[Segurança] Brazucas em Vegas

Neste ano teremos alguns brasileiros palestrando na BSides Las Vegas e na Defcon, que acontecem logo logo, no início de Outubro.

BSidesLV (09 a 10/08)

• Understanding, Abusing and Monitoring AWS AppStream 2.0 - Rodrigo Montoro (Spo0ker)
• Look! The scammer is coming! The peculiarities of Brazilian frauds, hackers creativity, and their resilience - Cybelle Oliveira
• The Northern Virginia Shuffle: Lateral Movement and other Creative Steps Attackers Take in AWS Cloud Environments and how to detect them - Felipe Esposito (Pr0t3us)
• Workshop (4h) - Speeding Up AWS IAM Least Privileges with Cloudsplaining, Elastic Stack & AWS Access Analyzer - Rodrigo Montoro (Spo0ker)

Defcon Cloud Village (12 a 14/08)

• Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can Help White and Black Hat Vulnerability Research - Alexandre Sieira
• Us-east-1 Shuffle: Lateral Movement and other Creative Steps Attackers Take in AWS Cloud Environments and how to detect them - Felipe "Pr0t3us" Espósito
• Understanding, Abusing and Monitoring AWS AppStream 2.0 - Rodrigo Montoro (Spo0ker)

[Segurança] Vem aí a BSides Vitória

Neste sábado, 30/07, acontecerá a BSides Vitória, em sua 2a edição marcando a volta do evento após a pandemia.

A BSides Vitória é uma conferência gratuita sobre Segurança da Informação, Cultura Hacker e Tecnologia que acontece en Vitória, capital do Espírito Santo. o evento faz parte da família Security BSides, que está presente em centenas de eventos regionais em mais de 25 países.

No site deles foi publicado um pequeno timeline, bem legal, que resume a trajetória dos eventos da BSides aqui no Brasil, que começaram em 2012 com a realização da primeira edição oficial da BSides São Paulo (que, na verdade, começou no ano anterior, 2011, com o nome provisório de "Conferência O Outro Lado"):

Neste ano também teremos a primeira edição da BSidesJP (João Pessoa, PB), que irá acontecer em 24 de Setembro.

Anote na sua agenda:

• Site: http://bsides.vix.br
• Quando: 30/09/2022 (sábado), a partir das 9h30
• Onde: Local: CEET Vasco Coutinho, Centro - Vila Velha/ES
• Instagram: @bsidesvitoria
• Inscrições gratuitas pelo Sympla

[Segurança] Principais notícias de segurança em Junho de 2022

 Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/06/2022 - Depois de pagar resgate de ransomware, empresas ainda têm que gastar 7 vezes mais em reparos (Olhar Digital)

01/06/2022 - 3,6 milhões de servidores MySQL estão expostos publicamente na internet (Canal Tech)

01/06/2022 - Cibercrime anuncia na dark web 139 GB de dados do Brasil (CISO Advisor)

Um cibercriminoso está anunciando para venda, na dark web, um lote contendo 14 tabelas de dados, sendo sete com os nomes de operadoras de telecomunicações, cinco com nomes de órgãos do governo federal, uma de um órgão do governo de São Paulo, uma com o nome de um banco estatal e finalmente uma atribuída a uma empresa que revende veículos usados. O volume total dos arquivos alcança 139 GB.

01/06/2022 - Jornal da Record mostra como criminosos conseguem burlar o sistema de reconhecimento facial (vídeo) (R7)

Criminosos utilizam ferramentas conhecidas como "burladores de selfie" para criar contas em bancos digitais e solicitar cartões de crédito, que serão utilizados para fraude.

02/06/2022 - Golpe do falso emprego: média de detecção é de 4 mil vezes por dia no Brasil (Canal Tech)

02/06/2022 - Gartner projeta as 5 principais tendências de privacidade digital até 2024 (Canal Tech)

Para o Gartner, no futuro da privacidade digital as empresas terão que focar em cinco tendências específicas: sistemas para localização de dados; técnicas de computação aprimorada de privacidade (PEC – do inglês Privacy-Enhancing Computation); recursos para Governança de Inteligência Artificial; modelos de experiência de usuários (UX) centrado em privacidade; e políticas de controle para o trabalho híbrido.

