dezembro 31, 2016

[Segurança] Feliz Ano Novo, uma mensagem do Anonymous

O pessoal do Anonymous publicou um vídeo com uma mensagem de Feliz 2017, batizado de "Anonymous - Happy New Year 2017". Eu achei a mensagem do vídeo bem legal, e por isso resolvi compartilhar aqui, rapidinho, enquano minha família me espera para a ceia de final de ano.


Segue uma transcrição, em português, da mensagem deles:
Outro ano já passou, agora somado às notas de rodapé da história. 2016 ensinou-nos muitas lições, os cursos estabelecidos antes de nós neste ano passado têm o potencial para mudar o mundo. 2017 está agora na nossa frente, e com ele vem novas aventuras!
Nós enfrentamos muitos desafios este ano, no entanto eles são desafios que enfrentamos juntos. Embora possa ser difícil para aqueles com os olhos ainda fechados para ver, chegamos tão longe e estamos no curso como uma espécie para realizar muito mais.
Nós temos a oportunidade de fazer história. Este é o nosso tempo para fazer uma diferença positiva que vai durar para as gerações vindouras, este é o nosso tempo para liderar através do exemplo!
O tempo para restaurar o equilíbrio de poder é agora. Anonymous é apenas um reflexo de vocês, o povo. Vocês devem agir em vez de esperar que outros o façam. Este ano cabe às pessoas, você é a chave, você sempre foi. Uma revolução pacífica ainda é possível!
Façam suas vozes serem ouvidas, deixe que os líderes de seu país saibam que as pessoas não estão satisfeitas com o curso atual que aqueles que estão no poder estabeleceram. Deixe-os saber que a privacidade, a liberdade, e os direitos humanos importam!
Este ano é fruto do que você fizer por ele, para torná-lo muito bom, algo para se orgulhar. Entre em 2017 com uma mente aberta e um coração aberto, para juntos podemos realmente fazer deste um ano para ser lembrado!

dezembro 29, 2016

[Segurança] Previsões para 2017

Eu tenho dificuldade em pensar no que pode vir de ruim em 2017, pois ainda estou chocado com a grande quantidade de dados vazados em 2016, o volume gigatesco que atingiram os ataques DDoS a partir de redes de dispositivos IoT e a enorme quantidade de dados vazados. Isso sem falar que frequentemente vimso notícias de novas vulnerabilidades em tudo quanto é sistema operacional e aplicativos.

O ano de 2016 foi, sem dúvidas, muito intenso para todos nós. E não há motivos para imaginarmos que 2017 será menos pior.

Olhando algumas previsões para 2017 que foram publicadas por aí, eu aposto no seguinte:
  • Podemos, sim, ver pela primeira vez mortes de pessoas causadas por ciber ataques (ou numa ciber guerra, ou, provavelmente, por um ciber ataque a algum hospital - chegamos perto disso em 2016);
  • Poderemos ver danos físicos causados por ciber ataques a dispositivos de IoT;
  • Vamos entrar oficialmente na era da "Guerra Fria Cibernética" ("Cyber Cold War"), alimentados pela escalada de ciber ataques e pelas tensões geo-políticas impulsionadas pelo governo Trump (que tem uma tendência armamentista, além do fato de que ele já está causando treta com a China e que pode se alinhar com a Russia - ou, pelo menos, os dois países podem ter interesse em alimentar uma escalada militar); Some a isso o fato de que já tivemos tempo suficiente para muitas agências de espionagem de dos grandes países já terem invadido os sistemas de infra-estrutura crítica de praticamente todo mundo;
  • O alto volume de incidentes e a falta de profissionais no mercado (principalmente nos EUA), vai influenciar as empresas a investirem em ferramentas de automação ou terceirização de serviços de segurança, com destaque aos MSSPs (Managed Security Service Providers);
  • Conforme eu comentei recentemente, do ponto de vista de prevenção, em 2017 devemos ver tecnologias de Big Data apoiando a detecção de ataques e fraudes em segurança;
  • A batalha entre a privacidade online e a vigilância governamental vai se intensificar, e provavelmente vamos perder cada vez mais o nosso direito a privacidade;
Algumas previsões curiosas:
  • O grande volume de vazamento de dados pode começar a exigir que as empresas adotem políticas mais fortes de senha, e eventualmente motivar a adoção de biometria;
  • A necessidade de gestão de identidades vai fazer surgir o cargo de Chief Identity Officer (CIdO). Sério que vamos precisar de um alto executivo para isso!?
  • Proliferação dos Ransomwares sequestrando dispositivos IoT (imagine um ransomware bloqueando o seu carro!);
Algumas previsões bem óbvias que a galera tem dito por aí:
  • Os ciber ataques a dispositivos IoT e os ataques a partir de botnets baseadas em IoT vão se intensificar mais ainda;
  • Há coisas que já acontecem hoje e que os especialistas dizem que é tendência para 2017: o a profissionalização do ciber crime (e o "cyber crime as a service"), e a sofisticação dos ataques de ransomware e dos phishings.
Para saber mais:

dezembro 27, 2016

[Segurança] Os ciber ataques também estão indo longe demais!!!

Não são apenas os ataques DDoS que estão indo longe demais, causando impactos cada vez maiores e mais difíceis de serem mitigados pelas empresas.

Duas notícias recentes mostram casos preocupantes de ciber ataques que pode colocar as vidas das pessoas em risco!

Em Novembro, um ataque DDoS afetou o sistema de aquecimento de dois blocos de casas na cidade de Lappeenranta, na Finlândia. Uma parada desses serviços em pleno inverno poderia causar graves problemas para a população local!

Diversas empresas do setor de saúde (hospitais, planos de saúde, clínicas, etc) foram alvo constante de ciber ataques em 2016. Os ciber criminosos aproveitaram que empresas de saúde são alvos fáceis pois guardam grande quantidade de dados pessoais e, além disso, geralmente possuem poucos profissionais de TI em seus quadros. Grande parte dos ciber ataques que ganharam atenção na mídia foram casos de sistemas hospitalares infectados por ransomware, um tipo de ataque que aconteceu com frequência em 2016.

Mas, no início de Novembro, alguns hospitais em Lincolnshire, na Inglaterra, foram obrigados a cancelar consultas, exames hospitalares e cirurgias após um vírus infectar a rede do serviço nacional de saúde inglês (National Health Service - NHS). Felizmente não houve notícia de problemas sérios causados aos pacientes.



O pior de tudo é que os ransomwares são nada mais do que um simples vírus de computador que, além de se propagar pela rede e infectar computadores, ele também sequestra dados. Ou seja, se um ransonware conseguiu, de forma robotizada e sem muita intelugência, entrar na rede de um hospital e infectar sistemas críticos, imagina quantos atacantes realmente mal intencionados não poderiam fazer a mesma coisa? Me assusta profundamente a possibilidade de ciber terroristas com acesso a sistemas hospitalares, ou dados médicos de pacientes sendo utilizados para espionagem, chantagem ou atentados.

dezembro 26, 2016

[Segurança] Retrospectiva 2016

Certamente 2016 irá entrar na história como um ano marcante para todos. Seja por causa da eleição do Donald Trump, do impeachment da Dilma, dos escândalos do propinoduto da Odebrecht, a Dyrce vencendo o Masterchef Profissional, a morte do David Bowie e do George Michael, etc. E também teve a febre do Pokemon Go ;)

Se 2016 fosse um filme, o roteiro teria sido de George R. R. Martin e a direção, do Quentin Tarantino.



