outubro 16, 2017

[Segurança] KRACK: um novo ataque contra redes wireless

Hoje foi divulgado um ataque contra o protocolo WPA2 das redes wireless que tem assustado a comunidade de tecnologia e de segurança: o ataque KRACK (nome tirado de "Key Reinstallation Attack").

O ataque KRACK explora uma fragilidade no handshake do protocolo WPA2 (Wi-Fi Protected Access II), que é o processo usado para estabelecer uma chave de criptografia entre o dispositivo e o access point, e assim permite criptografar o tráfego na rede Wireless.

O ataque explora o handshake e a negociação de chaves no momento em que um dispositivo se conecta no ponto de acesso da rede, e consegue forçar o cliente a reutilizar uma chave de sessão mais antiga. Com isso, a criptografia usada pelo padrão WPA2 fica enfraquecida e o atacante tem acesso ao tráfego de rede:
"Decryption of packets is possible because a key reinstallation attack causes the transmit nonces (sometimes also called packet numbers or initialization vectors) to be reset to zero. As a result, the same encryption key is used with nonce values that have already been used in the past".
O handshake (veja abaixo) acontece logo no início de uma conexão a uma rede Wi-Fi, quando um cliente quer se conectar a uma rede wireless protegida. O handshake de 4 vias é usado para confirmar que o cliente e o access point possuem as credenciais corretas (por exemplo, a senha pré-compartilhada da rede que utilizamos na maioria dos casos) e também negocia a chave de criptografia que será usada para criptografar todo o tráfego subseqüente.


Há um vídeo no Youtube mostrando o ataque em ação, contra um smartphone Android:


No vídeo acima, os pesquisadores levantam um access point falso, com o mesmo nome da rede da vítima (mas em outro canal) e forçam o dispositivo a se conectar no access point falso, para poderem capturar os pacotes da rede entre a vítima e o access pointo verdadeiro, fazendo um ataque "Man in the Middle" (MITH). Neste momento, eles podem manipular mensagens para o cliente e atacar o processo de handshake.

O ataque funciona contra o protocolo WPA1 e o WPA2, e contra qualquer conjunto de cifras que esteja sendo usado (WPA-TKIP, AES-CCMP e GCMP).

O KRACK  permite que os atacantes manipulem a chave de criptografia utilizada na rede e, assim, desencriptem os pacotes trafegando pela rede Wi-Fi. A senha da rede Wi-Fi não é exposta. Mesmo assim, o ataque permite capturar todos os pacotes de rede, e assim ter acesso a todas as comunicações dos usuários (exceto acessos criptografados, como SSL, VPN, SSH, etc), além de injetar pacotes na rede wireless da vítima.

Embora haja notícias de fabricantes trabalhando em correções para o ataque, também há quem diga que o problema é bem complexo pois a fragilidade reside no próprio padrão Wi-Fi, e não nas implementações ou em qualquer produto específico. Assim, qualquer implementação existente do WPA2 provavelmente é afetada, e a lista de equipamentos vulneráveis é grande: Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, etc.

Segundo os pesquisadores, esse ataque é excepcionalmente devastador contra equipamentos rodando Linux e Android versão 6.0 ou superior, pois eles podem ser enganados para reinstalar uma chave de criptografia com valor totalmente zero.

O assustador, neste ataque, é que o WPA2 é o padrão atual de segurança para as redes wireless, e é amplamente utilizado por praticamente todo mundo.


Já estão surgindo correções e assinaturas contra o ataque:
A Wi-Fi Alliance criou uma ferramenta para detectar se o seu dispositivo está vulnerável ao ataque KRACK, mas ela está disponível apenas para menbros da Wi-Fi Alliance :(

Para saber mais:

PS: Assim que tiver mais notícias irei atualizar esse post.
PS/2: Post atualizado em 18/10, 20:10

outubro 11, 2017

[Segurança] Endoscopia em Caixas Eletrônicos

A imprensa americana ficou impressionada com um caso recente descoberto no México: criminosos estão usando aparelhos de endoscopia para arrombar caixas eletrônicos por lá!!!


Segundo a NCR, fabricante de caixas eletrônicos, o equipamento de endoscopia é inserido através da abertura de saída de dinheiro no cofre do ATM para manipular os sensores no dispensador de notas, para simular autenticação física. Isso, assciado com uma "caixa preta" construida para inserir comandos dentro dos ATMs, o que faz o caixa eletrônico liberar o dinheiro.

Aqui no Brasil, já estamos acostumados com um modus operandi mais brutal: em vez de futucar dentro do caixa eletrônico, os nossos criminosos passaram a explodir os caixas para ter acesso ao cofre interno aonde fica o dinheiro.

outubro 09, 2017

[Segurança] Os maiores vazamentos de dados

Ok, talvez ninguém jamais supere o Yahoo!, com seus 3 bilhões de dados de cleintes vazados.

Eu já escrevi algumas vezes no blog sobre os frequentes vazamentos de dados que tem acontecido nos últimos anos, e desta vez resolvi fazer uma lista dos que eu considero serem os maiores e mais relevantes vazamentos de dados. Essa é uma lista formada por empresas e serviços mais populares nos EUA e no mundo, que tiveram dados de milhões de clientes expostos:
  • TJX (2003): dados de 94 milhões de cliendes das lojas T.J. Max e Marshalls
  • Heartland (2008): Uma das maiores processadoras de cartões dos EUA, teve expostos 130 milhões de cartões de crédito e débito
  • Sony PSN (2011): 77 milhões
  • LinkedIn (2012): 110 milhões
  • Target (2013): 70 milhões de dados de cartão de crédito (40 milhões) e dados pessoais de clientes (30 milhões)
  • Yahoo (2013): 3 bilhões de dados
  • Adobe (2013): user names e senhas de 38 milhões de usuários
  • Home Depot (2014): 56 milhões cartões de crédito e débito
  • eBay (2014): nomes, endereços, data de nascimento e senhas de 145 milhões de clientes
  • JP Morgan Chase (2014): dados de 76 milhões de clientes
  • Anthem (2015): dados pessoais de 80 milhões de segurados
  • Myspace (2016): user names e senhas de 360 milhões de contas
  • Spambot (2017): 711 millhões de endereços de e-mail
  • Equifax (2017): milhões de dados pessoais

Para saber mais:

outubro 04, 2017

[Segurança] Deep (Dark) Web

Muito se fala sobre a "Deep Web" como se isso fosse a soma de todos os males do mundo online. Mas há vários aspectos que podem ser vistos e discutidos sobre esse assunto, tirando de lado toda a áurea mitológica criada em volta da Deep Web.

A Deep Web (as vezes chamada em português de "web profunda" - argh! - ou "web oculta"), na verdade é um termo que se refere simplesmente ao conteúdo da World Wide Web que não é indexado pelos mecanismos de busca padrão (ex: Google, Yahoo, etc). Pode ser qualquer tipo de site, como um webmail, um site pequeno, um conteúdo corporativo, um site privado. A Deep Web inclui, também, Intranets, sites com conteúdo protegido por senha, sites com uma área grande de fotos que não foram indexados por buscadores, ou mesmo sites pequenos e irrelevantes.