02/06/2022 - Vazamento do Conti revela que a gang de ransomware tinha interesse em ataques baseados em Firmware (em inglês) (The Hacker News)

02/06/2022 - Foxconn confirma que ataque de ransomware impactou as operações na fábrica no México (em inglês) (TechCrunch)

02/06/2022 - 82% dos CIOs acedem que cadeia de suprimentos é vulnerável (CISO Advisor)

02/06/2022 - 30% do pessoal de cyber quer mudar de profissão (CISO Advisor)

03/06/2022 - Rede de perfis falsos promete streaming de graça para aplicar golpes (Canal Tech)

03/06/2022 - Gangue de ransomware posta notas de resgate no site das empresas atacadas (Canal Tech)

Foi identificado que a gang responsável pelo ransomware Industrial Spy passou a desfigurar os sites das vítimas para exibir notas de resgate, como forma de aumentar a pressão pelo pagamento de resgate. Uma das primeiras vítimas dessa tática foi a compania francesa SATT Sud-Est, que teve uma nota de resgate publicada em seu site (já retirada do ar) anunciando o comprometimento de mais de 200 GB de dados.

05/06/2022 - Hackers obtêm US$ 1,7 milhão em golpe de criptomoeda com botnet (CISO Advisor)

Cibercriminosos que operam a botnet Clipminer, malware que usa os sistemas comprometidos para minerar criptomoedas, obtiveram ao menos US$ 1,7 milhão em ganhos ilícitos, de acordo com uma estimativa de pesquisadores da equipe de inteligência em ameaças da Symantec.

05/06/2022 - Bug bounty começa a ganhar espaço no Brasil (CISO Advisor)

06/06/2022 - Golpe da Caixa Misteriosa engana consumidores prometendo iPhone por R$ 180 (Canal Tech)

06/06/2022 - 10 Trojans bancários mais prolíficos direcionados a centenas de aplicativos financeiros com mais de um bilhão de usuários (em inglês) (The Hacker News)

Um estudo da empresa Zimperium identificou que os 10 trojans bancários móveis mais ativos atingiram 639 aplicativos financeiros que estão disponíveis na Google Play Store e foram baixados cumulativamente mais de 1,01 bilhão de vezes. Os malwares incluem o TeaBot (direcionado a 410 dos 639 apps investigados), seguido pelo Octo (324 apps), BianLian, Coper, EventBot, FluBot (Cabassous), Medusa, SharkBot, e Xenomorph.

06/06/2022 - Cidade italiana de Palermo desliga todos os sistemas para evitar ataque cibernético (em inglês) (Bleeping Computer)

07/06/2022 - Demanda por seguro contra riscos cibernéticos dispara no Brasil (Minuto da Segurança)

08/06/2022 - Perdas por fraudes impactaram 95% das empresas no Brasil nos últimos 3 anos (Canal Tech)

08/06/2022 - Nova variante do Emotet rouba informações de cartão de crédito das vítimas no Google Chrome (em inglês) (The Hacker News)

08/06/2022 - 80% dos que pagaram resgate foram atacados de novo (CISO Advisor)

Segundo os resultados anunciados pela Cybereason sobre seu estudo anual de ransomware, "Ransomware: The True Cost to Business Study 2022", 80% das organizações que pagaram resgate foram atingidas por ransomware uma segunda vez, das quais 68% disseram que o segundo ataque ocorreu em menos de um mês e 67% afirmaram que os agentes de ameaças exigiram um valor de resgate ainda maior. O relatório também revelou que, das organizações que optaram por pagar uma demanda de resgate para recuperar o acesso a seus sistemas, 54% relataram que alguns ou todos os dados foram corrompidos durante o processo de recuperação. Essas descobertas ressaltam por que não vale a pena pagar os invasores de ransomware e que as organizações devem se concentrar em estratégias de detecção e prevenção.

08/06/2022 - Demanda por profissionais de cyber subiu 40% nos EUA (CISO Advisor)

09/06/2022 - Malware busca credenciais de bancos brasileiros no Linux (CISO Advisor)

Batizado com o nome de “Simbiota” por pesquisadores da BlackBerry e da Intezer, um novo malware para máquinas Linux tem uma natureza classificada como parasitária e precisa infectar processos em execução para causar danos às máquinas. O malware tem numerosos indícios de ter sido projetado para atacar clientes de bancos brasileiros e possui diversas estratégias de evasão ao ser executado e ao gerar tráfego de rede.

