junho 30, 2014

[Cyber Cultura] Internet Banking no Brasil

Regularmente a Federação Brasileira de Bancos (Febraban) publica alguns relatórios sobre a adoção de tecnologia nos bancos e que fornecem uma boa visão da evolução da tecnologia bancária no Brasil. Além disso, o Banco Central também fornece alguams estatísticas do setor bancário que mostram a evolução dos meios de pagamento no Brasil.

O principal relatório com essas informações, e o mais caprichado, é o chamado "Pesquisa FEBRABAN de Tecnologia Bancária 2013" (que está disponível completo ou apenas em formato de apresentação). Os dados do BC, por outro lado, estão disponíveis em uma planilha excel: logo, apresenta apenas os dados brutos,sem nenhuma análise. De qualquer forma, os dados de ambos mostram claramente a crescente adoção do Internet Banking e do Mobile Banking no Brasil, embora este último ainda esteja bem imaturo.



Veja algumas informações interessantes do relatório da Febraban e das estaísticas do BC com os dados consolidados de 2013:
  • A bancarização no Brasil já atinge 57% (isto é, a grosso modo, 57% da população tem conta em banco);
  • A Internet e o Mobile banking responderam por quase a metade das transações realizadas no ano passado (41% e 6% respectivamente, totalizando 47%), contra 37% dos canais tradicionais (caixas eletrônicos, contact center e agências bancárias) - segundo a Febraban. Os dados do BC são ligeiramente semelhantes: Internet, Home e Office Banking representaram 40% das transações segundo o BC;

    • Em 2013 foram realizadas 17 milhões de transações pelos "canais remotos" (Internet, Home e Office Banking), representando aproximadamente 17,2 trilhões de Reais, segundo o BC. Consultas de saldo e extrato representaram 42% destas operações online. Em termos de valores, TED, Doc e transferência entre contas representaram 61% do total e os boletos, 17%
  • A popularização dos smartphones refletiu nos bancos, embora ainda meio tímido: entre 2009 e 2013 a participação dos smartphones no número total de operações subiu de praticamente zero para 6%, e o volume de transações aumentou, em média, 270% ao ano (de 12 milhões para 2,3 bilhões);
    • 11,3% da base de contas correntes utiliza mobile banking;
    • o celular raramente é utilizado para movimentações financeiras: apenas 3% das transações realizadas via mobile banking são de transações financeiras;
  • 40% das contas correntes utilizam Internet Banking (41,8 milhões de contas). O volume de transações via Internet avança 23% ao ano, atingindo 16,6 bilhões em 2013 (41% do total);
    • Comparando, nos EUA o Internet Banking representa 54% das transações bancárias;
    • A pesquisa da Febraban destaca que o crescimento do Internet Banking está diretamente ligado à expansão do acesso à Internet, que atingiu 52% da população em 2013;
  • 43% dos 166 mil caixas eletrônicos (ATMs) no Brasil possuem identificação biométrica;
  • O setor bancário é o maior investidor em tecnologia dentre todas as indústrias no país: Em 2013, os bancos que operam no Brasil gastaram cerca de R$ 20,6 bilhões em tecnologia, o equivalente a 17% dos gastos em TI no Brasil.

junho 26, 2014

[Segurança] Eventos de Segurança no Segundo Semestre de 2014

Logo após a Copa do Mundo, já começam uma grande variedade de eventos de segurança. Diferente do ano passado, teremos alguns eventos a mais em todo o Brasil, fruto da expansão do Security Leaders (que criou um formato "mini-me" local para outras cidades) e do pessoal do Roadsec pegando embalo. A Black Hat também merece destaque: teremos a segunda edição brasileira em novembro.

Reserve sua agenda, pois nem teremos tempo de curtir a ressaca da Copa do Mundo: o ritmo de eventos entre Julho e Dezembro será bem intenso.

A lista abaixo é dos eventos na área de segurança que eu considero que merecem a visita. Salvo indicação em contrário, estes eventos acontecem em São Paulo.
  • Julho/2013
    • 19/07: RoadSec Fortaleza (twitter @roadsec): Logo após o final da Copa do Mundo, o Roadsec cai na estrada! Este é evento itinerante organizado pela Flipside, realizado em diversas cidades brasileiras no decorrer do ano. Tem um dia repleto de palestras com alguns palestrantes previamente selecionados em conjunto com palestrantes locais, escolhidos por Call for Paper.
  • Agosto/2014
    • 04 e 05/08: VI Congresso de Crimes Eletrônicos e Formas de Proteção - Evento organizado pela FECOMÉRCIO que reúne especialistas, empresários, autoridades, peritos e juristas envolvidos no combate ao crime eletrônico. Inclui palestras e e debates sobre soluções e tendências. Evento gratuito e de boa qualidade.
    • 26 e 27/08: SecureBrasil - Evento pomposo e caprichosamente organizado pela Flipside, que neste ano vem turbinado com 2 dias de evento e 3 trilhas de palestras (divididas em tecnologias, soluções e negócios). Graças a chancela do (ISC)², o evento atrai os principais profissionais de segurança do mercado - e, em especial, aqueles que são certificados CISSP. O evento é direcionado a profissionais experientes, com uma área de exposições para os patrocinadores;