Qualquer coisa que a grande maioria dos usuários não acessam no dia-a-dia e não conseguem encontrar usando os buscadores forma a Deep Web. Ela também pode ser chamada de "Invisible Web" ("Web Invisível"), um termo criado em 1994!

O contrário da Deep Web, ou seja, os sites que acessamos facilmente através de buscadores, é a chamada Surface Web, a "superfície da web". São os sites que conhecemos e achamos facilmente.

Dentro da Deep Web, por assim dizer, existem a Dark Net e a Dark Web. A Dark Web, essa sim, é a parte da Internet formada por servidores que intencionalmente se mantém escondidos da grande maioria de usuários pois exigem mecanismos especiais de acesso baseados em criptografia que garantem a privacidade e sigilo desses acessos. A Dark Web é como se fosse uma rede paralela a Internet, mas construída usando a estrutura de conectividade da Internet global. São redes como a rede Tor ("The Onion Router"), Freenet e a I2P ("Invisible Internet Project"), formadas por sites que exigem uma ferramenta especial de acesso, normalmente um cliente que vai no micro ou no browser do usuário para garantir o acesso criptografado a estes servidores.

A Dark Net, por sua vez, é a denominação usada para indicar a infra-estrutura de rede, servidores e protocolos que faz a Dark Web funcionar.

Ou seja, quando falamos em "fóruns criminosos escondidos na Internet, acessados pela rede TOR", por exemplo, estamos falando de sites dentro da Deep Web (com conteúdo fora do alcance dos buscadores) que fazem parte da Dark Web (o pedaço da Deep Web acessível somente via "meios especiais") que funciona dentro da Dark Net (a infra-estrutura desses sites).



Embora a Dark Web e a Deep Web sejam normalmente associadas a atividades criminosas, na verdade nem todo o conteúdo e nem todo uso é ilícito ou ilegal. A Dark Web existe principalmente para garantir o anonimato na comunicação e no compartilhamento de informação, o que pode ter um objetivo válido (por exemplo, no caso de ativistas e jornalistas que precisam proteger sua identidade online e de suas fontes). Mas, infelizmente, há sim muito uso ilegal associado a ciber criminosos, por exemplo, nos diversos fóruns que facilitam a realização de crimes como pedofilia, fraude bancária, carding, venda de armas e drogas, etc.

O acesso a sites da Dark Web só pode  ser feito através de ferramentas especiais, que em geral funcionam como um client para fazer a criptografia do acesso ao site. Essa ferramenta pode ser um simples plug-in para os browsers mais conhecidos. Além disso, algumas redes na Dark Web costumam utilizar uma nomenclatura específica para seus sites, como por exemplo os sites na rede TOR que utilizam um nome codificado seguido por .onion no final do nome de domínio, para identificar que o site pertence a rede TOR. Por exemplo: http://kpvz7ki2v5agwt35.onion.

O uso da rede TOR permite ocultar o endereço IP do usuário, pois a comunicação passa por vários nós", aonde cada nó não tem acesso ao IP original da comunicação, apenas do nó anterior. Isso sem falar que a comunicação entre os nós é criptografada.


No caso do TOR, além de um client no browser, há também a opção de usar o Tor Browser, que é um browser dedicado para acessar a rede TOR, já com o client de acesso embutido nele.

Além do client da rede TOR ou do TOR Browser, também é possível acessar sites na rede TOR através do site tor2web.orghttps://tor2web.org, que funciona como um meio de acesso via web para estes sites. Assim, por exemplo, o site Hidden Wiki na Dark Web, que possui o endereço http://kpvz7ki2v5agwt35.onion, pode ser acessado também como http://kpvz7ki2v5agwt35.onion.to ou http://kpvz7ki2v5agwt35.tor2web.org.

Há uma certra imprecisão e, ao meu ver, um pouco de FUD quando discutimos sobre o "tamanho" da Deep Web, mas em geral fala-se que ela é muito maior que a Surface web. Na verdade não é possível ter uma estimativa precisa, pois a Deep Web não é indexável e, assim, não é possível estimar seu tamanho. É muito comum ver sites falando que a Deep Web é 500% maior do que a Surface web, ou represente 96% de todo o conteúdo. Mas, na verdade, esta estatística é baseada em um estudo de 2001 !!! Um estudo feito nos primórdios da Internet!!! O maior buscador hoje em dia, o Google, teve seu IPO em 2004, 3 anos depois desse estudo! Ou seja, o pessoal usa uma estatística baseada em dados que não representam a Internet de hoje!

Outra lenda sobre a Deep Web diz que ela é "composta por diversas camadas". é comum encontrar especulações deque ela seja formada por 7 ou 8 camadas, mas também é comum encontrar outros sites que dizem que isso é um mito. Pelo que eu entendi até hoje, na verdade não existem tais camandas, mas é comum algumas pessoas se referirem a cada rede da Dark Web como se fosse uma camada. Ou seja, algumas pessoas tratam como se a rede TOR fosse uma camada, a rede I2P seria outra, e por aí vai. Mas, na verdade, são redes diferentes.

Esses tópicos, entre outros, foram abordados em uma palestra que eu dei recentemente no Roadsec de Porto Alegre.


Para saber mais:


outubro 03, 2017

[Cidadania] Outubro Rosa

O "Outubro Rosa" é uma campanha que acontece todo ano, desde os anos 90, para conscientizar a população sobre a importância de prevenção conta o câncer de mama.

Durante este mês, vários monumentos são iluminados de rosa para chamar a atenção para a campanha. A Azul Linhas Aéreas, por exemplo, está com algumas iniciativas bem legais: além de pintar algumas aeronaves com a cor rosa, alguns vôos terão tripulação exclusivamente feminina, além de apoiar o tratamento de pacientes no Hospital de Câncer de Barretos.

Segundo o INCA, esse é o tipo de câncer mais comum entre as mulheres no mundo e no Brasil, depois do câncer de pele não melanoma. O câncer de mama respresenta cerca de 28% dos novos casos a cada ano. Nos homens o câncer de mama é raro, representando apenas 1% do total de casos da doença.

Para saber mais:

outubro 02, 2017

[Segurança] O custo do ciber crime a cada 60 minutos

A RSA criou um hotsite que monta um infográfico com algumas estatísticas interessantes sobre qual é o custo por hora do ciber crime para as empresas.

