janeiro 16, 2017

[Segurança] Tendências segundo a RSA Conference

O pessoal da RSA Conference costuma fazer um negócio bem legal: eles pegam as submissões de palestras que foram enviadas para o evento e, com isso, identificam quais são os principais assuntos tratados pelos participantes e, assim, estimam quais são as prováveis tendências para este ano.

Segundo este estudo, os principais tópicos de interesse são:
  • Ransomware, ransomware e ransomware
  • Devops, incluindo automação, Cloud, conectividade e IoT
  • Roubo de dados
A RSA Conference, que acontece em São Francisco (EUA) de 13 a 17 de fevereiro, é um dos maiores e mais importantes eventos de segurança em todo o mundo.

janeiro 12, 2017

[Segurança] A festa dos Ransomwares

Segundo uma estimativa divulgada pela EMC, em 2016 custou um valor absurdo para as pessoas e empresas durante o ano de 2016:

US$1,000,000,000


Os ataques de ransomwares foram constantes no ano passado, com notícias de diversas empresas sofrendo com dificuldade de acessar seus dados. Recentemente, um colégio em Los Angeles pagou 28 mil dólares para recuperar os seus dados, que foram criptografados por um Ransomware.

Mas, nem sempre pagar o valor do "sequestro" é a melhor solução. Recentemente pessoal da ESET divulgou o caso do ransomware KillDisk, que apaga todos os dados do servidor após receber o pagamento da vítima.

janeiro 10, 2017

[Cyber cultura] A dificuldade de evitar notícias falsas

A sobrecarga de informações que temos hoje, através da Internet, traz um grande desafio: como identificar e filtrar notícias falsas, e assim evitar ter sua opinião infuenciada e manipulada por elas?

Esse problema é grave pois a Internet é um veículo de comunicação instantânea não apenas para a mídia tradicional, mas para qualquer tipo de jornalista, executivo, usuário final, etc, que é abordado frequentemente por feeds de notícias vindo não apenas da mídia tradicional, mas também de blogs, sites noticiosos ou até mesmo pessoas mal intencionadas, que desejam espalhar notícias falsas para difamar alguém ou influenciar a opinião de leitores.

Em dezembro do ano passado, o ator americano Denzel Washington fez um comentário excelente sobre esse assunto, em uma resposta, muito direta, que ele deu para uma jornalista, durante uma entrevista. Ele começou dizendo que, atualmente, "Se você não lê as notícias, você está desinformado. Se você lê, está mal informado". E continuou...
“If you don't read the newspaper, you are uninformed. If you do read, you are misinformed. What is the long term effect of too much information? One of the effects is the need to be first, not even to be true anymore. So what is the responsibility you all have? To tell the truth, not to just be first, but to tell the truth. We live in a society now where it’s just first. Who cares? Get it out there. We don’t care who it hurts, we don’t care who we destroy, we don’t care if it’s true. Just say it, sell it."



O próprio Denzel Washington foi vítima recente de uma notícia falsa que se espalhou nos EUA, de que ele teria apoiado o novo presidente americano, Donald Trump e criticado o Baraack Obama.


janeiro 09, 2017

[Cyber Cultura] Punhetaço

Quando os nossos políticos decidem legislar sobre temas relacionados a Internet, não costuma sair coisa boa.

Recentemente, o pastor, cantor sertanejo gospel e deputado federal Marcelo Aguiar (DEM/SP) apresentou um projeto de lei na Câmara dos Deputados que causou alvoroço nas redes sociais pois tem como objetivo diminuir a "masturbação na Internet". O PL 6449/2016 (veja o texto em PDF aqui) quer obrigar as operadoras telefônicas a criarem sistemas de filtro para bloquear automaticamente todos os conteúdos de sexo virtual, prostituição e sites pornográficos.