Do ponto de vista de segurança, também tivemos um ano tumultuado, com alguns eventos bem marcantes para o nosso mercado:
  • Proliferação de ataques a dispositivos IoT e ataques DDoS a partir destes dispositivos, com destaque para a botnet Mirai (cujo código fonte foi disponibilizado publicamente no Github)
  • Como consequência do surgimento das botnets baseadas em IoT, os ataques DDoS atingiram volumes marcantes e chegaram a desesperadora marca de 1.2 Tbps;
  • Continuamos com a onda de vazamento de dados, desta vez a todo o vapor, com destaque ao mega-vazamento de 1 bilhão de dados de usuários do Yahoo!
  • Na gringolândia, talvez a principal notícia do ano foi a possibilidade das eleições presidenciais terem sido hackeadas, ou a grande influência que os vazamentos de dados (direcionados ao partido Democrata e supostamente realizado por hackers russos) pode ter tido no resultado final das eleições;
  • No Brasil, este foi o ano dos Ransomwares. embora esse tipo de código malicioso não seja novidade para ninguém. Ainda assim, o sequestro de computadores ainda não tem sido realizado pelos ciber criminosos brasileiros (que ainda preferem focar em fraude bancária). Os usuários brasileiros foram infectados por ransomwares criados lá fora, e também sofreram com as diversas variantes que surgiram neste ano;
  • Ainda sobre os Ransomwares, vimos o surgimento de diversas iniciativas para tentar conter a epidemia dos Ransomwares, em particular o lançamento do portal NoMoreRansom.org.


Do ponto de vista de prevenção, neste ano começamos a ver as primeiras iniciativas de se utilizar Big Data como forma de identificar fraudes e ataques, algo que deve amadurecer em 2017. Também nesta linha, a IBM começou a utilizar o Watson para identificar ciber ataques.

Nota (adicionada em 26/12): Esqueci de mencionar uma coisa: em 2016 vimos a massificação da cultura hacker, principalmente em função do grande sucesso da série Mr. Robot. Eu acredito que o Mr. Robot é tão influente para a geração atual quanto foram os filmes War Games e Hacker (1995) nos anos 90. Ou seja, a popularização do hacking, através de uma série televisiva bem feita, e de escala mundial, está influenciando novas gerações a entrarem nesse mercado (tanto para o lado bom quanto para o lado escuro da Força). Aqui no Brasil, além do sucesso da série Mr. Robot, estamos vivendo uma grande popularização das competições de Capture The Flag (CTF), o que colabora para atrair o interesse de estudantes e jovens profissionais.


Nota 2 (adicionada em 05/01/17): A Dell EMC publicou um pequeno artigo destacando os principais ciber ataques de 2016. Vale a leitura.

dezembro 23, 2016

Boas Festas !!!

Para muitos, é época de desejar Feliz Natal.
Para muitos, desejamos um Feliz 2017.
Para alguns, desejamos Boas Festas.



Para muitos de nós, esta é uma época de renovação, de repensar o que aconteceu no ano anterior e fazer planos para o ano seguinte. É época de celebrar com a família e com amigos. É época de compartilhar alegrias.

dezembro 22, 2016

[Segurança] Ransomware: O novo (e genial!) modelo de negócio

Neste ano, um dos eventos de segurança realizou um painel sobre Ransomwares batizado de "Ransomware: O novo (e genial!) modelo de negócio". Estes são os softwares maliciosos que sequestram os computadores das vítimas, bloqueando a tela ou criptografando os dados locais, e só liberam mediante o pagamento de uma taxa para o ciber criminoso.

Mas eu lamento dizer: os Ransomwares não tem nada de novo.

Esta praga existe há vários anos - desde 2005 segundo a Trendmicro e a Symantec (ano da primeira onda de ransomwares modernos, com o surgimento do Trojan.Gpcoder). Em 2013 (três anos atrás) surgiu o “CryptoLocker”, o primeiro Ransomware que criptografava os arquivos locais das vítimas.


O pessoal do portal CSO Online fez um slideshow com a história do Ransomware, desde o primeiro caso conhecido, o trojan AIDS de 1989, passando pelo surgimento do Cryptolocker em 2013 e chegando até os dias atuais.

Os Ransomwares representam 1 em cada 20 ataques de códigos maliciosos (trojans, vírus, etc), e o valor médio exigido das vítimas é de US$ 300.

A única novidade, se é que podemos chamar assim, é que me parece que tivemos um volume recorde de ataques de ransonware no BRasil este ano. Não digo por causa de estatísticas, mas por ver tantas histórias e tanta gente pedindo ajuda por aí. Mas isso não significa que o ciber criminoso brasileiro está fazendo Ransomwares - muito pelo contrário, eles continuam ganhando muito dinheiro com fraudes bancárias. Os casos de usuários brasileiros infectados existem porque eles foram infectados por Ransomwares feitos e controlados por ciber criminosos lá fora. Eles foram infectados acidentalmente, ou seja, não eram o alvo específico de tais gangs.

