fevereiro 19, 2024

[Segurança] Celular Seguro

No final de 2023 o Governo Federal lançou o programa Celular Seguro, uma iniciativa em conjunto com empresas de telecomunicações e bancos para agilizar o bloqueio de celulares em caso de roubo ou furto e, assim, conter a desesperadora onda crescente de roubos de celulares no Brasil. Em 2022 foram 999,22 mil celulares roubados ou furtados, segundo o Anuário Brasileiro de Segurança Pública.

Segundo números do Ministério da Justiça divulgados pelo portal Convergência Digital, desde o seu lançamento até agora, em praticamente 2 meses, o Celular Seguro chegou a 1,213 milhão de aparelhos cadastrados, e já foram bloqueados 23.225 celulares, sendo 2.653 apenas no período do Carnaval, entre sexta, 9/2, até terça, 13/2.

Atualmente o roubo de aparelhos celulares tem como objetivo principal o acesso às contas e dados pessoais das vítimas e, principalmente, aos aplicativos bancários nos aparelhos. Por isso mesmo, a prioridade dos criminosos é conseguir obter celulares desbloqueados, o que facilita seu crime. Após o roubo, o criminoso busca por senhas armazenadas no celular ou segue os procedimentos de recuperação de senhas para ter acesso aos apps bancários. Assim, a vítima tem suas contas bancárias invadidas e seu dinheiro desviado para os criminosos. Posteriormente o aparelho é revendido.

O Celular Seguro associa o celular do usuário à sua conta na plataforma Gov.br, fazendo a interligação do CEMI, o Cadastro de Estações Móveis Impedidas, com as instituições financeiras e de pagamento que fizerem adesão ao Celular Seguro.

O Celular Seguro pode ser utilizado através de um aplicativo móvel disponível nas lojas virtuais (App Store e Play Store), ou pode ser acessado online, via web. É necessário realizar um cadastro simples, fornecendo informações como nome completo, número de telefone, número de série e marca/modelo do dispositivo. A validação do cadastro é feito pelo portal Gov.br. Também é possível indicar pessoas de confiança para efetuar os bloqueios da linha telefônica, caso o titular tenha o celular roubado ou furtado.

O pessoal do G1 fez um infográfico bem legal explicando como é feita a ativação do Celular Seguro:

Para saber mais:

fevereiro 06, 2024

[Segurança] Dia da Internet Segura

O Dia da Internet Segura 2024 será celebrado nos dias 6 e 7 de fevereiro, a partir das 9h. Com o tema “Unidos para uma Internet mais positiva”,  o evento reunirá especialistas em São Paulo para debates sobre proteção à infância nos tempos da IA Generativa, cidadania digital nos currículos da Educação Básica, segurança digital, uso excessivo de telas por crianças e adolescentes no Brasil - e muito mais.


No dia 06/02, o evento começa com a palestra do keynote Iain Drennan (Diretor Executivo da We Protect Global Alliance) sobre “A proteção à infância nos tempos da IA Generativa”. Já no dia seguinte, 07/02, João Brant (Secretário de Políticas Digitais / Presidência da República) abordará “Integridade da informação na agenda digital do G20”.

Confira a agenda do evento:

Dia 06/02:
  • 9h - Mesa de abertura: Boas-vindas
  • 9h30 - Palestra de abertura (keynote): A proteção à Infância nos tempos da IA Generativa
  • 11h20 – Painel: Cidadania Digital nos currículos da Educação Básica
  • 14h - Lançamentos de novos recursos de segurança
  • 14h30 – Painel: O papel do setor privado no fortalecimento do ecossistema de segurança digital no Brasil
  • 16h15 - Conferência Magna: Algoritmos de recomendação e o público infantil
  • 17h15 - Coquetel de Encerramento
Dia 07/02:
  • 9h - Palestra de abertura (keynote): Integridade da informação na agenda digital do G20
  • 11h20 – Painel: Juventudes e os desafios da era digital na agenda do G20
  • 14h – Painel: Segurança Digital: como formar novos quadros no Brasil?
  • 16h - Town Hall - Uso excessivo de Telas por crianças e adolescentes no Brasil: o que fazer?
  • 17h30 - Encerramento
Saiba mais em: https://diadainternetsegura.org.br.

O evento é gratuito e será transmitido ao vivo pelo canal do NIC.br no YouTube em dois idiomas (português e inglês).

