janeiro 17, 2025

[Retrospectiva] Masters of Pwnage em 2024: BSidesSP, YSTS, BRHueCon e H2HC

A iniciativa Masters of Pwnage, que surgiu na Security BSides São Paulo (BSidesSP) em 2023, bombou novamente em 2024. No primeiro ano foram distribuídas, gratuitamente, cartinhas na BSidesSP, BRHueCon, BHack e H2HC.

Em 2024 foram distribuídas 4 coleções de cartas em 4 eventos:

  • BSidesSP: 38 cartas (13 mil cartas no total)
  • YSTS: 13 cartas (2.600)
  • BrHueCon: 2 cartas (400 cartas)
  • H2HC: 81 cartas (26.300 cartas)

Na BRHueCon fizemos uma carta especial, em homenagem ao Kevin Mitnick, grande figura lendária da área de cibersegurança, que faleceu em 2023. A carta foi feita com acabamento "foil" (que dá um visual brilhante) e distribuída exclusivamente na BRHueCon.

Na H2HC de 2023 fizemos o primeiro campeonato das cartas Masters of Pwnage, e repetimos algumas competições na BSidesSP e na H2HC em 2024. Mas queremos mais!!!

Para permitir que a galera possa montar um deck jogável com as cartas, no estilo do "Magic the Gathering", disponibilizamos online uma versão das cartas que pode ser impressa em casa e colocamos em um repositório no GitHub. A idéia é permitir que a comunidade tenha acesso à todas as cartas, e assim, criamos duas categorias de cartas:

  • Cartas colecionáveis: impressas em alta qualidade e distribuídas exclusivamente em alguns eventos da comunidade. As coleções são associadas a algum evento de segurança específico, que é indicado no rodapé da carta;
  • Cartas Jogáveis ("Player Cards"): versão digital das cartas colecionáveis, mas que podem ser baixadas, impressas em qualquer lugar e usadas para montar decks para jogar. Essas cartas estão marcadas como "Player Card" no rodapé.

As cartas "Player Card" podem ser baixadas e impressas a vontade.

Para saber mais:


janeiro 16, 2025

[Carreira] Por que as empresas não querem a Geração Z e nem o Home Office

O comediante Denison Carvalho publicou, no final de 2024, um vídeo muito engraçado aonde ele discute a sua visão sobre o porque as empresas não querem aceitar a Geração Z e nem Home Office:


Ele apresenta alguns argumentos contrários ao home office e contesta eles, de forma sincera e bem divertida.

Veja algumas pérolas que ele disse no vídeo:
  • "Eu tomo café na empresa para dar migué"
  • "Só quem gosta de trabalhar no escritório é pai de bebê recém nascido"
  • "O Zoom é o Judas do Home Office"
  • "Se o dono da empresa tiver que fazer o mesmo percurso do funcionário, ele desiste no meio do caminho"
Ele é um comediante de standup, então é claro que todos os comentários do Denison são engraçados e provocativos. Mas são excelentes argumentos para fomentar as discussões sobre o retorno aos escritórios, ou não.

Veja mais:

janeiro 14, 2025

[Segurança] Novo golpe após governo anunciar aumento da fiscalização sobre transações financeiras

A galerinha do mal não perde tempo!!! Poucos dias após o governo anunciar que, a partir de janeiro, a Receita Federal vai ampliar a fiscalização e vai receber dados de transações de cartões de crédito e de PIX das instituições financeiras, já começaram a surgir os golpes.

Não é para menos, a notícia do novo monitoramento de transações financeiras rapidamente se tornou uma fake news de que a receita federal iria começar a taxar as transações via PIX. E, assim, os criminosos encontraram o "gancho" que precisavam.

Começou a circular mensagens supostamente da Receita Federal cobrando uma taxa pelo uso do PIX. No exemplo abaixo, compartilhado pela Receita Fedeeral, a vítima recebe um boleto falso, para pagar o suposto imposto.


A própria Receita Federal compartilho publicamente um alerta sobre esse golpe. Os criminosos estão aproveitando a onda de Fake News relacionadas à fiscalização da Receita Federal sobre transações financeiras para enganar cidadãos e aplicar golpes. Eles estão enviando mensagens falsas dizendo que transações acima de R$ 5 mil via PIX geram cobranças e que o CPF será bloqueado caso o pagamento de um suposto imposto não seja feito imediatamente.