Veja alguns dos dados que mostram o quanto as empresas sofrem a cada 1 hora:
  • Acontecem 120 ataques de phishing por hora;
  • Globalmente, a cada hora as empresas perdem cerca de 1 milhão de dólares por causa dos ataques de phishing;
  • 486 mil dados pessoais são comprometidos
  • O roubo de contas causa prejuízos de 267 mil dólares por hora;
  • As lojas de e-commerce perdem 660 mil dólares por causa das fraudes.


setembro 29, 2017

[Segurança] Os erros mais comuns dos usuários

Durante o Security Leaders Recife, Rodrigo Jorge, líder de Segurança da Ale Combustíveis e organizador do Security Day em Natal, destacou quais são os erros que ele considera serem os mais comuns cometidos pelos funcionários e que compremetem a segurança corporativa:
  • O uso de senhas fracas pelos funcionários, permitidas pelos sistemas;
  • Colaboradores que conectam um dispositivo USB infectado nos PC corporativos;
  • Funcionários vítimas de ataques de phishing;
  • Discussão de assuntos confidenciais em espaços públicos.
A lista acima foi baseada em suas experiências ao longo de sua carreira, e faz todo o sentido. Rodrigo também destacou que os “Erros humanos causam mais tempo para mitigação e são mais onerosos para as empresas”. Para minimizar esses problemas, o melhor investimento é em conscientização constante, ficar periodicamente martelando na cabeça dos funcionários que eles devem tomar os cuidados básicos necessários.

Em uma estatística divulgada pela Flipside, 27% das violações de segurança são causadas por falha humana.

setembro 28, 2017

[Segurança] Vazamento de dados médicos

Nos últimos anos vivemos um aumento significativo no interesse pelo roubo de dados médicos, uma modalidade de roubo de dados pessoais focado na indústria médica e de plano de saúde.

Esse interesse se justifica pelo fato de que os registros médicos sobre uma pessoa são muito mais detalhados do que os dados existentes em outros sites, como empresas de e-commererce, por exemplo. O acesso a essas informações pessoais facilita crimes de extorsão e também de roubo de identidade. Para facilitar ainda mais a vida dos atacantes, os hospitais, médicos e planos de saúde não tem o hábito de investir muito em tecnologia da informação, e menos ainda em segurança.

Nos EUA, o Department of Health and Human Services mantém um hotsite com informações sobre os vazamentos de dados médicos, batizado de "muro da vergonha" ("wall of shame"). Este site mostra algumas informações interessantes sobre os casos reportados e que podem ser utilizadas para gerar diversas estatísticas.

Por exemplo, lá é possível ver que, desde Setembro de 2009, foram identificados mais de 2.000 vazamentos de dados médicos relacionados a pelo menos 500 pacientes cada um.

Eu dei uma olhada no site enquanto escrevia este artigo e lá estavam listados 2.066 casos no total, dos quais 60 deles não tinha identificação de número de clientes afetados e 369 casos aconteceram nos últimos 24 meses e ainda estão sob investigação.

O caso registrado com maior numero de vitimas foi em Março de 2015, aonde 78,8 milhões de clientes da Anthem, Inc. tiveram seus dados roubados em uma invasão ao ambiente de TI.


setembro 26, 2017

[Segurança] Ataques DDoS contra bancos

Ataques de negação de serviço contra sites bancários acontecem frequentemente. Entre 2011 e 2013, em particular, diversos bancos americanos de cários portes sofreram com uma onda de ataques hacktivistas, num protesto batizado de "Operation Ababil" e realizado pelo grupo iraniano Izz ad-Din al-Qassam Cyber Fighters. Agora, 5 anos depois, sete membros desse grupo foram indiciados pleo governo americano.

Em janeiro de 2016, por exemplo, o banco HSBC sofreu um ataque DDoS que impactou o acesso ao seu site e na época foi considerado o maior da história.


Ou seja, na noite de ano novo a rede de TV britânica BBC sofreu um ataque DDoS de assustadores 602 Gbps de tráfego - segundo notificado pelos atacantes, o grupo hacktivista New World Hackers.

Os ataques DDoS contra os bancos podem ter várias motivações, e eu acredito que as mais comuns são:
  • Como forma de protesto hacktivista, aonde o site é tirado do ar como forma de chamar atenção a um determinado protesto - independente do banco estar envolvido no motivo do protesto ou não;
  • Para tentar acobertar uma operação de fraude: alguns ciber criminosos tentam utilizar ataques DDoS para "distrair" a equipe de segurança enquanto eles realizam alguma fraude online. Embora isso possa acontecer, nem sempre esta tática é efetiva pois muitos bancos tem equipes diferentes monitorando a segurança contra sua infra-estrutura e outra dedicada a monitoração de fraudes financeiras;
  • Como forma de extorsão, derrubando o site e exigindo dinheiro (em geral, bitcoins) para encerrar o ataque. Alguns grupos tornaram-se famosos recentemente por seguir esta tática, como o DD4BC ("DDoS for Bitcoin"), que teve alguns membros presos em 2016. A extosão em alguns casos era de 100 bitcoins (na época, isso significava "apenas" 45 mil dólares).



setembro 25, 2017

[Segurança] Roubo de identidade

O roubo de identidade é um tipo de fraude extremamente comum, mesmo antes da Internet, aonde criminosos utilizam dados pessoais de terceiros para diversos esquemas de fraude utilizando o nome da vítima, como abris contas em bancos para pedir empréstimos bancários, comprar linhas telefônicas, etc. Os dados de terceiros também podem ser utilizados por criminosos para abrir contas bancárias para receber dinheiro roubado de outras contas, as chamadas "contas de laranjas". Ao usar os dados de outras pessoas, os criminosos conseguem dificultar o rastreamento do golpe.

Há alguns anos atrás aconteceu um caso bem interessante (ou desesperador, se preferir) de roubo de identidade, aonde o CEO de uma empresa teve seus dados pessoais utilizados em 13 casos de fraude em seu nome, entre 2007 e 2008.

Segundo uma reportagem da Wired de 2010, o fundador e CEO da LifeLock, Todd Davis sofreu várias tentativas de fraude em seu nome depois que a empresa criou um anúncio publicitário de seu serviço de proteção de identidade utilizando o seu número de seguridade social (SSN, o equivalente americano ao nosso CPF). Os golpes incluíram, por exemplo, um empréstimo de 500 dólares ou a criação de uma conta na AT&T com despesas em seu nome de US$ 2.390.


Com a grande quantidade de dados roubados e vazados de diversas empresas, os criminosos em todo o mundo tem grande facilidade de obter dados de terceiros. Junte a isso a grande quantidade de informações que nós oferecemos em diversos cadastros e redes sociais, atualmente o roubo de identidade é um crime que pode ser feito com grande facilidade.

Para saber mais:

setembro 22, 2017

[Segurança] O Princípio de Locard

Na ciência forense, o princípio da troca de Locard (em inglês, "Locard's exchange principle") diz que qualquer que seja o crime, o criminoso sempre deixa algo na cena do crime ou carrega consigo algum rastro ou prova, que vão constituir as evidências do crime.

Ou seja: "Todo contato deixa uma marca" ("Every contact leaves a trace").