O encontro é uma realização da Safernet Brasil com o Núcleo de Informação e Coordenação do Ponto BR (NIC.br).

janeiro 04, 2024

[Carreira] Carta de Oposição ao SINDPD 2024

Início do ano é época dos profissionais de tecnologia entregarem a carta de oposição a contribuição mensal ao SINDPD.

A contribuição assistencial é descontada mensalmente do salário do trabalhador, no valor de R$ 35. Ela não é obrigatória, mas o empregado deve manifestar formalmente que se opõe ao desconto.

Por isso, todos os trabalhadores filiados ao SINDPD, ou cuja empresa é filiada (veja na sua carteira de trabalho / CTPS), tem o prazo de dez dias úteis, de 03/01 a 12/01, para entregar pessoalmente (e presencialmente) a carta de oposição a Contribuição Assistencial em 2024. Eu sugiro ir o mais cedo possível, para evitar filas!


Não se esqueça:
  • Prazo para entrega da carta de oposição: 03 a 12/01/2024, de segunda a sábado, das 9h as 17h
  • Local de entrega em São Paulo, Capital: Clube Atlético Juventus, na R. Comendador Roberto Ugolini, 152 (Mooca), CEP 03125-010
Informações adicionais:

janeiro 03, 2024

[Carreira] Abertas as inscrições para o programa Hackers do Bem

Já estão abertas as inscrições para o programa Hackers do Bem, uma iniciativa sensacional do SENAI com a Escola Superior de Redes da RNP, que promete oferecer capacitação de qualidade e gratuita para 30 mil pessoas.


O programa inclui 5 trilhas, desde o nivelamento, com alguns cursos mais básicos sobre tecnologia, terminando com um estágio de 6 meses na RNP. A programação detalhada está disponível no site, mas numa visão geral, serão oferecidos os seguintes módulos:
  1. Nivelamento (80h)
  2. Básico (64h)
  3. Fundamental (96h)
  4. Especializado (80h)
  5. Residência tecnológica (6 meses)
O interessante é que os organizadores do Hackers do Bem já previram uma desistência no decorrer do curso, algo que acontece naturalmente em uma iniciativa desse porte. A previsão é conseguir formar 250 pessoas no final do programa.

Compartilhe essa iniciativa com seus conhecidos. As inscrições estão abertas, basta se inscrever pelo site. Corra, pois as aulas começam logo, em 22 de janeiro!

O programa Hackers do Bem é uma iniciativa que tem como executores a Rede Nacional de Ensino e Pesquisa (RNP) e o SENAI-SP, no âmbito do Programa Prioritário Nacional de Inovação (PPI) da Softex e com recursos da Lei de TICs. O projeto é apoiado pelo Ministério da Ciência, Tecnologia e Inovações.

No dia 16 de março será realizado um CTF (online e presencial), veja aqui como se inscrever.

Veja mais:

dezembro 29, 2023

[Segurança] Ciber retrospectiva 2023

Chegamos no final do ano, época de relembrar os principais acontecimentos relevantes e que marcaram 2023.

Na minha opinião, os fatos mais relevantes no cenário de cibersegurança neste ano foram:

  • O ano da Inteligência Artificial (IA): este foi, sem dúvida, "o ano da IA", Desde o final de 2022, com o lançamento do ChatGPT, o assunto entrou no dia-a-dia de todos. Há centenas de ferramentas hoje em dia que usam IA, mas o ChatGPT praticamente virou sinônimo de IA. É como ir no mercado e comprar um Danone e um BomBril. No decorrer do ano, a discussão sobre segurança e uso seguro / malicioso da IA foi constante, assim como o surgimento dos primeiros incidentes - vazamento de informações, uso de deep fakes para golpes e abuso sexual, etc;
  • Ransomware é o "novo normal": O ransomware é o "novo normal" do mundo digital. Ou seja, qualquer pessoa ou empresa pode ser infectada a qualquer hora, como no caso do vírus da gripe e do Covid: você pode ficar doente e nem perceber, independente de quantas vacinas tenha tomado. As notícias de ataques de ransomware pipocaram diariamente. Merece destaque o ataque às redes de cassino MGM e Caesars, o caso mais emblemático do ano: enquanto a Caesars optou por pagar um resgate de 15 milhões de dólares, a MGM preferiu responder ao incidente, ficou 10 dias fora do ar e teve prejuízo declarado de mais de 100 milhões de dólares;
  • Farra dos Ransomwares com os ataques de 0-day a cadeia de suprimentos: O grupo Cl0p mudou para sempre o cenário de ameaças ao inaugurar a tática de explorar vulnerabilidades de 0-day em ferramentas populares para invadir centenas de empresas em uma só tacada. Vítimas da vulnerabilidade na ferramenta MOVEit Transfer pipocaram no decorrer do ano, incluindo grandes empresas de vários setores;
  • Mega Cyber Conflitos Geopolíticos: Como se já não bastasse a guerra na Ucrânia, em outubro tivemos a invasão de Israel pelo grupo Hamas, que desencadeou um grande conflito na região. Ambos os conflitos, na Ucrânia e Israel, foram acompanhados por ações no ciberespaço: guerra cibernética entre atores pró-rússia e pró-ucrânia, e protestos online em torno de Israel e da Causa Palestina, dando um grande destaque aos grupos hacktivistas;
  • Os malwares do PIX dominaram o Brasil: com grande eficiência e capazes de limpar a conta bancária da vítima em segundos, o Brasil viu a proliferação dos malwares direcionados a fraudar transferências via PIX. Os primeiros casos surgiram no final de 2022, mas ao chegarmos no final do ano, pelo menos 9 famílias diferentes de malware para PIX já foram identificados;
  • O roubo de celular virou um perigo constante nas grandes cidades brasileiras. O principal objetivo não é revender o aparelho. Pelo contrário, os criminosos preferem roubar celulares desbloqueados, quando ainda estão em uso pelas suas vítimas, para mais facilmente conseguir acesso aos apps financeiros e, assim, limpar a conta das vítimas;
  • Os layoffs anularam a discussão sobre a falta de profissionais no mercado e burnout. Na verdade eles mascararam o problema, pois a escassez continua grande e as empresas continuam com dificuldade de contratar. O lado positivo da onda de layoffs é que amenizaram um pouco a super valorização de profissionais, que eram contratados com cargos e salários além da realidade. Se fala muito que essa onda de demissões em massa foi resultado do inchaço das empresas durante o período da pandemia. Mas, na minha humilde opinião, foi pura e simplesmente o empresariado aproveitando a onda para enxugar a folha de pagamentos. Afinal, se a empresa demite os funcionários nesse período, ela é só uma dentre outras dezenas de empresas e pode usar a desculpa que é mais uma vítima do movimento do mercado, e assim não chama tanto a atenção nem crítica contra si.

As notícias de ciber ataques e vazamento de dados pipocaram em 2023, diariamente. Ninguém foi poupado pelos operadores de ransomware, cibercriminosos, fraudadores, hacktivistas e ciber espiões. Por isso mesmo, ficaria muito extenso escrever uma retrospectiva citando as principais notícias do ano.

Preferi, então, fazer uma lista um pouco diferente:

  • Algumas das tretas mais relevantes
    • MOVEit Transfer: fala sério, aposto que ninguém sabia que essa ferramenta existia - nem as milhares de empresas que a usam. Mas, nas mãos do grupo de ransomnware Cl0p, uma vulnerabilidade descoberta na véspera de um feriado fez milhares de vítimas em 3 dias - tempo que a empresa demorou para lançar a correção;
    • O ano da certificação digital #sqn: Essa era uma piada recorrente nos anos 2000: todo ano achava-se se era o momento em que a certificação digital iria bombar. No final das contas, aqui no Brasil, graças a ICP-Brasil e a digitalização dos serviços governamentais, sim, a certificação digital virou parte do dia-a-dia de muitas pessoas. Mas... em 2023 o ano foi sombrio: duas grandes certificadoras digitais brasileiras foram invadidas: a Valid, em abril, e uma grande empresa do setor que não vou dar o nome pois não saiu na imprensa, mas teve seus dados comercializados na deep web em agosto deste ano;
    • Operation Triangulation: A operação, descoberta em 2023 pela Kaspersky, representa uma das mais complexas operações de espionagem que se tem noticia. Em atividade desde 2019, os responsáveis utilizaram nada menos do que quatro vulnerabilidades de zero-day para permitir uma invasão silenciosa em iPhones de empresas russas, graças principalmente ao envio de uma iMessage mal intencionada;
    • Protestos online no conflito entre Israel e Hamas, que fomentou o hacktivismo e dezenas de grupos se juntaram apoiando a causa Palestina; 
    • FBI versus BlackCat/ALPHV: no meio de tantas operações de sucesso das forças policiais nesse ano, o FBI anunciou que derrubou o site do grupo BlackCat, mas o grupo negou, dizendo que era um site secundário;
    • Na comunidade brasileira:
      • Basta usar a máscara do Anonymous para virar hacker? Tem curso? Como saber qual influencer é fake, e se quem reclama dos influencers faz por apoiar a comunidade ou para se auto promover também? No final, a crítica acaba em processinho e a comunidade se cala;
      • Hacker hackeia?
      • E um parabéns para o Master of Pwnage, que está promovendo a comunidade de uma forma saudável! 
  • Vergonha alheia
    • Também merece destaque o papelão dos ataques hacktivistas pró-Palestina contra o Brasil. Anunciado pelo grupo IRox Team em 19/10, eles prometiam uma "cyber war" contra os países que apoiam Israel, e colocaam o Brasil na lista, na primeira onda de ataques. prometida para 20/10. O resultado foi uma "meia dúzia" de ataques de DDoS e defacement contra sites sem qualquer relevância, como uma fábrica de pão de alho, um escritório de advocacia e uma funerária. No canal do grupo no telegram, os brasileiros chegavam a fazer piada dos ataques. Nesse meio tempo, várias empresas aproveitaram o FUD para se promover e provedores de acesso usaram os ataques como justificativa para problemas de instabilidade em seus serviços (o estranho é que não houve qualquer postagem de grupo hacktivista assumindo autoria por ataques contra provedores brasileiros); 

  • "Melhor" incidente de segurança do ano
    • O gato hacker: Cat accused of wiping US Veteran Affairs server info after jumping on keyboard - Uma interrupção do sistema do Veterans Affairs Medical Center em Kansas City, Missouri, que ocorreu em setembro e durou quatro horas, foi atribuída a um gato pulando no teclado de um técnico. Enquanto um técnico revisava a configuração de um cluster de servidores, seu gato pulou no teclado e o apagou.
  • Ciber ataque com maior número de vítimas
  • Burrada do ano
    • Na Movida (MOVI3), o ‘exposed’ que azedou o mercado - Viralizou nas redes sociais uma foto postada por uma funcionária da Movida, de aluguel de carros, tirada durante uma convenção de vendas e que apresentou uma espécie de troféu com imagem do “compromisso” da empresa para o próximo ano e, ao fundo, as estimativas de receitas, EBITDA e lucro líquido. Entretanto, como a Movida não divulga guidances ao mercado e a meta de lucro apresentada na foto estava bem abaixo do consenso de mercado, a foto causou uma queda de mais de 11% do valor das ações ao longo do pregão, obrigando a empresa a lançar um comunicado ao mercado. Mesmo após a divulgação do comunicado oficial da empresa, os papéis ainda cairam 4% perto do fechamento do pregão.
  • Notícia mais bizarra (tinha que ser no Brasil!!! kkkkkk)
    • Bandidos desligam site de celular e roubam torre de 10 metros no Rio de Janeiro (Telesintese, 19/12/2023) - Técnicos da Claro, com apoio da polícia, confirmaram que bandidos desativaram completamente um site de celular da operadora em São Gonçalo (RJ), sem qualquer condição de recuperação, a não ser a construção de uma infraestrutura toda nova. Os técnicos da empresa foram prestar a assistência à uma falha de comunicação e descobriram foram roubadas todas as placas e equipamentos, os quadros de energia foram esvaziados, os cabos que ligam a antena à rede central da empresa foram retirados e até mesmo a torre de 10 metros de altura foi roubada;
  • Um salve para os nossos comunicadores
  • Meme mais realista do ano...

Para saber mais:


Para finalizar o post e rir um pouco, assista a retrospectiva do Porta dos Fundos e a retrospectiva do comediante Afonso Padilha:




PS/2: Pequenas atualizações em 29/12, 11/01/2024 e 21/02.

dezembro 28, 2023

[Segurança] Retrospectiva: Hackeando trens

Essa história é tão legal, mas tão legal mesmo, que merece um post aqui no blog!!!

Na minha opinião, essa'é uma das melhores histórias de hacking de todos os tempos, que mostram como o hacking pode ser benéfico para as empresas e a sociedade, batendo de frente contra regras pré-estabelecidas para favorecer um pequeno grupo.