O golpe utilizando indevidamente o nome e a logomarca da Receita Federal para dar credibilidade à fraude.

Isso é fake news, pois a Receita Federal não cobra taxas sobre PIX nem envia cobranças por WhatsApp, SMS ou e-mail. Golpes como este utilizam o medo e a desinformação para prejudicar cidadãos.

Se você receber essa notificação, simplesmente ignore-a. Em caso de dúvidas, se informe diretamente no site oficial da Receita Federal. 


Os comentários no post da Receita Federal no Instagram são os melhores...

Para saber mais:

janeiro 13, 2025

[Retrospectiva] A Criptografia Pós-quântica é realidade!

Buzzword ou realidade?

Há muitos anos já falamos sobre o surgimento dos computadores quânticos e o avanço da computação quântica . E esse assunto sempre vem acompanhado da especulação sobre o risco à segurança, já que os computadores quânticos teriam poder de processamento matemático muito acima dos computadores atuais e, portanto, seriam capazes de "quebrar" os algoritmos atuais de criptografia e assinatura digital.

Os avanços recentes no campo da computação quântica trouxeram ao debate o risco de quebra dos algoritmos criptográficos existentes e a necessidade urgente da adoção de algoritmos de Criptografia Pós-Quântica (em inglês, post-quantum cryptography, ou PQC).

Em outubro de 2024, pesquisadores chineses conseguiram quebrar o algoritmo RSA com uma chave pequena, de 22 bits. Embora essa é uma chave de tamanho muito abaixo do usado atualmente, essa pesquisa já demonstra o potencial catastrófico que a computação quântica pode atingir nos próximos anos (eu disse "catastrófico" pensando no impacto para os algoritmos de criptografia atuais).

O fato é que a tecnologia da computação quântica está se desenvolvendo rapidamente e se tornando realidade. Alguns especialistas já preveem que um dispositivo com capacidade de quebrar os métodos de criptografia atuais poderá aparecer em poucos anos, provavelmente em menos de uma década - provavelmente no início de 20230!!!! Isso representa um cenário extremamente assustador, pois os algoritmos criptográficos e de hash digital como RSA, AES e SHA são a base de toda a segurança das tecnologias atuais (leia de novo: "toda a segurança") e, portanto, são peça chave na proteção de nossos dados.

Em um movimento fundamenta; para proteger a segurança cibernética em um futuro próximo, em 13 de agosto de 2024 o NIST (National Institute of Standards and Technology, dos EUA) anunciou a formalização de três novos padrões de criptografia pós-quântica e encorajou os administradores a começar a avaliar a adoção desses novos padrões de criptografia e assinatura digital:
  • “Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM)” (FIPS 204), também conhecido como CRYSTALS-Kyber (nome original do algoritmo), planejado para se tornar o padrão primário para criptografia geral;
  • “Module-Lattice-Based Digital Signature Standard (ML-DSA)” (FIPS 204), anteriormente chamado de CRYSTALS-Dilithium, criado par ser o padrão principal para proteger assinaturas digitais;
  • “Stateless Hash-Based Digital Signature Standard (SLH-DSA)” (FIPS 205), chamado originalmente de "Sphincs+".


Estes três algoritmos anunciados pelo NIST, um para criptografia de chave pública e dois de assinatura digital, representam os primeiros padrões concluídos do projeto de padronização de criptografia pós-quântica (PQC) do NIST e estão prontos para uso imediato. E porque dois de assinatura digital? Um deles já foi pensado como "backup", ou seja, para ser usado se descobrirem vulnerabilidades no primeiro.

Segundo o NIST, eles foram projetados para resistir às capacidades computacionais dos computadores quânticos. Entretanto, sua adoção pelo mercado provavelmente deve ser lenta, dada a complexidade do tema.

