maio 24, 2016

[Segurança] Andsec Security Conference

Nos dias 05 e 06 de Junho a cidade de Buenos Aires (Argentina) vai receber mais uma edição da Andsec Security Conference, um evento relativamente novo na cena de segurança, que começou em 2012 com o nome "Angels y Demonios".


A Andsec é uma conferência hacker jovem que reúne os diferentes aspectos da segurança, sob as perspectivas defensivas e ofensivas, com uma forte abordagem técnica. Eles valorizam o espírito hacker, o benefício para a comunidade e a livre troca de informações. Eles tem como premissa que o evento deve ser "free", no sentido de "liberdade" de conhecimento e, também, "gratuito".

Desde o seu nascimento, a conferência ganhou muita atenção da comunidade de Segurança da Argentina e da América Latina. Para a Argentina, em especial, a Andsec representa uma ótima adição, pois até então o único evento relevante coom temática mais técnica era apenas a excelente Ekoparty.

Para saber mais:


maio 20, 2016

[Segurança] Contagem regressiva para a BSides Latam

Faltam poucas semanas para a Security BSides Latam, a primeira edição da versão Latino Americana da BSides, que acontecerá em São Paulo nos dias 11 e 12 de Junho deste ano.

Esta primeira edição da BSides Latam segue o mesmo formato da BSides São Paulo que já foram organizadas: meio dia (Sábado, 11/06) de treinamentos e um dia de palestras, oficinas e diversas atividades (Domingo, 12/06). Novamente, as inscrições são gratuitas e incluem acesso completo ao evento, com direioto a almoço e bebida.

A agenda do evento está disponível e as inscrições estão abertas.

Para ajudar a divulgar o evento, criamos um pequeno cartaz:


A BSides Latam é fruto da iniciativa dos responsáveis pelas diversas BSides já existentes em toda a América Latina. Nossa intenção principal é que este seja um evento itinerante, acontecendo cada ano em um país diferente.

maio 18, 2016

[Segurança] Nova norma ABNT NBR ISO/IEC 27017 sobre Segurança em Nuvem

A ABNT colocou em consulta pública o Projeto ABNT NBR ISO/IEC 27017 (Código de prática para controles de segurança da informação com base na ABNT NBR ISO/IEC 27002 para Serviços em Nuvem). Esta é a última fase antes da aprovação de uma norma como padrão nacional.

Esta norma é a versão nacional da ISO/IEC 27017:2015, que foi publicada pela ISO/IEC no final do ano passado. Ela fornece um conjunto de diretrizes e controles de segurança específicos para provedores e clientes de Cloud Computing, baseados nas recomendações de controles mínimos de segurança definidos na ISO/IEC 27002.

A 27017 está disponível em Consulta Nacional até o dia 06/06/2016.

PS (incluído em 20/6): Veja aqui uma notícia sobre o assunto.

maio 17, 2016

[Segurança] O roubo cibernético de 80 milhões de dólares e o coração dos bancos

Recentemente vimos a notícia de um grupo ciber criminoso que roubou 81 milhões de dólares do Banco de Bangladesh. A notícia pode ter passada desapercebida por algumas pessoas, principalmente porque foi divulgado que o banco tinha uma infraestrutura muito precária de segurança: em vez de Firewall, eles utilizavam switches baratinhos de segunda mão para conectar a rede deles com a rede SWIFT. Ou seja, aos olhos de muitos, ele "pediu para ser atacado".

Mas, na verdade, este é apenas a ponta do iceberg. Primeiro, porque o banco conseguiu bloquear US$ 870 milhões em transferências que seriam feitas por este grupo (ou seja, o prejuízo poderia ter sido astronomicamente maior). Aparentemente, eles não conseguiram realizar as demais transações por um erro de digitação.

No caso do Banco de Bangladesh, os atacantes conseguiram realizar 5 transferências de fundos via a rede SWIFT, de um total de 30 tentativas, o que representaria um total de quase 1 bilhão de dólares em fraude.

