[Segurança] 6 dicas para não cair na conversa de golpistas

Uma reportagem do UOL, cujo tema central é o uso de paineis de consulta de dados por golpistas, traz um infográfico bem legal com dicas claras e objetivas de como evitar os principais golpes existentes hoje em dia:

Vale a pena compartilhar isso com amigos e familiares!

A reportagem detalha como é fácil, para os cibercriminosos, ter acesso a paineis com dados pessoais de toda a população, o que permite a realização de diversos golpes. Muitos desses paineis reúnem dados de um megavazamento ocorrido em janeiro de 2021, quando as informações de mais de 220 milhões de pessoas caíram na rede. Eram CPFs, salários, veículos, placas de carros, números de telefone, scores de crédito e muito mais.

A reportagem também destaca que, segundo dados do Anuário Brasileiro de Segurança Pública de 2024, estelionatos e golpes virtuais derivados desses acessos cresceram vertiginosamente no país. Só o prejuízo com golpe do Pix (R$ 25 bilhões) já é maior que o de furtos e roubos de celulares (R$ 23,5 bilhões).

Veja mais:

• 'Painel de dados' dá aos golpistas tudo de que precisam (UOL, 11/10/2024)
• Faturamento do crime digital é 40% maior do que verba das polícias do país (UOL, 04/09/2024)

[Segurança] A hora do golpe

Qual é a melhor hora do dia para cair numa fraude?

• Spoiler alert: Todos os dias, de 2a a 6a feira!!!! Segundas-feiras de madrugada, terças-feiras à noite e madrugada das quartas-feiras, quintas e sextas-feiras das 11h as 15h.

Como eu sei disso? rs...

Três pesquisas recentes, da IDWall (sobre fraude de cartão no e-commerce), da ClearSale (sobre fraudes bancárias) e da Equifax (sobre fraude no e-commerce), trouxeram dados interessantes sobre as fraudes cibernéticas no Brasil.

O  relatório "Fraud Report idwall Financeiro" traz várias estatísticas sobre fraudes bancárias. O estudo foi feito com base nos dados coletados na prestação do serviço de verificação documental a clientes do setor financeiro. Veja alguns dados:

• Segunda-feira de madrugada e terça-feira à noite são os dias e horários preferidos dos estelionatários para tentativas de fraudes bancárias. Em 2023, terça e sábado de madrugada eram os dias preferidos dos fraudadores;
• Os golpes financeiros representam 2,4 vezes mais golpes do que as demais categorias de golpes analisadas;
• As fraudes mais comuns foram em cartão de crédito, pagamento de boleto ou Pix falsos e comunicação fraudulenta.
  

A ClearSale, por sua vez, registrou mais de 1 milhão de tentativas de fraude na primeira metade de 2024 no Brasil, totalizando possíveis perdas de R$ 1,2 bilhão. O levantamento da ClearSale considerou apenas pagamentos via cartão de crédito no setor de e-commerce, e identificou as seguintes características desse tipo de fraude:

• O dia da semana e o horário com a maior representatividade de investidas fraudulentas foram as quartas-feiras entre meia-noite e 5h;
• O grupo mais afetado pelos golpes foram os millennials, as pessoas nascidas entre 1980 a 1995;
• O volume de tentativas de fraude representou uma queda de 7,8% em comparação ao mesmo período do ano passado;
• O ticket médio das tentativas de transação foi de R$ 1.198, um valor 3,5% menor do que o ano anterior (2023);
• A região mais afetada pelos golpes foi a Norte, com ticket médio de R$ 1.308. A região nordeste registrou ticket médio de R$ 1.303, enquanto sudeste teve de R$ 1.129, o centro-oeste de R$ 1.402 e a região sul registrou a menor taxa de tentativas e um ticket médio de R$ 1.319;
• Os produtos mais visados pelos criminosos foram eletrônicos e ar-condicionado.

O novo Indicador Mensal de Fraude apresentado pela Equifax BoaVista mostra como as ferramentas de antifraude evitaram prejuízo ao e-commerce. Ele traz vários indicadores sobre o perfil das tentativas de fraude no e-commerce brasileiro, em agosto de 2024:

• Os dias mais propícios para fraudes são as quintas e sextas-feiras, entre 11 horas e 15 horas, concentrando cerca de 35% das ocorrências. Os domingos são os dias com menor incidência de tentativas de fraude;
• Foi prevenido cerca de R$ 833 milhões de prejuízo no varejo online em agosto;
• As tentativas de fraude registraram um aumento de 66% no mês de agosto em comparação com julho de 2024,;
• O tíquete médio das fraudes caiu 59% em comparação com o mesmo período de 2023;
• 25% das tentativas de fraude estão concentradas nos Estados de São Paulo, Rio de Janeiro e Minas Gerais, com São Paulo liderando o ranking;
• As regiões com menor índice de fraudes são Acre, Amapá e Roraima, representando apenas 0,20% dos casos.

Não tem como negar que a situação está feia, aqui no Brasil, nós não temos um minuto de paz:

• Segundo a Serasa, quatro em cada dez brasileiros sofreram golpes financeiros neste ano. Das pessoas que foram vítimas, 57% tiveram perda média de R$ 2.288;
• Segundo o DataFolha, sete em cada dez brasileiros já ouviram falar de pessoas que foram vítimas de golpes envolvendo aplicativos de bancos;
• Uma pesquisa recente do DataSenado em parceria com a Nexus revelou que 24% dos brasileiros foram vítimas de golpes digitais nos últimos 12 meses.