A lei proposta tem praticamente um único artigo:
Art. 1º As empresas operadoras que disponibilizam o acesso à rede mundial de computadores, ficam obrigadas por esta lei, a criarem sistema que filtra e interrompe automaticamente na internet todos os conteúdos de sexo virtual, prostituição, sites pornográficos;
Parágrafo Único – As normas elencadas no artigo 1º. não se aplicam aos sites privados, o quais sã pagos pelos assinantes.
Segundo a justificativa bizarra do projeto...
Estudos atualizados informam um aumento no número de viciados em conteúdo pornô e na masturbação devido ao fácil acesso pela internet e à privacidade que celular e o tablet proporcionam.
Os jovens são mais suscetíveis a desenvolver dependência e já estão sendo chamados de autossexuais – pessoas para quem o prazer com sexo solitário é maior do que o proporcionado, pelo método, digamos, tradicional.
Ou seja, sob a desculpa de que "a possibilidade de que os menores de idade tenham acesso a conteúdos inadequados na Rede é uma preocupação justa de pais e educadores" e com a suporta intenção de "minimizar os danos que tais conteúdos possam causar em crianças e adolescentes", o deputado propõe uma censura geral e irrestrita a todo conteúdo pornográfico da Internet.



Mais do que proibir o acesso a conteúdo pronográfico, trata-se de uma censura a liberdade individual de todos nós. Isso para não comentar que a pornografia é tão antiga quanto a humanidade e as nossas expressões artísticas, e que o acesso a conteúdo pornográfico acontece muito antes do surgimento da Internet, e independente dela.

Os internautas não perderam tempo: para protestar contra esse projeto de lei insano, e foi marcado um Punhetaço no dia 22 de janeiro, em várias cidades (como São Paulo, Brasília, SalvadorMinas, etc).



Eu deixo aqui a minha humilde homenagem a este projeto de lei, através da música
Punheta para você, da banda Fish Wish :)




janeiro 06, 2017

[Segurança] O Papa também cobre a câmera do computador!

Não é apenas o Mark Zuckerberg que tem o hábito de tapar a câmera de seu computador. O Papa Francisco também faz isso!!!



Em um vídeo de 2015, aonde o Papa convida os jovens fiéis a participarem de um evento para celebrar o Dia Mundial da Juventude, em um determinado momento o Papa usa um iPad para se registrar no evento, e aí é possível ver um pequeno adesivo colocado no local aonde fica a câmera do tablet!



Tampar a câmera do seu computador ou tablet com um adesivo é necessário para evitar que algum código malicioso ative a câmera, sem o usuário saber, e capture imagens ou gravações sem o seu conhecimento. Diversos malwares utilizados para fins criminosos ou de espionagem já tem esta capacidade faz tempo. A câmera pode ser ativada sem acender a luz de led que indica o seu uso, e assim, o usuário pode ser espionado sem ter consciência disso. Tapar a câmera com um adesivo é algo simples e fácil de fazer.

janeiro 04, 2017

[Carreira] Carta de Oposição ao Sindpd/SP

Mal o ano já começou e temos que, novamente, fazer a tradicional visita ao SINDPD :(

De 04 a 13 de Janeiro deste ano, os profissionais de TI que são associados ao SINDPD/SP (Sindicato dos Trabalhadores em Processamento de Dados e Empregados de Empresas de Processamento de Dados do Estado de São Paulo) devem se opor formalmente a Contribuição Assistencial imposta pelo sindicato.

Para evitar este desconto mensal, os profissionais de TI devem entregar, presencialmente, uma carta formal de oposição, que deve ser feita em 2 vias. No momento da entrega, o SINDPD fica com uma via e carimba a segunda, para protocolar o seu recebimento. A via carimbada pelo SINDPD deve ser entregue ao RH da sua empresa. Não se esqueça de levar um documento com foto.

