[Segurança] DEF CON Conference Transparency Report

O pessoal da Defcon teve uma iniciativa bem interessante e lançou o "DEF CON Conference Transparency Report", uma página com estatísticas sobre alguns incidentes ocorridos no evento.

O relatório traz alguns números interessantes sobre a edição de 2017:

• Número estimado de participantes: 25.000
• 7 casos de assédio, sendo que em 2 deles, as pessoas foram banidas do evento para toda a vida devido a assediarem mulheres;
• 3 casos de roubo;
• 3 casos de vandalismo com a DEF CON ou o hotel;
• 9 Incidentes médicos, dos quais 4 casos foram encaminhado a hospitais.

A propósito, recentemente comemoramos mais um aniversário do evento, pois a primeira Defcon aconteceu no dia 09 de junho de 1993.

[Cyber Cultura] A Internet em 1 minuto

A Lori Lewis e o Chadd Callahan criaram um infográfico que mostra a quantidade monstruosa de informações que são transmitidas na Internet a cada 1 minuto. Os dados de 2018 são os seguintes:

Comparando os dados de 2017 e 2018, podemos ver que o Netflix quase quadruplicou de tamanho, enquanto a maioria das demais estatísticas, incluindo o uso do Facebook, Twitter e troca de mensagens por e-mail cresceram cerca de 10%. Este aumento na quantidade de e-mails me parece meio surreal, pois na prática eu vejo muito das interações entre pessoas e no trabalho movendo do e-mail para os aplicativos de mensagem instantânea (que cresceram muito em uso no último ano), embora esse movimento seja muito mais forte no Brasil do que nos EUA, por exemplo.

Aproveite e compare com os dados em 2012 e em 2016!

[Segurança] Boas práticas no seu Programa de Conscientização

O pessoal do Sans Institute divulgou seu relatório anual sobre boas práticas em programas de coscientização para empresas, o "2018 SANS Security Awareness Report".

O relatório traz dados de cerca de 1700 profissionais sobre seus programas de conscientização de segurança de todo o mundo, para identificar e avaliar como essas organizações estão gerenciando seus riscos humanos.

O relatório define 5 estágios de maturidade para o programa de conscientização: não existente, focado em atender necessidades de compliance, programas que promovem uma mudança no comportamento, aqueles que promovem uma mudança cultural na empresa, e por fim, os programas maduros o suficiente a ponto de possuir métricas para medir a sua eficiência.

Com 38 páginas, ele traz alguns dados interessantes, tais como:

• 53% dos entrevistados relatou que seus programas se encaixam na categoria  de maturidade intermediária, “Promoting Awareness & Behavior Change”, e seu programa de conscientização se concentra nos problemas de maior risco de sua organização;
• 85% dos profissionais de conscientização relatam que seu trabalho tem um impacto positivo na segurança da organização;
• Mais de 80% dos entrevistados relataram gastar menos da metade do tempo dedicado a programas de conscientização e a maioria das organizações classifica a conscientização de segurança como um trabalho de dedicação parcial;
• Os programas de maior maturidade dedicam um tempo equivalente a se tivessem 3,67 empregados dedicados a ele.

O mais legal de tudo isso, na verdade, é que para cada uma das estatísticas apresentadas pelo relatório, também são indicadas algumas ações recomendadas para melhoria.

Tem um pequeno vídeo sobre o relatório:

O relatório pode ser baixado gratuitamente no site do SANS Institute.

[Segurança] A evolução do protocolo 3D-Secure

Fala-se muito do GPDR, mas o 3D Secure 2.0 (3DS 2.0) é uma outra regulamentação de segurança que pode causar impacto positivo no mercado. O protocolo 3DS foi criado com o propósito de ajudar emissores de cartão de crédito e sites de e-commerce a reduzir o volume de fraude online, que assola a indústria constantemente. Ele é usado pela Visa (o serviço chamado de "Verified by Visa"), pela Mastercard (que batizou isso de "SecureCode") e pela American Express ("SafeKey").

O Three-Domain Secure (3DS) é um protocolo de mensagens desenvolvido pela EMVCo para permitir que os consumidores (portadores de cartões de crédito) se autentiquem com o emissor do cartão ao realizar as suas compras online, em sites de e-commerce. É um protocolo de comunicação e autenticação entre o portador do cartão de crédito e a entidade financeira que emitiu.

