[Geek] 150 anos da Tabela Periódica

A Tabela Periódica fez 150 anos de idade!

Por isso, a ONU proclamou 2019 como o ano internacional da tabela periódica para celebrar o seu aniversário

A tabela periódica é aquela famosa disposição dos elementos químicos, organizados de acordo com seus números atômicos, configuração eletrônica, e propriedades periódicas. Este ordenamento respeita também comportamentos e propriedades químicas similares.

A história da tabela periódica começa em 1829 com a "lei das tríades" de Johann Wolfgang Döbereiner e termina em 1869 com a disposição sistemática de Dmitri Mendeleev e Lothar Meyer dos elementos químicos demonstrando a periodicidade dos mesmos em uma tabela organizada.

Para saber mais:

• Artigo na revista Galileu: "Tabela periódica completa 150 anos: conheça sua história"
• Livro digital: "Um mergulho na Tabela Periódica"

[Segurança] Retrospectiva: Leak é o novo Deface

Os vazamentos de dados já se tornaram constantes nos últimos anos, cada vez atingindo números mais estratosféricos, impactando empresas e instituições de todos os tamanhos.

Não é de se assustar, portanto, que hoje temos uma quantidade de dados vazados que, por si só, já é maior do que a população da Terra. Isso sem falar que, em Novembro, pesquisadores encontraram um banco de dados exposto com 1,2 bilhão de registros e 622 milhões de e-mails. E a tendência é que esses vazamentos vão aumentar cada vez mais. Em 2019 vimos alguns casos de vazamento de dados que afetaram a população de todo um país, como no caso do Chile, do Equador, e até mesmo aqui no Brasil - com o site do Detran expondo os dados de todos os motoristas brasileiros.

A propósito, em 2019 os vazamentos de dados de empresas brasileiras aconteceu com uma frequência jamais vista, como por exemplo nos vazamentos recentes da Unimed, Claro (8 milhões de usuários) e Carrefour. Segundo amigos que tem um portal de notícias, eles não dão conta de noticiar todos os casos de vazamento de dados que chegam até eles.

Durante 2019, tivemos tantos vazamentos de dados expostos sem proteção em ambientes de armazenamento em nuvem que o pessoal do The Hack escreveu um pequeno tutorial de como usar e proteger o serviço Simple Storage Service (S3) na Amazon.

Como disse o Fernando Mercês, nesse ano podemos dizer que o "Leak é o novo Deface"...

Seria esse o fim derradeiro da privacidade?

[Carreira] Retrospectiva: Desemprego Zero

É isso mesmo! Com a falta de mão de obra qualificada no mercado de segurança, e uma quantidade de vagas no mercado maior do que a quantidade de profissionais disponíveis, podemos dizer que na área de segurança temos...

Taxa de desemprego igual a 0%

Falando nesses temos, o cenário parece surreal, ainda mais num país aonde a taxa de desemprego beira os 12%. Mas é verdade esse bilhete!

Em 2019, o problema de falta de mão de obra na área de tecnologia (e de segurança da informação, em particular) atingiu níveis crônicos e ficou na agenda de todos os executivos!

E esse "apagão de talentos", como é chamado, é um problema global, afetando empresas no Brasil e no mundo. Além disso, é um problema que afeta praticamente toda a área de tecnologia de informação. Segundo dados levantados pela Cybersecurity Ventures estima-se que o número de posições não preenchidas na indústria de segurança chegaria a 3,5 milhões em 2021. Nos EUA, a estimativa é que existam 715 mil pessoas trabalhando na área de ciber segurança e 314 mil posições em aberto. Ou seja, aproximadamente 2/3 do mercado americano está empregado, e o resto 1/3 é formado por vagas que não tem como serem preenchidas!

Não é a toa que, em 2019, vimos um "boom" de eventos de segurança discutindo esse assunto. Principalmente nos eventos voltados para o público executivo, vimos frequentemente palestras e painéis sobre a escassez de força de trabalho na área de segurança.