Minhas sugestões:
  • A carta não precisa ser escrita de próprio punho. Ela pode ser impressa, mas, por via das dúvidas, deixe para assiná-la no momento da entrega;
  • Vá o mais cedo possível no SINDPD, logo nos primeiros dias. No final do prazo as filas costumam ser enormes (eu já perdi algumas horas nessa fila, nos primeiros anos);
  • Quem está viajando pode enviar a carta registrada pelos correios; 
  • Quem está afastado (por exemplo, férias ou auxílio doença) tem um prazo de 10 dias contados a partir do retorno ao trabalho;
  • Leve 2 cópias extras impressas da carta de oposição e pelo menos 2 folhas de papel em branco - vai que dá algum problema na hora H e você não vai querer perder a viagem, né?
  • Eu recomendo escanear a carta protocolada e guardar essa cópia com você, antes de entregar a via original no RH da sua empresa.
Eu disponibilizei no Slideshare um modelo em Word (editável) da Carta de Oposição ao SINDPD para 2017.


Não se esqueça:
  • Prazo para entrega: 04 a 13/01/16, de segunda a sábado, das 9h as 17h
  • Local de entrega em São Paulo, Capital: R. Comendador Roberto Ugolini, 152 (Clube Atlético Juventus), Moóca, CEP 03125-010, São Paulo, SP

Mini-FAQ:
  • O que é a "Contribuição Assistencial"? Essa "Contribuição Assistencial" é um desconto mensal direto na folha de pagamento, que corresponde a 1% do salário do empregado, com teto máximo de R$ 40,00 por mês;
  • Não é obrigatório contribuir com o sindicato? Sim, mas essa aberração criada pelo SINDPD/SP, é diferente da contribuição sindical obrigatória por lei. A contribuição sindical é aplicável aos trabalhadores CLT, deve ser paga obrigatoriamente uma vez por ano e corresponde a 1 dia de trabalho. Ela é descontada sempre no mês de Abril do ano corrente;
  • Todo trabalhador de TI deve entregar essa carta? Não, somente os trabalhadores que são filiados ao SINDPD. Verifique na sua Carteira de Trabalho ou com o RH da sua empresa qual é o sindicato que os empregados da empresa estão afiliados;
  • Eu nunca me filiei a um sindicato. Devo me opor? Mesmo que você jamais tenha se afiliado a um sindicato, a empresa aonde você trabalha está, e ela escolhe um sindicato "default", no qual todos os empregados ficam associados. Ela faz isso para, entre outras coisas, pagar sua contribuição anual, exigida por lei - e isto consta na sua carteira de trabalho (CTPS);
  • O que fazer se mudar de emprego durante o ano? Neste caso, você deve apresentar para o RH do novo empregador uma cópia da carta entregue no início do ano, na empresa anterior. Assim você evita ser cobrado no novo emprego;
  • Em caso de dúvidas, procure o RH de sua empresa.

Para saber mais:

janeiro 03, 2017

[Segurança] Eventos de Segurança no primeiro semestre de 2017

Aproveitando o início de 2017, segue abaixo a minha tradicional lista com os eventos de segurança que acontecem no primeiro semestre do ano. São os eventos que eu acho mais interessantes e que, na minha opinião, trazem conteúdo de qualidade e são importantes para o mercado.

