junho 30, 2016

[Segurança] As regras básicas do ciber crime russo

O post é do ano passado, mas eu li ele recentemente: este artigo do portal Data Breach Today que destaca as duas regras principais que são válidas entre os ciber criminosos na Rússia:
  1. Os criminosos russos não podem fraudar outros russos, ou qualquer outra pessoa de uma nação que anteriormente fazia parte da União Soviética;
  2. Se um serviço de inteligência russo pede sua ajuda, você ajuda.

Estas são regras informais, não escritas, que resumem claramente porque os ciber criminosos russos frequentemente atacam empresas americanas ou européias, e agem assim de forma aparentemente impune. Além disso, autoridades de outros países tem grande dificuldade em processar e extraditar ciber criminosos russos.



Além disso, o artigo destaca uma terceira regra que deveria ser adotada pelos ciber criminosos, fruto da dificuldade dos países ocidentais em conseguirem colaboração das autoridades russas:
  • Cuidado com aonde você viaja de férias - afinal, as polícias d eoutros países podem esperar até você sair da Rússia e, então, te prender.

Para confirmar que tais regras existem, o artigo dá alguns exemplos de ciber criminosos russos que foram presos porque atacaram vítimas na própria Russia.

junho 27, 2016

[Segurança] Malwares e Ransomwares atacando IoT

Recentemente pesquisadores de segurança da Trend Micro identificaram uma nova variante do ransomware FLocker que é projetado para infectar e bloquear dispositivos Android, incluindo smartphones, tablets e... Smart TVs!!!

O ransomware bloqueia a tela do dispositivo, exibindo uma mensagem falsa em nome da polícia (por exemplo, "U.S. Cyber Police"), dizendo que o usuário é suspeito de ter realizado crimes cibernéticos a partir daquele dispositivo. Assim, ele exige o pagamento de uma "multa" de 200 dólares, que deve ser paga com gift cards da iTunes.



A Internet das Coisas (Internet of Things, ou simplesmente IoT) diz respeito a todas as tecnologias que permitem conectarmos objetos, dispositivos e sensores a uma rede ou à Internet, e permite a interação entre estes dispositivos. Existem diversas aplicações para isso, tais como:
  • Carros inteligentes
  • TVs inteligentes
  • Refrigeradores
  • Computação vestível ("Wearables")
  • Outros sistemas embarcados, bem como dispositivos não computacionais.
Com a proliferação de dispositivos conectados na Internet, surgem também novas ameaças de segurança para eles, e os ciber ataques estão se tornando cada vez mais comuns.

No ano passado, um ataque cibernético envolvendo IoTs comprometeu mais de 100.000 Smart TVs, geladeiras e outros aparelhos inteligentes domésticos para enviar milhões de e-mails de spam. Em outro caso, foi descoberto um worm ppara sistemas Linux ("Linux.Darlloz") que sequestrou diversos eletrodomésticos inteligentes incluindo Routers, câmeras de segurança e impressoras, para minerar moedas criptográficas.

Outras informações (adicionado em 20/07/16):

[Humor] Barbie desenvolvedora chega devendo para o SindPD

Em uma das diversas ações da Mattel para renovar a boneca Barbie, neste ano ela lançou nos Estados Unidos a boneca "Game Developer", que será lançada no Brasil durante o segundo semestre deste ano, por R$ 80,00 - de acordo com informações da assessoria de imprensa da Mattel.

A dúvida que nos resta é se as crianças que ganharem a boneca vão ter que pagar a contribuição assistencial anual para o SindPD.


A boneca faz parte da linha "Careers", e traz acessórios como um laptop, tablet e fone de ouvido. Segundo o site da Mattel, o laptop contém uma imagem real de um software de desenvolvimento de games e o tablet tem uma imagem do game que a boneca está criando. A Barbie tem um visual descolado, com direito a jeans, jaqueta verde, tênia branco e óculos de grau. Algumas mulheres, profissionais de TI, ajudaram a criar a boneca.

junho 24, 2016

[Segurança] Tampem suas câmeras e seus microfones!

Poucos dias após surtirem os rumores de que o Facebook tem capacidade de monitorar as conversas que realizamos através dos microfones nos smartphones, eis que algo surge para dar mais força as preocupações com a nossa privacidade e para aumentar o nosso nível de paranóia...

Algo que deveria ser uma foto simples e descontraída do CEO do Facebook, Mark Zuckerberg, comemorando 500 milhões de usuários (publicada no Facebook), chamou a atenção da galera na Internet por um detalhe: o notebook dele tinha fitas adesivas tampando a câmera e o microfone!