Nas suas palavras, "Aonde quer que ele pise, aonde quer que toque, o que quer que ele deixe, mesmo que inconscientemente, servirá como uma testemunha silenciosa contra ele. (...) Esta evidência não se esquece. (...) A evidência física não pode estar errada, não pode cometer perjúrio por si própria, não se pode tornar ausente".

Pensando nisso, a versão cibernética do princípio de Locard poderia ser algo como "Qualquer dado ou conexão que seja feita ou transmitida, há alguma evidência disso, seja no host, em trânsito, no armazemamento ou em memória".

setembro 21, 2017

[Cidadania] Seus Dados São Você

A Coalizão Direitos na Rede, uma entidade preocupada com nossas liberdades e privacidade na Internet, acabou de lançar uma campanha sobre proteção de dados pessoais, batizada de "Seus Dados São Você". Esta campanha pretende sensibilizar a população e o congresso sobre a urgência da aprovação de uma Lei de Proteção de Dados Pessoais no Brasil, tendo em vista o atual cenário de coleta massiva de dados pessoais.


Desde o momento em que uma certidão de nascimento é emitida e passa a constar no Sistema Nacional de Informações de Registro Civil, brasileiras e brasileiros passam a ter suas informações pessoais coletadas e armazenadas em bancos de dados públicos e privados. Ao longo de sua vida, cada vez que um cidadão acessa um serviço público, preenche um cadastro em uma loja, usa aplicações digitais ou interage em redes sociais também gera e compartilha centenas de milhares de dados. Essa coleta massiva de dados se aprofundou com o advento da Internet e com nossa interação diária e constante com centenas de sites e aplicativos online.

Atualmente, a coleta, tratamento e comercialização de dados pessoais são feitas de maneira generalizada e desregulada por empresas e governos, já que o Brasil não dispõe de uma lei de proteção de dados, ao contrário de diversos países. O tema já está em discussão no Congresso Nacional, onde a Câmara dos Deputados criou uma comissão especial voltada a debater essa questão e já está tramitando o Projeto de Lei 5276/2016, sobre "o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural". Uma série de consultas e audiências públicas foram realizadas ao longo de 2015 e 2016.

A Coalizão Direitos na Rede defende uma lei baseada no consentimento livre e expresso dos usuários para a coleta e tratamento de seus dados pessoais, no direito dos usuários de saber que dados foram coletados e para que finalidades específicas, podendo revogar essa permissão a qualquer momento; na responsabilização dos titulares dos bancos de dados caso haja vazamentos e o uso indevido das informações prejudique as pessoas; e na criação de uma autoridade pública que regule e fiscalize essas garantias, evitando violações e abusos por parte de governos e empresas.

A campanha também alerta sobre a importância de se proteger dados sensíveis, sobre a necessidade de estudos de impacto à privacidade em novas tecnologias e a urgência de afirmação de novos direitos no país. O site tem algumas informações interessantes, como o link para o projeto Chupadados, que coleta histórias sobre os riscos da coleta e análise de nossos dados pessoais por governos, empresas e por nós mesmos.

Para saber mais sobre a campanha, visite o hotsite "Seus Dados São Você".

setembro 19, 2017

[Segurança] O vazamento de dados da Equifax

Tomou conta da mídia a notícia recente de que a empresa americana Equifax sofreu um roubo massivo de dados, que incluiu informações pessoais de aproximadamente 143 milhões de clientes americanos - ou seja, quase metade (44%) da população dos EUA.

Um dos motivos para o grande destaque na mídia para este caso é que a Equifax é uma das principais empresas que trabalham com informações de proteção ao crédito nos EUA, e assim tem acesso a informações financeiras e privadas das pessoas. Ela é o equivalente a SERASA/Experian no Brasil. E, nos EUA, estas informações de crédito são muito utilizadas pelas instituições financeiras para abertura de conta, fornecimento de cartão de crédito, avaliação de empréstimo e financiamento, etc.

Ou seja, a Equifax é uma empresa aonde garantir a privacidade dos dados e proteger as informações de crédito faz parte do seu "core business".

O nível de preocupação e paranóia com esse vazamento é tão grande que já surgiu uma charge associando o logo da Equifax ao da Evil Corp, da série Mr. Robot.


Segundo a Equifax, a invasão aconteceu em um site com uma aplicação web vulnerável, entre meados de maio e julho deste ano, e foi descoberta no dia 29 de julho. Os ciber criminosos acessaram informações pessoais de seus clientes, incluindo nome, número de seguridade social (o equivalente ao nosso CPF), data de nascimento, endereço e número da carteira de motorista. Além disso, foram acessados números de cartões de crédito de cerca de 209 mil clientes e dados pessoais de 182 mil clientes americanos envolvidos em negociação de dívida e discussão sobre crédito.

Para auxiliar e orientar os consumidores americanos, a empresa criou um hotsite sobre o vazamento de dados:https://www.equifaxsecurity2017.com

Veja alguns fatos interessantes sobre o caso:
  • As ações da empresa despencaram mais de 13% com a notícia do vazamento de dados e continuam caindo;
  • Um dia antes do anúncio do vazamento de dados, 3 diretores da empresa venderam ações, algo que não foi bem visto no mercado;
  • Loucos para achar um motivo para tretar, a imprensa já divulgou que o VP responsável por segurança e compliance, John J. Kelley III, recebeu 2,8 milhões de dólares no ano passado, entre salário e bonificações;
  • Críticas também tem sido feitas porque a Chief Security Officer (CSO) da Equifax, Susan Mauldin, tem formação universitária e pós graduação em música pela Universidade da Georgia;
  • Fazendo um paralelo com a recente onda de furacões que está atingindo os EUA, a Forbes cunhou uma nova buzzword para descrever o ataque na Equifax: "Category 5 Cybersecurity Crisis" (uma "crise de segurança categoria 5");
  • Aparentemente, os ciber criminosos que roubaram os dados da Equifax exigiram um resgate de 600 Bitcoins para apagar os dados e não divulgá-los;
  • Menos de uma semana depois do anúncio do vazamento de dados, já começou a onda de processos contra a Equifax. Dos 30 processos já abertos até 12/09, um deles exigia reparações no valor de US$ 70 bilhões;
  • A Equifax informou que a invasão aconteceu porque eles não corrigiram a vulberabilidade no Struts do Apache (CVE-2017-5638);
  • A Mandiant foi contratada em 2 de Agosto para investigar o incidente, poucos dias depois da Equifax identificar tráfego suspeito na rede e encontrar o servidor vulnerável;
  • A Equifax anunciou a aposentadoria do CIO and CSO da empresa;
  • Um portal da Equifax na Argentina, utilizada por seus funcionários, estava exposto na Internet permitindo acesso por uma conta admin com senha admin;
  • O banco Summit Credit Union, de Wisconsin, abriu uma ação judicial em 11 de setembro contra a Equifax, acusando a empresa de práticas comerciais negligentes;
  • O ex-CEO da Equifax, Richard Smith, disse em depoimento por escrito ao Congresso americano, que o vazamento de dados foi consequência de "Erro humano e falhas tecnológicas". Segundo ele, em 8 de Março a emrpesa recebeu a notificação do CERT-US sobre a vulnerabilidade do Struts do Apache. No dia seguinte a área de segurança repassou este e-mail para a área responsável pela atualização de software, que teria 48 horas para fazer a atualização necessária. Os scans de vulnerabilidade realizados posteriormente não identificaram que o Struts estava desatualizado e vulnerável;
  • No início de outubro a empresa informou que um grupo adicional de 2,5 milhões de clientes também foi afetado palo vazamento de dados, totalizando 145,5 milhões de vítimas;
  • O vazamento de dados também afetou 15,2 milhões clientes britânicos.
Para saber mais:
Nota: Última atualização em 14/10.