Para ajudar pessoas e empresas a combaterem infecções de Ransomwares, o European Cybercrime Center da Europol e a polícia holandesa (através do National High Tech Crime Unit), em conjunto com as empresas Kaspersky Lab e Intel Security lançaram o portal "No More Ransom" (NoMoreRansom.org).



Para saber mais:

dezembro 21, 2016

[Segurança] A nuvem sumiu!

De repente, a Serverloft, uma empresa brasileira de serviços de Cloud Computing, deixou seus clientes fora do ar, devido ao que eles alegaram ser um problema jurídico com o fornecedor deles, a Equinix. Com isso, as empresas que tinham seus sites e aplicações hospedados na Serverloft ficarm sem nada do dia para a noite - e estão assim desde o dia 14/12.



Segundo uma reportagem no site Baguete, pelo menos 16 mil clientes estão com sites fora do ar, alguns deles sem acesso a backup. Ainda segundo a reportagem, os serviços da Serverloft ficariam hospedados na Equinix de São Paulo, com um ambiente de backup no Rio de Janeiro - embora o site da Serverloft diga que a infra-estrutura de Cloud Computing estava hospedada no datacenter da ALOG, usando blades DELL. Aparentemente o encerramento dos serviços aconteceu porque a Serverloft acumulava uma conta de seis meses com a Equinix, embora seguisse cobrando seus clientes normalmente - até que a Equinix finalmente cortou a conexão deles na semana passada.

O caso da Serverloft reforça a necessidade das empresas tomarem muito cuidado ao contratarem um serviço de hospedagem ou de Cloud Computing:
  • Antes de contratar o serviço, é necessário pesquisar muito sobre a empresa. Talvez isso não resolvesse no caso da Serverloft, pois fazendo uma pesqusa rápida no Google não encontrei notícias anteriores sobre a empresa - exceto um post de 2011 em um fórum aonde eles relatam que tiveram problemas com um fornecedor. E há apenas 5 reclamações no Reclame Aqui. Ainda assim, me chamou a atenção que no próprio site deles há informação desencontrada de que os serviços ficam hospedados na ALOG, e não na Equinix;
  • O barato pode sair caro. Essa é uma lei universal, que vale para tudo, inclusive Cloud Computing. Amazon e Google são caros? UOL é caro para seu budget? Contratar um provedor baratinho pode trazer riscos extras. Avalie a relação custo x benefício, além dos possíveis riscos, antes de contratar o serviço;
  • Mantenha backups diários do seu site e de seus dados. E mantenha eles com você - e não com o provedor de Cloud, pois se ele sumir, seus backups somem também.

dezembro 20, 2016

[Segurança] Resumo da palestra "A Idade da Pedra na Era da Informação"

O pessoal do You Sh0t the Sheriff contratou uma equipe de facilitação gráfica que criou um desenho resumindo o entendimento das palestras do evento.

Ficou um trabalho legal, e segue abaixo o resumo visual dos principais tópicos abordados na minha palestra sobre "A Idade da Pedra na Era da Informação":



dezembro 16, 2016

[Segurança] Um bilhão de dados vazados!!!

A que ponto chegamos, Yahoo! !?!?!?


Como se não bastasse o vazamento recorde de 500 milhões de dados de usuários do Yahoo! que foi anunciado em Setembro deste ano, agora ficamos sabendo de um novo vazamento de dados, referente ao roubo de informações de 1 bilhão de usuários do Yahoo!