Essa modalidade de compras com cartões é conhecida no mercado como "cartão não presente" (CNP), pois o lojista não tem acesso físico ao cartão, e por isso, não consegue validar o cartão e a identidade do portador de formas tradicionais (por exemplo, pedindo o documento do portador). Nesse tipo de transações, é comum que os bancos forcem que toda a responsabilidade pela identificação de fraude fique com o lojista, e portanto, a loja é quem fica com o prejuízo se uma transação for fraudulenta e for contestada pelo verdadeiro dono do cartão.

O 3DS, portanto, estabelece uma camada de segurança que ajuda a validar a identidade do portador do cartão, para impedir transações fraudulentas (não autorizadas) de CNP e, assim, proteger o comerciante contra fraudes.

A primeira versão do 3DS não foi muito adotada pelo mercado em geral pois, entre outros problemas, ela tinha má usabilidade, o que afastava o cliente no momento do encerramento de sua compra. Para fazer o pagamento, o cliente deveria ter um pré-cadastro no site da emissora do cartão e isso atrapalhava a vida do cliente final.

No final de Outubro de 2016 foi lançado o 3DS 2.0, uma versão melhorada que inclui recursos de autenticação baseada em risco, usando características da transação, além de suporte a transações em ambiente mobile e métodos de autenticação out-of-band.

O vídeo abaixo, da EMVCo, explica rapidamente como o  3DS 2.0 funciona:

Para saber mais:

• Página oficial do padrão 3DS
• 3D Secure 2.0: An Outlook on Merchant Adoption

[Segurança] A GDPR em memes

Mesmo tendo sido lançada há cerda de dois anos atrás, o mercado esperou até os últimos dias para se adequar ao GDPR.

Nesse meio tempo, diversos fornecedores de produtos e serviços de segurança bombardeavam as empresas com muito marketing, FUD...

... e ofertas de produtos e serviços.

O resultado? O dia 25/Maio chegou...

E o que vimos nesses últimos dias foi uma correria das empresas para adequar suas políticas de privacidade...

... lotando nossas caixas postais com tais avisos...

... e inclusive algumas empresas que resolveram a certificação com o GDPR de uma forma mais fácil: barrando o acesso de usuários da União Européia!

Notas:

• Post atualizado em 05/06.
• Pequena matéria na Wired: How Europe's GDPR Regulations Became a Meme
• Tem uma página sobre a GDPR no site Know your Meme!

[Humor] Ironic (cyber version)

O vídeo é de 2015, mas são 2 minutos que valem a pena para se divertir no meio de um feriado prolongado ;)

No programa The Late Late Show with James Corden, a Alanis Morissette fez uma versão "atualizada" da sua música Ironic, lançada originalmente em 1995. Vale algumas risadas com os probleminhas da vida moderna...

[Segurança] A BSidesSP 0xF em números

A décima-quinta Security BSides São Paulo (BSidesSP), que aconteceu no final de semana de 19 e 20 de maio, foi épica e superou nossas expectativas: recebemos 1.245 participantes!

Vejam mais alguns números que representam essa edição:

• 29 horas seguidas de evento
• 90h55 de atividades entre Oficinas, Palestras e Villages
• 42 atividades simultâneas em 13 salas, no Domingo (20/05)
  
  
  
  
  
• 6 villages
  
  
  
  
• 1.245 pessoas presentes
  
  
  
  
  
• 2.051 inscritos
• 28 anos foi a idade média dos participantes
• 35 speakers (só 1 speaker faltou, e foi substituído por uma excelente palestra do Nelson Brito)
  
  
  
  
  
  
  
  
• 250 pessoas vieram em 9 caravanas
• 8 horas foi o tempo de viagem do pessoal da caravana de Uberaba
• 2 super-heróis, 3 dinossauros, 1 flamingo e 1 unicórnio estavam presentes
  
  
  
  
  
  
  
  
• 33 voluntários ajudaram a realizar o evento
• 13.915 foi a média de passos dados pelos organizadorese voluntários no domingo
  
  
  
  
  
  
  
  
• 34 participantes do CTF divididos em 9 Times, que comeram 24 pizzas e beberam 120 latinhas de Red Bull;
• 17 participantes no CTF da Village de Forense!
  