setembro 18, 2017

[Carreira] Não perca tempo com gente babaca

O canal Provocações Filosóficas tem um vídeo pequeno e interessante, chamado "Não perca tempo com gente babaca", de um trecho de uma palestra do filósofo, professor e escritor Leandro Karnal.


Segundo ele, "a vida é muito curta para que se perca tempo numa existência medíocre" e, o mais importante, conheça a si mesmo, pois "se eu me conhecer, ninguém me ofende (...) ninguém me ataca".

Muito do que ele diz nos pouco mais de 4 minutos de vídeo se aplica ao clima de ódio que vivemos frequentemente na Internet. Suas palavras nos ajudam a lidar (ou melhor, ignorar) os haters e trolls que nos cercam:
  • "As pessoas tem direito a dizerem o que querem (...), eu só me ofendo se concordo com elas";
  • "Ataque é veneno, e veneno só funciona se eu tomar";
  • "A vida é muito curta para que eu perca tempo com babacas cheios de ódio."
Como o próprio Leandro Karnal disse em uma entrevista na TV Câmara, falar mal de alguém cria uma relação de amizade e a Internet turbinou esse ato, pois a Internet nos permite fazer isso sem o ônus da presença física. Assim, fica mais fácil falar mal das pessoas sem a presença da vítima e sem o risco de receber uma resposta.

setembro 15, 2017

[Cyber Cultura] Phubbing

Tá aí uma nova buzzword que diz respeito a todos nós:


Phubbing


"Phubbing" é quando alguém ignora as pessoas ao seu redor por causa do celular. É um mau hábito comum a todos que têm smartphones (ou seja, praticamente todo mundo hoje em dia), e ficam conectaos o tempo todo, mesmo quando acompanhados por outras pessoas no trabalho, em restaurante ou encontros com amigos e familiares.

Isso acontece porque todos nós utilizamos os smartphones para ficar conectados ao trabalho e redes sociais em tempo integral. Seja para visitar seus grupos de amigos e familiares no Whatsapp, dar uma olhada no Facebook ou responder aos e-mails depois do horário de trabalho.

Segundo uma reportagem na Gazeta do Povo, o termo foi criado em 2013 por umdicionário australiano, representando a fusão das palavras “phone” (telefone) e “snubbing” (esnobar)
Aos poucos, esse hábito transmite a sensação de que interagir com as pessoas ao seu lado não é tão importante quanto a tela em frente a você. Não é raro que o interlocutor acabe falando sozinho enquanto a outra pessoa se distrai no celular.

setembro 14, 2017

[Segurança] Cuidado com sua privacidade

Uma amiga, a Yumi Ambriola, compartilhou no Facebook uma história que aconteceu com ela recentemente e que mostra a importância de tomamos cuidado com nossas informações pessoais.

A história, verídica, é um bom exemplo de como devemos ter cuidado ao conversar com estranhos, ou com o que falamos próximo a estranhos, pois hoje em dia é muito fácil rastrear as pessoas através das informações que compartilhamos na Internet.
"Hoje no táxi, o motorista estava contando de uma passageira X que brigou com o namorado Y, estudava num lugar W e morava num bairro nobre Z de SP.


Por esporte, apenas com essas informações W, X, Y e Z (só o primeiro nome do casal), consegui encontra-la através de mecanismos bestas de busca. Achei onde estudava, o e-mail, o perfil do namorado, onde ela trabalhava, a área da empresa em que ela trabalhava e através de uma foto pública com geolocalização em seu perfil, o condomínio onde ela morava.

Bonitinh@s: ao conversar com estranhos, não dê informações desnecessárias... omita/minta nomes ou troque informações para dificultar que seja encontrado.

Mandei uma mensagem para a moça, alertando-a de sua (não) segurança, com dicas de privacidade e aqui mando o recado pra vocês.

Obs: A foto do cachorro fofinho é meramente ilustrativa e serve para que as pessoas prestem atenção no post."
Exemplos como o acima mostram como atualmente está muito difícil, quase impossível, garantirmos a nossa privacidade. Intencionalmente ou não, nós deixamos muitas informações pessoais disponíveis em redes sociais e ao alcance dos mecanismos de busca mais populares. Junte a isso a falta de cuidado em lugares públicos, e estamos dando oportunidade para criminosos e stalkers.

Por isso, devemos sempre prestar muita atenção com quem conversamos (on line e presencialmente) e com o tipo de informações pessoais, profissionais e familiares que divulgamos nas redes sociais.

Vale a pena, periodicamente, revisar nossas configurações de privacidade nas redes sociais e serviços online, além de verificar nos mecanismos de busca que informações estão disponiveis sobre nós na Internet. Você já buscou pelo seu nome no Google?

setembro 12, 2017

[Segurança] Roadsec São Paulo 2017

Com o slogan de "o maior Festival Hacker da América Latina", foi dada a largada para o Roadsec São Paulo, a edição de encerramento da temporada 2017 do Roadsec, o evento itinerante de segurança que neste ano passou por 18 cidades brasileiras.



O evento acontecerá no dia 11/11, sábado, novamente no gigantesco espaço da Áudio Club. Neste ano o Roadsec São Paulo contará com quase 24 horas de programação (das 10:30 da manhã do sábado até 5 da manhã do domingo), formada por 5 trilhas de conteúdo com palestras, oficinas, atividades, e as finais do Hackaflag (nas categorias Individual e Grupos).

Desta vez o Roadsec vai ocupar 2 galpões do Áudio Club, para conseguir receber as comunidades, incluindo o Dumont Hackerspace, o pessoal maker do portal Embarcados, a galera de eletrônica, software livre, DIY, ativismo, etc. Neste ano eles terão novamente uma arena com batalha de robôs da Robocore, além da área de exposição de patrocinadores e a feira de food trucks.

Como destaque entre os palestrantes, vamos receber o Jonh Draper (o Captain Crunch), um lendário pioneiro na área de segurança, que ficou famoso ao descobrir, bem no início dos anos 70, que conseguia controlar centrais telefônicas usando um pequeno apito que era dado como brinde em caixas de cereais matinais.