  • Setembro/2014
    • 01 e 02/09: CNASI São Paulo - o tradicional Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) organizado pelo IDETI há mais de 20 anos. Palestras com foco principal em gestão e tecnicamente superficiais, abrangendo os temas de auditoria, compliance, riscos e segurança. Inclui várias atividades entre palestras, mini-cursos e debates, além de uma área de exposições para os patrocinadores;
    • 05/09: Dia Internacional de Segurança em Informática (DISI) (Brasília) - evento realizado anualmente pelo pessoal da Rede Nacional de Ensino e Pesquisa (RNP) para educar e conscientizar usuários finais sobre segurança na Internet. O DISI inclui atividades de conscientização gratuitas, abertas ao público e que serão apresentadas em Brasília a transmitidas online, em tempo real;
    • 06/09: RoadSec Belo Horizonte (twitter @roadsec): evento itinerante organizado pela Flipside, que é realizado em diversas cidades brasileiras. Segue o formato de um dia repleto de palestras com alguns palestrantes previamente selecionados em conjunto com palestrantes locais, escolhidos por Call for Paper;
    • 11/09: Global Risk Meeting 2014 (Recife, PE) - Evento sobre gestão de riscos organizado desde 2005 pela Daryus, com palestras mais gerenciais;
    • 13/09: RoadSec Brasília (twitter @roadsec): mais uma edição do evento itinerante organizado pela Flipside, que é realizado em diversas cidades brasileiras - desta vez, em Brasília. Todas as edições seguem o formato de um dia repleto de palestras com alguns palestrantes previamente selecionados em conjunto com palestrantes locais, escolhidos por Call for Paper. Também inclui uma competição de CTF patrocinada pela Symantec, chamada de HackaFlag;
    • 24/09: Security Leaders Fórum Brasília - mais uma edição regional do Security Leaders, que acontecerá no Hotel Royal Tulip Brasília Alvorada. Segue o formato original do evento de São Paulo, mas com apenas um dia de duração: uma série de debates com conteúdo muito fraco e uma pequena área de expositores;
    • 24/09: RoadSec Recife (twitter @roadsec): mais uma edição do Roadsec, na bela Recife. Um dia repleto de palestras com alguns palestrantes previamente selecionados em conjunto com palestrantes locais. Também inclui uma competição de CTF patrocinada pela Symantec, chamada de HackaFlag.
  • Outubro/2014
    • 04/10: RoadSec Porto Alegre (twitter @roadsec): edição gaúcha do Roadsec, em Porto Alegre. Um dia de palestras com alguns palestrantes previamente selecionados em conjunto com palestrantes locais. Também inclui a competição de CTF patrocinada pela Symantec, chamada de HackaFlag;
    • 16 e 17/10: Sacicon - Evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês. ou seja, palestrantes e visitantes extrangeiros são bem-vindos. Além do mais, o evento começa na noite de 16/10 com um keynote speaker e uma festa e continua no dia seguinte com palestras após um "hangover brunch";
    • 18 e 19/10: Hackers to Hackers Conference (H2HC) (twitter @h2hconference) - A H2HC é o maior, mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa em segurança, hacking, pesquisa de vulnerabilidades e novos ataques. Antigamente a H2HC atraia principalmente pesquisadores independentes de segurança ou participantes do mundo underground, mas hoje em dia o evento se tornou um dos mais importantes do mercado de segurança brasileiro, com palestras técnicas e mini-cursos;
    • 22 e 23/10: Security Leaders - Evento formado por diversos painéis de debates transmitidos ao vivo e com uma área de exposição para os patrocinadores. É um evento baba-ovo, direcionado a atrair gestores de segurança (gerentes, diretores, CSOs, etc). Os painéis tem conteúdo fraquíssimo: a organização coloca alguns gestores convidados e representantes de fornecedores, e não necessariamente eles tem conhecimento no assunto que debatem. Felizmente (ou não) eles colocam muita gente no painel (sete ou mais participantes!), e assim cada um tem poucos minutos para falar (o que pode ser um alívio). Apesar da baixa qualidade dos painéis, é um evento que atrai muitos patrocinadores;
    • 25/10: RoadSec Rio de Janeiro.
  • Novembro/2014
    • 01/11: RoadSec Curitiba
