo de resposta do servidor de DNS, quer dizer, toda vez que eu faço uma consulta no DNS, ele me responde em 90 mil segundos. Da repente começou a resolver em 600. Os bloqueios efeitos enfrentados pelo firewall, isso aqui é importante porque às vezes tem um cara persistente e ele fica tentando, tentando e você não dá bola, porque foi bloqueado, né? Bloqueios, afetados pelo web, application firewall, isso aqui o Samuel vai falar pra gente depois, né? É importante a gente receber email, até pra gente saber que existe a taxa, né? Acesso ao que é permitido, SSH, por exemplo, então, se eu recebo uma mensagem de madrugada lá e a inbox é conectado no site, no meu site, eu acordo o Samuel lá, aliás, acordo não, né? Porque se foi ele, ele tá acordado, né? Se o Samuel foi tu, o conector, né? No site diz que foi, cara. Então é isso. Becaps efetuados, quer dizer, se eu saber quando fez o becaps, se eu saber o tamanho do becaps, né? Porque senão ele fez um becaps de um capo. Ele fez o becaps, entendeu? Só não tinha nada dentro. Data de vencemento dos certificados essa série. Isso aqui é um negócio legal, ó. Mas vai que não rodou por onde. E capacidades de uso de hardware interessante monitorar esse quesito aqui. Porque você pega exatamente quando o servidor foi invadido e tá fazendo mineração criptomoeda, por exemplo. Você tem sempre 20% de uso de CPU e de repente, a partir do dia X, lá começou a ficar 70% de uso de CPU. A resposta do teu site continua mais ou menos parecida, só que você vê que tem uma mudança drástica na carga do seu servidor. Desastre de curva. Então, isso aqui, basicamente, é o que o pessoal chama de becaps, né? Mas vai muito além disso. Então, copia dos arquivos e dentro do banco de dados. Isso aqui é o becaps, como todo mundo conhece, né? Dos arquivos, o Samuel, como ele vai falar isso. Gostei o esquinho, é só mais. Snapshots do ambiente, né? Em imagem, lá na Amazon, tem a famosa EMI, né? Na Digital Ocean. Enfim, tem vários que têm uma fotografia do servidor. Replicação do banco de dados, Master Slave, eu posso deixar um segundo servidor com uma copia do banco sendo atualizada. Replicação do banco e duas depressas. Seria um ar de standby. Tipo, eu tenho tudo rodando no outro ambiente. Configuro no meu DNS dois apuntadores pra lá, né? DataW e DataW. Um 2DS diferente com um peso diferente. E aí, ou um dia uma utilização diferente. Aí a Amazon, por exemplo, consegue fazer isso, né? O tráfego do Vim por aqui vai vim, o tráfego do Vim por aqui vai rolo. Ou simplesmente eu deixo nessa posição um standby aqui, e ele manda sempre a esse. Mas se esse sai do ar, ele manda pro outro. E o outro tá atualizado, né? Ele tá replicando. Replicação do banco de dados, Master Slave, uma aplicação rodando simultaneamente em dois ambientes. Por exemplo, pode ser um na Amazon e um na Azure ou na Google Cloud Platform. Com dados estáticos em CDN. Isso seria alta de quantidade. Eu tenho os dois ambientes funcionários nos dois no mesmo momento. Isso aqui não dispensa o backup, tá? Porque se alguém infectar aqui ele vai replicar a infecção também. Então o backup é a prioridade de tudo isso. E automático, né? O Sam não vai falar pra isso. E conformidade, né? Algumas coisas que a gente tem hoje que seguir por ser uma questão de lei, né? Então, por exemplo, o Marco Civil da Internet que no artigo 15 prevê guarda de log de acesso por seis meses para aplicações com fins comerciais. Então se você veria alguma coisa lá na sua em seu ônibus, você tem que guarda logo por seis meses. Solve pena de... Esqueci que vai desistir sugeridamente mas não tá colaborando lá com o delegado. A lei vê como esse tipo que te obriga a expor ideias físicas e o CPJ na página então todo e-commerce no Brasil tem que ver. E pra quem tiver a coragem de armazenar cartão grépele do ambiente, né? Tem OPCI DSS que você precisa armazenar e trafegar os dados titografados. Hoje em dia a gente se preocupa mais com transtitutitografado, que é o HTTBS nesse caso aqui o banco de dados tem que trafegar também e o disco também, da marca. E testes de intrusão, de intrusão recorrente, né? Então nesse caso aqui você precisa ter uma empresa contratada fazendo testes de invasão por mês ou prevenção, não lembro mais para a frequência. Deixei o link pra as leis ali oficialmente. E o aerobinário do Mordinário e bom, as perguntas ficam pra lá, né? Então não vai mais caber esse daqui. Pois é, é isso aí, galera. Valeu. Aplausos