No final do dia e a noite, após o encerramento das pelstras e oficinas, começam os hows. Neste ano o Roadsec terá shows do Matanza, Raimundos, Dual Core, YTCracker e mais 10 DJs.

Anote aí na sua agenda:
A propósito, se você tiver interesse em palestrar no Roadsec São Paulo, o Call for Papers está aberto até 06/10.

setembro 11, 2017

[Cyber Cultura] Estatísticas sobre IoT no Brasil

Uma reportagem recente da Decision Report cita algumas estatísticas relacionadas a adoção de IoT no Brasil, retiradas em um relatório da Aruba:
  • O Brasil é um dos cinco principais países do mundo para empresas que planejam adotar a IoT;
  • Hoje, mais de metade (57%) das empresas já adotaram tecnologias de IoT, e até 2019 esse número deverá atingir 85%;
  • Em todo o Brasil, o retorno do investimento (ROI) em IoT foi em média de 37% (9% maior do que a média global);
  • Mais de um quarto dos entrevistados (27%) relataram ROI em IoT acima de 40%, e 20% deles relataram ROI acima de 60%.
  • 95% viram um aumento na eficiência dos negócios desde a adoção de IoT;
  • Sobre o impacto no negócio, 91% viram o departamento de TI da organização se tornar mais eficiente; 88% relataram melhor visibilidade dos processos em toda a organização; e 83% obtiveram redução de custos;
  • Mais de metade dos entrevistados (61%) sentem que os ataques externos são a maior ameaça aos seus sistemas de IoT e 86% já sofreram um ataque relacionado à IoT;
  • As brechas de segurança mais comuns foram causadas por ataques de malware (51%) e spyware (36%).



setembro 08, 2017

[Segurança] User-Agents mais comuns

O site techblog.willshouse.com possui uma lista com os user-agents mais comuns. O user-agent é uma informação que faz parte do cabeçalho HTTP que identifica qual é o tipo e versão do browser.

Essa lista é atualizada dinamicamente desde 2012, e inclui as versões mais atuais dos browsers. É um material interessante para fazer algum estudo ou para compor alguma estratégia de detecção de acessos maliciosos ou suspeitos.

Acessando agora, podemos ver que os top 10 user agents são:

  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/603.3.8 (KHTML, like Gecko) Version/10.1.2 Safari/603.3.8
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36

Os 2 primeiros user-agents dessa lista, relacionados ao Chrome, representam aproximadamente 12% do total.

Para saber o significado da string do user-agent, uma boa opção é dar uma olhada no site http://useragentstring.com. Lá ele destrincha para você cada trecho do user-agent.

setembro 06, 2017

[Segurança] Como denunciar um phishing em seu smartphone

O pessoal de um banco brasileiro criou um serviço para denunciar facilmente, via smartphone, as mensagens de phishing tradicionais ou recebidas no celular (SMSishing), um golpe muito comum hoje em dia.


Esse novo serviço de shutdown de URLs de Phishing utiliza um robô (bot) no Telegram que funciona 24h e disseca as mensagens recebidas para identificar a URL de phishing e tomar ações de bloqueio e report (para antivirus, etc), além de solicitar o shutdown automaticamente do site, em diversas línguas.

Para reportar um phishing, basta enviar a imagem da mensagem ou a URL (preferencialmente digite a URL, pois é mais preciso) para o contato @SMS_Suspeito_Bot no Telegram. Ou seja, tudo isso pode ser feito do seu próprio celular!

setembro 04, 2017

[Segurança] Golpes bancários através de SMS

A prática de SMSishing não é nova, nem aqui nem no mundo. O termo surgiu há vários anos atrás por causa do golpe baseado no envio de mensagens de phishing por celular, através de mensagens de SMS.

A vítima, no caso, recebe uma mensagem em seu celular em nome de alguma empresa conhecida (normalmente um banco), convidando para acessar um site aonde ela vai baixar um código malicioso ou, o que é muito mais comum, ela vai preencher um formulário falso (em nome da empresa) aonde vai passar seus dados para o fraudador.

Por algum motivo, no último ano esse tipo de golpe se intensificou absurdamente no Brasil, usando tanto mensagens de SMS e Whatsapp. O mais provável é que os ciber criminosos brasileiros perceberam que a grande maioria dos usuários bancários já tem smartphones (e, logo, conseguem facilmente acessar sites a partir de links que recebem no celular) e que é mais fácil enganar o usuário final através de uma mensagem de SMS do que uma mensagemd e e-mail, pois afinal as mensagens de SMS não costumam ser muito sofisticadas em termos de design gráfico. Afinal, são apenas mensagens de texto, sem nenhum logo ou design que necessite ser copiado.

A vida do ciber criminoso fica facilitada: basta criar um site simples (mesmo porque a visualização via celular faz com que uma página simples -sem muitas imagens, links nem frames- possa ser facilmente criada para se passar como verdadeira), bolar uma mensagem de texto minimamente convincente e baixar uma lista de números telefônicos (que também pode ser comprada na Internet por R$ 600).

O golpe começa com uma mensagem de SMS enviada ao celular da vítima, normalmente solicitando o recadastramento do seu dispositivo de segurança ou seus dados cadastrais. Para enganar a vítima, os ciber criminosos também podem optar por outras mensagens, como avisando de uma transação que foi realizada e que o usuário tem que ir no link para confirmar ou cancelar.



Ao clicar no link que está na mensagem de SMS, o celular já abre o navegador na página do Phishing, aonde o fraudador vai solicitar os dados do usuário: identificação da conta, senha e as vezes alguns dados cadastrais.



Nesse tipo de golpe também é muito comum que o fraudador peça o cartão de senhas, caso o banco adote este tipo de solução. Nesse caso, o site de phishing já aproveita que a vítima está usando um celular e pede para que ela envie uma cópia de seu cartão de senhas,


No final da história, o ciber criminoso consegue roubar os dados de acesso da vítima (número da conta e senha de login), além de dados cadastrais e, pior ainda, da senha para realizar transações (que em muitos bancos é uma senha variável utilizando o cartão de senhas).

Para evitar cair nesse tipo de golpe, a dica é a mesmade sempre: nunca clicar em links recebidos nessas mensagens. Se você quer verificar se aconteceu algo na sua conta bancária, ligue para o banco, vá na agência ou acesse online através do site real do banco.

Para saber mais, vale a pena dar uma olhada na sessão sobre Phishing na Cartinha do CERT.br.

setembro 01, 2017

[Cyber Cultura] Ajude na Montagem do WikiLab

Deixa eu pegar carona no blog Hacker Culture para divulgar uma ação bem legal: Inscreva-se para ajudar na montagem do WikiLab!

O WikiLab do ABC é um projeto coletivo que conseguiu obter os fundos necessários para a construção de uma sede para o novo Laboratório hacker do ABC, tudo isso por meio de por meio de financiamento coletivo. O WikiLab, que estará localizado na UFABC, já está em processo de construção e todo mundo pode ajudar na montagem.