Aproveite para já reservar sua agenda, planejar viagens, etc.
  • Janeiro/2017
  • Fevereiro/2017
    • 18/02: RoadSec Goiania (twitter @roadsec) - Goiânia inaugura o calendário 2017 do Roadsec, sendo a primeira cidade do ano a receber este excelente evento itinerante muito bem organizado pela Flipside. Também é uma das cidades que tem a oportunidade de receber o Roadsec pela primeira vez. O público local poderá aproveitar um dia repleto de palestras, oficinas e competições, incluindo a competição de CTF (H4ckFl4g);
  • Março/2017
    • 04/03: RoadSec Campo Grande (twitter @roadsec) - Campo Grande é a segunda cidade brasileira a receber o Roadsec em 2017;
    • 10/03: RoadSec Pro Brasília (@roadsec) - Brasília (DF) inaugura a versão "pro" do Roadsec 2017, ou seja, um Roadsec com conteúdo direcionado aos profissionais da área;
    • 11/03: RoadSec Brasília (@roadsec) - Brasília (DF) também recebe a versão "tradicional" do Roadsec, com suas palestras, oficinas e competições;
    • 19/03: RoadSec Cuiabá (@roadsec) - Cuiabá (MT) recebe novamente o Roadsec. Oficinas, competições e palestras imperdíveis;
    • 25/03: RoadSec Belém (@roadsec) - Belém (PA) é outra capital que também recebe o Roadsec;
    • 28/03: CNASI Recife - Edição regional do CNASI que ocorre em Recife (PE). Possui palestras e painéis com foco gerencial, abordando temas de auditoria, gestão e segurança. Inclui também uma pequena área com expositores;
  • Abril/2017
    • 01/04: RoadSec São Luis (@roadsec) - Parece mentira, mas não é: o Roadsec  começa seu tour pelo Nordeste pousando pela primeira vez na capital do Maranhão (MA);
    • 07/04: RoadSec Pro Fortaleza (@roadsec) -  Novamente o Roadsec passa por Fortaleza, com sua edição voltada para o público corporativo;
    • 08/04: RoadSec Fortaleza (@roadsec) -  Segundo dia do Roadsec em Fortaleza com oficinas, competições e palestras;
  • Maio/2017
    • 05 e 06/05: CryptoRave (twitter @cryptoravebr) - 4ª edição desse excelente evento gratuito, meio técnico e meio politizado, que é focado em criptografia, direito à privacidade, cultura de segurança, noções de anonimato e sobre os perigos da vigilância por Estados e empresas. Acontece em 2 dias seguidos, varando a noite adentro;
    • 06/05: RoadSec Natal (@roadsec) - Oficinas, competições e palestras imperdíveis na belíssima cidade de Natal (RN);
    • 18/05: MindTheSec Rio de Janeiro - neste ano o MindTheSec inaugura uma versão regional, no Rio de Janeiro;
    • 20 e 21/05: BSides São Paulo (Página no Facebook; twitter @bsidessp) - décima-quarta edição deste evento gratuito com foco técnico em cultura hacker e segurança da informação, acontecendo na véspera do YSTS. Promete um final de semana com mini-treinamentos no período da tarde do sábado, enquanto no segundo dia (domingo) teremos a conferência completa, com palestras, oficinas e competições diversas, além de uma trilha inteira de atividades para crianças, a BSides 4 Kids;
    • 22/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) - O YSTS é um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade e um clima descontraído, principalmente por conta do open-bar após o almoço. A exclusividade também contribui para seu sucesso, pois somente podem participar convidados dos patrocinadores;
    • 23 e 25/05: Interforensics (Brasília, DF): Aparentemente, este é o antigo Iccyber, que rescuscitou e aparentemente ficou mais focado em Forense;
    • 25 e 26/05: GTS e GTER (Foz do Iguaçu, PR) - Neste ano, a edição do primeiro semestre do GTER-43 e GTS-29 será em Foz do Iguaçu, junto com o LACNIC 2017;
    • 26/05: RoadSec Pro Recife (@roadsec) - Recife também é uma das cidades sortudas que recebem a versão corporativa do Roadsec;
    • 27/05: RoadSec Recife (@roadsec) - Roadsec aporta em Pernambuco;
    • 29 e 30/05: CNASI São Paulo - O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) é direcionado ao público corporativo nas áreas de segurança, governança e compliance. É o mais antigo evento de segurança brasileiro, organizado pelo IDETI há mais de 20 anos, Possui palestras, mini-treinamentos e paineis de debate com foco principalmente em gestão, com pouco conteúdo técnico. Também tem uma área de exposições para os patrocinadores;
  • Junho/2017
    • 03/06: RoadSec Maceió (@roadsec) - Após um financiamento coletivo que viabilizou a edição de 2016, agora Alagoas entra para o calendário oficial do Roadsec;
    • 06 a 08/06: CIAB - O CIAB é um evento de tecnologia para o setor financeiro organizado pela Febraban. O evento atrai fornecedores de diversas tecnologias bancárias, incluindo caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Atrai também os maiores fabricantes de TI e de segurança. Embora tenha poucas palestras de segurança na grade, vale a visita ao menos na gigantesca área de exposição. O evento é presença obrigatória para quem trabalha no setor financeiro ou em algum fornecedor de soluções de segurança;
    • 09/06: RoadSec Pro Salvador (@roadsec) - A maravilhosa Bahia também recebe o Roadsec em duas versões: "pro" e tradicional;
    • 11/06: RoadSec Salvador (@roadsec) - Aproveite o Roadsec em Salvador para visitar o Raul Hacker Clube ;)
    • 23/06: RoadSec Pro Belo Horizonte (@roadsec) - Minas também recebe o Roadsec "pro";
    • 11/06: RoadSec Belo Horizonte (@roadsec).
Aproveite também para visitar alguns eventos internacionais em 2017. Os principais e mais interessantes eventos são os seguintes:
Se você tiver a oportunidade de participar em poucos eventos, a minha recomendação é que, aqui no Brasil, não deixe de ir na BSidesSP, no YSTS e na CryptoRave. E vá também acampar na SHA2017. Embora o YSTS seja difícil de ir porque é um evento fechado, não custa arriscar uma proposta de palestra para eles! Como vantagem extra, os palestrantes ganham inresso gratuito e eterno em todas as edições do evento!