O pessoal da Cryptorave também não poupou comentários no seu perfil no Facebook, com um post destacando o seguinte:
O que há de "estranho" na foto?
1. Câmera está coberta com fita adesiva
2. Microfone está coberto com fita adesiva
3. O Email client é Thunderbird
Nos dias de hoje, um pouco de paranóia não faz mal a ninguém. Afinal, a capacidade intrusiva das tecnologias ao nosso redor nos surpreende cada vez mais - tanto como se fosse uma suposta "funcionalidade" ou simplesmente como arma de espionagem.

Tampar a câmera com um adesivo é uma prática normalmente adotada entre o pessoal mais paranóico (ou mais consciente, se preferir) e é eficiente para evitar ter suas imagens capturadas sem seu conhecimento. Malwares para fins criminosos ou de espionagem já tem esta capacidade faz tempo.

Entretanto, a eficácia de uma fita adesiva para evitar a captura de som é muito baixa: no máximo conseguiríamos abafar o som, mas dificilmente vai anular a captura. Algum bloqueio deveria ser feito em hardware para ser minimamemten efetivo, e já ouvi alguns amigos especulando que talvez colocar um conector de microfone na entrada de áudio poderia desabilitar o microfone embutido (mas eu mesmo não sei se é eficiente).


junho 22, 2016

[Cyber Cultura] Mobile Banking e Banco Digital no Brasil

Uma reportagem recente da Computerworld destaca o crescimento do Mobile Banking no Brasil. Utilizando estatísticas da Febraban, a reportagem traz alguns números que comprovam esta tendência:
  • Atualmente, 33 milhões de brasileiros usam mobile banking;
  • O número de transações realizadas através de dispositivos móveis no Brasil saltou de 4,7 bilhões para 11,2 bilhões entre 2014 e 2015 (aumento de 138%);
  • Atualmente, o canal móvel já responde por 21% dentre um total de 54 bilhões de transações realizadas nos 17 maiores bancos em atividade no País;
  • Considerando todos os canais eletrônicos (web, mobile e POS), os canais digitais responderam por 69% das transações registradas nos bancos brasileiros em 2015.
  • Grande parte (95%) das operações realizadas através do mobile banking em 2015 são classificadas como movimentação não financeira (por exemplo, consulta de saldos e extratos);
  • O Internet Banking registrou 17,7 bilhões de transações no último ano, pouco abaixo das 18 bilhões verificadas em 2014. Assim, a representatividade do canal caiu de 37% para 33%, talvez influenciada pelo avanço da mobilidade.
A reportagem também destaca um dado do IBGE, segundo o qual 40% dos brasileiros possuem um smartphone atualmente, sendo que esse percentual deve subir para 65% em 2020.

Neste cenário, outra reportagem da Computerworld e um artigo no portal CIO destacam algumas tendências que estão afetando o mercado financeiro no Brasil e no mundo:
  • A preocupação em melhorar a jornada do cliente e sua experiência online, com aplicativos e interfaces de fácil uso e intuitivos. Os canais digitais criados nas últimas décadas estão melhorando cada vez mais as interações entre clientes e empresas;
  • O Banco Digital está surgindo rapidamente no Brasil e no mundo, revolucionando a interação com os clientes;
  • Os Bancos estão amadurecendo o conceito de Open Banking, que é voltado para a criação de um ecossistema de parceiros digitais, de diversos segmentos, que podem se conectar ao banco através de APIs para fornecer novos serviços financeiros;
  • Na carona do Open Banking temos a forte ascensão das Fintechs, as novas startups focadas em oferecer online alguns serviços financeiros específicos;
  • A Internet das Coisas (IoT) e a computação vestível também promete ajudar os bancos com o surgimento de gadgets voltados para serviços financeiros, principalmente para criar novos meios de pagamento via NFC.
Praticamente todos os grandes bancos e alguns dos pequenos e mégios bancos já estão investindo em novas tecnologias e abordagens para o mundo digital hiperconectado, voltados principalmente para as demandas de serviços das novas gerações.

junho 21, 2016

[Cyber Cultura] Surge o Banco Digital

O "Banco Digital" (ou "Digital Banking") é uma nova tendência no mercado financeiro que está surgindo rapidamente no mercado como uma evolução do Internet Banking e do Mobile Banking, com o objetivo de manter todo o relacionamento bancário no celular, aproveitando a hiperconectividade da nossa sociedade.