Resumindo a história, hackers poloneses foram contratados para identificar e quebrar bloqueios de software em trens e, assim, permitir a manutenção por terceiros.

Tudo começou quando a Lower Silesian Railway (Koleje Dolnośląskie), uma empresa operadora de linhas trens na Polônia, contratou uma empresa terceira para realizar a manutenção de seus trens modelo Impuls 45WE fabricados pela Newag. Ela optou por essa empresa especializada, chamada SPS em vez de contratar o serviço da própria fabricante, que era bem mais caro. Mas, depois da manutenção, misteriosamente o trem não ligava mais (sem motivo aparente). Todos os componentes estavam ok, mas mesmo assim o trem simplesmente não dava partida.


Isso aconteceu com 5 trens que foram enviados para manutenção. Ao todo, 6 dos 11 trens da empresa estavam parados, causando grande prejuízo para a empresa e para a população (afinal, com menos trens em operação, a qualidade do serviço é impactada). Segundo o fabricante, Newag, os trens foram bloqueados por um “sistema de segurança” – mas nas 20 mil páginas de instruções de manutenção dos trens, não há sequer uma menção a isso. E a Newag se recusou a colaborar.

Talvez tomado pelo desespero, alguém na SPS resolveu pesquisar no Google por "Polish Hackers" e em maio de 2022 acabou contratando um grupo de pesquisadores de segurança: Michał “Redford” Kowalczyk, Sergiusz “q3k” Bazański (ambos do grupo Dragon Sector) e Kuba “PanKleszcz” Stępniewicz. No local, eles tiveram acesso à um dos trens que não se movia, dois computadores sobressalentes e os arquivos SDK do fabricante. Em paralelo, a operadora de trens não podia mais esperar e estava prestes a suspender o contrato com a SPS e enviar os trens para manutenção no fabricante. Foi dado o prazo de apenas uma semana para os hackers investigarem os trens!


Depois de muito trabalho, os três pesquisadores analisaram o dump de memória de vários computadores de vários trens e, comparando os trens que funcionavam e os que estavam parados, eles identificaram algumas diferenças. Resumindo muito a história, eles descobriram algumas flags que, ao serem modificadas, permitiram que o computador desse a partida no trem. Menos de uma hora antes do deadline, eles conseguiram provar que era possível colocar os trens de volta à operação.


Após alguns meses de estudos e engenharia reversa, os pesquisadores descobriram várias condições no código do software de controle dos trens que poderiam interromper ou impactar a operação dos trens da Newag, como por exemplo:
  • bloqueio do tem em caso de troca de componentes (verificado pelo número de série);
  • uma instrução para parar após rodar um milhão de quilômetros;
  • uma condição no código que disparava o alarme de "falha no compressor", e paralisação do trem, caso o dia seja maior ou igual a 21, o mês maior ou igual a 11, e para anos maiores que 2o21. Os pesquisadores batizaram o dia 21/11 como "international compressor failure day";
  • foi identificado um equipamento, de hardware, conectado a rede GSM e que recebia informações de bloqueio pelo computador on-board - possivelmente para enviar essas informações ao fabricante;
  • o código do PLC continha lógica que travaria o trem com códigos de erro falsos se o trem não estivesse funcionando por mais de 10 dias;
  • em outra versão, foi identificada uma instrução para interromper o funcionamento se o trem ficasse 10 dias ou mais em algumas localidades específicas. Pelas coordenadas de GPS incluídas no código, foi possível identificar que se tratavam de oficinas de manutenção de outras empresas.

Também foi descoberta uma forma para desfazer o bloqueio imposto pelo computador on-board através de uma sequência correta de cliques nos botões na cabine e na tela do computador de bordo. Quando a notícia da pesquisa chegou à mídia, os trens receberam uma atualização de software que removeu essa opção de “conserto”.

Ou seja, resumindo a treta: o fabricante dos trens tinha incluído, no software de controle à bordo, diversas condições para obrigar a manutenção dos trens por ele mesmo, além de forçar situações de suposto problema.

A Newag não assumiu o B.O., ameaçou processar os pesquisadores e está dizendo que isso é uma campanha de difamação da concorrência. A Newag também está tentando obrigar a retirada dos trens de circulação, alegando que representam um risco de segurança por terem sido hackeados.

