março 15, 2024

[Segurança] Privacidade de dados como direito fundamental na ONU

Muito se fala atualmente sobre a necessidade de proteção da privacidade, principalmente depois do surgimento da General Data Protection Regulation (GDPR) e da LGPD. E, aqui no Brasil, o tema sempre volta a tona quando tem alguma novidade sobre a LGPD.

Mas, embora esse tema seja muito relevante atualmente, principalmente por conta das redes sociais, propagandas online, golpes digitais e fake news, a preocupação com nosso direito à privacidade começa muito antes. 

Em 1948 a ONU publicou a Declaração Universal dos Direitos Humanos (página oficial em inglês) (olha que legal a versão original, escaneada), um documento que marcou a história sobre os direitos das pessoas em todo o mundo, e é grande referência até hoje. Com seus 30 artigos, cada um relacionado a um direito fundamental, a Declaração inclui o direito a privacidade como o 12º direito fundamental:

"No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks."
"Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei."

O texto é bem simples e objetivo, e por isso mesmo ele se encaixa direitinho no cenário atual, da discussão sobre o direito a privacidade online e nas redes sociais.

Veja também:

março 14, 2024

[Carreira] TOP20 Women to Follow 2024

A Daryus acabou de lançar o e-book anunciando o resultado da premiação TOP20 Women to Follow 2024.

A premiação quer destacar as histórias inspiradoras e o impacto gerado pelas ações e conquistas de mulheres no campo da tecnologia. O prêmio busca de mulheres que não apenas lideram em suas áreas, mas também inspiram por meio de inovação, realizações profissionais e contribuições significativas para a comunidade.

Houve uma chamada pública para indicação de mulheres com histórias excepcionais na área de tecnologia, o que resultou em 518 indicações!!! Como resultado, o TOP20 Women to Follow reconhece 20 personalidades femininas que foram escolhidas entre as indicadas, destacando sua excelência e influência.

Baixe o e-book gratuitamente AQUI.

março 13, 2024

[Segurança] ChatGPT, IA e Segurança (com memes)

A Inteligência Artificial (IA) não deveria ser novidade para ninguém. Desde os trabalhos pioneiros de Alan Turing na primeira metade do século passado, cientistas da computação tem se dedicado a esse assunto por décadas. Eu mesmo tive uma disciplina de IA na minha graduação em Ciências da Computação, lá no meados da década de 90.

Mas o surgimento do ChatGPT no final de 2022 trouxe um novo holofote para esse assunto e, assim como diversas ferramentas e apps que surgiram recentemente, tornou a IA acessível para a população em geral. E, vamos ser sinceros: o fenômeno foi tão marcante que o ChatGPT praticamente virou um sinônimo para IA.

A rápida popularização de algumas ferramentas de IA (do ChatGPT a ferramentas para criar imagens, como o Lensa e a Midjourney, além de muitos outros aplicativos) tem chamado muita atenção de todos e trouxe a Inteligência Artificial para o dia--a-dia das pessoas. E para o centro dos debates.

Existem milhares de ferramentas de IA, e as mais faladas atualmente são o ChatGPT (da OpenAI), Bing AI (Microsoft) e o Gemini Bard (Google). Mas tem ferramentas para todo tipo de uso, mais de 70 mil empresas no mercado de IA, e a cada dia surgem novas aplicações. As possibilidades tecnológicas e de uso da IA, em especial essas apresentadas pelo ChatGPT, ainda são embrionárias e muito ainda está por acontecer. Ainda vamos ver muita discussão sobre a tecnologia e sobre os aspectos éticos de seu uso.

De qualquer forma, decidi criar esse post para registrar artigos e fatos que acho interessantes no uso e debate relacionado aos aspectos de segurança (riscos, uso malicioso, incidentes, etc).

Vale a pena destacar que já tivemos alguns incidentes de segurança relacionados ao uso do ChatGPT. Já tivemos o vazamento de dados cadastrais de usuários da ferramenta, além de um incidente icônico em Março de 2023, quando foi noticiado que funcionários da Samsung compartilhavam informações confidenciais ao usar o ChatGPT.