09/06/2022 - Tempo de duração de invasor nas redes aumenta 36% em 2021 (CISO Advisor)

Os operadores de ameaças passaram, em média, 15 dias dentro das redes das vítimas no ano passado, um aumento de mais de um terço em relação ao ano anterior, de acordo com a Sophos. De acordo com o estudo, o aumento no tempo de permanência se deve principalmente à exploração das vulnerabilidades ProxyLogon e ProxyShell no ano passado e ao surgimento de agentes de acesso inicial (IABs) como parte integrante do submundo do crime cibernético. O tempo de permanência foi maior para organizações menores: 51 dias em pequenas e médias empresas (PMEs), com até 250 funcionários, versus 20 dias em organizações com 3 mil a 5 mil funcionários.

10/06/2022 - Mercado de ransomware deve gerar US$ 100 milhões em prejuízos até 2027 (Canal Tech)

13/06/2022 - Febraban cria laboratório que simula ataque cibernético para conter fraudes (Exame)

13/06/2022 - Hospital no Arizona informa que dados pessoais de 700.000 pessoas vazaram durante ataque de ransomware em Abril (em inglês) (The Record)

14/06/2022 - SP: Jovem tem celular levado e criminosos fazem empréstimo de R$ 19 mil (IstoÉ)

14/06/2022 - Grande cadeia de supermercados na região sul da África atacada por Ransomware (em inglês) (The Record)

14/06/2022 - Interrupção de internet canadense atribuída a castor (em inglês) (The Record)

14/06/2022 - Brasil é México são campeões em trojans bancários, diz pesquisa (CISO Advisor)

14/06/2022 - Ataque de 26 milhões de rps contra a Cloudflare (CISO Advisor)

14/06/2022 - ANPD torna-se autarquia de natureza especial (ANPD)

15/06/2022 - Esta lista foi compilada e compartilhada no blog do Anchises

15/06/2022 - Golpe do Pix agendado: especialistas dão dicas para não cair em cilada (UOL)

16/06/2022 - Gangue de ransomware cria site para funcionários procurarem seus dados roubados (Boletim Sec)

17/06/2022 - Operação prende golpistas de engenharia social em 76 países (CISO Advisor)

19/06/2022 - Ladrões pegam dados nas redes, imitam parentes e amigos e dão golpe com Pix (UOL)

20/06/2022 - Bancos e BC discutem como frear golpe no Pix (Valor)

20/06/2022 - Falha no Ministério da Economia expõe dados de 20 mil brasileiros (Boletim Sec)

20/06/2022 - Quase metade dos brasileiros ainda não configurou limites para Pix, diz pesquisa (UOL)

21/06/2022 - Pesquisadores de ciber segurança enfrentam ameaças na vida real (em inglês) (CSO Online)

21/06/2022 - Ex-funcionária da Amazon considerada culpada pelo roubo de dados da Capital One em 2019 (em inglês) (The Hacker News)

22/06/2022 - Justiça usa LGPD e manda INSS pagar R$ 2,5 mil por vazamento de dados (Convergência Digital)

A Décima Segunda Turma Recursal da Seção Judiciária de São Paulo/SP confirmou decisão que determinou ao Instituto Nacional do Seguro Social (INSS) o pagamento de R$ 2,5 mil em danos morais a segurada por compartilhamento ilegal de dados, contrariando o previsto na Lei Geral de Proteção de Dados (LGPD). De acordo com o processo, a autora relatou que depois de obter pensão por morte, em junho de 2021, passou a receber diariamente ligações, mensagens via SMS e WhatsApp, de instituições financeiras oferecendo crédito.

22/06/2022 - Tentativas de golpes do Pix têm alta de mais de 350% em abril e maio (Olhar Digital)

O número de tentativas de golpes do Pix contra brasileiros chegou a cerca de 424 mil em abril e maio de 2022, o que corresponde a um aumento de mais de 350% com relação aos meses de fevereiro e março, segundo levantamento da empresa de cibersegurança PSafe. Esses números representam mais de quatro ataques fraudulentos por minuto no período.