    • 03 a 06/11: Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) - O SBSeg é um evento acadêmico promovido anualmente pela Sociedade Brasileira de Computação (SBC) desde 2001, e a cada ano ocorre em um local diferente. A edição deste ano o SBSeg será realizada na UFMG, em Belo Horizonte. O SBSeg é o principal evento brasileiro de pesquisas acadêmicas ligadas à segurança da informação;
    • 04 e 05/11: CNASI Recife - Quarta edição do CNASI em Recife (PE), uma versão "mini-me" do CNASI São Paulo, com dois dias de palestras e painéis de debates sobre gestão, auditoria de TI, governança e segurança da informação. O evento também tem uma pequena área de expositores;
    • 09/11: Nullbyte Security Conference (Salvador/BA): Um novo evento, que tem como objetivo fomentar a pesquisa em segurança da informação na Bahia. Promete ter palestras de excelente qualidade técnica;
    • 23/11: Conferência O Outro Lado BSides São Paulo - Esta será a décima edição da conferência Co0L BSidesSP, acontecendo em um final de semana próximo a Black Hat São Paulo. A conferência é gratuita, com diversas atividades simultaneas: palestras (com foco mais técnico), oficinas (hands-on), debates, CTF (com competição de robótica), a BSides 4 Kids, Brazilian Arsenal, Hacker Job Fair e um churrasco gratuito para os participantes.
    • 25 e 26/11: Black Hat Regional Summit São Paulo - Versão "Regional Summit" da Black Hat, um dos maiores e mais importantes eventos de segurança em todo o mundo. O evento traz diversas palestras e uma enorme área de expositores, no Transamerica Expo Center;
    • 27 e 28/11: GTER e GTS - Evento tradicional organizado pelo Nic.br, que tem um foco bem técnico. Como sempre, o GTS (Grupo de Trabalho em Segurança de Redes) ocorre no dia seguinte ao GTER (Grupo de Trabalho de Engenharia e Operação de Redes). Ambos os eventos sempre são transmitidos online.
  • Dezembro/2014
    • 02/12: RoadSec São Paulo - Mega-edição de encerramento do RoadSec. Além de palestras, terá a final do campeonato de CTF (Hackflag), patrocinado pela Symantec e, pasmem, show do Ira!
    • 12/12: Security Leaders Forum Porto Alegre - Versão "mini-me" do Security Leaders em Porto Alegre. Evento de um dia que segue o formato original do evento em São Paulo: alguns debates com conteúdo fraco e uma pequena área de expositores.
Não posso deixar de mencionar alguns eventos internacionais que valem a pena a visita neste semestre, se sobrar tempo e dinheiro:
  • Black Hat e Defcon, eventos importantíssimos e gigantes que acontecem em Las Vegas (EUA) no início de agosto. A Black Hat (02 a 07/08) é um dos mais importantes eventos de segurança do mundo e a Defcon (07 a 10/08) é a maior conferência hacker do mundo, com mais de 6 mil pessoas e dezenas de palestras e atividades simultâneas a um custo módico de US$ 220.
  • BSides Las Vegas, dias 05 e 06/08, na véspera da Defcon. É uma ótima opção para quem quer aproveitar a viagem para a Defcon mas não quer (ou não pode) gastar dinheiro com a inscrição caríssima da Black Hat. Com diversas palestras em um clima super descontraído, a BSidesLV foi a primeira conferência no formato Security BSides. As inscrições são gratuitas mas se esgotam rapidamente.
  • 8.8: Evento de segurança que acontece dias 23 e 24 de Outubro em Santiago, no Chile.
  • Ekoparty (29 a 31/10) e Angeles y Demonios (29/11), em Buenos Aires, Argentina. A Ekoparty é um excelente evento de segurança, com foco principal em pesquisa em segurança e excelentes palestras técnicas. Como esta será a 10a edição, eles estão prometendo 3000 pessoas, um ekoCAMP (área de camping para o pessoal), uma big after party, além de algumas atividades legais como o Wifi Attack Laboratory e um Wardriving pela cidade (eles pegam um onibus turistico e fazem um tour por Buenos Aires, fazendo wardriving pelo caminho). A A&D surgiu no ano passado e promete ser um outro evento de excelente qualidade.
  • CCC: evento gigantesco realizado na Alemanha na semana entre o Natal e o Ano-Novo, atraindo hackers de toda a Europa. Também tem foco em hacking, com palestras técnicas e uma pegada também política. É também o mais antigo evento da atualidade.
Para ver uma lista mais completa com todos os eventos de TI e de segurança no Brasil e os principais eventos no mundo, visite o site Agenda TI.

Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.

Notas:
  • Alguns eventos ainda estão sem data marcada: ICCyber (a edição de 2013 foi cancelada e o site não foi atualizado desde então), a Silver Bullet (o site está sem conteúdo) e o GTS (evento que normalmente acontece em Dezembro);
  • Post atualizado em 03/07 com a data do DISI e em 31/07 ajustando a data do Security Leaders Forum Brasília;
  • Post atualizado em 15/8 com informações sobre a Nullbyte Security Conference e o GTS.
  • Post atualizado em 18/9 com informações sobre o Security Leaders Forum em Brasília e Porto Alegre, além do Roadsec Brasília, Recife e Porto Alegre.
  • Atualizado em 30/09 com a data da conferência Angeles y Demonios (Argentina, 29/11).
  • Atualizado em 13/10 com a data da 8.8 (Chile).
  • Atualizado em 30/10 com as datas do Roadsec do Rio e Curitiba.
  • Atualizado em 07/11 com o Roadsec São Paulo.

junho 24, 2014

[Segurança] O Marco Civil e a Proteção de Dados

O Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014) está prestes a entrar em vigor e, na minha opinião, uma das suas contribuições mais importantes foram os vários artigos que tratam da proteção dos dados pessoais online.

Hoje em dia compartilhamos muitas informações pessoais. A popularização da Internet, do e-commerce e das redes sociais trouxe o hábito de compartilharmos fotos, opiniões e dados pessoais. E isso trouxe o risco de roubo e vazamento de dados, além do mal uso por terceiros (como, por exemplo, empresas que vendem dados cadastrais de seus usuários para outras). Por isso mesmo, muitos países já desenvolveram leis específicas para a proteção de dados. A União Européia, por exemplo, possui uma lei de proteção de dados desde 1995. No Brasil, o Ministério da Justiça trabalhou em criar uma legislação específica sobre a proteção de dados pessoais em 2011 (veja alguns detalhes aquiaqui) e também existe o Projeto de Lei 3558/2012, que dispõe sobre a proteção de dados pessoais e sobre a utilização de sistemas biométricos.

Mas o Marco Civil chegou bem antes !

Diversos artigos do Marco Civil abordam a privacidade e a proteção dos dados pessoais dos internautas, incluindo as responsabilidade dos sites provedores de conteúdo (como, por exemplo, a não responsabilização dos provedores ao publicar um conteúdo criado por seus usuários).

Mas a proteção de dados não deve ser confundido com a guarda de registros de acesso (logs): os logs indicam quem acessou o que e quando em um determinado ambiente, enquanto a proteção dos dados pessoais trata da responsabilidade pela guarda dos dados em si, ou seja, das informações que os usuários inserem nos diversos serviços online (incluindo dados cadastrais, informações pessoais, fotos, etc).

Assim, o Marco Civil dita os seguintes aspectos:
  • a garantia de não fornecimento a terceiros de dados pessoais;
  • os provedores devem prestar informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais;
  • deve haver o consentimento expresso do usuário sobre a coleta, uso, armazenamento e tratamento de dados pessoais;
  • a obrigação de remover os dados pessoais após o cliente encerrar o serviço (isto é uma parte do chamado "direito ao esquecimento");
  • os provedores somente serão obrigados a disponibilizar dados pessoais e o conteúdo das comunicações privadas mediante ordem judicial;
  • os sites (provedores de aplicação) não podem solicitar e guardar dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo usuário;
  • o Marco Civil inova ao definir a responsabilização dos provedores referente a danos causados por dados publicados pelos usuários e como deve ser o processo de retirada de conteúdo:
    • o provedor de conexão à internet não é responsabilizado civilmente por danos decorrentes de conteúdo de terceiros;
    • o provedor de aplicações de internet somente poderá ser responsabilizado civilmente se não tomar as providências para retirada do conteúdo após ordem judicial específica (nos limites técnicos do seu serviço e dentro do prazo);
    • o provedor de aplicações deve comunicar ao usuário as informações relativas à indisponibilização de seu conteúdo, de forma a permitir sua ampla defesa em juízo;
  • o Art. 21. é bem interessante: ele define que o provedor de aplicações de internet será responsabilizado pela violação da intimidade decorrente da divulgação não autorizada de imagens, vídeos ou outros materiais com nudez ou atos sexuais de caráter privado, caso deixe de remover este conteúdo quando solicitado pelo seu dono ou algum participante dele.