Segue, abaixo, uma coletânea de artigos, relatórios, reportagens, links e memes sobre o assunto.

Aspectos gerais de segurança na IA

O desenvolvimento e o uso de ferramentas de inteligência artificial envolve diversos cuidados de segurança, e algumas iniciativas já estão discutindo isso. Vale a pena ver esse documento da CISA com a NCSC: Guidelines for Secure AI System Development (Diretrizes para o Desenvolvimento Seguro de Sistemas de IA), lançado em 26/11/2023.

Veja mais leituras obrigatórias sobre o assunto:

Notícias, também temos várias:

O bom uso da IA para aprimorar a postura e as ferramentas de segurança

Há muito já se fala utilizar a IA em cibersegurança, principalmente em ferramentas para melhorar sua performance, como nos casos de ferramentas de detecção de ataque, antivírus e ferramentas para detecção de fraudes. Com o novo boom da IA, sua adoção tende a aumentar significativamente (fique atento, pois dependendo da empresa isso pode ser verdade ou apenas um discurso marketeiro).

Já há especulações e iniciativas para usar as tecnologias de IA de forma a facilitar ou agilizar o trabalho dos times de segurança. Há grande expectativa de que essa tecnologia ajude a automatizar ainda mais processos repetitivos e atividades que possam ser automatizadas. Há também quem acredite que a IA pode melhorar a produção de análises e relatórios.

    Vejamos alguns casos e notícias sobre isso...

      Incidentes de segurança e fraudes

      Sim, já estão ocorrendo alguns incidentes reais devido ao uso incorreto ou mal intencionado do ChatGPT das ferramentas ou da tecnologia de IA.

      Ameaças, riscos de segurança e uso malicioso

      A tecnologia também pode ser usada para o mal, com más intenções. Dentre as principais ameaças existentes até o momento, está a exploração do interesse pelo assunto para distribuir malware, como nos casos de malwares e extensões de navegador maliciosas se passando pelo ChatGPT ou ferramentas semelhantes. Também se fala no uso da IA para aprimorar o código fonte de vírus e malwares, e para aperfeiçoar as tecnologias de deepfake, facilitando a criação de fake news e o roubo de identidade.

      Uma boa referência inicial são esses materiais da Recorded Future, da Europol, Checkpoint e CISA:

      Um ponto que merece destaque, sobre o uso malicioso das tecnologias de IA, é o surgimento, e venda de acesso, para IAs Generativas especializadas na criação e disparo de golpes cibernéticos. Três exemplos recentes são as ferramentas conhecidas como "WormGPT", "FraudGPT" e "WolfGPT".

      Veja alguns casos e notícias: 

      Ataques à IA

      Assim como qualquer ferramenta tecnológica, as ferramentas de IA podem ser alvos de ataques - desde os ciberataques genéricos como DDos, até ataques específicos - como o chamado "prompt injection", por exemplo. 

      Referência obrigatória sobre o assunto:
      Veja notícias sobre ataques realizados contra a IA: 

      Relatórios, Estudos e Estatísticas

      Regulamentações

      A União Européia tomou o protagonismo na discussão sobre regulamentação para o desenvolvimento das tecnologias de Inteligência Artificial ao, em junho de 2023, lançar o projeto de criação da primeira legislação sobre isso:
      Mais notícias e discussões sobre o regulamentações, normas e leis relacionadas a IA:

      Outros artigos interessantes e curiosos sobre IA e o ChatGPT em geral

      Tem muita, muita coisa disponível sobre Inteligência Artificial, muita mesmo! Então vou colocar aqui só um pouquinho de nada de um punhadinho coisas, que eu acho que podem colaborar com esse post. E você já se preparou para a profissão do futuro? Que tal ser um "digitador de comandos para IA"?

      Alguns memes


        


      PS: Post atualizado em 14/03 e 18/03.

      março 08, 2024

      [ Cidadania] As mulheres ocultas na nossa ciência

      Existe um e-book gratuito sensacional, um livro que conta algumas histórias sobre mulheres marcantes na área de ciências e tecnologia.