O que isso significa?
  • O vazamento de Setembro (500 milhões de dados) já era preocupante, pois além de informações de usuários e senhas (incluindo nada mais e nada menos do que nomes completos, datas de nascimento, endereços e números de telefone), também vazaram as perguntas secretas - aquelas perguntas e respostas que cadastramos em alguns sites para recuperar a senha. Ou seja, os ciber criminosos agora sabem qual é a sua senha e como recuperar ela!
  • As senhas estavam protegidas usando o algoritmo de hash MD5, que é considerado inseguro atualmente;
  • Em Agosto deste ano surgiram rumores de que um ciber criminoso estava tentando vender na Deep Web dados de 200 milhões de usuários do Yahoo!;
  • Ja existiam especulações de que o número total de contas roubadas no vazamento anunciado em Setembro poderia ser bem maior do que 500 milhões, possivelmente variando entre 1 e 3 bilhões de usuários afetados;
  • O Yahoo! já tinha admitido que desde o final de 2014 seus funcionários já sabiam que os sistemas da companhia haviam sido hackeados;
  • Aparentemente,  o vazamento anunciado agora é outro, diferente do anunciado em Setembro. Logo, a quantidade total de usuários afetados pode variar entre 1 bilhão e 1,5 bilhão!
  • O vazamento anunciado agora está relacionado a dados roubados do Yahoo! em 2013. ou seja, os ciber criminosos já tem estas senhas há cerca de 3 anos!
  • 1 bilhão de usuários é, mais ou menos, 1/3 de todos os usuários Internet (considerando que o roubo de dados aconteceu em 2014, nesse ano tivemos 2,9 bilhões de usuários, e a estimativa atual é de 3,4 bilhões - segundo o site Internet Live Stats);
  • Segundo a empresa InfoArmor, toda a base de dados dos mais de 1 bilhão de usuários do Yahoo foi vendida na Deep Web por US$ 300 mil;
  • Os vazamentos de dados no Yahoo! já ganharam uma página na Wikipedia!!!
  • A Verizon, que estava negociando a compra do Yahoo! por 4,8 bilhões de dólares (em dinheiro!), já começou pedindo um desconto de US$ 1 bilhão por conta do vazamento de dados em Setembro;
  • Dando uma olhada no valor das ações do Yahoo!. percebe-se que elas vinham em alta desde o início do ano, atingindo um pico de $44,15 em 22 de Setembro (dia do anúncio do vazamento de 500 milhões de contas), e desde então começou a cair. No dia 14/11 (dia do anúncio do segundo vazamento de dados) ela foi negociada a $40,91 e no dia seguinte despencou para $38,41. 


Atualização (20/12): Não custa compartilhar a piada abaixo...



dezembro 15, 2016

[Segurança] Ciber Fraude na Black Friday

A empresa de segurança gringa Iovation divulgou um estudo sobre o crescimento das fraudes de cartão durante a Black Friday e Cyber Monday americanas.

A empresa comparou dados de 2014, 2015 e 2016:

  • houve um aumento de 20% no número de fraudes envolvendo cartões de crédito em compras online do ano passado para agora (a chamada "fraude de cartão não presente") durante a Black Friday e Cyber Monday. Entre 2014 e 2016, o aumento foi de 34%;
  • Em 2016, as transações fraudulentas durante a Black Friday e Cyber Monday representaram 0,38% das transações - contra 1,13% durante o restante do ano;
  • Em 2016, 59% das transações fraudulentas no comércio eletrônico durante a Black Friday e Cyber Monday foram relacionadas a fraude de cartão de crédito;
  • 55% das transações realizadas no período partiram de smartphones e tablets contra 49% no restante de 2016.


É interessante notar que a quantidade percentual de fraudes durante o período de compras da Black Friday e Cyber Monday foi menor do que no restante do ano. Isso vai de contra o que o mercado de segurança costuma dizer, de que deve ter mais fraudes e, portanto, as empresas devem investir mais. Esta queda na quantidade percentual de fraudes provavelmente se deve porque o fraudador não precisa se preocupar em comprar mercadorias em promoção (afinal, ele não está pagando a compra com dinheiro dele). Além do mais, o período da Black Friday representa o momento em que os sites tem muito acesso e, assim, podem estar mais lentos, com problemas de acesso, enquanto os lojistas estão de plantão e trabalhando em regime especial para garantir as vendas. Logo, há maior chance de uma compra fraudulenta não acontecer por problemas técnicos no site ou porque a área de fraudes estava de plantão especial. Ou seja, não há vantagem para os fraudadores profissionais atuarem nesse período.

dezembro 14, 2016

[Segurança] Os maiores vazamentos de dados

O portal Information is Beautiful criou um infográfico interativo bem legal, batizado de "World's Biggest Data Breaches", que mostra os principais vazamentos de dados. É possível visualizar as estatísticas por ano, por quantidade de dados vazados em cada incidente, por tipo de vazamento (acidental, ciber ataque, segurança fraca, etc).