Em 2015, o NIST iniciou a seleção e padronização de algoritmos resistentes a quantum para combater ameaças potenciais de computadores quânticos. Após avaliar 82 algoritmos de 25 países, os 15 principais foram identificados em um processo aberto e transparente, com a assistência de criptógrafos globais. Eles foram categorizados em algoritmos finalistas (7 deles) e alternativos (8). Os três finalistas foram divulgados como padrões "de rascunho" e foram lançados para comentários públicos em 2023. Em 2024 se tornaram um padrão oficial.

Em dezembro de 2024 a Australian Signals Directorate (ASD) (órgão de segurança cibernética da Austrália) publicou seus padrões revisados de criptografia, e deu destaque aos algoritmos pós-quânticos. De forma geral, a ASD classificou os algoritmos como "mais complexos do que os demais" e destacou que a segurança deles tem uma dependência complexa de numerosos parâmetros.

A ASD também descreveu como seria um esquema híbrido, que mistura a criptografia tradicional com a pós-quântica. Esse é um esquema multi-algoritmo ,onde pelo menos um algoritmo criptográfico é um algoritmo criptográfico pós-quântico (por exemplo, ML-KEM) e pelo menos um algoritmo criptográfico é um algoritmo criptográfico tradicional (por exemplo, RSA). Geralmente, tais esquemas têm a vantagem da segurança oferecida pelo uso do algoritmo criptográfico tradicional, justamente para o caso do algoritmo criptográfico pós-quântico ser vulnerável a alguma falha de implementação ou um novo ataque. Essa vantagem vem ao custo de maior complexidade, tornando a manutenção, análise e implementação segura mais difíceis, bem como tendo maiores sobrecargas computacionais e de largura de banda.

De forma geral, o documento da Australian Signals Directorate (ASD) deixa claro que a expectativa é que esses algoritmos serão necessários a partir de 2030 (vulgo "logo ali").

Para saber mais:



janeiro 10, 2025

[Retrospectiva] O faturamento bilionário do Cibercrime brasileiro

Um levantamento do DataFolha para o Fórum de Segurança Pública, realizado há pouco tempo, indicou que o faturamento do ciber crime atingiu o valor de, pelo menos...


R$ 190 bilhões por ano



... o que é um valor 40% acima da verba da Segurança Pública no Brasil!!!

O levantamento da DataFolha levou em conta 13 tipos de crimes virtuais, além de furtos e roubos de celulares, considerados a porta de entrada desses delitos.

O levantamento mostrou que, entre as vítimas de furto e roubo de celulares, a estimativa de prejuízo é de R$ 23 bilhões. O golpe do PIX ou do boleto falso representa R$ 25,5 bilhões de prejuízo nos últimos 12 meses.

Veja também:

janeiro 09, 2025

[Segurança] O Professor do Golpe Digital

O Fantástico deste domingo (dia 05/01) trouxe uma matéria extensa sobre a prisão do criador de uma plataforma online para estelionatários. O "Brasil Store" era um dos portais mais populares entre os cibercriminosos, que funcionava como painel de consultas e como loja de serviços fraudulentos.


O responsável pelo portal, apelidado de Banucha Gomes, ficou conhecido também como "Professor do Golpe Digital".

Entre os produtos vendidos por Banucha, estava o combo "Lara", que oferecia uma conta bancária laranja, com direito a um cartão cartão de débito, por R$ 1.600. Já o “Kit Bico” era mais completo e incluía uma conta bancária já aberta, senha de acesso a plataformas de e-commerce, documentos falsos e cartões de crédito clonados. O portal também oferecia cursos e apostilas ensinando como realizar fraudes e golpes digitais.

O portal atingiu um público de mais de 50 mil pessoas e chegou a disponibilizar mais de 10 mil cartões bancários clonados Na casa de Banucha, na ocasião da prisão, os investigadores encontraram drogas e duas armas com numeração raspada. A perícia descobriu que Banucha tinha no computador um total de 180 mil cartões clonados.

Segundo a polícia, o faturamento dele com seus alunos golpistas chegava a R$ 1,5 milhão por mês.

Banucha Gomes foi preso pela Polícia Civil em 11 de dezembro de 2024. Os sites de Banucha foram retirados do ar. Agora, a polícia tentar identificar e punir quem pôs em prática as aulas do crime.