Quer buscar alguma orientação sobre como evitar cair em golpes ou o que fazer caso tenha sido uma vítima? A WB Editora publicou um e-book sensacional do Delegado Barreto e da Natália Siqueira, É bom demais para ser verdade? Não caia nessa!.

Fontes:

• Tentativas de fraude no e-commerce brasileiro sobem 66% em agosto, diz pesquisa (CNN, 20/09/2024)
• Tentativas de fraude já somam R$ 1,2 bi em 2024; veja data, hora e alvos preferidos de golpistas (CNN, 24/07/2024)
• Confira dias e horários preferidos para golpes e fraudes bancárias, e saiba como se proteger (Folha de São Paulo, 01/07/2024)

Veja também:

• Quase 25% dos brasileiros perderam dinheiro em golpes nos últimos 12 meses (TecMundo, 30/09/2024)
• Custo médio das violações de dados no Brasil é de R$ 6,75 milhões (Security Leaders, 25/09/2024)
• Metade dos ataques ocorre depois do expediente (CISO Advisor, 22/09/2024)
• Golpes com Pix causaram prejuízos de R$ 1,5 bilhão em 2023 (TecMundo, 07/08/2024)
• Uma pessoa cai em golpe a cada 16 segundos, aponta anuário da segurança (Correio Braziliense, 18/07/2024)
• Tentativas de fraudes no e-commerce brasileiro recuam 23% no 1º trimestre, diz estudo (CNN, 01/07/2024)
• Relatório de Fraude da Serasa Experian: 4 em cada 10 brasileiros já foram vítimas de golpes e preocupação de empresas aumentou 58% em um ano (Serasa, 27/06/2024)
•  Mais de 70% dos brasileiros ouviram falar de alguém que sofreu golpe, diz Datafolha (Folha de São Paulo, 12/04/2024)

[Segurança] Alguns recursos do Gartner para o mês da Conscientização em Segurança

Já estamos em Outubro, o mês que é tradicionalmente encarado como o Mês da Conscientização da Segurança.

Ou seja, se a sua empresa já tem uma estratégia contínua e bem estruturada de conscientização, esse é o mês para reforçar as campanhas. Por outro lado, se a sua empresa não tem nada planejado, raramente faz alguma ação, não tem profissional dedicado para isso, então esse é o mês para você aproveitar a onda e fazer o mínimo necessário!!! #aproveita #éraromasacontecemuito

E tem muito material e estudos de caso disponíveis gratuitamente, muitos sites de referência, realmente é só arregaçar as mangas e fazer algo! Você já viu esse meu post do mês passado sobre isso?

• Kits de apoio para o Mês da Conscientização

Hoje, por exemplo, eu recebi um e-mail marketing do Gartner com alguns materiais deles disponíveis gratuitamente para apoiar nas ações de conscientização nesse mês.

Vamos começar com buzzwords, pois se é do Gartner, tem que ter siglas e buzzwords:

• SBCP: Security Behavior and Culture Program
• PIPE: Practices, Influences, Platforms and Enablers
• SACBT: Security Awareness Computer-Based Training

Ou seja, nesse post eu quero te ajudar a identificar alguns recursos valiosos de PIPE para te apoiar no seu SBCP, e que possam ir além do uso de SACBT.

Então, para iniciarmos essa jornada, euy gosto muito de usar algumas estatísticas, como essas apresentadas pelo Gartner:

• 69% dos funcionários intencionalmente ignoraram as orientações de segurança nos últimos 12 meses;
• 65% dos funcionários abrem em seus dispositivos de trabalho e-mails, links ou anexos recebidos de fontes desconhecidas;
• 63% dos funcionários usam seu dispositivo de trabalho para uso pessoal;
• 63% dos funcionários salvam suas senhas de trabalho no navegador
• e... 93% das pessoas que fazem as coisas acima reconhecem que estão aumentando o disco da empresa.

O Gartner também apresenta os principais desafios:

• Capacidade diversificada de aprendizagem e entendimento técnico, ainda mais se você considerar as diversas gerações dentro da empresa;
• Aumento do uso de dispositivos pessoais no trabalho, que costumam ser mais vulneráveis;
• Diferenças regionais, incluindo em termos regulatórios;
• Conceito errado de que io negócio é mais prioritário do que a cibersegurança.

No site do Gartner tem 3 documentos (ebooks) gratuitos, que podem ser úteis para elaborar a sua estratégia de conscientização. A única desvantagem é que você vai ter que preencher seus dados para fazer cada um dos downloads.

A propósito, tenho muitos posts publicados aqui no blog sobre esse assunto, veja alguns deles:

• Datas comemorativas para conscientização sobre segurança
• Regulamentações sobre Conscientização e Treinamento em Segurança
• Dicas rápidas para construir uma campanha de conscientização (2022)
• Cybersecurity Culture Maturity Model (2019)
• Kits de apoio para o Mês da Conscientização (2024)
• Mês da Conscientiação com as Cartilhas do CERT.br e Autodefesa Digital (2023)
• Cyber Security Awareness Month (post de 2012, eu coloquei nessa lista por ser antigo mesmo! rs)
• Conscientização de Usuários (post de 2006!!!)

[Segurança] Kits de apoio para o Mês da Conscientização

Tradicionalmente a comunidade de segurança adotou Outubro como o "mês da conscientização em cibersegurança".

A CISA (Cybersecurity & Infrastructure Security Agency) acabou de anunciar que o seu "Kit de Ferramentas para o Mês de Conscientização sobre Segurança Cibernética de 2024" já está disponível para download! Ele foi desenvolvido em colaboração com a National Cybersecurity Alliance (NCA) e com feedbacks recebidos de parceiros.