Na minha opinião, essa situação é causada e retroalimentado por vários problemas, principalmente:

• Falta de incentivo para novos talentos: toda empresa quer contratar um profissional sênior, especialista, mas ninguém quer contratar um júnior e formar esse profissional. Se nenhuma empresa dá oportunidade para novos talentos, nós não estimulamos a renovação do mercado;
• Evasão de profissionais qualificados: com a alta demanda global por profissionais de tecnologia e de segurança, hoje é fácil para um profissional conseguir emprego lá fora. Na verdade, arrisco a dizer que "só não sai do Brasil quem não quer";
• Inchaço artificial dos cargos e salários: com a alta demanda por profissionais e mercado super aquecido, ficou muito fácil buscar recolocação e, a cada vez que alguém se recoloca, essa pessoa tem um upgrade de salário e, muitas vezes, de cargo. Com isso, profissionais obtém cargos melhores sem necessariamente terem atingido o nível de experiência necessário. O resultado são salários e cargos inchados, que não condizem com a real capacidade do candidato. Já perdi as contas das vezes em que entrevistei candidatos que não tinham o conhecimento e a experiência para o cargo que pleiteavam. Surge aí a figura do "especialista júnior", ou seja, aquela pessoa que ocupa um cargo de especialista, com salário de especialista, mas não tem o conhecimento necessário para fazer o trabalho. Quando a situação aperta, esse profissional pode mudar de emprego e continuar numa posição que não condiz com sua realidade;
• Facilidade de troca de emprego e dificuldade de retenção de talentos: são dois problemas similares, duas faces da mesma moeda: o profissional tem muita oferta disponível e as empresas tem dificuldade de reter bons profissionais. Com a alta oferta de empregos no mercado, os profissionais tem grande facilidade de trocar de empresa
• Dificuldade de identificar bons profissionais disponíveis: como os bons profissionais tem facilidade de se colocar em bons empregos, hoje a maioria dos bons candidatos a emprego (1) estão feliz no emprego atual ou (2) acabaram de parar por um processo de recolocação. Logo, é difícil achar candidatos disponíveis. Por isso, a minha sugestão é sempre estar consultando as pessoas que você tem interesse em trazer para sua empresa. Nunca suponha que determinada pessoa está feliz no emprego atual, pois se por um breve momento ela estiver infeliz, ela pode se recolocar rapidamente e você perdeu o timing para trazer esse profissional;
• Falta de estímulo para as minorias: já que temos uma falta generalizada de profissionais no mercado, que tal fazermos um esforço para trazer pessoas que, normalmente, são colocadas em 2o plano no mercado de trabalho? Sim, estou falando de trazemos mais mulheres, negros, LGBTs e idosos para o mercado!
• Olhe para dentro da empresa, e estimule a migração entre as áreas. Talvez você tenha grandes talentos dentro da sua empresa que estão lá, esperando uma oportunidade para migra para a área de tecnologia ou segurança. Faça atividades, workshops e ações para promover internamente as áreas e estimular o recrutamento interno;
• Automatize! Pegue os trabalhos mais simples e repetitivos e automatize, liberando força de trabalho humana para papéis mais nobres, e assim você reaproveita os talentos internos.

Para saber mais:

• Artigo bem detalhado sobre o assunto, com dezenas de estatísticas: "Cybersecurity Talent Crunch To Create 3.5 Million Unfilled Jobs Globally By 2021"
• Paper da Microsoft: "Fundamentos do CISO: como otimizar o recrutamento e fortalecer a segurança cibernética" - PS: o paper foi simplesmente traduzido do Inglês, considerando a realidade dos EUA. Isso fica evidente na 2a recomendação, das 4 que ela oferece, que diz respeito a contratação de veteranos das forças armadas - que, nos EUA representa um contingente muito grande de profissionais, e muito presente no mercado de segurança - mas o mesmo não se aplica aqui no Brasil;
• Brasil viverá "apagão" de mão-de-obra; conheça os segmentos mais carentes de profissionais
• Roadsec SP 2019 debate inclusão, representatividade e oportunidades no mercado de TI
• "Procura-se hackers: feira quer recrutar 200 profissionais de segurança da informação" - segundo essa reportagem do Valor Investe, um estudo do (ISC)² indicou que até o fim de 2020 o Brasil terá um vácuo de 185 mil vagas não preenchidas por profissionais de cibersegurança. (adicionado em 04/12)
• Artigo "Cybersecurity workforce skills gap rises to over 4 million", com mais detalhes sobre a pesquisa da (ISC)2. (adicionado em 06/12)

[Segurança] Retrospectiva 2019

De alguns anos para cá, eu peguei o hábito de escrever um post com uma rápida retrospectiva de fim-de-ano, seguido por outro com as previsões para o ano seguinte. Neste ano, resolvi fazer um pouco diferente: em vez de um, pretendo escrever uma pequena sequência de artigos.

Por isso, no decorrer de dezembro, irei publicar vários posts comentando um pouco sobre algumas das principais tendências, notícias ou fatos que foram marcantes em 2019.