Para saber mais:

janeiro 07, 2025

[Retrospectiva] As vulnerabilidades em sistemas industriais

Como foram as vulnerabilidades em sistemas industriais e de infraestrutura crítica em 2024?

Segundo dados da Cybersecurity and Infrastructure Security Agency (CISA), durante o ano de 2024 foram publicados 409 anúncios de vulnerabilidades em sistemas industriais ("Industrial Control Systems", ou ICS).

Isso representa um aumento de 9% em comparação com o ano anterior (foram 376 anúncios em 2023). Além disso, vale destacar que a CISA costuma divulgar diversas vulnerabilidades distintas em um único anúncio, o que torna o número total de vulnerabilidades em 2024 ainda maior.

Os 10 fabricantes mais citados nos alertas da CISA em 2024 foram a gigante do setor Siemens (presente em 150 desses alertas, representando 43% do total), a Rockwell Automation (55), a Schneider Electric (16), Delta Electronics (14), a Mitsubishi Electric (14), Hitachi Energy (11), Johnson Controls Inc. (9), Johnson Controls (7), AVEVA (6) e a SUBNET Solutions Inc. (com 6 alertas).



janeiro 06, 2025

[Retrospectiva] A Mente Binária vira ONG

Pode parecer algo muito específico, mas esta foi uma "pequena grande" conquista para nossa comunidade.

Todos conhecem a Mente Binária graças ao esforço incansável do Fernando Mercês, que por mais de 10 anos tocou o portal Mente Binária e o canal no YouTube (existente desde fevereiro de 2014), repleto de entrevistas históricas, com grandes profissionais da nossa área - o "Papo Binário". Durante esses anos todos, o portal da Mente Binária hospedou um fórum, diversos artigos, notícias, cursos online e e-books gratuitos.

Em 2024 a Mente Binária fez um movimento importante para se consolidar, se estruturar e garantir um futuro apoiando a comunidade: se transformou em uma ONG, com objetivos claros, uma diretoria, um conselho consultivo e um fiscal.


E porque isso é relevante para a nossa comunidade?
  • Até aonde eu sei, essa é a primeira iniciativa da comunidade a atingir o status de Organização Não Governamental. Os hackerspaces, por exemplo, que são vários espalhados pelo Brasil afora, ou estão na informalidade ou são registrados como "associação civil sem fins lucrativos";
  • Ao se transformar em uma ONG, a Mente Binária deixa de ser uma pessoa e passa a ser uma organização, e com isso tem uma perspectiva de mais longo prazo;
  • A Mente Binária passa a ter um foco maior na educação digital como instrumento de transformação e impacto social;
  • Ao formar um conselho, a MB começa a ter uma visão e discussão mais plural e diversa.
A Mente Binária virou muito mais do que um blog e um canal no YouTube, ela agora é "uma entidade de ensino e pesquisa sem fins lucrativos". E todos nós ganhamos com isso <3

Saiba mais:

janeiro 02, 2025

[Geek] Boas vindas ao ano matematicamente perfeito!

Nesse final de ano, foi compartilhado em diversos grupos do Whatsapp e redes sociais algumas características interessantes do número 2.025, que fazem desse um ano "matematicamente perfeito" (acabei de inventar essa expressão).

A galera percebeu alguns padrões numéricos que fazem de 2025 a alegria dos matemáticos e dos nerds:
  • 2025 = 45², o que faz dele um ano "quadrado-perfeito", uma vez que é o resultado da multiplicação de dois números inteiros;
    • Além disso, 20 + 25 = 45;
    • O último ano "quadrado-perfeito" ocorreu em 1936 (44²) e o próximo será só em 2116 (45²);
  • 2025 pode ser representado pelo quadrado da soma de todos os números decimais, inteiros, na sequência de 1 a 9:
    (0 + 1 + 2 + 3 + 4 + 5 + 6 + 7 + 8 + 9)² = 2025;
    • A última vez que isso aconteceu foi no ano 1296 e a próxima será em 3025;
  • Também pode ser representado pela a soma dos cubos dos números inteiros de 1 a 9:
    (0³ + 1³ + 2³ + 3³ + 4³ + 5³ + 6³ + 7³ + 8³ + 9³) = 2025;
    • A última vez que isso aconteceu foi em 1296 e a próxima será em 3025.
Ou seja...