O caso foi apresentado no evento Oh My H@ck, na Polônia, e no 37th Chaos Communication Congress (37C3): Breaking "DRM" in Polish trains (veja o vídeo aqui).

Para saber mais:

dezembro 27, 2023

[Segurança] Retrospectiva: novas táticas de extorsão dos ransomwares

Os grupos criminosos de ransomware, os principais operadores e seus afiliados, foram muito ativos em 2023, e as notícias de vítimas não pararam de chegar. E ninguém foi poupado, principalmente a área da saúde - um dos principais setores atingidos segundo todas as estatísticas de mercado.

E a lista de vítimas é gigante, com novas notícias surgindo diariamente e que muitas vezes incluíram várias empresas conhecidas. Veja, por exemplo, a lista de vítimas destacadas pelo painel da IBRASPD:


Neste cenário, um dos grandes destaques deste ano foram as novas táticas de extorsão que surgiram neste anp. Há muito tempo eu escrevo aqui no blog que a técnica de "dupla extorsão" é coisa do passado. E, neste ano em particular, novas técnicas surgiram e se somaram ao meu ranking, que anteriormente tinha "só" 12 formas diferentes de extorsão.

Em 2023 vimos operadores extorquirem suas vítimas de algumas formas criativas, para aumentar sua exposição e humilhação:
  • Usar leis de proteção de dados para ameaçar as vítimas com multas se não pagarem o resgate: Em agosto, o grupo Ransomed passou a chamar sua extorsão de "Digital Peace Tax", alegando que o pagamento do resgate evitaria, às vítimas, lidarem com multas regulatórias - no caso, o GDPR. O título do blog deles já diz seu posicionamento: “Ransomed[.]vc – Leading Company in Digital Peace Tax.” Segundo os pesquisadores da Flashpoint, , o grupo divulgou pedidos de resgate para as suas vítimas que variam entre 50.000 euros e 200.000 euros. Para efeito de comparação, as multas do GDPR podem chegar a milhões de euros, ou até mais – já houve multa superior a 1 bilhão de euros;
  • Notificar órgãos reguladores: Em novembro, após o grupo BlackCat/ALPHV adicionar a empresa MeridianLink ao seu site de vítimas de vazamento de dados e na falta de resposta da empresa, o grupo realizou uma notificação formal do incidente ao órgão regulador americano Securities and Exchange Commission (SEC)). A MeridianLink é fornecedora de um sistema e plataforma de empréstimo digital para instituições financeiras. Segundo o grupo AlphV, eles não criptografaram nenhum equipamento da empresa, mas exfiltraram seus arquivos;
  • Utilizar sites na surface web para expor suas vítimas: para aumentar a visibilidade de seu painel com vítimas, alguns grupos de ransomware começaram a publicar essas informações na Internet, em vez de utilizar apenas sites na Deep Web, de acesso mais restrito;
  • Fornecer API para facilitar o download de dados: O download de dados das vítimas sempre foi um gargalo nas operações de ransomware. Quando uma vítima é exposta e seus dados são liberados ao público, como resultado de uma extorsão sem sucesso, começa uma correria para baixar os dados. Para agilizar esse processo, o grupo BlackCat/APLHV disponibilizou uma API. A novidade foi verificada durante o ataque à Estée Lauder, gigante do setor de maquiagens e cosméticos de luxo. Desde então, o site de vazamento de dados do grupo BlackCat/APLHV adicionou uma nova página com instruções para outros hackers usarem sua API para coletar atualizações sobre novas vítimas;
  • Uso de Torrent para facilitar o download de dados das vítimas: essa foi uma inovação do grupo Cl0p, para facilitar a exposição de suas vitimas que não pagaram os resgates.
De tempos em tempos surgem novas formas "criativas" de extorquir as vítimas de ransomware. Dessa forma, o meu "contador de extorsões" aqui no blog fica atualizado, de 13 para 15 técnicas diferentes, muito além do "double extorsion" que muitos especialistas dizem por aí:
  1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
  2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
  3. Realizar ataques de DDoS contra a empresa;
  4. Call centers que ligam para a empresa atacada pelo ransomware;
  5. Avisar os clientes que a empresa teve os dados roubados!
  6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
  7. Vazar documentos que mostrem práticas ilegais da empresa;
  8. Vazar documentos confidenciais para os competidores;
  9. Uso de imagens violentas para assustar as vítimas;
  10. Acesso pesquisável aos dados roubados;
  11. Expor a vítima em site público na Internet;
  12. Vazar os dados das vítimas via Torrent;
  13. Oferecer acesso aos dados roubados via API;
  14. Digital Peace Tax;
  15. Denunciar a vítima aos órgãos reguladores.
Para saber mais:

[Segurança] Retrospectiva: Ataques DDoS batem novos recordes

Nesse ano, os ataques distribuídos de negação de serviço (DDoS) alcançaram níveis recordes, chegando até mesmo a derrubar algumas grandes empresas.