Esses materiais enfatizam o tema adotado pela CISA para o mês de conscientização sobre segurança cibernética, "Proteja nosso Mundo" ("Secure Our World", na versão original, em inglês), e reforçam os quatro temas principais:

• Use senhas fortes e um gerenciador de senhas
• Ative a autenticação multifator (MFA)
• Reconheça e denuncie phishing
• Atualize o software

As organizações podem usar esses materiais gratuitos para criar suas próprias campanhas de conscientização. O material está disponibilizado apenas em inglês, mas ele pode ser adaptado para suas necessidades, ou servir de inspiração para a empresa criar sua própria campanha.

Há vários recursos que fazem parte do kit disponibilizado pela CISA, incluindo dicas sobre como se manter seguro on-line ao usar IA, como relatar crimes cibernéticos e criar cidadãos digitais, bem como quebra-cabeças, "bingo cards" e vários pôsteres.

  

Para saber mais sobre o Mês de Conscientização sobre Segurança Cibernética,veja o material abaixo:

• O site da CISA tem muuuuuita coisa: www.cisa.gov;
• Cybersecurity Awareness Month
• Baixe o Kit de Ferramentas do Mês de Conscientização sobre Segurança Cibernética 2024 da CISA, no site Secure Our World Resources & Cybersecurity Awareness Month 2024 Toolkit;
• O pessoal da Knowbe4 também sempre disponibiliza material gratuitamente: 2024 Cybersecurity Awareness Month resource kit, que inclui vários materiais como mini-games, cursos e vídeos de treinamento (tudo em inglês). O meu favorito é o guia com planejamento para o mês, pois mostra que as campanhas tem que acontecer por vários dias, com temas e atividades diferentes.

• Visite o site StaySafeOnline.org da National Cybersecurity Alliance, que também tem vários recursos legais: Cybersecurity Awareness Month
• Eu gostei desse adesivo deles:

Aproveite esse material gratuito para planejar as ações de conscientização na sua empresa :)

[Segurança] Hoje é o Dia do Bug

Hoje, 09 de setembro, é conhecido em alguns lugares como o "Dia do Bug", uma data que marca o aniversário do primeiro "bug" de computador documentado, ocorrido lá longe, em 9 de setembro de 1947.

Eu não achei muita referência que identificasse esse dia como uma data comemorativa oficial (uma busca no Google não retornou nada sobre existir a data comemorativa), mas de qualquer forma, é algo bem legal para ser relembrado.

Naquele longínquo 09 de setembro de 1947, uma equipe de cientistas que trabalhava no computador Mark II, na Universidade de Harvard, estava investigando o motivo do computador apresentar alguns erros constantemente. Quando eles abriram o hardware, encontraram um problema inusitado: uma mariposa ficou presa em um dos relés da máquina, causando uma falha. O inseto foi retirado e colado no diário de bordo, com a anotação "First actual case of bug being found" (primeiro caso real de um bug sendo encontrado).

Como os primeiros computadores eram movidos a válvulas, eles acabavam atraindo insetos. Estes, por sinal, podiam causar curtos-circuitos, que levavam a falhas nos programas. Na época, o uso do termo "bug" para expressas um problema técnico já era comum. Thomas Edison já usava esse termo nos anos 1800 para descrever problemas no design de seus telefones.

Essa descoberta é normalmente atribuída a Grace Hopper, mas não há evidências de que foi ela quem achou o inseto. Mas ela foi responsável por divulgar o ocorrido em suas diversas palestras - e, assim, popularizar o termo.

A partir desse fato, os termos "bug" e "debugging" se popularizaram e passaram a ser usados de forma generalizada na comunidade de tecnologia para indicar qualquer tipo de erro ou falha em programas ou sistemas.

Referências:

• Sep 9, 1947 CE: World’s First Computer Bug (National Geographic)
• First Instance of Actual Computer Bug Being Found
• The World’s First Computer Bug
• September 9, 1945: First Computer Bug Discovered
• Dia do Bug e os 5 Bugs Mais Famosos da História da Computação
• Dia do Bug: Tecnologia, Avanços e a Importância da Cibersegurança
• Bugs famosos:
• Y2K bug (National Geographic)
• The Worst Computer Bugs in History: Race conditions in Therac-25
• The Worst Computer Bugs in History: The Ariane 5 Disaster
• The Worst Computer Bugs in History: Losing $460m in 45 minutes
• The Worst Computer Bugs in History: Rapid unanticipated disassembly of the Mars Climate Orbiter

Para saber mais:

• Datas Especiais
• Aqui no blog:
• Datas comemorativas para conscientização sobre segurança
• Datas comemorativas sobre segurança

[Segurança] Pesquisa Cyber 360 sobre o mercado brasileiro

O pessoal da Daryus lançou, no final de agosto, uma nova pesquisa sobre o mercado de cibersegurança, a Pesquisa Cyber 360, que apresentan uma análise detalhada das ameaças cibernéticas e das medidas de proteção adotadas pelas empresas no Brasil. A pesquisa fornece uma visão 360º do estado atual da cibersegurança no país, revelando os desafios específicos e as melhores práticas para o mercado brasileiro.

O relatório foi desenvolvido com base em entrevistas com mais de 150 profissionais e especialistas.