Relembre um pouco do que aconteceu nos anos anteriores:

• Retrospectiva 2018
• Retrospectiva 2017 (com memes)
• Retrospectiva 2016
• Retrospectiva 2014
• Retrospectiva 2011
• Wikileaks, Cyber Espionagem, Hacktivismo e uma pequena retrospectiva de 2010
• Retrospectiva 2009

[Segurança] Porn Leaks

Vimos recentemente uma onda de vazamento de dados relacionados a vários sites de relacionamento e pornografia:

• Heyyo - O aplicativo de relacionamentos Heyyo expôs dados detalhados de aproximadamente 77 mil usuários ao redor do mundo. Os dados foram identificados em um ambiente Elasticsearch que estava aberto ao público. As informações comprometidas incluem nomes de usuário, endereço de email, país, localização geográfica, tipo de dispositivo móvel usado, número do celular, profissão, gênero sexual, preferências sexuais, data de nascimento, links para outras redes sociais e histórico de atividades dentro do app (likes, dislikes, super likes, quantidade de mensagens trocadas e bloqueios);
• Luscious - uma brecha nesse site adulto para compartilhamento e armazenamento de imagens pornográficas teria exposto informações privadas de aproximadamente 1,2 milhão de internautas do mundo inteiro (pelo menos 10 mil são brasileiros). As informações privadas vazadas incluem o endereço de email usado no registro, logs de atividades, localização geográfica e gênero;
• 3Fun - um aplicativo descrito como uma plataforma para "Curious Couples & Singles Dating", é um serviço com 1,5 milhão de usuários em todo o mundo. O aplicativo expôs, al6em de dados pessoais (como datas de nascimento, preferências sexuais e fotos privadas), também a localização quase em tempo real dos usuários e informações de bate-papo.

Outros aplicativos semelhantes também foram vítimas de vazamentos de dados, incluindo o Grindr e Romeo :( Isso sem falar do famoso caso de vazamento de dados do site de relacionamentos Ashley Madison, em 2015.

Além da exposição de informações pessoais altamente sensíveis relacionados aos hábitos sexuais dos usuários, outro problema sério de privacidade relacionads a esses aplicativos é a possibilidade de utilizar as informações de GPS nestes aplicativos para rastrear os usuários - outro risco relacionado é a capacidade de falsificar coordenadas GPS e informar localizações intencionalmente erradas ou imprecisas (imagina, por exemplo, um cenário aonde você cria uma identidade falsa para atrair uma vítima, e adulterando a localização do perfil falso, você força a vítima a ir em uma região perigosa na expectativa de ter um encontro amoroso).

[Segurança] Segurança em camadas

A piadinha abaixo rodou em alguns grupos de segurança há pouco tempo atrás...

Brincadeiras a parte, uma boa prática dentro da estratégia de "segurança em camadas" é de misturar produtos similares de diferentes fabricantes, pois assim eles podem se complementar - uma deficiência de proteção em um produto pode ser compensada por outro fabricante.

Essa estratégia é muito comum para proteção contra vírus, usando uma solução de um fabricante no seu servidor de e-mail e/ou proxy, e outro fabricante nos endpoints (desktops e notebooks).

Mesmo no mundo de segurança de rede, também é relativamente comum utilizar o Firewall de um determinado fabricante na borda com a Internet, e uma solução de outro fabricante entre a DMZ e a rede interna.

[Cyber Cultura] Criptofesta SP

O pessoal da CryptoRave vai realizar nesse ano um evento novo, a Criptofesta! Esse é um evento de uma tarde inteira com oficinas e palestras básicas sobre segurança digital e privacidade online, a partir das 12h do sábado, 07/12.

A Criptofesta é aberta para todos os públicos e gratuito (não é necessário se inscrever para participar das atividades). O tema é vazamentos de informação e, além de fala especial sobre o tema, vai rolar diversas atividades, tais como:

• Como armazenar dados seguramente
• Oficina de criptografia de email com GPG
• Securizando seu sistema
• Tails: Sistema operacional portatil, anônimo e amnésico
• Oficina sobre anonimato online e anti-censura
• SecureDrop
• Relato sobre a perseguição a Ola Bini
• Install Fest
• Confessionário Hacker
• Oficina de comunicação segura com Signal

O que seria um "Confessionário Hacker"? Também fiquei curioso e gostaria de saber!

A Criptofesta São Paulo acontece no dia 7 de dezembro, a partir das 12h, na Biblioteca Mário de Andrade, perto do metrô Anhagabaú. Será um evento mais curto do que a Cryptorave, sem virar a noite.

Anota aí!!!