O ano começou com a Cloudflare anunciando, em fevereiro, ter detectado e mitigado dezenas de ataques DDoS hipervolumétricos, a maioria deles atingindo um pico de 50 a 70 milhões de requisições por segundo (rps). Na ocasião, o maior ataque excedeu 71 milhões de rps, o que alcançou a marca de maior ataque DDoS HTTP já registrado até então, mais de 54% superior ao recorde anterior de 46 milhões de rps em junho de 2022. Neste mesmo mês Akamai também mitigou o que ela chamou de "maior ataque DDoS já lançado contra um cliente Prolexic baseado na Ásia-Pacífico (APAC)". O ataque, que ocorreu em 23 de fevereiro de 2023, atingiu o pico de 900,1 gigabits por segundo (Gbps) e 158,2 milhões de pacotes por segundo (Mpps).

No decorrer desse ano, voltamos a ver mais notícias relevantes sobre ataques de DDoS. Em Junho o grupo Anonymous Sudan realizou alguns ataques DDoS contra a Microsoft, e conseguiram tirar do ar os servidores da Azure, OneDrive e Outlook. Em outubro, eles realizaram um ataque contra a Netflix.

Certamente o hacktivismo causa um grande aumento de ataques DDoS. Por isso mesmo, vale a pena lembrar que nessa segunda metade do ano surgiu o conflito entre Israel e Hamas, que no campo cibernético causou uma grande movimentação de dezenas de grupos hacktivistas. Como é de se esperar num cenário desses, logo no início do conflito já foram vistos ataques DDoS contra Israel. Segundo a CloudFlare, os primeiros ataques DDoS contra Israel aconteceram 12 minutos após a invasão de Israel pelo Hamas. Entre os alvos, sites e apps que fornecem informações e alertas sobre ataques de foguetes.

Mas o grande vilão desse ano foi a vulnerabilidade HTTP/2 Rapid Reset (CVE-2023-44487), descoberta em outubro e que permitiu aos ataques DDoS alcançarem uma volumetria surpreendente - um salto de 70 para 400 milhões de requisições por segundo (aproximadamente).

Na ocasião, a Amazon, Google e Cloudflare disseram ter detectado os maiores ataques DDoS já registrados em todos os tempos, graças à essa vulnerabilidade:

  • A Amazon disse que entre 28 e 29 de agosto de 2023, eles testemunharam um ataque que atingiu um pico de mais de 155 milhões de requisições por segundo;
  • Cloudflare disse que viu um ataque atingir um pico de 201 milhões de requisições por segundo;
  • A Google mitigou um ataque em Agosto que foi oito vezes maior que o recorde anterior. Envolveu 398 milhões de requisições por segundo, o que equivale a “receber todas as solicitações diárias à Wikipédia em apenas 10 segundos”. Em junho de 2022, eles tinham relatado a interrupção de um ataque que atingiu o pico de 46 milhões de requisições por segundo.

Em setembro, a Akamai afirmou que detectou e impediu com sucesso o maior ataque DDoS direcionado a uma das maiores e mais influentes instituições financeiras dos EUA (sem citar o nome da vítima). Em 5 de setembro de 2023 os cibercriminosos usaram uma combinação de vetores de ataque de ACK, PUSH, RESET e SYN Flood, atingindo um pico de 633,7 Gbps e 55,1 Mpps. O ataque durou menos de 2 minutos e foi mitigado proativamente. O tráfego malicioso veio de todo o mundo, incluindo Bulgária, Brasil, China, Índia, Tailândia, Rússia, Ucrânia, Vietname, e Japão.


Ou seja, neste ano, os ataques DDoS alcançaram a marca de...


398 milhões de requisições por segundo



... segundo a Google.

