abril 28, 2016

[Segurança] Ciber Segurança, a buzzword que veio para ficar

O termo "Ciber Segurança" ("Cybersecurity") em inglês deixou de ser uma simples "Buzzword da moda", como eu comentei há quase um ano atrás.

Eu tenho notado cada vez mais o a expressão "ciber security" sendo utilizada no mercado e na imprensa no lugar de "segurança da informação". Ou seja, não se fala mais "segurança da informação" para designar a nossa área ou sub-áreas de atuação ou conhecimento.

Talvez já esteja na hora (ou melhor, já passou da hora) de atualizarmos nosso LinkedIn e trocar qualquer referência a "segurança da informação" por "Ciber Segurança".

abril 26, 2016

[Segurança] Cybersecurity Maturity Assessment

O pessoal da RSA lançou o "Cybersecurity Maturity Assessment", uma pesquisa online, através de auto-avaliação, para que as empresas possam avaliar, gratuitamente, o nível de maturidade do seu programa de segurança da informação. A avaliação é baseada no Framework do NIST para infra-estruturas críticas, abençoado pelo Obama em Fevereiro deste ano.

O NIST criou o "Framework for Improving Critical Infrastructure Cybersecurity" contando com a colaboração entre a indústria e o governo para promover a proteção da infra-estrutura crítica e gerenciar riscos relacionados com a segurança cibernética. O site da NIST tem, entre outras coisas, o documento em PDF e uma planilha em Excel com a lista dos ítens tratados no Framework.

abril 20, 2016

[Cyber Cultura] Garotas e redes sociais

A revista Veja desta semana publicou uma reportagem pequena e um pouco superficial sobre como as adolescentes femininas tem sido vítimas constantes de bullying e sexting nas redes sociais e no Whatsapp.

A reportagem não traz grandes novidades, mas tem algumas informações que achei interessante compartilhar:
  • Todos os dias, mais de 1 milhão de selfies são tirados em todo o mundo;
  • Segundo o estudo "SelfieCity", as mulheres tiram auto-retratos com muito mais frequencia do que os homens - segundo a reportagem da Veja, isso é uma consequência da ditadura da beleza;
  • 8 em cada 10 meninas americanas de 1 a 18 anos usam smartphone ou tablet;
  • As garotas enviam, em média, 30 mensagens (de WhatsApp, SMS e outras) por dia;
  • Em mégia, as garotas publicam 3 selfies por dia;
  • 53% dos adolescentes que praticam sexting são mulheres;
  • 22% das garotas enviam nudes;
  • 26% das jovens já sofreram cyber bullying.
A reportagem também destaca que os adolescentes costumam sofrer de ansiedade e, as vezes, depressão, por não receber "likes" em suas publicações online.

abril 16, 2016

[Segurança] Explicando a criptografia

De repente os usuários do WhatsApp começaram a receber uma notificação dentro do aplicativo de que suas mensagens estavam sendo criptografadas.



O pessoal de segurança reagiu com um mixto de comemoração e desconfiança - apesar da criptografia no WhatsApp já existir há alguns anos.

Mas os usuários finais provavelmente não entenderam nada.

O Danilo Gentili aproveitou e, em seu programa, deu uma explicação ótima e, obviamene, bem humorada sobre o que significa ter criptografia nas nossas mensagens...

abril 12, 2016

[Segurança] Algumas dicas de segurança para a Computação Vestível

A Computerworld publicou algumas dicas da Fortinet sobre como os usuários podem tentar proteger as suas informações pessoais quando usam dispositívos vestívels ("wereables"), tais como smart watches, o quase falecido Google glass ou qualquer outra coisa do tipo. São dicas simples e eficientes para que os usuários tenham alguns cuidados básicos:

0. Antes de começar a usar o seu dispositivo vestível, revise todas as configurações de privacidade dele e dos aplicativos relacionados, principalmente se eles armazenam informações na nuvem (acho quea grande maioria faz isso);