      O e-book Heroínas ocultas: as histórias nunca contadas da ciência conta a história de 17 mulheres da área da computação. 

      Frequentemente falamos sobre a história da Ada Lovelace, que inventou o primeiro programa de computador. Ou da brilhante Grade Hopper.

      E a calculadora, que foi inventada por Edith Clarke? Quem ajudou na criação da Internet foi uma linda mulher, a Hedy Lamarr. O FORTRAN, uma das mais antigas linguagens de programação e muito utilizada no passado, principalmente para softwares científicos, foi desenvolvido por uma mulher, a Lois Haibt.


      Olha também que lista super legal e inspiradora: 23 cientistas brasileiras que todos precisam conhecer.

      Para saber mais:

      março 07, 2024

      [Segurança] Assine documentos digitalmente com o Gov.br

      Você sabia que pode assinar eletronicamente um documento apenas usando a sua conta no portal Gov.br?

      Existem algumas empresas que fornecem serviço para assinatura eletrônica, digital, de documentos, tais como a DocuSign, D4Sign e Autentique, por exemplo. Normalmente essas empresas tem um plano gratuito, que permite uma quantidade limitada de assinaturas de documentos, e planos pagos para maiores quantidades de documentos que necessitam ser assinados.

      Mas existe uma opção muito fácil e gratuita: o portal Gov.br oferece o serviço de Assinatura Eletrônica de documentos. A assinatura eletrônica permite que o usuário assine um documento em meio digital a partir da sua conta Gov.br, e o documento resultante tem a mesma validade de um documento em papel, com assinatura física, conforme regulamentado pelo Decreto Nº 10.543, de 13/11/2020. Este serviço pode ser usado por qualquer cidadão brasileiro com uma conta Gov.br de nível Prata ou Ouro.

      Para assinar um documento é muito fácil! Basta fazer o seu login no portal Gov.br, clicar no menu relacionado ao seu usuário no Gov.br, no canto superior direito da tela, e escolher a opção "Assinar documentos digitalmente".


      Na próxima tela, você deve seguir 3 passos muito simples, começando com o upload do arquivo:
      1. Clique em "Escolher arquivo" para fazer o upload do arquivo - são aceitas as extensões .DOC, .DOCX, .ODT, .JPG, .PNG ou .PDF, com tamanho de até 100MB;
      2. Escolha em que lugar do documento será colocada a assinatura e clique em "Assinar digitalmente" que a "mágica" acontece;
      3. Por fim, você deve fazer o download do arquivo, que contém o documento já assinado, em formato PDF.



      Não se esqueça: É necessário fazer o download do arquivo assinado no seu celular ou computador, pois ele não ficará gravado na base de dados do portal Gov.br. Além disso, só é possível conferir a autenticidade da assinatura no documento em formato digital (o documento impresso não tem validade). As assinaturas podem ser verificadas em validar.iti.gov.br

      Para mais informações, acesse a página da Assinatura Eletrônica do Governo Digital.

      [Segurança] Normas ISO sobre notificações de vulnerabilidade

      Sim, existem duas normas internacionais da ISO/IEC sobre gestão do processo de notificação de vulnerabilidades. Este processo é relevante, em especial, para empresas que possuem programas de recompensa por bugs (Bug Bounty).

      O objetivo da divulgação de vulnerabilidades é reduzir o risco associado à exploração de vulnerabilidades.

      São elas:
      ISO/IEC 29147:2018, com 32 páginas, fornece requisitos e recomendações aos fornecedores (vendors) sobre a divulgação de vulnerabilidades em seus produtos e serviços. A divulgação de vulnerabilidades permite que os usuários realizem o gerenciamento técnico de vulnerabilidades conforme especificado na ISO/IEC 27002:2013, 12.6.1. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A divulgação coordenada de vulnerabilidades é especialmente importante quando vários fornecedores são afetados. Este documento fornece orientações sobre a recepção de relatórios sobre potenciais vulnerabilidades, diretrizes sobre a divulgação de informações sobre correção de vulnerabilidades, termos, definições e conceitos específicos de vulnerabilidades, técnicas e considerações políticas para divulgação de vulnerabilidades, com exemplos de técnicas, políticas (Anexo A) e comunicações (Anexo B). Este documento é aplicável a fornecedores que optam por praticar a divulgação de vulnerabilidades para reduzir o risco aos usuários dos produtos e serviços dos fornecedores.