22/06/2022 - Venda de dados de brasileiros na dark web soma R$ 88 milhões (CISO Advisor)

Levantamento feito pela empresa de cibersegurança NordVPN constatou que mais de 720 mil informações e dados de brasileiros já foram vendidos na dark web, totalizando R$ 88 milhões. Os preços dos dados variam de R$ 33,56 (valor para cartão de crédito) a R$ 51,27 e são considerados os mais baratos do mundo. 

22/06/2022 - Sete mil tentativas diárias de golpe com o PIX no Brasil (Convergência Digital)

Segundo dados da PSafe, entre abril e maio houve um aumento de mais de 350% no número de tentativas de golpe do PIX, em comparação com os meses de fevereiro e março no Brasil. As soluções da empresa bloquearam mais de 424 mil tentativas de golpe no período, o que corresponde a quase sete mil tentativas de golpe com este tema por dia, mais de 280 por hora e quatro por minuto somente entre os meses de abril e maio.

22/06/2022 - Receita alerta sobre novo golpe relacionado à regularização do CPF (Exame)

22/06/2022 - 24 bilhões de nomes de usuário e senhas nas mãos de cibercriminosos (Minuto da Segurança)

Segundo relatório da Digital Shadows, mais de 24 bilhões de combinações de nome de usuário e senha estão em circulação nos mercados cibercriminosos, muitos na dark web – um número que representa um aumento de 65% em relação ao relatório anterior, em 2020.

22/06/2022 - Operação da PF em 4 estados mira grupo criminoso especializado em fraudes eletrônicas (G1)

23/06/2022 - 'Golpe do Pix' cresce mais de 350% nos dois últimos meses (UOL)

O Golpe do Pix continua sendo uma preferência dos criminosos brasileiros, com um aumento de mais de 350% em incidentes registrados entre os meses de abril e maio de 2022. No período, foram mais de 424 mil tentativas de golpe bloqueadas pelas soluções de segurança da PSafe, com quase sete mil tentativas por dia. A maior parte dos golpes chegam por meio de phishing, com mensagens, e-mails e ligações que tentam ludibriar as vítimas a realizarem transferências.

23/06/2022 - Ransomware Conti invade mais de 40 empresas em um mês (CISO Advisor)

23/06/2022 - Fast Shop diz ter sido alvo tentativa de 'acesso não autorizado' e que site e app ficaram temporariamente fora do ar (G1)

A Fast Shop confirmou que sofreu uma tentativa de acesso não autorizado aos sistemas da empresa e que, por este motivo, o site e o app da rede ficaram temporariamente fora do ar. O comunicado surgiu horas após a publicação de duas postagens na conta da Fast Shop no Twitter, em inglês, informando que a empresa teve seus sistemas de TI e nuvem invadidos e sofrido extorsão. Um tweet uma hora depois anunciava o fechamento temporário de todas as lojas e adiamento dos pedidos online. Entretanto, a empresa negou que lojas foram fechadas e que houve vazamento e afirmou que os sistemas já foram restabelecidos e todas as lojas estão abertas e operando normalmente.

24/06/2022 - Homem perde pen drive com dados de moradores de cidade inteira após sair para beber (CNN)

26/06/2022 - ‘Deepfake’: prefeita de Berlim faz videochamada com homem que se passou por prefeito de Kiev (O Globo)

Um homem se passou por Vitali Klitschko, prefeito de Kiev, durante uma conferência virtual com Franziska Giffey, prefeita de Berlim. Foram necessários 15 minutos até que os participantes identificassem a farsa e cancelassem a reunião virtual.

27/06/2022 - Criminosos estão extorquindo usuários de apps de relacionamento LGBTQ+ (Canal Tech)

27/06/2022 - LockBit 3.0 apresenta o primeiro programa de recompensa de bugs para ransomware (em inglês) (Bleeping Computer)

Ao lançar o LockBit 3.0, o grupo que opera esse ransomware anunciou a abertura de um programa de bug bounty, um programa de recompensas que paga prêmios variando entre mil e um milhão de dólares. O prêmio de um milhão vai para quem escrever o nome e o sobrenome do lider do ransomware no messenger TOX.