1. Enquanto não estiver usando o dispositivo vestível, desative o Bluetooth para reduzir a possibilidade de um ataque;

2. Para evitar a infecção e proliferação de vírus que possa causar impacto a dados sensíveis, evite conectar o seu wearable ao notebook do trabalho ou a outro computador que tenha informações críticas; tenha, preferencialmente, um único dispositivo para conectar ao seu wereable;

3. Tenha cuidado ao compartilhar informações nas redes sociais ou em sites específicos do dispositivo vestível, como sites de esportes. Ative todos os elementos necessários para salvaguardar a privacidade das informações que você compartilha;

4. Sempre que possível, faça o upload das informações do seu wearable diretamente para o computador dedicado para ele;

5. Ao fazer o upload de dados, exclua as informações do wearable. Caso você perca o dispositivo, não haverá informações pessoais no aparelho sobre a sua rotina de exercícios que possam ser comprometer a sua privacidade ou, por exemplo, que possam ser usadas para localizá-lo;

6. Investigue bem antes de adotar um wearable e as aplicações relacionadas. Busque marcas ou empresas reconhecidas, com grande número de usuários. Você terá uma maior garantia de resposta por parte da fabricante caso haja algum problema.


abril 07, 2016

[Segurança] Sequestro no hospital

Um hospital americano, o Baltimore Union Memorial Hospital, é um dos mais recentes alvos de ransomware, aqueles malwares que "sequestram o computador" ao criptografar os arquivos locais e exigir dinheiro em troca de desencriptar tudo. Os responsáveis pelo ransomware, chamado Samsam, pediram um resgate de 45 bitcoins (cerca de US$ 18.500) para fornecer as chaves de criptografia que iriam liberar os dados.

Este tipo de notícia não é novidade, pois usuários e empresas de todo o mundo vem sofrendo com este tipo de praga já há bastante tempo. Recentemente, outro hospital de Los Angeles, pagou 17 mil dólares para recuperar os seus dados.

Já o interessante no caso do Baltimore Union Memorial Hospital, é que ele faz parte do grupo MedStar, que possui 10 hospitais na região de Baltimore e Washington. Segundo o THN, eles já tinham sido atacados por este ransomware na semana passada. Mas, diferente de outras vítimas, o pessoal do MedStar preferiu não pagar a extorsão !!!

Eu, particularmente, achei legal a imagem que utilizaram na notícia do site The Hacker News, bem dramátca...



Felizmente, o departamento de TI do hospital MedStar agiu rápido e foi capaz de detectar a invasão do malware em seus servidores rapidamente, e assim conseguiram evitar que o ransomware se espalhasse ainda mais em sua rede interna ao desligar alguns de seus equipamentos de rede. Além disso, a equipe de TI conseguiu restaurar com sucesso o backup de seus três principais sistemas de informação clínica.

[Segurança] Autenticação com o seu Apple Watch

Acabei de ver um vídeo de demonstração de uma solução de autenticaçào de segundo fator que utiliza o Apple Watch do usuário como segundo fator de autenticação.

A solução em questão, RSA Via Access, é uma solução de Single Sign-on (SSO) e autenticação forte que pode ser integrada com aplicações web tradicionais ou em nuvem (Software as a service - SaaS) que, entre outras coisas, permite que o usuário aprove seu acesso com o simples clicar de uma opção em seu Apple Watch.


A idéia é utilizar um segundo fator de autenticação, que é a posse física de algo (o seu Apple Watch).

O que me impressiona neste caso é a facilidade para o usuário final: basta ele saber utilizar o seu smart watch e  clicar em uma opção dentre os dois botões disponíveis: aprovar ou negar o acesso. Bem bolado !!!!

abril 04, 2016

[Segurança] Mc Hackudão

Quando a gente pensa que já viu e ouviu tudo, alguém compartilha a música do Mc Hackudao com a banda Kali Linux. São 4 músicas disponíveis no canal dele no You Tube, falando sobre ataques, defacements, vulnerabilidades, etc. Não deixa de ser interessante e até mesmo engraçado.