Mas, o principal e mais assustador problema é que por trás do ataque ao Banco de Bangladesh estava um malware customizado, direcionado para a atacar a rede SWIFT, que processa transações interbancárias em tempo real, interligando mais de 9 mil bancos em todo o mundo. Pior ainda, estas transfer6encias costumam ser irreversíveis.  Uma vez instalado no servidor do banco, o malware manipula o client da rede SWIFT (chamado de Aliance Access), o malware acessa o arquivo de configuração do software de mensagens, insere novas ordens de transferência, e oculta seu funcionamento alterando o banco de dados que rastreia as transações e interceptando as mensagens de confirmação, para que os operadores não percebam nenhuma anomalia. Veja mais detalhes sobre o malware aqui.



Após estas notícias, começaram a surgir comentários de que a rede SWIFT está constantemente sobre ataque, principalmente através dos computadores das instituições financeiras que estão conectados a rede da SWIFT. Recentemente, surgiu a notícia de que um segundo banco no Vietnan foi atacado por um malware semelhante ao de Bangladesh, mas o banco em questão, o TP Bank, conseguiu evitar o roubo de 1,36 milhões de dólares. A SWIFT, por sua vez, avisou os bancos e lançou uma atualização de seu software. Os riscos existem não apenas em vulnerabilidades do software, mas também no roubo de credenciais dos funcionários que operam as transferências e na falta de controles de seguraça no acesso entre a rede da instituição financeira e a rede SWIFT.

Segundo a SWIFT, em ambos os ataques, os fraudadores agiram da seguinte forma:

  1. Os atacantes comprometem o ambiente do banco;
  2. Os atacantes obtem as credenciais dos operadores, que têm a autoridade para criar, aprovar e submeter mensagens SWIFT a partir do back-office dos clientes ou de seus acessos locais para a rede SWIFT;
  3. São enviadas mensagens fraudulentas personificando os operadores que tiveram as suas credenciais roubadas;
  4. O malware oculta provas, removendo alguns dos traços das mensagens relacionadas as transações fraudulentas.

Os ataques a rede SWIFT são preocupantes, pois os ciber criminosos estão tentando atacar o coração do sistema financeiro: o sistema que processa transações interbancária sem todo o mundo. Esqueça do Internet Banking, isso é pouco comparado com o que os fraudadores podem conseguir com um acesso a rede SWIFT. Por causa do poder potencial que o acesso a rede SWIFT oferece aos atacantes, eles podem facilmente movimentar o dinheiro da conta de uma vítima para outra que eles controlam, mesmo através das fronteiras entre países.

Nota adicionada em 25/06: Este artigo fala um pouco mais sobre alguns casos conhecidos de ataques a rede SWIFT desde 2013.

Nota (adicionada em 30/06): Também foi identificado um roubo de 10 milhões de bancos através da rede SWIFT em um banco na Ucrânia.

[Cyber Cultura] Emulando o Patinho Feio na Web

O Felipe "Juca" Sanches, do Garoa, criou e recentemente disponibilizou na Web um emulador do Patinho Feio, o primeiro computador nacional desenvolvido pela Escola Politécnica da USP em 1971.

O emulador permite resgatar um pouco desse esforço dos pioneiros da indústria nacional de tecnologia, e pode ser utilizado eventualmente para fins educacionais.

Veja aqui o emulador disponível no GitHub.

maio 13, 2016

[Segurança] Qualquer um pode fraudar

A imagem abaixo, de um post no Facebook, é tão engraçada que resolvi publicar aqui.


No fundo, esta imagem mostra que realizar fraudes online é tão fácil e tão popularizado que qualquer pessoa pode começar a fazer isso com pouco conhecimento técnico.

maio 11, 2016

[Segurança] Qual o melhor antivírus?

O Fernando Mercês, profissional muito respeitado de Segurança Cyber Security e dono do excelente site Mente Binária, fez recentemente uma pequena série de vídeos para discutir de forma clara e objetiva "qual é o melhor antivírus".

No primeiro vídeo desta série, o Mercês apresenta a sua opinião sobre qual é o melhor antivírus e algumas dicas básicas para se proteger online.