O WikiLab foi projetado pensando em estruturas modulares que devem ser encaixadas para formar a construção, semelhante a um grande quebra-cabeças. As partes do laboratório da UFABC já foram produzidas e estarão aguardando os voluntários para a montagem.


O mutirão para montagem da estrutura do WikiLab vai acontecer nos dias 12, 13, 14 e 15 de setembro (de terça a sexta).

Para subir o laboratório em uma semana eles precisam de muitos voluntários. Os pré-requisitos são apenas estar no campus de São Bernardo da UFABC no horário escolhido e ter vontade de aprender. Não precisa ter nenhum conhecimento específico, não precisa ser aluno da UFABC e nem mesmo ter ajudado na campanha.

Para se inscrever no mutirão é só entrar em https://wikilab.blog.br/inscricao/, preencher o formulário com a sua disponibilidade de data e horário e aguardar o contato da equipe.

agosto 31, 2017

[Segurança] Como foi o SHA 2017 Hacker Camp

Durante 5 dias no início de Agosto, de 04/08 a 08/08, eu participei do SHA 2017 Hacker Camp, um evento que acontece somente a cada 4 anos na Holanda. Um Hacker Camp, em poucas palavras, é uma conferência que, em vez de acontecer em um centro de convençõres, é realizadsa ao ar livre, em uma grande área de camping. Este tipo de evento fornece uma experiência totalmente diferente dos eventos tradicionais, pois os participantes ficam ao ar livre e, principalmente, ficam imersos no evento 24 horas por dia, initerruptamente. Você assiste palestras, come, toma banho, dorme, bebe, e faz tudo no local do evento durante alguns dias seguidos.




Outro aspecto bem interessante nos hacker camps europeus é que eles fortalecem a participação das comunidades, que são livres para criar as suas "vilas" e realizar dezenas de atividades em paralelo a programação do evento (oficinas, palestras, encontros, debates, etc). Assim, um evento como o SHA 2017 consegue oferece várias centenas de atividades, somando as que constam na programação oficial e as atividades das vilas.

As estatísticas que eu ouvi sobre o SHA 2017 foram impressionantes:
  • 3.650 pessoas no 1o dia de evento
  • O evento ocupou uma área enorme, de 1 por 1 kilômetro, na maior ilha artificial do mundo
  • A programação oficial tinha 300 talks, distribuídas em 4 tendas de palestras e 2 de oficinas
  • A conexão Internet foi de 100 Gbps
Como disse Elger Jonker na palestra de abertura do evento, "Hacking push boundaries, move forward the Society".

As palestras da grade oficial de atividades foram transmitidas online e estão disponíves no canal do evento no YouTube. O temas mais abordados foram relacionados a privacidade, vigilantismo e IoT.

Infelizmente tínhamos poucos brasileiros presentes, cerca de 10, sendo que a grande maioria deles já vive na Europa. E também tivemos um brasileiro palestrando, o Bruno Oliveira, que nos contou sobre sua experiência participando de CTFs e como isso tem ajudado o seu trabalho de pentester. A pouca presença e falta de organização prévia não nos permitiu criar uma "vila brasileira" no evento, o que teria sido bem legal.


Como eu participei do CCCamp há dois anos atrás, na Alemanha, posso comparar os dois eventos: eles são bem similares, seguindo a linha de acampamento hacker: um espaço gigante, com alguns milhares de pessoas de todas as idades, várias vilas e algumas tendas com as programações principais. Os dois eventos acontecem a cada 4 anos, intercalados entre si. O CCCamp me pareceu melhor organizado, e quem viveu o primeiro dia do SHA pode confirmar isso: as lanchonetes demoraram para abrir, algumas pessoas estavam perdidas sobre onde se localizar e aonde montar sua barraca ou vila, etc. O CCCamp tinha 2 tendas enormes com as trilhas de palestras, enquanto o SHA 2017 distribuiu sua agenda oficial em 4 tentas de palestras (menores que a do CCCamp), 2 trilhas de workshops e, também, uma tenda que era o "Badge Bar", com uma pequena infra-estrutura para os participantes montarem e hackearem seus crachás. Eles também separaram uma áres para acampamento e atividades para famílias com crianças.

Depois do fiasco do crachá da Defcon, a SHA não decepcionou: eles fizeram um crachá muito legal!!!

 


Além de assistir algumas palestas e participar de algumas atividades, desta vez eu decidi também ajudar como voluntário na organização do evento. Isso, foi muito fácil: eles possuem um sistema online aonde os participantes podem se inscrever e podem visualizar as vagas que existem para ajudantes. Elas ficavam divididas em blocos de 2 ou mais horas para cada atividade específica (ex: ajudar no estacionamento, na cozinha, no bar, fazendo entregas internamente de bicicleta ou carrinho de golfe). Assim, ficava fácil adequar os horários de trabalho voluntário com as atividades do evento. Foi uma experiência bem legal, pois além de ter a chance de conhecer um pouco da infra do evento, também tive a chance de conversar e interagir com muita gente.

No meu caso, no final do dia eu verificava a programação de palestras e atividades que tinha interesse no dia seguinte e preenchia os horários vagos com o trabalho de voluntário. Assim, ajudei no balcão de informação, no balcão de registro e em 2 bares do evento.

Vale a pena citar que dois exemplos recentes me motivaram muito a querer ajudar como voluntário no SHA 2017: na semana anterior ao SHA eu fui para a Defcon e Bsides em Las Vegas, e vi dois amigos, o Fernando Amate e o Fellype, que foram voluntários na Defcon e na BSides Las Vegas, respectivamente.

agosto 30, 2017

[Segurança] Portal Mente Binária

O Fernando Mercês não para! Depois do sucesso de sua experiência como YouTuber no canal Papo Binário (excelente, a propósito), ele acaba de transformar o seu site Mente Binária em um portal de conteúdo interativo. Ou seja, ele transformou o blog dele em um fórum, na verdade ;)

Como ele mesmo explica em um vídeo, o objetivo é fornecer uma plataforma online para as pessoas interagirem e trocarem conhecimento.


O que você está esperando? Entra lá: https://www.mentebinaria.com.br

PS: A propósito, neste momento o canal Papo Binário já está com quase 5 mil inscritos no You Tube!!! Parabéns !!!

agosto 24, 2017

[Segurança] Posts que nunca foram escritos

Está na hora de dar uma limpada na minha coletânea de artigos, histórias e idéias que nunca viraram posts nesse blog.