Segue abaixo uma transcrição parcial do texto final do Marco Civil com os artigos relacionados a proteção de dados pessoais.

CAPÍTULO II
DOS DIREITOS E GARANTIAS DOS USUÁRIOS

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
(...)
III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
(...)
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
XI – publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
(...)
CAPÍTULO III
DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET

(...)

Seção II
Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.
§ 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º.
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
§ 4º As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§ 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.
(...)

Subseção III
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações

(...)
Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
(...)
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.
(...)

Seção III
Da Responsabilidade por Danos Decorrentes de Conteúdo Gerado por Terceiros

Art. 18. O provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros.
Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário.
§ 1º A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2º A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5º da Constituição Federal.
(...)
Art. 20. Sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de internet comunicar-lhe os motivos e informações relativos à indisponibilização de conteúdo, com informações que permitam o contraditório e a ampla defesa em juízo, salvo expressa previsão legal ou expressa determinação judicial fundamentada em contrário.
(...)
Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo.
(...)

junho 23, 2014

[Segurança] Quando sua nuvem evapora...

Essa é uma história triste: Após uma série de ataques e uma tentativa de extorsão, o site Code Spaces perdeu todos os seus dados na nuvem e foi obrigado a fechar.



Tudo começou no dia 17 de Junho e durou 12 horas dramáticas, após o site receber uma série de ataques DDoS. O atacante usou isso para distrair a empresa, enquanto tentava obter acesso aos seus servidores localizados na nuvem da Amazon. Após conseguir acesso ao painel de controle deles na Amazon, o atacante enviou uma mensagem exigindo dinheiro para devolver o acesso.


Mas, em vez de pagar a extorsão, a empresa tentou recuperar o acesso a seus servidores. Ao perceber isso, o hacker não teve dó nem piedade: apagou tudo ! Apagou as máquinas virtuais e suas configurações, apagou os dados e os backups - incluindo os backups offsite !!!

Segundo a Code Spaces, o custo de recuperar o ambiente e reembolsar os clientes é impraticável:
"Code Spaces will not be able to operate beyond this point, the cost of resolving this issue to date and the expected cost of refunding customers who have been left without the service they paid for will put Code Spaces in a irreversible position both financially and in terms of on going credibility."
A Code Spaces era cliente da Amazon Web Service (AWS) Elastic Compute Cloud (EC2).

Segundo o site The Hacker News, os ciber criminosos tem começado a investir na extorsão de grandes empresas. Sites como o Feedly e o Evernote já foram vítimas.

O que fazer? Manter backups e um bom plano de resposta a incidentes e de recuperação de desastres ajuda. Senhas fortes para seus servidores e, principalmente, para todos os seus acessos administrativos ao ambiente. Em caso de ambiente em nuvem, não confie 100% na nuvem. Tente manter backups extras, sempre que possível (e consigo, e não conte apenas com o provedor de Cloud).

junho 22, 2014

[Cidadania] Conheça as cidades-sede da Copa do Mundo de 2014

A FIFA produziu alguns vídeos curtos apresentando as cidades dos jogos da Copa do Mundo de 2014. Os vídeos tem cerca de um minuto e meio de duração e mostram os principais pontos turísticos de cada cidade.
Veja abaixo o vídeo de São Paulo :)

junho 20, 2014

[Segurança] Uma década de Ciber Crime e Fraude Online

A RSA publicou recentemente um vídeo mostrando a evolução do crime cibernético nos últimos 10 anos. O vídeo destaca várias estatísticas, ao lado de alguns acontecimentos relevantes que impactaram empresas e consumidores online.




A música é chata, mas as estatísticas são interessantes. Mas o vídeo limita-se a cuspir estas estatísticas na tela... Faltou colocar algum tipo de comparativo para dar uma correta dimensão de como o crime cibernético evoluiu nesses anos.

junho 19, 2014

[Segurança] O Marco Civil e a Guarda de Logs

No dia 23 deste mês o Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014) entrará em vigor. Sua publicação foi cercada de polêmicas e expectativas, e um dos pontos centrais é a guarda de logs por parte dos provedores de acesso a Internet e provedores de conteúdo (isto é, sites, portais e redes sociais).

Este é um assunto muito polêmico pois envolve vários interesses antagônicos:
  • os provedores de acesso e de conteúdo não tem interesse em guardar logs, principalmente em função do custo operacional envolvido (storage e procedimentos específicos) e por causa da responsabilização judicial caso falhem na guarda de logs;
  • as forças policiais e o poder judiciário tem interesse que a guarda de logs seja realizada pelo maior tempo possível, para facilitar a investigação e punição de crimes cibernéticos;
  • representantes da sociedade que defendem a privacidade não querem a guarda de logs, e ponto final. Acusam isso de vigilantismo por parte das empresas e governos.