Nós já estamos chegando no momento em que todo o processo de relacionamento entre os bancos e seus clientes pode ser feito online, dispensando a presença física e a papelada burocrática. E é aí que entra o conceito de "Banco Digital": ele é uma nova forma de relacionamento fim-a-fim, enquanto o Internet Banking e o Mobile Banking surgiram apenas para ser mais um canal de interação com o banco - assim como as agências, call center e caixas eletrînocos. Ou seja, o Internet e o Mobile Banking são apenas mais um canal transacional, enquanto o Banco Digital foca em todo o relacionamento com o cliente (não apenas as transações).



Nubank e o Banco Original, por exemplo, estão inovando o mercado pois conseguem oferecer todos os serviços bancários no celular, no computador e no tablet.



Os novos serviços de Banco Digital incluem a digitalização de todos os processos existentes como, por exemplo, a abertura de contas e contratações de produtos. Outro grande foco é o uso do canal digital para a personalização de ofertas para clientes (tais como recomendações de novos produtos e serviços financeiros), além da resolução rápida de problemas. Sim, e também permite realizar transações ;)

junho 20, 2016

[Segurança] Ciber criminosos em redes sociais

Quem tem alguns anos trabalhando no mercado de segurança da informação deve se lembrar que, desde na época do Orkut, já existiam diversos grupos sobre hacking, fraude e ciber crime, aonde ciber criminosos brasileiros trocavam informações e vendiam serviços maliciosos abertamente.

De acordo com dois relatórios lançados pela RSA no início deste ano, essa situação não mudou - e ainda se espalhou pelo resto do mundo. Batizado de "Hiding in Plain Site: The Growth of Cybercrime in Social Media", a primeira parte do relatório apresenta uma introdução e descreve o uso das redes sociais (e, especialmente, o Facebook) por ciber criminosos em vários países, incluindo o Brasil e a América Latina. A segunda parte focou no uso de redes sociais na China e Rússia - justificável pelo porte dos dois países e também porque em cada um destes países existe uma uma rede social local que é utilizada pela grande a maioria das pessoas (em vez do Facebook).

Em um estudo de seis meses, a RSA descobriu mais de 500 grupos ativos em sites de redes sociais que eram dedicados a fraudes, com mais de 220.000 participantes de todo o mundo. O interessante é que a maioria destes grupos estão abertos para o público, e podem ser acessados facilmente. O Facebook liderou a quantidade de fóruns, representando cerca de 60% dos perfis estudados (aproximadamente 133.000 membros).


A pesquisa identificou que os tipos de informação que são compartilhadas abertamente em mídias sociais incluem informações financeiras (como números de cartão de crédito com PII e códigos de autorização), tutoriais para o crime cibernético, ferramentas de malware e serviços de saque de dinheiro e de “mula” (laranja). Sob um aspecto global, o roubo de cartão de crédito se destaca como a atividade de fraude mais popular entre os ciber criminosos, compreendendo 53% das postagens que a RSA observou.



A sensação de impunidade é tão grande que muitos dos participantes destes grupos utilizam seus perfis pessoais ao participar desses grupos - e, por isso, poderiam ser facilmente identificados e presos pelas autoridades.

Ao comentar sobre os ciber criminosos brasileiros, o relatório destaca algumas coisas que já sabemos: que o ciber crime brasileiro é muito focado internamente (ou seja, nossos fraudadores atacam apenas bancos nacionais) e também destaca que há pouca interação entre grupos brasileiros com grupos do resto da América Latina.

Para saber mais:


junho 17, 2016

[Cyber Cultura] Big Data e Data Lake

Estão aí duas buzzwords que estão na moda na área de tecnologia: Big Data e Data Lake.


Tentando explicar um pouco... O Data Lake é, em poucas palavras, um gigantesco repositório de armazenamento de dados que serão utilizados pelos tais "cientistas de dados" para extrair informações relevantes ao negócio. Assim, o Data Lake pode concentrar dados de fontes e usos distintos, que estão tradicionalmente dispersos dentro da empresa.

As soluções de Big Data irão, portanto, se alimentar do Data Lake para extrair e disponibilizar estes dados de forma rápida e que faça sentido ao negócio. Uma solução de Big Data e Data Lake eficaz é capaz de fornecer três funções críticas:

  • Armazenamento: O Data Lake é capaz de armazenar dados estruturados e não estruturados para todos os tipos de análise, a partir de muitas fontes diferentes, com capacidade e desempenho conforme necessário para as análises;
  • Analise: Fornece gerenciamento de dados e diversas ferramentas de análise;
  • Superfície e Ação: fornece os dados para usuários e aplicações para permitir alterações em tempo real nos resultados e influenciar as decisões críticas de negócio.