(SPOILER) Eu destaco o que considero as três principais sugestões do Mercês sobre o assunto:
  • O melhor antivírus é você. Esta afirmação é sensacional! Afinal, o usuário é o maior responsável por ter hábitos saudaveis na Internet. O Mercês destacou bastante a questão do usuário não confiar em nenhum e-mail que recebe, pois segundo estatísticas do mercado, 90% do tráfego global de e-mials é formado por SPAMs - muitos dos quais usados para espalhar vírus. Mas ele esqueceu de citar o acessos a sites perigosos. Sem querer incriminar os hábitos de ninguém nem parecer "puritano", mas sites de pornografia e de download ilegal são uma fonte frequente de problemas - pop-ups e anúncios indesejados e instalação de programas maliciosos;
  • Faça backup dos seus dados. Esta é a melhor forma de garantir que você nào perdeu as suas informações caso seja infectado por algum tipo de vírus;
  • Habilite avisos e autenticação via celular em seu Internet Banking, para identificar transações suspeitas em suas contas e cartões.

Se você gostou deste vídeo, o segundo da série também é muito legal. Nele, o Mercês discute o que devemos considerar ao avaliar qual solução de antivírus é a melhor.


Os dois vídeos são curtos, o Mercês é sensacional e, portanto, ninguém tem desculpa para não assistí-los !!!

[Cyber Cultura] Norma 17788 sobre visão geral e vocabulário para Computação em Nuvem

Desde Janeiro deste ano está valendo no Brasil a norma ABNT NBR ISO/IEC 17788:2015 ("Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário"), que é uma tradução realizada pela Associação Brasileira de Normas Técnicas (ABNT) da norma internacional equivalente (a ISO/IEC 17788, disponibilizada em outubro de 2014).

Esta norma fornece uma visão geral sobre o que é a Computação em Nuvem e, principalmente, padroniza um conjunto de termos e definições sobre o tema. Através desta norma, as empresas que trabalham no mercado de Cloud Computing, tais como as provedoras de serviços ou aplicações em nuvem, tem uma arquitetura básica de Cloud que podem utilizar como referência, além de poder adotar termos únicos e padronizados em toda a indústria. Os clientes de serviços em nuvem, por sua vez, podem mais facilmente comparar as ofertas feitas pelas empresas prestadoras de serviços de nuvem, pois todos poderão utilizar vocabulário e entendimento comuns.

Segundo uma reportagem que vi recentemente, "A disponibilização da norma de vocabulário e visão geral de Computação em Nuvem, em português, permite que empresas, usuários, associações de indústria, legisladores, reguladores e membros dos setores de TI e Telecom trabalhem com uma base sólida e comum entendimento sobre o que é a Computação em Nuvem, também o grupo de participantes e que tipo de benefícios dela podem ser obtidos. Isso possibilita que aspirantes a esse ecossistema possam ter uma melhor avaliação de riscos e elaboração de portfólio de produtos. Além disso, a norma permite que todos trabalhem sobre definições válidas internacionalmente, o que habilita empresas brasileiras a exportar seus serviços e consumidores brasileiros utilizarem adequadamente os serviços oferecidos tanto por empresas nacionais quanto estrangeiras."

maio 10, 2016

[Segurança] Novos hackers a caminho!

Uma das melhores surpresas da última edição da CryptoRave foi ver o sucesso da competição de Capture the Flag" ("CTF"), organizada pelo grupo Red Team Freakin' Maniacs (R.T.F.M.). Batizado de Crypt0 Ch405, a competição foi criada com exclusividade na CryptoRave 2016.


A competição foi bem concorrida e o grupo vencedor virou o placar nos últimos minutos da competição. E assim venceu o grupo #0wnz, formado por crianças e adolescentes do Instituto Alpha Lumen, de São José dos Campos. Sim, crianças. Eles participaram do CTF do RoadSec São Paulo  no ano passado e foram mal colocados, Mas a garotada estudou, não teve medo e viraram a mesa.



O Garoa Hacker Clube também participou com um time, que ficou colocado em 4o lugar.