Por ser interativo, o infográfico permite mudar a forma de visualização e adicionar alguns filtros para facilitar. Ao passar o mouse sobre algum dos incidentes reportados, é possível ver detalhes sobre ele (quantidade de dados envolvidos e, clicando uma vez mais, um pequeno resumo do caso). Também há um link para a história original.


Além de visualizar as estatísticas nesse infográfico, o site também disponibilizou os dados brutos em uma planilha no Google.

O infográfico mostra estatísticas de casos em que o vazamento envolveu dados de pelo menos 30 mil pessoas e agrega dados dos portais DataBreaches.net e IdTheftCentre, com notícias que sairam na imprensa.

dezembro 12, 2016

[Cyber Cultura] Cadê as mulheres palestrantes?

Nós, da Security BSides São Paulo, sempre tivemos pouca (ou nenhuma) subimissão de palestras vindas de palestrantes do sexo feminino. Isso é muito frustrante, pois eu conheço excelentes profissionais do sexo feminino e acredito que elas tem igual condições de palestrar (em termos de capacidade técnica e de comunicação), tanto quanto qualquer outro palestrante masculino.

Ou seja, nós não fazemos distinção nenhuma do sexo do palestrante que nos envia alguma sugestão de conteúdo, e assim avaliamos todas as propostas de atividades (palestras, oficinas, etc) pelo seu caráter técnico. Ë claro que em algumas ocasiões já aconteceu de recusarmos palestras de profissionais do sexo feminino por acharmos que o conteúdo sugerido não era adequado ao evento - mas mesmo assim, os casos de propostas recebidas, aceitas ou rejeitadas foram muito raros pela simples falta de ofertas de conteúdo.

A Marina, que trabalha na organização do Roadsec, escreveu um texto interessante no Facebook, aonde ela comenta que "Eventos de tecnologia costumam ser ambientes hostis com mulheres (na verdade quase todo evento costuma ser)" e destaca que, mesmo fazendo esforço para atrair mulheres para os eventos, muitas delas não enviam propostas de palestras porque "o mundo da tecnologia como um todo não é muito agradável quando uma mulher tem um microfone e a liberdade de dizer aquilo que quiser."

E ela completa: "Eu sei muito bem disso, já não foi uma só vez que escutei que devo 'controlar minha boca e minhas maneiras, agir como menina'."

Nós, da BSidesSP, já discutimos internamente algumas idéias de como atrair palestrantes mulheres, mas ainda não chegamos a uma conclusão de qual seria o modelo ideal. Algumas idéias que pensamos para atrair mulheres e fazê-las se sentir confortáveis e seguras para apresentar em um ambiente não hostil foram as seguintes:

  • Criar uma trilha específica na programação para palestrantes mulheres - assim, todo mundo que for nessa trilha sabe que lá vai encontrar palestrantes do sexofeminino. Talvez isso atraia mais público feminino também, aumentando assim a simpatia entre a platéia e a palestrante. Talvez isso iniba eventuais comportamentos sexistas por parte de participantes da platéia;
  • Limitar o acesso apenas de mulheres as palestras oferecidas por mulheres - certamente isso tornaria o ambiente mais confortável para as mulheres, mas eu receio que esta segregação só aumentaria o problema, em vez de resolvê-lo, pois não tenho certeza que essa segregação em feudos torne todo o ambiente do evento mais amigável. Eu receio que forçar essa separação por sexos pode trazer mais reações negativas do que positivas;
  • Oferecer trilhas de palestras de nível básico pode atrair mais palestrantes do sexo feminino. Como poucas mulheres palestram, a maioria delas tem pouca ou nenhuma experiência de falar em público. Oferecer uma trilha de atividades de nível básico pode ser mais atraente para palestrantes com pouca experiência (de ambos os sexos, a propósito!)
  • Sempre convidar mulheres para mesas de debate - essa talvez seja a solução mais fácil de ser adotada e de atrair a participação feminina. Em uma mesa de debates formada por vários participantes, não há dificuldade nenhuma em incluir partici[pantes de ambos os sexos. Como a conversa e as discussões são diluídas entre os participantes, eu acredito que dimunuimos o risco de pessoas da platéia direcionarem comentários negativos a participante mulher.
Enfim, nós ainda estamos conversando sobre como ajudar as profissionais de TI a ter um ambiente agradável dentro de um evento de tecnologia, e qualquer idéiaou sugestão é bem-vinda. Isso não é algo fácil pois um simples comentário inadequado de uma única pessoa pode levar por água abaixo meses de trabalho para promover a igualdade e respeito entre os sexos. Além do mais, é muito difícil para um homem entender todos os problemas de segregação, preconceito e sexismo que as mulheres sofrem diariamente - e é igualmente difícil para um homem encontrar uma solução para isso.