Aexistência de um Data Lake só é possível hoje em dia graças ao grande barateamento das tecnologias de armazenamento de dados (discos e storages) e das tecnologias de análise em tempo real de grandes volumes de dados. O Big Data é hoje o sonho que o Data Warehouse foi no final da década de 90.

A desvantagem do conceito de Data Lake, para quem trabalha com segurança, é que ele incentiva a empresa a armazenar uma quantidade exorbitante de informações, que devem ser protegidas com todo o cuidado - algo que duvido que esteja acontecendo. Informações provadas e sensíveis talvez nem pudessem ser armazenadas, ou deveriam ser obfuscadas antes de armazenar, para evitar danos aos clientes, usuários e a empresa caso estes dados vazem.

junho 16, 2016

[Segurança] A Idade da Pedra na Era da Informação

No dia 13de Junho deste ano eu tive a oportunidade de palestrar na décima edição do You Sh0t the sheriff (YSTS), e para isso eu escolhi um tema que achei bem interessante e batizei de "Bem-vindo a Idade da Pedra na Era da Informação".



O objetivo principal da minha palestra foi o de levantar o questionamento sobre o quanto ainda temos que aprender a lidar com as tecnologias e informações que estão a nossa volta. enquanto o pessoal de marketing, mídias sociais e tecnologia adoram dizer que estamos vivendo na "Era da Informação", eu cada vez mais acredito que estamos ainda no início, nos primórdios, dando os primeiros passos nessa jornada. Consequentemente, nós não temos o menor conhecimento do que significa viver em um mundo hiper conectado aonde uma quantidade incomensurável de informação e de conhecimento está disponível instantaneamente.

Atualmente quase a metade da população mundial (46%) tem acesso à Internet e produz uma quantidade absurda de informação em redes sociais, blogs, e-mails, e outras mídias. Isso acaba causando o fim da privacidade (como consequência da super exposição a qual nos submeemos) e nos torna paranóicos, com a sensação de que estamos sendo (e de fato, podemos ser) monitorados a todo o momento.

Nós não fomos educados a lidar com o grande volume de dados que produzimos, compartilhamos e consumimos diariamente, em excesso e de forma indiscriminada. Por não saber como lidar com isso, devido a novidade que representa, nós falhamos como indivíduo, como sociedade, como empresa, como governo e como profissionais de segurança. Nös não sabemos como manipular, como tratar e, principalmente, como proteger tais informações. Vazamentos de dados, pessoais ou empresariais são rotina, causando danos enormes para pessoas (em caso de sexting e revenge porn) e empresas (que podem ter seus dados vazados e utilizados por cier criminosos).

Enquanto os governos se esforçam em criar regulamentações para proteção de dados pessoais (e coisas como o “direito de ser esquecido”), eu me pergunto se as empresas precisam realmente guardar essa quantidade de dados que coletam e armazenam. Afinal, elas não sabem como tratar estes dados e, principalmente, não sabem como protegê-los adequadamente.

Atualização (20/12): Segue um resumo visual dos principais tópicos abordados na palestra:


[Cyber Cultura] Cabos submarinos

Recentemente eu trombei com o gif animado abaixo, que mostra o funcionamento dos cabos submarinos.


via GIPHY


Os cabos submarinos são o que podemos chamar de "espinha dorsal" da Internet, interligando todos os países e continentes entre si, em uma grande malha distribuída por todo o planeta.

junho 13, 2016

[Segurança] Descubra se a sua senha vazou

Com tantos vazamentos recentes de dados afetando milhões de usuários, é de se esperar que praticamente todo mundo foi exposto e teve alguma de suas senhas disponibilizadas online.

A conta de padeiro é simples: só os vazamentos de dados dos usuários do Myspace, Linkedin totalizam mais de 730 milhões de contas, ou seja, aproximadamente 10% de toda a população mundial pode ter sido afetada - ou cerca de 20% de todos os usuários da Internet.

Para descobrir se fomos afetados nestes vazamentos de dados, um profissional de segurança da Micrisoft criou o site "haveibeenpwned.com", aonde podemos fazer uma busca pelo endereço de correio eletrônico e descobrir se este e-mail consta em algumas das bases de dados expostas.