Veja alguns insights do relatório:

• 80% dos entrevistados consideram que suas empresas têm um alto nível de maturidade em segurança cibernética, mas 20% ainda estão no início;
• As pessoas (funcionários e terceiros) são apontadas como a principal porta de entrada para ameaças em 84% das empresas;
• 15% das empresas deixam de lado treinamento sobre cibersegurança;
• Dentre as principais ameaças para as empresas, estão:
• 58%: ataques de phishing
• 50%: senhas fracas
• 46%: descuido das informações
• Os tres principais desafios para a gestão de riscos cibernéticos são:
• 48%: falta de profissionais qualificados;
• 38%: recursos financeiros insuficientes;
• 28%: falta de apoio da alta direção.

Veja essas matérias sobre a pesquisa que sairam na imprensa:

• 20% das empresas brasileiras estão no estágio inicial do programa de Segurança (Security Leaders)

• 15% das empresas deixam de lado treinamento sobre cibersegurança (TV Cultura)

PS: Post atualizado em 13/09.

[Segurança] Criptografia – Segredos Embalados para Viagem

A Novatec acabou de lançar a 2ª Edição do livro Criptografia – Segredos Embalados para Viagem, escrito pela "Vovó Vicki" (Viktoria Tkotz) em 2005. O livro ficou esgotado por vários anos, mas agora, felizmente, é possível comprar novamente, graças a um acordo da editora com a família da Vovó Vicki. Ele está disponível na edição digital ou impressa, no site da Novatek e da Amazon, entre outros.

O índice do livro está disponível no site da Novatec. Ele aborda os principais temas relacionados ao mundo da criptografia de uma forma bem didática. Ele não detalha os algoritmos criptográficos - muito pelo contrário, o livro discute diversos aspectos referente a informação, fala de conceitos e foca em abordar as diversas formas de criptografia clássica.

É um livro bem didático, ideal para quem está interessado em conhecer os conceitos relacionados à criptografia, mas sem abordar a criptografia moderna (algoritmos, chave pública e privada, assinatura digital, etc).

Eu conheci a história da Vovó Vicki graças ao Fernando Mercês e ao Papo Binário, onde ele fez um pequeno vídeo sobre ela. O Mercês tentou gravar uma entrevista com ela, mas sem sucesso (infelizmente ela faleceu antes dele conseguir marcar a entrevista).

Ela possuía um site, que a família ainda mantém, o numaboa.com.br, com pouco mais de mil artigos, que também possui um registro no Web Archive.

[Segurança] Os memes da treta do X

A menos que você viva numa caverna, você está sabendo que a rede social X, o antigo Twitter, foi bloqueado no Brasil por ordem judicial, emitida pelo STF. Além disso, ficou proibido acessar a rede X, mesmo com o uso de VPN ou qualquer outra ferramenta, sob pena de multa de R$ 50 mil.

O meu objetivo aqui não é discutir sobre o assunto, pois envolve também polêmicas e posições políticas, e quando entramos nessa discussão, acaba a seriedade e a objetividade.

Então... vamos falar sobre memes... rs... desde os primeiros momentos, eles já surgiram e pipocaram nos grupos de WhatsApp:

• Os usuários ficaram em dúvida:

• O bloqueio de uso de VPN também gerou muita treta:

• Os golpes sobre o assunto já começaram a surgir, em mensagens do Musk pedindo ajuda para pagar as multas e, mais recente, mensagens falsas cobrando a multa por acessar o Twitter (será que alguém realmente caiu nisso? kkkkkkkk):

• Já surgiram iniciativas de protesto, como a galera de outros países acessando o X só para gerar tráfego e aumentar a dificuldade de monitoração. E um perfil para, supostamente, desmascaras o ministro Alexandre de Moraes:

Algumas das notícias relacionadas:

• Elon Musk encerra operação do X/Twitter no Brasil e demite funcionários
• Alexandre de Moraes determina suspensão do X (Twitter) no Brasil
• X, o ex-Twitter, sai do ar em todo país após decisão de Moraes
• Bloqueio do X reduz posts a um terço da média, mas não zera atividade de brasileiros
• STF aprova, por unanimidade, manutenção do bloqueio do X (Twitter) no Brasil
• Uso VPN no trabalho e entrei no X/Twitter. Vou ter que pagar multa?
• Threads começa a sentir mais a presença de “tuiteiros” com X bloqueado no Brasil
• Concorrente do X, Bluesky teve um milhão de novos usuários em três dias
• X (Twitter) também enfrenta bloqueio e restrições em outros países; veja quais
• Hackers atacam Anatel em retaliação ao bloqueio do X
• STF, Anatel e PF relatam que foram alvo de ataque hacker nos últimos dias
• Ataque hacker afeta PF e escritório de família de Moraes após bloqueio do X
• PF investiga ataque hacker contra a corporação; STF e Anatel também foram afetados
• Hacker que atacou Venezuela lançou DDoS contra STF
• STJ é alvo de novo incidente cibernético contra administração pública
• STJ sofre ataque hacker; tribunal diz que não houve prejuízos
• Rádios e sistemas da PMDF ficam fora do ar em “possível” ataque hacker
• Hacker afirma ter derrubado hoje aplicações “gov.br”
• Sites do governo federal ficam fora do ar; Serpro apura causas
• PF apura exposição em massa de dados pessoais para intimidar delegados
• GOV.br foi alvo de ataques DDoS e sites deixaram de funcionar

PS: Post atualizado em 13/09, pois estou aproveitando este post para registrar as notícias relacionadas aos ciberataques realizados contra o governo para protestar contra o bloqueio do X no Brasil. 