Embora não existisse nenhuma lei que regulasse esta questão, até então o mercado considerava a prática de guarda de logs de acesso (incluindo desde grandes provedores até pequenas lan houses) por 3 anos, em função de uma recomendação do CERT.br.

Mas o Marco Civil trouxe diversos artigos que abordam este tema, incluindo a definição de prazos, controles e direitos dos usuários quanto a monitoração e guarda de logs. O texto aprovado diz o seguinte:
  • os provedores de acesso devem manter seus logs por apenas 1 ano;
    • não é permitda a terceirização da guarda dos logs dos provedores de acesso;
    • os provedores de acesso não podem guardar logs dos acessos que seus clientes fazem a sites e aplicações; (*)
  • os provedores de aplicação (sites e portais web) devem manter seus logs por 6 meses;
    • a não guarda dos registros de acesso a aplicações não implica em responsabilidade sobre danos por terceiros.
  • a disponibilização dos registros de log deverá ser precedida de autorização judicial;
  • os provedores somente podem fornecer os logs de acesso a Justiça mediante consentimento formal do usuário final (ou seja, o ciber criminoso pode negar que o provedor guarde os logs de seu acesso e impedir que os forneça para a Polícia!?);
  • as regras de guarda de logs se aplicam a qualquer tipo de acesso em que pelo menos uma das pontas da conexão (usuário ou site) ou uma ação (algum tipo de acesso) ocorra em território nacional. Em caso de empresa sediada no exterior, também se aplica se o serviço for ofertado ao público brasileiro ou se tiver operação ou filial no Brasil.

(*) Ou seja, o provedor de acesso tem obrigação de informar os dados cadastrais de quem utilizou um determinado endereço IP em um determinado horário, mas não pode registrar que tipo de acesso este usuário fez (se ele acessou o site A ou o serviço B).

Segue abaixo uma transcrição parcial do texto final do Marco Civil, contendo apenas os artigos que são relacionados a guarda de logs.

CAPÍTULO II
DOS DIREITOS E GARANTIAS DOS USUÁRIOS

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
(...)
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
(...)
CAPÍTULO III
DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET
(...)

Seção II
Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.
(...)
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
§ 4º As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§ 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.
(...)
Subseção I
Da Guarda de Registros de Conexão

Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.
§ 1º A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2º A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam guardados por prazo superior ao previsto no caput.
§ 3º Na hipótese do § 2º, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4º O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2º, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no prazo previsto no § 3º.
§ 5º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.

Subseção II
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Conexão

Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet.

Subseção III
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações

Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1º Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de registros relativos a fatos específicos em período determinado.
§ 2º A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3º e 4º do art. 13.
§ 3º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.
Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º; ou
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.
Art. 17. Ressalvadas as hipóteses previstas nesta Lei, a opção por não guardar os registros de acesso a aplicações de internet não implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros.
(...)
Assim, todas as empresas que operam no Brasil ou oferecem serviços a usuários brasileiros tem que se adequar a estas regras, que (convenhamos...), são bem menos exigentes do que o mercado estava acostumado a operar. Venceram os ciber criminosos e os defensores da privacidade.

junho 13, 2014

[Cyber Cultura] O Herói Hacker

Inspirado pelo lançamento do jogo Watch Dogs, a Folha publicou recentemente um artigo bem interessante do professor Luli Radfahrer sobre a atual tendência da mídia de idolatrar a figura do hacker.

Na minha opinião, alguns trechos do artigo merecem destaque pois ele descreve muito bem algumas características do que é ser um hacker hoje em dia:

  • "Hacker" é um dos termos contemporâneos mais contraditórios. Para muitos, o rótulo é pejorativo e criminoso. Outros, principalmente auto-intitulados, reclamam que significa exatamente o contrário. Na verdade é um termo genérico demais, que pode abranger do menino brincando com seu PC até o especialista em segurança de alto nível.
  • Para aumentar a confusão, recentemente surgiram os "hacktivistas" (...). E ainda há os "hackerspaces" (...).
  • Pouco importa sua área de atuação, uma das principais características de um hacker é sua curiosidade insaciável a respeito do funcionamento de coisas e processos, associada à habilidade para aprender e construir em cima de estruturas preexistentes. Desmontar máquinas e algoritmos, entender como funcionam e buscar corrigi-las ou melhorá-las costuma ser tanto seu playground quanto sua universidade.
  • A tecnologia invadiu os principais aspectos da vida contemporânea, e a cultura hacker é o contraponto preciso a uma época de controle de processos e produção em massa.
  • De certa forma, hackers são os fora-da-lei do século 21. (...) Satoshi Nakamoto, Bradley Manning, Edward Snowden e Julien Assange resolveram usar seus poderes para fazer justiça com as próprias mãos em um processo controverso, individualista e ilegal, mas que tem, a princípio, um motivo nobre. Vistos como uma espécie de vingadores contra o capitalismo e a vigilância da rede, anti-heróis estão cada vez mais populares na cultura pop.
  • Mas não se pode esquecer que todo super-herói tem seus arqui-rivais, e que o efeito de cada ferramenta depende das intenções de seus usuários. Nas mãos de criminosos, técnicas de hacking são perfeitas para extorsão, humilhação pública, interrupção de processos, roubo de propriedade intelectual e espionagem.

E olha que ele nem comentou sobre os hackers na novela da Globo...

junho 11, 2014

[Segurança] Segurança Cibernética no Brasil – Um Manifesto por Mudanças

Diversas entidades, empresas e profissionais brasileiros de segurança acabaram de lançar um manifesto oúblico entitulado "Segurança Cibernética no Brasil – Um Manifesto por Mudanças".

O manifesto pretende chamar a atenção das empresas brasileiras e do Governo para o risco de ciber ataques e vazamento de dados. Pretende estimular o apoio e criar uma visão de como proteger o Brasil de ataques cibernéticos, além de aumentar a conscientização dos executivos e do governo a longo prazo.

O Manifesto propõe que os executivos de segurança avaliem suas estratégias operacionais, incluindo as questões de segurança na agenda corporativa, focando em quatro áreas-chave:
  1. Formar líderes experientes em cibersegurança – Os líderes empresariais e governamentais precisam compreender os riscos cibernéticos e entender que estas questões não estão mais apenas no âmbito da Tecnologia da Informação, mas sim da governança corporativa consciente e responsável. Não cabe mais apenas ao CIO a resolução das ameaças cibernéticas. Esse é um problema que deve ser atacado de forma sistêmica, sob a liderança de CEOs e autoridades do setor público. Iremos trabalhar com as associações e empresas brasileiras, bem como com o Governo, para oferecer workshops e treinamentos visando a ajudar na capacitação de nossos líderes.
  2. Aprimorar a privacidade / Colaborar com o Setor Público – Os cibercriminosos acostumaram-se a agir com certo grau de impunidade. Muitas empresas preferem simplesmente reconhecer os danos decorrentes de ataques cibernéticos como perda, a fim de proteger a confiança em seus sistemas e em suas marcas, o que de certa forma instiga a impunidade. Nós almejamos trazer uma melhor compreensão sobre a adequada aplicação da lei aos líderes de negócio, visando a estabelecer melhores práticas a respeito de como lidar com o crime cibernético, principalmente quando acarretar riscos à reputação ou à confiabilidade de seu negócio.
  3. Sanar a escassez de proficiência em Cibersegurança – Dado o aumento exponencial da demanda por especialistas em cibersegurança, é fundamental a busca por novas formas de inspirar as pessoas com as competências e o desejo de manter as empresas e os governos seguros e atrair profissionais brilhantes e dedicados para o setor. Iremos trabalhar em estreita colaboração com universidades, governos e associações de segurança cibernética, visando garantir a oferta de treinamentos, com oportunidades e trajetórias de carreira claramente definidas.
  4. Transformar as pessoas na primeira linha de defesa – Há sempre um elemento humano nos ataques cibernéticos. Negligência, ignorância, raiva ou mesmo curiosidade são a origem de grande parte dos incidentes. Em nossa visão, o desenvolvimento de um portal público pode fomentar comportamentos mais adequados em torno da segurança cibernética e, consequentemente, ajudar a elevar de forma muito favorável o nível de investimento direto em segurança perante os crescentes investimentos em tecnologia. A formação de profissionais e cidadãos conscientes das questões de cibersegurança será vital para a contínua transformação do Brasil em uma economia moderna, globalizada e conectada.
Os pontos acima são, realmente, relevantes e espero que esta iniciativa dê certo (embora eu não tenha a menor idéia de como o pessoal por trás desse manifesto vai viabilizar isso tudo).