      ISO/IEC 30111:2019, com 13 páginas, é aplicável a fornecedores envolvidos no tratamento de vulnerabilidades, sobre como processar e remediar tais vulnerabilidades. Este documento fornece requisitos e recomendações sobre como processar e remediar possíveis vulnerabilidades relatadas em um produto ou serviço. Desenvolvedores e fornecedores podem usar esta norma quando responderem a notificações de vulnerabilidades potenciais ou reais. Ele detalha o processo de tratamento de vulnerabilidades.

      março 05, 2024

      [Segurança] Eventos de Segurança no primeiro semestre de 2024

      O ano mal começou e a agenda para esse primeiro semestre de 2024 já está cheia!! Então vamos reservar nossas agendas?

      Como sempre faço aqui no blog, eu listo apenas os eventos que eu considero serem interessantes e/ou relevantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade. Também incluo o TDC (The Developers Conference) e a Campus Party pois ambos são grandes eventos relevantes na comunidade de tecnologia e sempre possuem conteúdos relacionados à Segurança.

      Infelizmente há poucos eventos de segurança fora de São Paulo, ainda mais depois que a Flipside encerrou os Roadsec's e MindTheSec's regionais. O ponto positivo é que deu espaço para o surgimento de pequenos eventos organizado pelas comunidades locais. Neste ano, quem está fora de São Paulo tem a sua disposição, além de eventos locais, os 7 eventos regionais do Security Leaders e as 3 edições do novo evento "Hacking na Web Day".

      Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.