O fato é que todos nós nos beneficiamos de um ambiente de trabalho diversificado e equalitário.

dezembro 09, 2016

[Cyber Cultura] A tabela periódica do mundo IoT

O pessoal da CB Insights criou há poucos anos atrás a "Tabela Periódica do IoT", aonde eles desenharam as principais empresas e investidores no mercado de Internet das Coisas. Embora isso me pareça meio bizarro, não deixa de ser bonitinho.

Mas, para ser sincero, eu veria muito mais utilidade se essa fosse uma tabela periódica que mostrasse as tecnologias e usos de IoT, em vez de mostrar as empresas que estão envolvidas nesse mercado.



Como mérito da iniciativa, a tabela identifica as principais sub-áreas relacionadas com o mundo IoT:

  • Wearable Tech
  • Connected Home
  • Building Blocks & Platforms (empresas que criam e fornecem tecnologias para o mundo IoT)
  • Industrial Internet
  • Healthcare
  • In-store Retail
  • Connected Car

dezembro 08, 2016

[Cyber Cultura] Hackers como "Personalidade do ano"

Anualmente a revista americana Time eleje a personalidade mais marcante daquele ano. O Donald Trump acabou de ser eleito a personalidade de 2016, mas o interessante mesmo é dar uma olhada na lista final de nomeados para esse prêmio:
  • Hillary Clinton
  • Os Hackers
  • Recep Tayyip Erdogan, o presidente da Turquia
  • Os pesquisadores que criaram um tel de CRISPR, aparentemente uma técnica na medicina para manipulação de DNA
  • A cantora diva superpoderosa Beyoncé

Não é que os Hackers quase foram escolhidos como "a personalidade do ano"!? Há alguns anos atrás, em 2011, quando os protestos e ciber protestos estavam em alta no mundo todo, a Time elegeu "The Protesters" como a personalidade mais influente daquele ano. No ano seguinte, o Grupo Anonymous foi incluído na lista das 100 personalidades mais influentes do mundo em 2012,

Neste ano, os Hackers ganharam destaque na opinião da Time pelos maus eventos associados aos hackers, principalmente sobre os incansáveis casos de roubos e vazamentos de dados (dados pessoais, senhas de diversos sites grandes ou pequenos, além de segredos de empresas e governos), pelos ataques DDoS em grande escala e pelos problemas causados pelos Ransomwares.

Como se isso tudo não bastasse, os americanos estão assustados com a possibilidade de ciber ataques e ciber espionagem terem afetado a recente eleição americana. Imagina se eles tivessem as nossas urnas eletrônicas!

Um fator que não foi citado pela reportagem é que agora, mais do que nunca, ser hacker é ser "cool". A série televisiva Mr. Robot trouxe a cultura hacker para o grande público, justamente numa época em que estamos hiper conectaos e que a tecnologia permeia a vida de todos. Ou seja, ser hacker (do bem ou do mal) está virando modinha e está na ponta da língua do grande público.

Mas a reportagem e a escolha da Time se concentrou nos aspectos negativos e nos problemas de segurança ocorridos neste ano. Como resumiu o artigo da Time...
"They made vulnerability the new normal and took aim at democracy itself" 

dezembro 06, 2016

[Carreira] Perguntas ao final de uma entrevista de emprego

Normalmente uma entrevista de emprego termina com o entrevistador fazendo a derradeira pergunta "tem algo que você gostaria de perguntar".