É muito legal ver novas pessoas se interessando por segurança  e grupos novos competindo em desagios do tipo CTF, trazendo  nova energia.

maio 06, 2016

[Segurança] CryptoRave 2016

O pessoal da CryptoRave conseguiu de novo!!! Pelo segundo ano consecutivo, eles bateram a meta de financiamento coletivo e, neste final de semana, teremos a terceira edição da CryptoRave, que começa nesta sexta-feira, dia 06/Maio, a partir das 19 horas, e termina às 20h de sábado, dia 7/05. Sim, são quase 24 horas initeruptas de atividades!!!


A CryptoRave acontece apenas uma vez por ano e é um evento gratuito direcionado ao público final, com atividades de diversos níveis e assuntos variados, incluindo palestras, oficinas, debates, instalação de sistemas, e balada durante a madrugada. O evento tem um foco muito forte em ciber ativismo e defesa da privacidade online - logo, se você acha que o Snowden é um traidor ou que os governos devem vigiar as pessoas online, pense duas vezes antes de abrir a boca durante o evento.

Veja aqui a programação atualizada e completa do evento.

A CryptoRave será novamente no Centro Cultural São Paulo (CCSP), entre as estações Paraíso e Vergueiro do metrô.

Para saber mais, acompanhe a CryptoRave no Twitter e no Facebook.

maio 05, 2016

[Segurança] Cloud Computing e Segurança

Segundo uma projeção do Gartner, o mercado global de Computação em Nuvem (Cloud) Pública atingirá US$ 204 bilhões ainda em 2016, uma expansão de 16,5% sobre os US$ 175 bilhões movimentados no ano passado.

Apesar deste crescimento, a segurança continua sendo uma das principais preocupações que impedem a adoção de Cloud Computing. Segundo um estudo global da Intel Security, enbora 77% das empresas confiem na computação em nuvem mais do que há um ano, apenas 13% acreditam na capacidade dos fornecedores de nuvem pública em proteger seus dados confidenciais. Veja outros dados interessantes sobre segurança e Cloud:
  • Mais de um entre cinco participantes expressaram que a principal preocupação sobre o uso de Software como Serviço (SaaS) é ter um incidente de segurança de dados;
  • As violações de dados estão no topo das preocupações para as ofertas de Infraestrutura como Serviço (IaaS);
  • Apenas 23% das empresas entrevistadas sofreram perda de dados ou violações em seus serviços de nuvem;
  • 63% dos respondentes no Brasil afirmam confiar completamente nos serviços de nuvem privada para manter seus dados confidenciais seguros.

Desde o surgimento da Computação em Nuvem, a segurança sempre foi uma das maiores preocupações e um dos principais fatores que impediram adoção de Cloud nas empresas. é interessante notar que, passados tantos anos, isto continua sendo uma grande preocupação.

maio 03, 2016

[Segurança] Quer contratar um ataque de DDoS?

Você quer contratar um ataque de DDoS e não sabe como ?

Um vídeo disponibilizado no YouTube em nome do "Gwapo DDOS" anuncia a oferta de serviços de DDoS para derrubar sites.



O vídeo é simples mas é engraçado, por conta da linguagem e abordagem que ele utiliza, pois parece que está vendendo um serviço legal, com um discurso bem marketeiro.

O serviço de DDoS é oferecido por preços entre 5 a 15 dólares por hora, dependendo do porte do site que será alvo do ataque. Com 4 anos de experiência, "você não vai se decepcionar"!!! E o pagamento é feito com moedas virtuais, que garantem o anonimato do cliente: Liberty Reserve, MoneyPak e Bitcoins.

O autor deste vídeo também disponibilizou outros vídeos em seu usuário do YouTube, inclusive com uma suposta "demonstração" dos serviços de DDoS.


maio 02, 2016

[Carreira] Profissão do momento: Chief IoT Officer

Prepare-se. Está surgindo a profissão do futuro:

Chief IoT Officer (CioT)


Com a popularização rampante da Internet das Coisas (IoT), o mercado já busca profissionais especializados nessa área, que possam embarcar tecnologia em diversos tipos de produtos, em um esforço que envolve o pessoal de TI, engenharia, produtos, negócio e Marketing. Com essa necessidade tão específica e multi-disciplinar, o mercado já começa a falar em diretores especializados em IoT.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.