  
  
  
  
• 11 participantes na competição de robótica
• 18 robôs construídos na arena 4 kidz
• 4 robôs funcionando
  
  
  
  
  
• 1 Banda e 5 DJs:
• Banda MD5 - Melhor de Cinco, e os DJs Daniel Lima, Razors Die, SHIMAZ, The Seventh God
  
  
  
  
  
• 2.460 latinhas de cerveja foram consumidas
• 450 kg de espetinhos foram servidos (quase o peso de 2 bois)
• 700 cachorros quentes foram servidos em apenas 1h30
  
  
  
  
  
• 8 caminhões e 2 motos de bombeiros foram mobilizados para descobrir que o incêndio na PUC era um churrasco!
  
  
  
  
  
• 0 acidentes com nenhuma hospitalização necessária
• 7 Empresas Patrocinadoras
• 14 Apoiadores
• 35 Doadores Jedi, que juntos contribuiram com um valor quase equivalente ao de uma cota de patrocínio!

Além disso, o evento aconteceu em um final de semana particularmente muvucado:

• Choveu um pé d'água no sábado de manhã, e justamente neste que foi o mês de Maio mais seco nos últimos 18 anos!
• Foi o final de semana da Virada Cultural, e várias ruas perto da PUC foram bloqueadas (inclusive a Consolação!);
• Tivemos um casamento real, no sábado! ;)

A BSidesSP não aconteceria sem os patrocinadores, pois sem eles jamais teríamos feito um evento totalmente gratuito para a galera: a BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e a Trend Micro. Várias empresas também apoiaram o evento em várias ações específicas: a Cipher, que ofereceu o café gourmet, a Daryus Educação, Grifa Filmes, a Imaginario Nerd com sua lojinha super legal, a Novatec, Pride Security, Roadsec, Robocore, e a RSA, que patrocinou o prêmio do CTF: 4 Pineapple Nano. Outras empresas também apoiaram as Villages.

E, principalmente, obrigado a todas e todos que vieram e prestigiaram o evento!

OBS: Post atualizado em 01/06 para reorganizar algumas fotos e adicionar outras. Outra pequena atualização em 07/06.

[Segurança] Coletânea de artigos sobre crimes cibernéticos

Recentemente, o Ministério Público Federeal (MPF) disponibilizou online sua 3ª Coletânea de Artigos sobre Crimes Cibernéticos, composta por diversos artigos que misturam assuntos técnicos e com outros que tratam de questões legais e temas práticos no processo de investigação de ciber crimes.

São 13 artigos distribuídos em 278 páginas, que falam sobre vários aspectos da investigação e combate a crimes civernéticos. Destes artigos, 5 deles tratam de crimes relacionados a pornografia infantil, mas também há artigos sobre diversos assuntos interessantes, como investigação e obtenção de provas, um artigo sobre criptomoedas, outro sobre ransomwares, e um sobre educação digital nas escolas.

[Segurança] Infográficos sobre a GPDR

O escritório Opice Blum publicou 5 Infográficos resumindo as principais informações sobre o GPDR, para ajudar a entender a legislação e seus impactos.

Eu gostei principalmente do infográficos sobre os "aspectos gerais", que lista os ptincipais artigos dessa norma, e também ficaram legais os infográficos sobre  "direitos dos titulares de dados" e "incidentes de segurança e notificações".

[Segurança] Quem tem medo da GPDR?

É hoje!!!

De repente, não se falava em outra coisa no mercado de segurança: "como as empresas devem se preparar para a GPDR". A sigla GDPR está em praticamente todas as conversas, palestras e eventos, além de ser item obrigatório no discurso de marketing de qualquer fornecedor!

E nesses últimos dias, tornou-se comum receber e-mail de vários serviços online que estão atualizando os seus termos de privacidade.