• Página do evento no Facebook
• Quando? Sábado, 07 de dezembro, a partir das 12h
• Onde? Biblioteca Mário de Andrade, R. da Consolação, 94 - República, São Paulo - SP

[Segurança] Lançamento da Norma ABNT 27701 sobre gestão da privacidade

Essa é uma ótima notícia para todos interessados em proteção da privacidade e proteção aos dados pessoais, além das empresas que estão se preparando para a LGPD!

 No dia 09 de dezembro a ABNT fará um evento para comemorar o lançamento da nova norma "ABNT NBR ISO/IEC 27701 - Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e diretrizes". Recentemente esta norma foi traduzida da sua versão original em Inglês e aprovada em consulta nacional. Ela já está disponível para compra no site da ABNT.

Segundo Ariosto Farias Jr., coordenador da Comissão de Estudo CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27, essa norma enquadra-se no conceito de "Market Driven Standard (MDS)", ou seja, é uma norma que representa os anseios do mercado e da sociedade, em decorrência das recentes regulamentações sobre privacidade de dados pessoais, principalmente o Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia (GDPR) e a nossa Lei Geral de Proteção de Dados Pessoais (LGPD) - que entrará em vigor em agosto de 2020.

Essa é uma norma internacional, direcionada aos controladores e operadores de dados pessoais. Ela apresenta requisitos e diretrizes normativos específicos relacionados a controles de privacidade, adicionando novas recomendações aos requisitos já existentes na norma 27001 e as diretrizes da 27002. Os controles e medidas de prevenção sugeridos na 27701 podem ajudar as organizações a tratar as questões de privacidade, através da implementação, operação, manutenção e melhoria contínua de um Sistema de Gestão da Privacidade da Informação (SGPI). A norma está alinhada a GDPR e a LGPD, e inclusive está adequada a terminologia local, definida na LGPD.

O evento de lançamento da 27701 será nas 15h do dia 09/12, na sede da ABNT na Rua Conselheiro Nébias, 1.131 (Campos Elísios). Na ocasião, haverá algumas edições impressas da norma disponíveis para compra.

Para saber mais:

• Catálogo ABNT - ABNT NBR ISO/IEC 27701:2019 (Português)
• Catálogo ABNT - ISO/IEC 27701:2019 (Inglês)
• Veja o artigo da ABNT " Vem aí a ABNT NBR ISO/ IEC 27701"
• Normas ISO e ABNT sobre Privacidade
• Norma ABNT sobre gestão da privacidade da informação em consulta nacional

[Cidadania] Brasilsplaining

Durante um debate sobe racismo no programa Papo de Segunda, o Emicida deu nome bem humorado a um fenômeno muito comum hoje em dia nas redes sociais:

Brasilsplaining

Segundo Emicida, "o Brasilsplaining é quando você vai explicar para o Papa o que é Catolicismo, vai explicar para os Alemão (sic) o que é Nazismo, e vai explicar para os preto (sic) o que é racismo".

Essa fala aconteceu aos 11m51s do vídeo.

Esse fenômeno foi muito frequente durante as últimas eleições presidenciais, quando o país estava dividido em dois polos extremos, quando as discussões deixaram de seguir um padrão racional para virar uma batalha de opiniões infundadas e fake news. Virou piada, por exemplo, quando brasileiros questionaram o governo Alemão sobre o significado do nazismo - ou melhor, virou vergonha mesmo ("Fremdschämen"). Não é a toa que, segundo dados de 2017, "os brasileiros ficaram em 2º lugar no ranking de ignorância sobre a realidade". Só perdemos para sul-africanos em termos de percepção distorcida sobre a realidade.

Teve um fato recente que me motivou a escrever esse post: enquanto discutia no Instagram sobre o significado do termo "hacker", quando eu citei o Jargon File e o MIT como referência, recebi como resposta de uma pessoa que, pelo jeito, conhece mais sobre o MIT do que o próprio MIT, como mostra o comentário "Por exemplo, os caras lá do mit railroad club com o lance de controlar o trem com o equipamento telefonico ... muitos dizem q ali foi a origem do termo hacking como usamos ... Na minha opinião os caras estavam apenas se divertindo". Brasilsplaining!!!

[Segurança] Hackers are people too

Recentemente eu fiquei maravilhado ao assistir esse documentário, "Hackers are people too":

Este documentário de 2008, gravado até mesmo de um jeito um pouco tosco, fala de uma forma bem interessante sobre o que é a comunidade hacker. O vídeo inclui depoimentos de diversos profissionais da área, incluindo alguns famosos. Também percebe-se que algumas cenas foram gravadas durante a Defcon - e, para quem curte o evento, pode ver um pouquinho as diferenças e similaridades da Defcon de hoje e de 10 anos atrás.