É uma ótima ferramenta para saber se em algum momento nossos dados foram expostos e, principalmente, se precisamos trocar nossas senhas com urgência.

Não custa lembrar que, independente dos vazamentos de dados, todos nós devemos cuidar muito bem de nossas senhas. Ou seja:
  • Usar senhas fortes, de difícil adivinhação;
  • Nunca "reutilizar senhas", ou seja, nunca usar a mesma senha em sites distintos;
  • Trocar periodicamente as senhas.
Para facilitar a vida, uma opção é ter um conjunto de senhas mais "fortes" para os seus sites e serviços princpais (tais como redes socisis, correio, senhas do trabalho, etc) e um conjunto de senhas fracas, de fácil memorização, para os sites e cadastros de uso esporádico.

junho 10, 2016

[Cyber Cultura] Global Internet Maps

O pessoal do Internet Society mantém um site muito legal chamado "Global Internet Maps", com um mapa interativo mostrando diversas estatísticas de uso da Internet por país.


Há diversas estatísticas disponíveis, desde a penetração de Internet por país até quantidade de edições na Wikipedia, passando por estatísticas de banda larga, etc. Vale a pena a visita :)

PS: Outro site bem legak com estatísticas sobre uso d Internet em todo o mundo é o Internet World Stats

junho 09, 2016

[Segurança] Senhas óbvias

Uma análise feita com as senhas da maior rede social da Rússia, a VK.com, vazadas no início de Junho, mostra que uma grande quantidade de usuários continua utilizando senhas extremamente fracas. Uma análise ds senhas mais frequentes, realizada pelo site Leaked Source, mostra que elas são óbvias e qualquer tentativa de adivinhação de senha teria grande sucesso.



O vazamento da rede social VK.com tinha 100 milhões de senhas expostas em claro, junto com nome e e-mail dos usuários. Esse conjunto de dados estava a venda em fóruns underground por apenas 1 bitcoin.

junho 08, 2016

[Segurança] Mega Vazamentos de dados

Nos últimos anos temos presenciado uma sequencia interminável de roubos de grandes conjuntos de dados pessoais, que afetaram diversas empresas e milhões de consumidores em todo o mundo.

Um dos casos mais famosos a inaugurar esta tendência foi da rede americana de supermercados Target, que teve um conjunto aproximado de 40 milhões de dados de cartões de crédito roubados no final de 2013. Mas muitos outros casos vieram posteriormente, afetando diversas empresas como lojas, sites de e-commerce, hotéis, cadeias de restaurantes e muitos outros.

Mas algumas notícias recentes elevaram os casos de roubo de dados para um novo patamar, aonde até mesmo países inteiros são comprometidos. Apenas em Maio, pelo menos 650 milhões de senhas foram vazadas, segundo uma notícia no site Data Breach Today.
  • No início de Abril foi anunciada a descoberta de uma base de dados disponível abertamente na Internet com informações de mais de 49 milhões de cidadãos da Turquia, mais da metade dos 79 milhões de habitantes
  • O Banco Nacional de Qatar sofreu recentemente um grande vazamento de dados, totalizando mais de 15 mil arquivos e 1,4 GBytes de dados, que incluem informações pessoais de clientes;
  • No início de maio surgiu a notícia de que 170 milhões de credenciais do Linkedin, roubadas em 2012, estavam a venda em fóruns underground;
  • No final de maio foi anunciado que o site Myspace foi hackeado e foram roubadas 360 milhões de credenciais e 427 milhões de senhas;
  • Ainda em Maio, 65 milhões de senhas do Tumblr estavam a venda em fóruns underground por 150 bitcoins;
  • Aparentemente, foram roubadas 127 milhões de senhas do site Badoo no início de Junho;
  • Ainda no início de Junho, foi noticiado o vazamento de senhas da maior rede social da Rússia, a VK.com, com 100 milhões de senhas expostas em claro, junto com nome e e-mail dos usuários. Detalhe: o país tem 143 milhões de habitantes - ou seja, em teoria, 2/3 da população foi exposta;
  • Dados de 51 Milhões de contas do falecido site de compartilhamento iMesh também foram vistos a venda em fóruns underground (atualizado em 20/06).
Além do citado acima, em Maio de 2016 o grupo hacker turco Bozkurtlar vazou vários conjuntos de dados de 5 bancos asiáticos: Dutch Bangla Bank, The City Bank e Trust Bank, de Bangladesh e dois bancos do Nepal, Business Universal Development Bank e Sanima Bank.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.