Veja alguns dos maiores ataques DDoS já reportados, que eu registrei aqui no blog, e seu crescimento no decorrer do tempo:
Pela lista acima, fica perceptível que a Akamai usa um método diferente para medir os ataques DDoS, através de pacotes por segundo. Mas, quando comparamos a métrica deles em volumetria de tráfego, em termos de Gibabits ou Terabits por segundo (Gbps / Tbps), os ataques recebidos pela Akamai tem sido muito baixos - enquanto o pico recorde deles foi de 900,1 Gbps em fevereiro de 2023, a Cloudflare reportou um ataque de 2,5 Tbps em Outubro de 2022.

Para saber mais:

dezembro 26, 2023

[Segurança] Retrospectiva: O fator humano no centro dos debates

Nunca antes eu vi a discussão sobre o fator humano tão presente no nosso mercado. Em 2023, a preocupação com o fator humano esteve presente na maioria das discussões.

Há muitos anos é dito, no mercado de segurança, que "o elemento humano é o elo mais fraco da segurança". Essa percepção é motivada pelo fato de que as pessoas tem um papel decisivo na grande maioria dos incidentes de segurança. Segundo a Verizon, por exemplo, 74% dos incidentes envolvem o elemento humano.

Os maiores pecados atribuídos aos usuários, que dão origem à maioria dos incidentes, são o uso de senhas fracas e o click em mensagens de Phishing. De fato, o ser humano é alvo constante de golpes de engenharia social (onde o phishing é apenas um deles).

Por exemplo, falhamos miseravelmente em cuidar de nossas senhas. Segundo dados recentes da Nordpass, 123456 continua sendo a senha mais usada em todo o mundo (e a segunda no Brasil):


Mas essa visão de que o usuário é o "culpado" pelos ciberataques, está mudando. Uma abordagem muito mais positiva e efetiva é tratar o usuário como parte da estratégia de defesa, e nesse momento surge o termo "firewall humano". Justamente por ser um alvo constante de ciberataques, o usuário é a primeira e principal barreira de proteção da empresa, e só precisa ser educado e orientado adequadamente.

Atualmente todos os eventos de segurança tem várias palestras relacionados a conscientização, sua importância e compartilhamento de estratégias. No Brasil, um ótimo termômetro dessa tendência é o evento Cultsec, um evento focado em Conscientização que surgiu no ano passado e, neste ano, teve 2 edições, em São Paulo e Belo Horizonte.


Para saber mais:

dezembro 24, 2023

Boas Festas

O ano de 2023 está chegando no fim!


Em alguns momentos na história nós criamos, revisamos e reformamos o 'calendário", um jeito de formalizar a contagem do tempo. Agrupamos os dias em semanas, em meses e anos. Estabelecemos qual seria o primeiro dia do ano (não vou entrar no debate de que isso foi fruto de uma apropriação de celebrações anteriores - "pagãs"). Embora algumas culturas celebram o ano novo em datas diferentes e tem outras formas de contar a quantidade de anos, para mim vale o nosso calendário cristão... hahahahahah

Mas, disso tudo, para minha reflexão de hoje o que importa é que nós criamos esse hábito de, uma vez por ano, celebrar o final de um ciclo e criar expectativas para o próximo. É um momento para refletirmos sobre os nossos desafios e conquistas no ano que está terminando e sonharmos com o que gostaríamos de fazer melhor daqui para frente. Que lições tiramos de 2023 e levamos para 2024? Nunca um ano vai ser totalmente bom nem totalmente ruim. A vida é uma montanha russa louca, cheia de altos e baixos, andando a uns 180 km/h. E o melhor a se fazer é aproveitar a jornada.

Eu gosto muito dessa época do ano: as celebrações do Natal e do Ano Novo são oportunidades para nos conectarmos às pessoas que mais amamos e que fazem parte da nossa jornada: nossos familiares e amigos.

De diferente, nesse ano, quero destacar um vídeo bem legal feito pelo pessoal do Serasa, mostrando a importância de autenticar corretamente as pessoas e, assim, não receber presente de estranhos:


E, para acabar esse post, segue uma charge engraçadinha...


"Pô, só uma charge"? eu estava revisando meus posts anteriores e vi que eu publiquei várias charges e memes engraçados em 20172018, 2021 e 2022.

Aproveite e veja também esse meu post com dicas de segurança para esse período de festas.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.