Normalmente o segundo semestre é bem lotado de eventos, e aproveitando que alguns deles já divulgaram as suas datas, segue uma pequena lista para incluir na agenda...
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site concise-courses.com. O calendário completo de eventos da Flipside (Roadsecs e MindThesecs) está disponível em http://www.flipside.com.br/calendario.

Se eu esqueci de algum evento brasileiro importante, me avisem.

PS: Post atualizado em 03/01 para corrigir a data do RoadSec Vitória.

janeiro 02, 2017

[Cyber Cultura] Papo Binário

Neste ano, o Fernando Mercês, excelente pesquisador de malwares e responsável pelo blog Mente Binária, lançou seu canal no YouTube, o Papo Binário.

Voltado a falar sobre carreira e tendências na área de TI, a primeira temporada teve 10 entrevistas com diversos profissionais da área, começando com o Julio Neves, grande especialista em sistemas Unix e programação com Shell Script, e incluindo alguns profissionais de segurança que ele entrevistou durante a BSides Latam. As entrevistas são descontraídas e a conversa rola naturalmente, tornando os vídeos bem agradáveis. algumas entrevistas podem parecer mais interessantes, outras não, pois atendem vários gostos: tem desde profissionais altamente experientes até profissionais em sua "metade da carreira", além de abordar áreas diversas como desenvolvimento, SO, redes e segurança.



Eu, particularmente, gostei das entrevistas com o Julio Neves (o tal de programação shell no Linux), do Alfredinho (Sandboxing x Antivírus) e, principalmente, do Diego Aranha (sobre criptografia e urnas eletrônicas) e do Wagner Baronguello (sobre engenharia reversa).

A segunda temporada promete muitas entrevistas com profissionais de segurança, pois o Mercês entrevistou vários colegas durante a H2HC.

Se você gostou do Papo Binário, por favor, dê um Like nos vídeos e assine o canal. Ele tem pouco mais de 1.000 assinantes e, nesse mundo dos YouTubers, a relevância do canal é medida por isso.

dezembro 31, 2016

[Segurança] Feliz Ano Novo, uma mensagem do Anonymous

O pessoal do Anonymous publicou um vídeo com uma mensagem de Feliz 2017, batizado de "Anonymous - Happy New Year 2017". Eu achei a mensagem do vídeo bem legal, e por isso resolvi compartilhar aqui, rapidinho, enquano minha família me espera para a ceia de final de ano.