[Segurança] Eventos de segurança no segundo semestre de 2024

E lá vamos nós... Putz, já estamos no início de Setembro e os eventos de segurança já estão pipocando. Antes tarde do que nunca. vamos montar a agenda dos eventos nesse segundo semestre de 2024.

Disclaimer: Seguindo a tradição destes meus posts sobre os eventos do semestre, aqui eu listo apenas os eventos na área de segurança que eu considero serem os mais relevantes para o nosso mercado, que eu gosto e que merecem uma visita. Geralmente dou preferência para os eventos da comunidade e para os mais tradicionais, e pouca importância para os eventos comerciais, pois prefiro apoiar os eventos que eu acredito que trazem conteúdo de qualidade ou que, pelo menos, tem relevância para o mercado.

Todo ano é a mesma ladainha: o segundo semestre é lotado de eventos aqui no Brasil. Nesse ano não vai ser diferente, e vocês vão perceber que, em alguns dias, chegamos a ter 4 ou mais eventos em uma mesma data!!!! 

Acompanhe abaixo quais são os eventos que eu considero serem os mais importantes ne relevantes no mercado. Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.

Anote então os principais eventos de 2024 aí na sua agenda:

• Julho/2024
  
  • 09 a 14/07: Campus Party Brasil (São Paulo) (CPBR16) (@CampusPartyBRA) - Principal edição da Campus Party, ex-mega-evento realizado em São Paulo, com dezenas de palestras relacionadas ao universo da tecnologia, empreendedorismo e redes sociais, mas que também tem algumas atividades relacionadas a segurança. A galera dos hackerspaces são representadas pela comunidade Dumond e tem um palco na área de comunidades;
  • 13/07: CajuSec (Aracaju-SE) (cfp) - Evento novo em Aracaju, na sua 2a edição, que promete agregar a comunidade local de segurança;
  • 29 e 30/07: 12º Fórum Brasileiro de CSIRTs (cfp) - Evento gratuito e presencial organizado pelo NIC.br e CERT.br, direcionado para os profissionais que trabalham em resposta a incidentes de segurança, SOC e Threat Intelligence. São 2 dias de palestras seguidos por um terceiro dia (31/07), dedicado para um workshops gratuito sobre MISP, com várias palestras sobre o assunto;
• Agosto/2024
  
  • 01 a 04/08: Hack Town (Santa Rita do Sapucaí, MG) - Grande evento de tecnologia que acontece na bela Santa Rita do Sapucaí. Por 4 dias, a cidade é tomada por diversas atividades, oficinas, workshops e muito mais. No meio desse caldeirão, sempre brotam algumas atividades de segurança, fique de olho!
  • 05/08: BRHueCon (Las Vegas, EUA) - Ponto de encontro dos Brasileiros que vão para a BSidesLV, Black Hat e Defcon. Um ponto de encontro, uma mistura de happy hour, networking e palestras, em um ambiente descontraído. Alguns brasileiros aproveitam para mostrar, em primeira mão, as palestras que irão apresentar nos próximos eventos;
  • 08/08: Security Leaders Salvador (Salvador, BA) - Edição regional do Security Leaders, levando a fórmula de debates superficiais para a bela e alegre Salvador;
  • 22/08: Security Leaders Recife (Recife, PE)  - Versão local do Security Leaders. Evento repleto de painéis e palestras de patrocinadores;
  • 23 e 24/08: CyberSecGO (Goiânia, GO): Novo evento da comunidade de Goiânia;
  • 24/08: bxsec (Santos, SP) (cfp) - Neste ano, a 5ª edição da BxSec Security Conference dá um salto de qualidade e será realizada no hotel Sheraton Santos, com 2 trilhas de palestras bem caprichadas, além de competição de CTF e área para as comunidades;
  • 24/08: 0xE Hacker Conference (Maceió, AL) - Novo evento da comunidade de Maceió, organizado pelas pessoas responsáveis pelo hackerspace local, o 0xE. O evento acontece num sábado a noite, com uma pequena, mas bem qualificada, grade de palestras;
  • 24/08: HackBahia (Salvador, BA) - Mais um ano desse evento de hacking em Salvador! A região tem uma comunidade muito forte, que merece ter 2 eventos por ano (o HackBahia e a NullByte);
  • 27/08: RNPSeg 2024 (@caisRNP) - Evento executivo organizado pelo CAIS/RNP em formato de painel sobre um tema relevante na área com convidados na platéia. O evento é online, gratuito e pode ser acompanhado pelo canal no Youtube;
  • 27 a 29/08: Fórum RNP (@RedeRNP) (Brasília, DF) - Evento executivo da RNP, direcionado aos gestores das instituições de ensino que fazem parte da RNP. O evento é híbrico, com transmissão online, e pode ser acompanhado pelo canal no Youtube;
• Setembro/2024
  