E viva o vazamento de dados...
Alguns posts sobre política, governos e ciber espionagem:
Notícias sobre Ransomware:
Alguns artigos sobre o mercado de segurança:


"Legítima defesa digital": https://www.bleepingcomputer.com/news/legal/proposed-us-bill-would-legalize-aggressive-hack-back-attacks/
  • O interesse é que há quase 10 anos atrás o PL de crimes cibernéticos do Eduardo Azeredo tinha uma cláusula sobre isso.
Indústria 4.0

Reportagens com estatísticas do Gartner sobre o mercado de segurança baseado em Cloud Computing: Serviços mundiais de segurança baseados em nuvem devem crescer 21% em 2017 e devem movimentar US$ 5,9 bi neste ano no mundo

Alerta: ladrões clonam contas no WhatsApp e pedem transferência em dinheiro

"Mini guia para se manter mais “seguro” na Internet" - apresentação bem legal do Corvolino feita na Cryptorave 2017

agosto 21, 2017

[Segurança] Estatística de ciber crime no Brasil

Em 2016 foram registradas pela Policia Federal, Ministério dos Direitos Humanos e pela ONG SaferNet cerca de...

115 mil denúncias de crimes digitais


Os principais crimes relacionados a estes casos são de pornografia infantil, racismo e apologia e incitação de crimes contra a vida.

agosto 16, 2017

[Segurança] Nova Buzzword: A Internet das Identidades (IoI)

Vem aí uma nova buzzword para nós:


Internet das Identidades (IoI)


A “Internet of Identies” (IoI), ou "Internet das Identidades", se propõe a tratar o problema de mapear as diversas identidades possíveis para os dispositivos no universo da Internet das Coisas (IoT). Isso inclui a gestão da identidade do dispositivo, do usuário, do aplicativo ou serviço e a identidade do recurso associado ao dispositivo.

Uma das preocupações, válidas, é como implementar uma autenticação forte para os dispositivos IoT, algo normalmente resolvido com certificados digitais X.509 associados ao dispositivo ou tecnologias biométricas quando ocorre intervenção dos usuários finais. A gestão de indentidade dos dispositicvos IoT é fundamental para garantir o acesso apenas dos dispositivos e usuários válidos, além de servir de base para implementações de controle de acesso e de soluções de seguarnça baseadas no comportamento.

agosto 14, 2017

[Cidadania] Cuidado com a depressão na adolescência

Lembram do problema social que foi o tal jogo da Baleia Azul? Há poucos meses atrás este jogo se propagou entre adolecentes através de redes sociais, e ao final estimulava o suicídio dos participantes.

Então, se houve algo de positivo nesta história, foi que ela fomentou a discussão sobre o problema da depressão e suicídio entre adolescentes e, principalmente, causou um questionamento sobre a importância os pais conversarem com seus filhos. Nesse sentido, eu vi um infográfico publicado em uma reportagem do jornal carioca Extra que achei bem instrutivo e reproduzo parcialmente abaixo:


Ou seja, os pais devem se preocupar e interagir mais com seus filhos se ocorrer algum dos comportamentos abaixo, que podem ser sinais de depressão:

  • Isolamento por longos períodos;
  • Falta de atenção;
  • Desinteresse por atividades comuns entre jovens, principalmente atividades em grupo ou com outros jovens;
  • Predominância de contato com outras pessoas pela Internet do que no mundo real (embora isso seja cada vez mais comum);
  • Desempenho escolar ruim ou em queda;
  • Descuido com a higiene pessoal;
  • Ausência de memória;
  • Alteração no apetite, para mais ou para menos;
  • Irritabilidade exagerada;
  • Apresentar machucados com frequência, principalmente se representar provável automutilação.

Os pais não podem ter medo de conversar e cuidar de seus filhos. Em caso de dificuldade, procure auxílio de parentes ou, se necessário, auxílio profissional com psicólogos. Conversar com um psicólogo (ou psicóloga) não é motivo de vergonha; é uma ótima oportunidade de consultar alguém que vai te ajudar no autoconhecimento.

agosto 10, 2017

[Segurança] Estatísticas do Ciber crime em 2016

Um artigo de Junho deste ano traz algumas estatísticas sobre ciber crime baseadas no relatório Internet Crime Report 2016, divulgado anualmente pelo Internet Crime Complaint Center (IC3), do FBI.


Veja algumas estatísticas:
  • As perdas reportadas devido ao ciber crime no ano passado totalizaram US$ 1,3 bilhão;
  • O FBI recebeu 298.728 queixas de criber crime por parte dos residentes dos EUA em 2016;
  • No ano passado, os três principais tipos de crimes relatados pelas vítimas foram o não pagamento e a falta de entrega, a violação de dados pessoais e golpes de pagamento;
  • O Departamento de Justiça estima que apenas 15% dos ciber crimes são relatados às autoridades
  • Canadá, India e o Reino unido lideram a lista de países com maior número de vítimas, além dos EUA.
Dentre as diversas categorias de ciber crime registrados pelo IC3 em 2016, o artigo destacou os principais, que também mostram os diversos tipos de golpes que acontecem na Internet:
  • Comprometimento de e-mail de negócios, ou "Business email compromise" (BEC) (US$ 360,5 milhões): os atacantes enganam um empregado para fazer um pagamento por transferência bancária;
  • Fraude de Confiança / Romance, ou "Confidence fraud / romance" (US$ 219,8 milhões): Enganar um indivíduo para pensar que eles estão em um relacionamento para extrair fundos, informações pessoais ou outra assistência;
  • Violação de dados corporativos, ou "Corporate data breach" (US$ 95,9 milhões): quando dados confidenciais ou privados do negócio vazam ou são roubados;
  • Adiantamento de taxa, ou "Advanced fee" (US$ 60,5 milhões): Scammers enganam um indivíduo para adiantar algum dinheiro, pela promessa de receber uma quantidade ainda maior em troca;
  • 419 / pagamento em excesso ou "overpayment" (US$ 56 milhões): um golpe muito associado a Nigéria, por conta das mensagens que existem há muitos anos sobre "um princípe que precisa de ajuda para recuperar seu dinheiro". O termo "419" também é usado para identificar este golpe por indicar uma seção da lei nigeriana associada à fraude. Os scammers pedem ajuda para transferir uma grande quantidade de dinheiro e oferece uma "comissão" em troca, mas primeiro pede que parte do dinheiro seja enviado para pagar alguns dos custos associados à transferência";
  • Phishing, vishing, smishing, pharming (US$ 31,7 milhões): uso de e-mails não solicitados, mensagens de texto ou chamadas telefônicas para roubar informações pessoais ou credenciais de acesso a sites;
  • Extorsão, ou "Extortion" ($ 15,8 milhões);
  • Fraude de suporte técnico, "Tech-Support fraud" (US $ 7,8 milhões): esquemas convencem os usuários de comprar ferramentas ou pagar por suporte técnico desnecessário ou falso (ineficiente, que as vezes "resolve" um problema inexistente);
  • Malware / Scareware (US$ 3,9 milhões): software malicioso projetado para roubar informações pessoais, ameaçar os usuários ou fazê-los pagar taxas e assinatura, como por exemplo em um software anti-vírus falso;
  • Ransomware (US$ 2,4 milhões);
  • Hacktivismo ($ 55.500).



Para saber mais: Internet Crime Complaint Center (IC3) website
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.