Na minha opinião, o conteúdo do manifesto, em si, está muito bom, exceto pelo segundo item 2 (sobre privacidade e colaboração com o setor público). Neste ítem o título não condiz com a sua descrição: em nada trata a questão da privacidade e a aclamada colaboração com o setor público limita-se a exaltar a aplicação das leis. Os autores do manifesto ignoraram a privacidade (um tema extremamente atual e preocupante) e tiveram uma visão muito limitada sobre como colaborar com o governo. Ao mesmo tempo, eles devem ter se esquecido que os nossos tribunais e forças policiais são ineficientes, e que as nossas leis são incapazes de tratar os problemas causados pelos crimes cibernéticos :(

junho 10, 2014

[Segurança] Security BSides em todo o mundo

Segundo as estatísticas mais recentes, até o momento já foram realizadas 129 edições da Security BSides, cobrindo um total de 61 cidades em 11 países ao redor do mundo, desde o surgimento do evento, há cerca de 5 anos atrás.

O pessoal da Security BSides colocou todas elas em um mapa do Google:



junho 05, 2014

[Segurança] Tem Boi na Linha

Alguns ativistas brasileiros se reuniram e lançaram o site “Tem boi na linha?”, que contém um guia prático de combate à vigilância online. Esta iniciativa é direcionad a qualquer pessoa que precise ou deseje proteger suas comunicações e arquivos da vigilância governamental e de instituições privadas, incluindo participantes de movimentos sociais, ativistas e jornalistas.



O site é bem feito, com design caprichado e bem humorado. Ele apresenta muitas dicas de ferramentas e sites utilizados para proteger a nossa privacidade online, abordando diversas necessidades e as respectivas ferramentas: como usar senhas fortes, navegar anonimamente e com criptografia na Internet, utilizar e-mail criptografado com o GPG, usar chat criptografado, aonde hospedar sites e blogs, como apagar alguns de seus vestígios em arquivos e algumas dicas de como se proteger em redes sociais e no celular.

A Free Software Fundation (FSF) também lançou uma campanha muito legal, chamada "Email Self-Defense", para ensinar passo-a-passo como usar criptografia de e-mail com o GnuPG. Além do tutorial detalhado, o site deles também tem um infográfico bem bacana:


junho 03, 2014

[Segurança] Black list para user-agents suspeitos

De acordo com o protocolo HTTP, os user-agents são informações enviadas no cabeçalho de uma requisição web para identificar o navegador utilizado pelo usuário. Desta forma, o servidor web sabe qual é o tipo e versão do navegador web e, desta forma, pode até mesmo customizar a formatação da página web para que ela seja melhor visualizada.

A maioria dos browsers web utilizam um User-Agent de acordo com o formato "Mozilla/[versão] ([informação do sistema e browser]) [plataforma] ([detalhes]) [extensões]". Por exemplo, um usuário utilizando o navegador Safari no seu iPad enviaria a seguinte informação para o servidor web:
Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405
Mas, da mesma forma que o user-agent identifica se um usuário tem um browser IE, Chrome ou Firefox, ele também pode conter informações que utilizamos para identificar se o usuário está navegando na Internet com um navegador malicioso, comprometido ou, no mínimo, suspeito ou que possa apresentar um certo nível de risco.

Pensando nisso, o site Perishable Press publicou uma lista bem grande de user-agents maliciosos, que podem indicar a presença de um Bot, Adware ou malwares. Eles podem indicar um acesso arriscado, realizado por um usuário com más intenções ou um usuário com seu computador infectado, e por isso, poderiam ser bloqueados por ferramentas ou recursos de segurança.

A blacklist está disponível como uma lista em texto puro que pode ser incluída em um arquivo de configuração .htaccess do seu servidor web.

Outras referências interessantes:

junho 02, 2014

[Segurança] Co0L BSidesSP edição #nãovaitercopa

Fizemos um pequeno poster para divulgar a próxima edição da Co0L BSidesSP, a edição #nãovaitercopa.



A Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP) é uma mini-conferência sobre segurança da informação e cultura hacker organizada por profissionais de mercado com o apoio do Garoa Hacker Clube. A Co0L BSidesSP é um evento gratuito que faz parte das conferências “Security B-Sides” existentes em mais de 60 cidades de onze países diferentes.

A nona edição da conferência brasileira foi batizada ironicamente de Co0L BSidesSP Edição #nãovaitercopa. Afinal, já que as conferências “Security BSides” sempre acontecem junto a um grande evento, então porque não faríamos a BSides da Copa do Mundo !?

Escolhemos o dia 15 de Junho de 2014 (domingo), pois nesta data teremos poucas partidas relevantes para o público brasileiro e sem jogos na cidade de São Paulo. O nome foi escolhido como uma referência aos protestos contra a Copa do Mundo, mas usamos ele no sentido de que temos outras coisas mais legais para fazer do que assistir jogos sem graça ;)

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.