  • 02 e 03/09: 15º Seminário de Proteção à Privacidade e aos Dados Pessoais - Evento organizado pelo CGI.br e NIC.br. O evento é gratuito, realizado presencialmente e com transmissão online pelo canal do NIC.br no YouTube.
  • 05 e 06/09: Global Risk Meeting 2024 - Evento focado no universo de GRC, organizado pela Daryus, com painéis e palestras sobre o tema;
  • 14/09: BSides João Pessoa (BSidesJP) (@BSidesJP) (João Pessoa, PB) (cfp) - Terceira edição da Security BSides em João Pessoa (antigo Jampasec), evento bem organizado pela comunidade local e com palestras de excelente qualidade técnica;
  • 16 a 19/09: XXIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg) (São José dos Campos/SP) - Principal evento acadêmico sobre segurança da informação no Brasil, a cada anio é realizado em uma cidade diferente;
  • 17 a 19/09: Mind the Sec (MTS) (10º edição) (@mindthesec) - Principal e maior evento de segurança brasileiro, direcionado ao público profissional e executivo. O evento cresceu muito nesses últimos 3 anos, e atrai uma grande quantidade de patrocinadores em uma área de exposição gigante, no Transamérica Expo. Também tem trilhas de palestras - algumas acessíveis na área de exposições e outras limitadas para os congressistas. É um evento que merece a visita, praticamente obrigatória para manter o seu networking, para você ver e ser visto;
  • 18 a 20/09: TDC São Paulo (@TheDevConf) (cfp) - O TDC São Paulo é o principal evento do mercado de desenvolvimento, gigante e tradicional, e sempre tem uma trilha com palestras sobre segurança e privacidade. Nesse ano, a trilha de "Software Security" acontecerá no dia 20/09. Fique de olho, pois vale a pena!!!
  • 21/09: Hacking na Web Day (@hackingnawebday) (São Paulo, SP) - Evento da comunidade Hacking na Web, que surgiu nesse ano em um formato "roadshow" com eventos em algumas cidades brasileiras (Brasília, Salvador, Rio de Janeiro e SP). A temática é mais técnica, mas com um nível mais básico, perfeito para o público que está iniciando na área;
  • 26/09: Security Leaders Fortaleza (Fortaleza, CE) - versão regional do Security Leaders, com palestras e painéis;
• Outubro/2024
  
• 08 a 10/10: Futurecom - Tradicional evento de tecnologia e que por alguns anos foi dominado por empresas de telecomunicações, neste ano a Futurecom merece destaque aqui no blog pois criaram uma trilha focada em segurança, a Future Cyber, que apresentará excelente conteúdo, em formato de painéis;
• 14/10: Congresso de Direito Digital, Tecnologia e Proteção de Dados - 2024 (Digital Privacy Summit) - Organizado pela OpiceBlum Academy, o evento é focado em direito eletrônico e privacidade;
• 19/10: 8.8 Brasil (cfp): Spoiler alert: o principal evento de segurança do Chile, a 8.8, pretende fazer uma edição aqui em São Paulo!
• 23 e 24/10: Security Leaders Nacional - Principal edição do tradicional Congresso Security Leaders, comemorando o seu aniversário de 15 anos em uma grande infraestrutura em São Paulo. Um evento voltado principalmente para gestores de segurança (média e alta gerência, e alguns CISOs);
• 26/10: Human Risk Management Conference Brazil 2024 - Novo evento sobre Conscientização em segurança, criado e organizado pelo Rodrigo Jorge. Esse é um tema que tem crescido muito em importância e atenção do mercado;
• 28 e 29/10: Cyber Security Summit (CCSB) - Evento voltado para os gestores de segurança (média e alta gerência), com algumas palestras e painéis;
• Novembro/2024
  
  • 06/11: Simpósio de Segurança Digital (SSD): Evento com foco Técnico-Cientifíco, organizado pelo ITA. É o sucessor do tradicional SSI (Simpósio sobre Segurança em Informática), que existiu de 1999 até o inicio dos anos 2000. Evento gratuito, realizado em São Paulo (capital);
  • 12/11: Cultsec: Evento pioneiro ao focar no mercado de conscientização em segurança, já chegando na sua quarta edição;
  • 13/11: CangaSec (Recife, PE) - Novo evento de segurança organizado pela comunidade de Recife, um dos maiores berços da comunidade de cibersegurança;
  • 23/11: XibéSec (Belém, PA) - Segunda edição desse evento de segurança organizado pela comunidade local, o único evento de segurança na região Norte!!!
  • 27/11: Security Leaders Porto Alegre (Porto Alegre, RS) - A franquia Security Leaders se despede de 2024 em Porto Alegre, a capital gaúcha que se recupera das terríveis enchentes que sofreu no início do ano (e obrigou o adiamento do evento para o final de novembro);
  • 27 a 29/11: Latinoware (@latinoware) (cfp) (Foz do Iguaçu (PR) - Tradicional conferência de software livre, que volta a ser realizado no Parque Tecnológico de Itaipú. Apesar do foco na comunidade de software livre, costuma ter várias palestras sobre segurança;
  • 30/11: Nullbyte Security Conference (cfp) (Salvador, BA) - Edição comemorativa de 10 anos desse excelente evento de segurança na capital baiana!!! O evento sempre tem excelentes palestras técnicas e participação dos principais pesquisadores da comunidade brasileira;
  • 30/11 e 01/12: BHACK (@bhack) (Belo Horizonte, MG) - evento tradicional da comunidade de segurança de BH, sempre com ótimas palestras técnicas;
• Dezembro/2024
• 09 e 10/12: GTS-39 (Grupo de Trabalho em Segurança de Redes) (@gtergts) (cfp) - Tradicional evento de segurança do Comitê Gestor da Internet (CGI.br), com palestras técnicas, transmissão online (desde muito antes disso ser comum) e gratuito. Acontece na véspera do GTER-53 e junto com a 14a Semana de Infraestrutura da Internet no Brasil. Ao mesmo tempo presencial e com transmissão online, neste ano o evento será na Villa Blue Tree;
• 14 e 15/12: H2HC (@h2hconference) (cfp) - O evento mais importante da comunidade brasileira de segurança, que tem crescido bastante nos últimos anos e investido em espaço para Villages temáticas - sem perder a grandiosa qualidade técnica das palestras das 2 trilhas do evento. Preste atenção para a nova data, pois o evento costumava ocorrer em Outubro.