      Anote aí na sua agenda:
      • Janeiro/2024
        • 21/03: Black Box Meeting (Brasília-DF) (@blackboxmeeting): Novo evento da comunidade de Brasília (DF), organizado em um Pub, com uma trolha de palestras de qualidade;
        Fevereiro/2024
        • 06 e 07/02: Dia da Internet Segura (Safer Internet Day) - Evento tradicional, organizado pelo NIC.br e pela Safernet, voltado para conscientizar os usuários finais sobre segurança na Internet. Realizado com platéia presencial e transmissão online pelo canal do NIC.br no YouTube;
      • Março/2024
        • 16/03: Fortalsec (Fortaleza - CE): O evento surtiu no ano passado, online, com o objetivo de levar um evento de segurança para a região Nordeste. Neste ano faz a primeira edição presencial, na cidade de Fortaleza, com várias palestras interessantes;
        • 21/03: Black Box Meeting (Brasília-DF) (@blackboxmeeting): Novo evento da comunidade de Brasília (DF);
        • 23/03: TOSCONF[4] (Campinas) (cfp): Evento despretencioso organizado pelo pessoal do Laboratório Hacker de Campinas (LHC). Nasceu com a idéia de ser um evento simples, "tosco", mas que na verdade costuma trazer muitas palestras legais da comunidade de hackerspaces brasileiros;
        • 21/03: Security Leaders Brasília e Centro-Oeste - O Security Leaders inicia o ano com a sua versão regional em Brasília, DF. Segue a fórmula de focar em estudos de caso (associados aos patrocinadores) e painéis de debate - como eu sempre digo, com discussões superficiais, com muitos participantes no palco, não necessariamente especialistas no tema;
        • 26 e 27/03: TDC Summit inteligência Artificial (@TheDevConf) - Novo evento da família TDC focado em IA, e que promete ter edições regionais em Brasília, Recife e Porto Alegre. com uma trilha diversificada de palestras, também abordará a segurança em IA;
      • Abril/2024
        • 13/04: Hacking na Web Day (Brasília-DF): A primeira de 4 edições que serão realizadas neste ano, desse evento que debutou em 2023. O que começou como um encontro da comunidade, agora vai levar conteúdo, experiências e networking para 4 cidades no Brasil;
        • 23/04: Security Leaders Belo Horizonte - O Security Leaders desembarca em BH, em mais uma de suas edições regionais;
      • Maio/2024
        • 16 e 17/05: Global Risk Meeting - evento sobre Governança, Risco e Compliance (GRC) organizado pela Daryus;
        • 18/05: BSides VIX (Vitória, ES) (@bsidesvitoria) (cfp) - versão capixaba da Security BSides, com grade bem caprichada de palestras e que chega neste ano na sua 3a edição;
        • 18 e 19/05:  Security BSides São Paulo (@BSidesSP) (cfp): Mais uma edição da BSidesSP, com mini-treinamentos no sábado e um evento completo no Domingo, com diversas palestras, villages e competições. Evento gratuito, com muito conhecimento, diversão, e que você pode levar toda a família.
        • 20/05: You Sh0t the Sheriff (YSTS) (@ystscon) (cfp) - O You Sh0t the Sheriff é um dos eventos mais importante e mais tradicionais do mercado, que se destaca pela qualidade das palestras e por ser um evento exclusivo para convidados dos patrocinadores, o que o torna muito concorrido. Quer um ingresso para ir no evento? Então envie uma proposta de palestras no Call For Papers (CFP) ou peça um ingresso para os patrocinadores;
        • 23/05: Security Leaders Porto Alegre;
        • 27/05: Teckids Day (Piracicaba, SP) - Evento voltado para educação de crianças, adolescentes e suas famílias;
      • Junho/2023
        • 12 a 14/06: TDC Floripa (@TheDevConf) (cfp) (Florianópolis, SC) - O TDC é um evento tradicional sobre desenvolvimento de software, com várias trilhas de conteúdo e que costuma ter trilhas relacionadas a segurança e LGPD;
        • 15/06: Hacking na Web Day (Rio de Janeiro - RJ): Encontro da comunidade Hacking na Web, com conteúdo, experiências e networking;
        • 15 e 16/06: Congresso de Direito Digital, Tecnologia e Proteção de Dados - evento focado no tema de direito digital, formado por painéis para discutir diversos temas relacionados a inovações tecnológicas e seu impacto no direito;
        • 20/06: Security Leaders Rio de Janeiro;
        • 25 a 27/06: FEBRABAN TECH - antigo CIAB, esse é um evento de tecnologia para o setor bancário organizado pela Febraban. O tem uma área de exposições gigante, que atraem grandes empresas de tecnologia e, claro, de segurança (física, patrimonial e cyber).
      Tradicionalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas. Fique atento.
      OBS: Você também notou que tem 3 eventos programados para acontecer na semana de 16 a 20 de setembro? O SBSeg de 16 a 19/09, o Mind the Sec de 17 a 19/09 e o TDC São Paulo de 18 a 20/09. Felizmente eles tem públicos bem distintos, mas isso pode atrapalhar a vida de quem gostaria de palestrar em 2 ou 3 deles.

      Planeja ir em alguns eventos internacionais neste ano? Os principais e mais interessantes eventos, na minha opinião, sempre foram os seguintes:
      Os eventos abaixo ainda estão sem data definida (entre parêntesis, indiquei o mês mais provável):

      Aproveite agora para já reservar sua agenda, planejar viagens, etc.


      Se eu esqueci de algum evento brasileiro importante, me avisem. Se eu achar importante mesmo, eu incluo aqui na lista, rs...


      PS: Pequena atualização em 06/05.

      OBS:

      1. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2023;
      2. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com;
      3. O Eduardo Fedorowicz mantém um post no Linkedin com um calendário dos principais eventos de tecnologia: Eventos de Tecnologia (2024);
      4. A Axur criou uma lista de "2024 Cybersecurity and Tech Events com diversos eventos de tecnologia e de segurança no Brasil e no mundo;
      5. O Sickeira postou uma lista de Eventos 2024 em seu blog, com eventos de segurança e das comunidades maker, de hackerspaces e de software livre;
      6. O site CTF Time possui uma lista gigante de eventos em todo o mundo que estão com a chamada de trabalhos (CFP) aberta;
      7. Olha que legal, parabéns aos nossos amigos argentinos: EKOPARTY 2023 en cifras.
      Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.
      Creative Commons License
      Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.