O General Data Protection Regulation (GDPR) é uma reguulamentação européia, criada pelo Parlamento Europeu, que trata sobre a coleta, manipulação e tratamento de dados pessoais dos cidadãos da Comunidade Européia. Essa norma foi promulgada em Abril de 2016, com um prazo de dois anos para as empresas estarem em acordo com os requisitos estabelecidos pelo GDPR. E o prazo acaba agora, 25 de maio deste ano.

Timeline:

• Janeiro/2012: Início da iniciativa de Reforma de Proteção de Dados ("EU Data Protection Reform");
• 15/dezembro/2015: divulgado o acordo com relação a iniciativa de reforma nas legidslações européias de proteção da dados;
• 27/Abril/2016: Promulgada a regulamentação do GPDR (2016/679)
• 25/Maio/2018: O GPDR entra em vigor.

E todo esse bafafá no mercado se deve por três motivos, na minha opinião: a proximidade do prazo para as empresas aderirem a norma (sob pena de uma multa severa), pela abrangência global da norma (sim, isso mesmo, ela é uma norma européia que pode valer para empresas em todo o mundo) e pelas altas multas que ela impõe.

Embora a GDPR seja uma norma Européia, que trata sobre dados de cidadãos europeus, ela se aplica a qualquer empresa que colete e armazene esses dados, independente de sua localização.

O GPDR diz respeito ao tratamento de informações pessoais de cidadãos da União Europeia. Ela foi criada com objetivo de exigir que os processos de negócios que lidam com dados pessoais devem ter a privacidade por design, ou seja, o tratamento dos dados pessoais deve respeitar a privacidade dos mesmos. Por exemplo os dados devem ser armazenados usando pseudonimização ou anonimato completo e usar as configurações de privacidade mais altas possíveis por padrão, para que não estejam disponíveis publicamente,. Nenhum dado pessoal pode ser processado a menos que haja o consentimento explícito do proprietário dos dados.

O GPDR trata assuntos como:

• Responsabilidade das empresas
• Proteção de dados por design e por default (Artigo 25)
• Pseudonimização: os dados devem ser armazenados de forma a não permitir a identificação do indivíduo, usando técnicas como, por exemplo, criptografia e tokenização;
• Direito de acesso (Artigo 15): os cidadãos tem o direito de acessar seus dados pessoais e exigir informações sobre como esses dados pessoais são processados;
• Direito de remoção (Artigo 17), que no GPDR representa uma variação mais ampla ao "direito ao esquecimento". Os usuários tem o direito de exigir a remoção de seus dados
• Registros das atividades de processamento 
• Data protection officer (DPO), o "Oficial de proteção de dados", responsável dentro da empresa a tratar as questões relacionadas a gestão dos dados pessoais. Será responsável pela implementação de medidas técnicas e organizacionais para assegurar e comprovar que os dados pessoais mantidos pela empresa estão em conformidade com os requisitos da GDPR;
• Violações de dados (Artigo 33): As empresas tem obrigação de notificar qualquer violação ou vazamento de dados em até 72 horas;
• Sanções: As punições podem chegar a €20 milhões, ou 4% do faturamento da empresa (o que for maior).

O texto da norma é enorme! Sua versão em PDF tem 261 páginas, ou seja: a leitura é longa, bem massante, chata e difícil. Talvez a parte mais importante começa na página 116, no Capítulo II, que define os Princípios.

O pessoal do site TechPrivacy criou um infográfico (whiteboard) que resume em uma única página as principais informações sobre o GPDR:

Uma outra iniciativa interessante na Europa é a "Second Payment Services Directive (PSD2)", que exige que bancos europeus abram os mercados de pagamentos para empresas oferencendo serviços baseado no acesso a informações de pagamento dos clientes. Ou seja, os bancos devem deixar seus dados sobre clientes acessíveis para terceiros - um paraíso para as Fintechs (startups tecnológicas do setor financeiro).

Para saber mais:

• Texto do GPDR (2016/679)
• Página da iniciativa de Proteção de Dados (Data Protection) da União Europeia
• Página do GPDR na wikipedia
• EU GDPR Readiness Study
• Como o GPDR se aplica no Brasil
• Tudo o que você deve saber sobre a lei europeia de privacidade de dados
• O que diz o novo Regulamento Europeu de Proteção aos Dados Pessoais
• Novas regras europeias de proteção de dados afetam negócios no Brasil