São quatro vídeos no Youtube:
Veja abaixo um deles, o "HACKER DE FAVELA" e a letra:



Eles cai na rede, nois hackeia memo
Elas cai na rede, nois hackeia memo
Duvidou de nois, não to entendendo
Mexeu com A The Cybers, vai pegar um virus tremendo

Kali linux baile de favela
Nmap, é baile de favela
E o Aircrack é baile de favela
Exploit preparados pra foder com a galera (vai)

Backdor, é baile de favela
Invasão, é baile de favela
Na pagina fake, baile de favela
Exploit ta preparado pra foder com a galera (vai)

Que o Reaver, é baile de favela
A Wireshark, é baile de favela
E na Deep Web? Baile de favela
Exploit preparados pra foder com a galera

Eles cai na rede, nois hackeia memo
Elas cai na rede, nois hackeia memo
Duvidou de nois, não to entendendo
Mexeu com A The Cybers, vai pegar um virus tremendo

Kali linux baile de favela
Nmap, é baile de favela
E o Aircrack é baile de favela
Exploit preparados pra foder com a galera (vai)

Backdor, é baile de favela
Invasão, é baile de favela
Na pagina fake, baile de favela
Exploit ta preparado pra foder com a galera (vai)

Kali linux baile de favela
Nmap, é baile de favela
E o Aircrack é baile de favela
Exploit preparados pra foder com a galera (vai)

Backdor, é baile de favela
Invasão, é baile de favela
Na pagina fake, baile de favela
Exploit ta preparado pra foder com a galera (vai)

Que o Reaver, é baile de favela
A Wireshark, é baile de favela
E na Deep Web? Baile de favela
Exploit preparados pra foder com a galera

março 31, 2016

[Cyber Cultura] Arduino Day

Neste sábado, 02 de Abril, será comemorado em todo o mundo o Arduino Day, através de uma série de eventos comunitários organizados por aficcionados em Arduino em várias cidades.

Um fato curioso que aconteceu neste ano é que, como existe uma batalha em curso pelo direito de uso do nome Arduino, em alguns países o evento vai se chamar "Arduino Day", e em outros, o nome adotado oficialmente foi "Genuino Day".

    Aqui no Brasil, alguns hackerspaces e algumas comunidades também estão organizando eventos neste dia. Na Grande São Paulo haverá 7 eventos simultâneos, incluindo no Garoa Hacker Clube, no CUBO (com colaboração do Garoa, entre outros), no IFSP, na RedBull Station e no Estudio LILO. São Paulo é uma das áreas metropolitanas com o maior número de Arduino Days no mundo!

    Vale destacar alguns dos eventos:


    O site oficial do Arduino Day mantém uma lista de todos os lugares que vão realizar eventos neste dia.


    março 30, 2016

    [Segurança] Um dia é do Caçador, outro da Caça

    A Verizon é uma empresa americana especialista, entre outras coisas, em prestar serviços gerenciados de segurança, aonde é reconhecida como expert em identificar ataques e invasões em seus clientes. O seu relatório anual sobre incidentes de segurança ("Verizon Data Breach Investigations report") é amplamente utilizado pelo mercado.

    E não é que o especialista em identificar invasões também foi invadido?

    A notícia da invasão surgiu no dia 24 de Março, em um post no blog do jornalista Brian Krebs (Krebs on Security). Segundo o blog, o atacante roubou informações de contato de cerca de 1,5 milhão de clientes da Verizon Enterprise e ofereceu os dados à venda em um fórum underground por 100 mil dólares. Como se isso não bastasse, também foi oferecida a oportunidade de comprar informações sobre as vulnerabilidades no site da Verizon. Segundo a Verizon, havia uma vulnerabilidades no portal de clientes corporativos.

    Até o momento, não achei nenhuma notícia que explicasse que tipo de ataque ocorreu. Todas as notícias que vi apenas se limitaram a repetir o que foi dito no Blog do Brian Krebs. Segundo ele, aparentemente ocorreum uma invasão a bases de dados de clientes do site.

    O que o caso da Verizon nos ensina é que, infelizmente, hoje em dia absolutamente ninguém está totalmente a salvo de ciber ataques. Nem mesmo as empresas mais especializadas na área.
    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.