Segue uma transcrição, em português, da mensagem deles:
Outro ano já passou, agora somado às notas de rodapé da história. 2016 ensinou-nos muitas lições, os cursos estabelecidos antes de nós neste ano passado têm o potencial para mudar o mundo. 2017 está agora na nossa frente, e com ele vem novas aventuras!
Nós enfrentamos muitos desafios este ano, no entanto eles são desafios que enfrentamos juntos. Embora possa ser difícil para aqueles com os olhos ainda fechados para ver, chegamos tão longe e estamos no curso como uma espécie para realizar muito mais.
Nós temos a oportunidade de fazer história. Este é o nosso tempo para fazer uma diferença positiva que vai durar para as gerações vindouras, este é o nosso tempo para liderar através do exemplo!
O tempo para restaurar o equilíbrio de poder é agora. Anonymous é apenas um reflexo de vocês, o povo. Vocês devem agir em vez de esperar que outros o façam. Este ano cabe às pessoas, você é a chave, você sempre foi. Uma revolução pacífica ainda é possível!
Façam suas vozes serem ouvidas, deixe que os líderes de seu país saibam que as pessoas não estão satisfeitas com o curso atual que aqueles que estão no poder estabeleceram. Deixe-os saber que a privacidade, a liberdade, e os direitos humanos importam!
Este ano é fruto do que você fizer por ele, para torná-lo muito bom, algo para se orgulhar. Entre em 2017 com uma mente aberta e um coração aberto, para juntos podemos realmente fazer deste um ano para ser lembrado!

dezembro 29, 2016

[Segurança] Previsões para 2017

Eu tenho dificuldade em pensar no que pode vir de ruim em 2017, pois ainda estou chocado com a grande quantidade de dados vazados em 2016, o volume gigatesco que atingiram os ataques DDoS a partir de redes de dispositivos IoT e a enorme quantidade de dados vazados. Isso sem falar que frequentemente vimso notícias de novas vulnerabilidades em tudo quanto é sistema operacional e aplicativos.

O ano de 2016 foi, sem dúvidas, muito intenso para todos nós. E não há motivos para imaginarmos que 2017 será menos pior.

Olhando algumas previsões para 2017 que foram publicadas por aí, eu aposto no seguinte:
  • Podemos, sim, ver pela primeira vez mortes de pessoas causadas por ciber ataques (ou numa ciber guerra, ou, provavelmente, por um ciber ataque a algum hospital - chegamos perto disso em 2016);
  • Poderemos ver danos físicos causados por ciber ataques a dispositivos de IoT;
  • Vamos entrar oficialmente na era da "Guerra Fria Cibernética" ("Cyber Cold War"), alimentados pela escalada de ciber ataques e pelas tensões geo-políticas impulsionadas pelo governo Trump (que tem uma tendência armamentista, além do fato de que ele já está causando treta com a China e que pode se alinhar com a Russia - ou, pelo menos, os dois países podem ter interesse em alimentar uma escalada militar); Some a isso o fato de que já tivemos tempo suficiente para muitas agências de espionagem de dos grandes países já terem invadido os sistemas de infra-estrutura crítica de praticamente todo mundo;
  • O alto volume de incidentes e a falta de profissionais no mercado (principalmente nos EUA), vai influenciar as empresas a investirem em ferramentas de automação ou terceirização de serviços de segurança, com destaque aos MSSPs (Managed Security Service Providers);
  • Conforme eu comentei recentemente, do ponto de vista de prevenção, em 2017 devemos ver tecnologias de Big Data apoiando a detecção de ataques e fraudes em segurança;
  • A batalha entre a privacidade online e a vigilância governamental vai se intensificar, e provavelmente vamos perder cada vez mais o nosso direito a privacidade;
Algumas previsões curiosas:
  • O grande volume de vazamento de dados pode começar a exigir que as empresas adotem políticas mais fortes de senha, e eventualmente motivar a adoção de biometria;
  • A necessidade de gestão de identidades vai fazer surgir o cargo de Chief Identity Officer (CIdO). Sério que vamos precisar de um alto executivo para isso!?
  • Proliferação dos Ransomwares sequestrando dispositivos IoT (imagine um ransomware bloqueando o seu carro!);
Algumas previsões bem óbvias que a galera tem dito por aí:
  • Os ciber ataques a dispositivos IoT e os ataques a partir de botnets baseadas em IoT vão se intensificar mais ainda;
  • Há coisas que já acontecem hoje e que os especialistas dizem que é tendência para 2017: o a profissionalização do ciber crime (e o "cyber crime as a service"), e a sofisticação dos ataques de ransomware e dos phishings.
Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.