Feliz 45² para todos nós!!!


OBS:
  • Quadrado perfeito são os números inteiros, naturais, que são resultado da multiplicação de outro número natural (um número inteiro positivo), por ele mesmo. Ou seja, a raiz quadrada de um número "quadrado perfeito" é exata, é um número natural, inteiro. Por exemplo, a raiz de 9 é 3, logo ele é um quadrado perfeito. Mas a raiz de 10 é 3,16, logo ele não é um "quadrado perfeito". (fonte 1, fonte 2)
  • A imagem desse post foi gerada por IA (prompt: "Gerar uma imagem com a mensagem de Feliz 2025 usando elementos temáticos da cultura hacker, steampunk e cibernética").

dezembro 31, 2024

[Retrospectiva] O cibercrime brasileiro sempre presente

Aqui no Brasil, o cibercrime está sempre presente. Estamos constantemente sujeitos a diversos golpes e fraudes online, e 2024 não foi diferente. Muito pelo contrário, eu acho que foi até pior!

Algumas estatísticas levantadas pela Folha de São Paulo para o Fórum de Segurança Pública, que eu compartilhei aqui no Blog há pouco tempo atrás, dá um amargo gostinho do cenário brasileiro:
  • A cada hora, mais de 4.600 pessoas são alvo de tentativas de golpes financeiros por meio de aplicativos de mensagem ou ligações telefônicas, normalmente com criminosos se passando por funcionários de bancos;
  • A cada hora, cerca de 2.500 pessoas pagam por produtos na internet que acabam não sendo entregues;
  • A cada hora, 1.680 vítimas têm o celular furtado ou roubado no país;
  • Prejuízo de R$ 71,4 bilhões nos últimos 12 meses em consequência de roubos de celulares e dos crimes digitais, praticados com máquinas de cartão adulteradas, golpes com Pix, boletos falsos e fraudes em cartões de crédito.
Em 2024 fomos assolados pelos mais diversos tipos de golpes online, como malwares bancários, anúncios falsos produzidos com deep fake, golpe do Whatsapp, do entregador, do presente de aniversário, entre outros. Estes, e muito mais, são descritos no excelente ebook do Delegado Barreto e da Natália Siqueira, publicado pela WB Editora, É bom demais para ser verdade? Não caia nessa!.


Em 2024 certamente os golpes mais comum foram:
  • Ligação ou SMS de uma falsa central do banco, alegando que você fez uma suposta transação de alto valor, ou que tem uma transação pendente. O objetivo é fazer a vítima ligar para a falsa central do banco, assustada, e aí manipulá-la via engenharia social para, geralmente, fazer ela instalar um trojan bancário em seu celular como se fosse uma "atualizaçao de segurança" de seu app bancário;
  • Os SMSs em nome dos Correios e do Detran. Certamente você, leitor, já recebeu um desses. São SMSs com mensagem falsa, se fazendo passar por um alerta dos Correios de que uma encomenda sua está retida, ou do Detran avisando que sua CNH será cassada. Em ambos os casos, o objetivo final é convencer a vítima a pagar um boleto com uma suposta taxa ou multa, que é um dinheiro que vai direto para a conta dos fraudadores. Além disso, no golpe da CNH eles também podem tentar obter as credenciais de acesso ao portal gov.br :(
Veja abaixo alguns exemplos de outros golpes que eu recebi no decorrer do ano, desde o golpe da falsa invasão e roubo de dados pessoais, até diversos e-mails de phishing:











Na hora de desviar o dinheiro roubado da conta corrente de uma vítima, é muito comum usar contas falsas abertas exclusivamente para o crime (muitas vezes, são abertas online, através de aplicativos bancários) ou contas de pessoas que cedem suas próprias contas para criminosos, e assim intermediam o recebimento do dinheiro em troca de uma porcentagem ou pagamento. Neste momento, o PIX se mostra um grande aliado do cibercrime, pois os fraudadores conseguem transferir o dinheiro roubado em poucos segundos, e pulverizá-lo em diversas contas laranja, tornando impossível aos bancos recuperarem os valores.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.