Nessa hora, após ser sabatinado, sobreviver a tensão da entrevista e estar com os neurônios fritos, nos resta poucas energias e nenhuma inspiração para perguntar algo. eu, particularmente, raramente perguntava algo, pois geralmente eu estudo um pouco sobre a empresa e pego referências antes da entrevista.

Mas, recentemente, eu estava conversando com um amigo que passou por um processo de recrutamento e ele comentou que fez algumas perguntas ao final que impressionaram o executivo com quem ele conversou - e nessa hora, eu percebi que fazendo perguntas inteligantes ao final de uma entrevista é algo surpreendente até mesmo para o entrevistador - e, portanto, /e a oportunidade de encerrar o processo deixando uma ótima impressão.

Portanto, qual não foi a minha surpresa ao ver uma reportagem na Exame sobre a importância de encerrar uma entrevista com uma "prgunta de ouro".

Veja alguns exemplos de perguntas interessantes, que eu tirei da reportagem da Exame e da conversa que tive com o meu amigo:

  • “Qual foi o seu melhor momento aqui na empresa?” - Essa é a pergunta indicada pela Exame, pois eles alegam que assim você estimula o entrevistador a buscar boas memórias e associar isso a sua entrevista;
  • "Como você me vê daqui a 5 anos, aqui na empresa" - assim, você joga a tradicional pergunta "como você se vê aqui na empresa" para a perspectiva do entrevistador e, também, da cultura da empresa em promover um plano de carreira e o crescimento dos proficcionais;
  • "O que te mantém nesta empresa?" - Esta pergunta vai estimular o entrevistador a te dizer quais características da empresa e da cultura dela que ele consideram mais importante, e assim o tornam motivado a continuar nesta empresa - e isso pode valer para você também. Tem o apelo extra de cutucar os sentmentos do entrevistador;
  • "Eu costumo <fazer tal coisa>, e qual é a política da empresa com relação a isso?" - Esta é uma oportunidade para você destacar um hobby ou alguma atividade que você faça fora do horário do expediente e que você considere interessante reforçar. Por exemplo, se você gosta de pesquisar novas tecnologias, palestrar em eventos, participar de associações profissionais ou fazer trabalhos voluntários. Todas estas atividades podem ter passado desapercebidas durante a entrevista, mas nesse final, você pode aproveitar para dar um destaque a isso.

Se pararmos para pensar, nós temos a tendência natural de relembrar com mais facilidade das coisas mais recentes, e assim, o que você fizer no final de uma entrevista pode se tornar a sua "assinatura", ou seja, a principal lembrança que vão ter de você.


dezembro 05, 2016

[Segurança] Como vai ser a Guerra Cibernética

Um artigo curto, porém interessante, do USA Today comenta como poderia ser um cenário atual de Guerra Cibernética e suas consequências.

Possivelmente, uma guerra cibernética envolverá os seguintes cenários:
  • Blackout da Internet de um país
  • Ciber ataque contra a capacidade de comando e controle do adversário
  • Ciber ataques causando danos a infraestrutura crítica de um país, causando blackouts de energia, problemas de comunicação, etc
O artigo também destaca que, em muitos aspectos, os ciber ataques representam uma forma dos países se envolverem em conflitos sem precisar chegar a ponto de se envolver em ataques armados, no mundo físico. Através de ciber ataques, governos podem impactar outros governos adversários ou cidadãos vazando documentos sensíveis e informações privadas, causando danos a imagem ou anulando ações de seus adversários.

dezembro 02, 2016

[Segurança] Cartilhas sobre Segurança online e práticas seguras

Aproveitando, o Instituto Coaliza mantém uma página com várias cartilhas de conscientização dispníveis para download. São 44 cartilhas produzidas por diversas entidades, englobando assuntos como dicas básicas de segurança online, práticas de segurança, ciber bullying, combate a pedofilia, direitos humanos, uso de redes sociais, compras online com segurança, etc. Vale a pena dar uma olhada.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.