Sentiu falta do Roadsec (@roadsec) na lista acima? Eu também! Tudo indica que não teremos o Roadsec neste ano. De fato, já estamos em Setembro e a Flipside não anunciou nada sobre o evento (nem mesmo a busca por patrocinadores, até aonde eu sei).

Ainda não descobri as datas de alguns eventos:

• Dia Internacional da Segurança da Informação (DISI)

Eu não gosto dos eventos com "CISO" no nome. Tenho um preconceito de que podem ser eventos de conteúdo com baixa qualidade, que funcionem só como "caça-níquel", para atrair patrocinadores em troca de uma falsa proposta de conectá-los com CISOs. Sem falar que, aqui no Brasil, infelizmente ainda temos muitos CISOs que na realidade estão mais como gerentes ou, com sorte, diretores do que "C-Level" de verdade. Mas, se você gosta desse tipo de evento, temos alguns:

• 27 e 28/08: CISO Forum
• 23 a 25/09: Conferência Gartner CIO & IT Executive (*)
• 09 a 11/10: CSO Network

(*) Esse é opara quem é C-level de verdade! rs...

OBS: Você também notou que tem vários eventos encavalados nesse segundo semestre???? Por exemplo, 3 eventos estão programados para acontecer na semana de 16 a 20 de setembro: o SBSeg de 16 a 19/09, o Mind the Sec de 17 a 19/09 e o TDC São Paulo de 18 a 20/09. Felizmente eles tem públicos bem distintos, mas isso pode atrapalhar a vida de quem gostaria de palestrar em 2 ou 3 deles. E teremos 3 eventos de segurança no final de semana de 23 e 24/08: o CyberSecGO em Goiânia (GO), a bxsec em Santos (SP) e o HackBahia, em Salvador (BA). Pelo menos são eventos em estados diferentes. Mas, para a comunidade de segurança, o pior mesmo é a Nullbyte e a BHack acontecendo no mesmo final de semana 

:(

Planeja ir em alguns eventos internacionais neste ano? Os principais e mais interessantes eventos nesse semestre, na minha opinião, são os seguintes:

• 03 a 08 de Agosto: Black Hat (cfp) (Las Vegas, EUA)
• 06 e 07 de Agosto: BSidesLV (cfp) (Las Vegas, EUA)
• 08 a 11 de Agosto: Defcon (cfp) (Las Vegas, EUA)

• 10 e 11 de Outubro: 8.8 Chile (cfp) (Santiago, Chile)
• 13 a 15 de Novembro: Ekoparty (cfp) (Buenos Aires, Argentina)
• Em Dezembro, na semana entre o Natal e o Ano Novo, tradicionalmente acontece o Caos Computer Club Congress (38C3), na Alemanha.

E que tal já ir planejando a jornada de eventos em 2025? Alguns eventos já divulgaram sua programação para o ano que vem, inclusive o Hacking na Web Day, que promete vários eventos regionais!!

• 14 de Fevereiro de 2025: Digital Investigation Conference Brazil (cfp) (Porto Alegre, RS)
• 22 de Fevereiro de 2025: Fortalsec (Fortaleza, CE)
• 15 de Março de 2025: Hacking na Web Day Brasília (Brasília, DF)
• 22 de Março de 2025: BSides Rio de Janeiro (Rio de Janeiro, RJ)
• 12 de Abril de 2025: Hacking na Web Day Recife (Recife, PE)
• 28 de Abril a 01 de Maio de 2025: RSA Conference
• 07 de Junho de 2025: Hacking na Web Day Belo Horizonte (Belo Horizonte, MG)
• 18 e 19 de Julho de 2025: CajuSec (Aracaju-SE)
• 05 e 06 de Agosto de 2025: Conferência Gartner Segurança & Gestão de Risco (São Paulo, SP)
• 05 e 06 de Agosto de 2025: BSidesLV (Las Vegas, EUA)
• 06 a 07 de Agosto de 2025: Black Hat US (Las Vegas, EUA)
• 07 a 10 de Agosto de 2025: Defcon 33 (Las Vegas, EUA)
• 16 de Agosto de 2025: Hacking na Web Day Florianópolis (Florianópolis, SC)
• 23 de Agosto de 2025: bxsec (Santos, SP)
• 13 de Setembro de 2025: Hacking na Web Day Rio de Janeiro (Rio de Janeiro, RJ)
• 25 de Outubro de 2025: Hacking na Web Day São Paulo (São Paulo, SP)
• 08 de Novembro de 2025: Nullbyte Security Conference (Salvador, BA) 
• 29 a 30 de Novembro de 2025: BHACK (@bhack) (Belo Horizonte, MG)

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS:

1. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2023;
2. Veja a minha lista de eventos no início desse ano: Eventos de Segurança no primeiro semestre de 2024
3. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com;
4. O Eduardo Fedorowicz mantém um post no Linkedin com um calendário dos principais eventos de tecnologia: Eventos de Tecnologia (2024);
5. A Axur criou uma lista de "2024 Cybersecurity and Tech Events com diversos eventos de tecnologia e de segurança no Brasil e no mundo;
6. O Sickeira postou uma lista de Eventos 2024 em seu blog, com eventos de segurança e das comunidades maker, de hackerspaces e de software livre;
7. O Gutem também compartilhou uma lista com eventos de segurança, hacking, programação e open source: Eventos de Tecnologia;
8. O Felipe Prado publicou no seu Linkedin, no início do ano, um dump com um monte de eventos de segurança: "Eventos 2024 - Segurança, Hacking e Privacidade".
9. O site CTF Time possui uma lista gigante de eventos em todo o mundo que estão com a chamada de trabalhos (CFP) aberta.
10. Alguém criou um "linktree" com os eventos de Cyber: https://linktr.ee/EventosCyber.
11. Post atualizado em 04, 05, 10 e 23/09; e novamente em 09/10.

Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci, não conheço ou porque considero que nem vale a pena escrever sobre ele.

Posts que nunca foram escritos

Putz, todo ano eu quero escrever um post sobre o relatório do Fórum Econômico Mundial, mas perco o timing:

• Global Cybersecurity Outlook 2024
• AI and cybersecurity: How to navigate the risks and opportunities

Olha que interessante: a página de métricas do site CVE.org apresenta o total de CVEs publicados desde 1999 até os dias de hoje ("Published CVE Records").

• Published CVE Records
• Essa lista da CISA eu acho muito útil, pois indica as vulnerabilidades que foram exploradas: Known Exploited Vulnerabilities Catalog

O portal do FIRST.org tem vários documentos que são uma ótima referência e vale a pena dar uma olhada:

• FIRST Best Practice Guide Library (BPGL)
• FIRST Security Reference Index
• FIRST Standards
• Publications - centenas de artigos e apresentações publicados desde 1997
• esse doc explica tudo sobre os principais conceitos relacionados ao PGP: An Introduction to PGP/GnuPG

A RFC 2350 oferece uma maneira fácil e padronizada para as Equipes de Resposta a Incidentes de Segurança em Computadores (CSIRT) documentarem sua missão, serviços, políticas e procedimentos.

• RFC 2350 - Expectations for Computer Security Incident Response, June 1998
• Introduction to RFC 2350

What Is the Data, Information, Knowledge, Wisdom (DIKW) Pyramid?

Um estudo recente, “Psychology of Human Error”, pode ajudar as empresas a entender como melhor conscientizar seus usuários e se proteger de ataques cibernéticos.

• “Psychology of Human Error” Could Help Businesses Prevent Security Breaches
• Estudo: Psychology of Human Error

O impacto psicológico nas vítimas de fraude:

• O relatório da AXUR sobre Atividade Criminosa Online no Brasil em 2021, em um determinado momento, traz uma informação interessante: "de acordo com um estudo realizado pela NortonLifeLock, 52% dos consumidores sentem raiva ao serem alvos de fraudes, com essa raiva ligada não ao fraudador, mas sim à marca pelo qual o cibercriminoso se passou. A sensação é de que a culpa é da empresa e não do cibercrime. Ao mesmo tempo, 46% se sentem estressados e 41%, vulneráveis."

A Verizon tem um framework que eles batizaram de VERIS e utilizam para descrever e categorizar os incidentes de segurança. Esse framework é utilizado como base para o bom e velho “Data Breach Incident Report” (DBIR) da Verizon.

• Eles disponibilizaram online toda a informação sobre o framework no site http://veriscommunity.net e também no Github https://github.com/vz-risk/veris
• Lá tem outros documentos interessantes, tais como:
• Mapping to att&ck: https://github.com/vz-risk/veris/blob/master/bin/vcaf-rev2020-v1_0_3.csv
• How to use technical data from their security tools for strategic insights (CIS controls mapping) for understanding what mitigations apply to what strategic actions: https://github.com/vz-risk/veris/blob/master/bin/cis_csc_veris_map-rev2020-v1_0.xlsx

Vídeo: "Former Federal CISO Advocates Zero-Trust Security"

Artigos relacionados ao conceito de "Reasonable” Security":

• California Consumer Privacy Act: The Challenge Ahead – The CCPA’s “Reasonable” Security Requirement
• What is "state of the art" in IT security?

O comércio de ferramentas de ataque e dados para realização de fraudes é algo muito comum no ciber crime, e acontece livremente nos fóruns da Dark Web, mas também às claras, em anúncios e perfis em redes sociais, grupos no telegram e, inclusive, através de posts no pastebin.. Isto acontece porque há ciber criminosos especializados em realizar atividades específicas dentro da sequência de ações necessárias para efetivar uma fraude: há a pessoa especializada em criar códigos maliciosos, há o especializado em criar sites de phishing, assim como também existe o pessoal especializado em realizar a fraude (ou seja, acessar uma conta bancária e fazer uma transferência para uma conta de laranja, ou alguém especializado em fazer compras online com dados de cartões de terceiros).

• Dark Web Price Index 2021
• Preços de dados roubados na dark web vão de US$ 25 a US$ 6 mil
• Mastercard clonado a $25: Veja quanto custa dados roubados por criminosos na dark web
• Já que você leu até aqui, pode valer a pena dar uma olhadinha nesse artigo: The state of the dark web: Insights from the underground

Uma referência muito boa é o guia do NIST "Digital Identity Guidelines Authentication and Lifecycle Management": ele descreve quais tecnologias de autenticação são as mais recomendadas de acordo com o nível de criticidade da aplicação, além de detalhar quais padrões de autenticação existem como deve ser o ciclo de vida deles. Ele também discute as principais ameaças, suas estratégias de mitigação, além de questões de privacidade e usabilidade dessas tecnologias de autenticação.

• Market Guide for User Authentication (Gartner)
• NIST - Digital Identity Guidelines Authentication and Lifecycle Management (Special Publication 800-63B)