28/06/2022 - FBI: cibercriminosos usam deepfakes para se candidatar a vagas com trabalho remoto (Olhar Digital)

O FBI alerta para um aumento nas reclamações relacionadas ao uso de deepfakes e dados pessoais (PII) roubados para se candidatar a vagas de trabalho remoto para as áreas de TI, programação, dados e software. A maior parte dos cargos, segundo a entidade, permitiria aos atacantes a possibilidade de acessar informações corporativas confidenciais, após serem contratados. As deepfakes incluem um vídeo, uma imagem ou gravação alterada e manipulada de forma convincente para deturpar alguém como fazendo ou dizendo algo que não foi realmente feito ou dito.

29/06/2022 - Cibercriminosos usam chatbot no Messenger para roubar contas no Facebook (Olhar Digital)

29/06/2022 - PF cria unidade para investigar crimes cibernéticos (CISO Advisor)

29/06/2022 - PMEs do Brasil lideram como vítimas de ransomware (CISO Advisor)

O Brasil tem as pequenas e médias empresas mais despreparadas para conter um ataque de ransomware, revela uma pesquisa da Arcserve. Num total de 19% das empresas entrevistadas, os executivos admitiram que a empresa foi vítima de um ataque de ransomware; outros 38% afirmara que houve ataque mas ele foi contido. Os dois números somam 57%, um total que só perde para a Índia, com 62%. No Brasil o total de executivos que disseram que não foram atacados foi 44%. Com relação aos pagamentos, o valor exigido com mais frequência pelos criminosos às PMEs brasileiras esteve entre US$ 10 mil e US$ 100 mil, mas em 14% dos casos o pedido ficou entre US$ 1 milhão e US$ 10 milhões.

30/06/2022 - iFood e PM devem se reunir em iniciativa contra o golpe do delivery (Canal Tech)

30/06/2022 - Quadrilha fraudava documentos de funcionários de escola para fazer empréstimos (Correio Braziliense)

30/06/2022 - Gangue de hackers invadiu a fabricante de chips AMD do Vale do Silício por causa das terríveis senhas dos trabalhadores (em inglês) (SFGate)

O grupo de ransomware-como-serviço RansomHouse afirma ter sequestrado 450 GB de dados da AMD, uma das maiores fabricantes de semicondutores do mundo. Embora a companhia diga que está investigando as alegações, o grupo afirma que o ataque foi possível graças ao uso de senhas fracas como "password" e "123456" por parte de funcionários da empresa.

30/06/2022 - Ucrânia foi alvo de quase 800 ciberataques desde o início da guerra (em inglês) (Bleeping Computer)

30/06/2022 - Jovens de 11 a 18 anos vendem malware-as-a-service (CISO Advisor)

30/06/2022 - Soluções tradicionais têm taxa de falha de 60% contra ransomware (CISO Advisor)

Veja também o vídeo dos incidentes do mês de Junho de 2022 produzido pela CECyber. Neste mês, eles destacam o ciber ataque a Fast Shop, aqui no Brasil.

Veja também:

• Principais notícias de segurança em Maio de 2021
• Principais notícias de segurança em Junho de 2021
• Principais notícias de segurança em Julho de 2021
• Principais notícias de segurança em Agosto de 2021
• Principais notícias de segurança em Setembro de 2021
• Principais notícias de segurança em Outubro de 2021
• Principais notícias de segurança em Novembro de 2021
• Principais notícias de segurança em Dezembro de 2021
• Principais notícias de segurança em Janeiro de 2022
• Principais notícias de segurança em Fevereiro de 2022
• Principais notícias de segurança em Março de 2022
• Principais notícias de segurança em Abril de 2022
• Principais notícias de segurança em Maio de 2022

PS: Post atualizado em 29/07.

Posts que nunca foram escritos

De tempos em tempos eu dou uma limpada na minha lista de referências e artigos que uso como inspiração para o blog. São materiais interessantes, mas que por algum motivo acabaram não sendo abordados aqui - mas não merecem ser esquecidos.

Artigo muito interessante da Forbes sobre o mercado de seguro contra ciber ataques: Will insurance improve cyber-security practice for businesses?

Para refletir: Cybersecurity researchers face real-life threats.

Artigo interessante com um título bem provocativo: Nobody ever gets credit for fixing problems that never happened, Nelson P. Repenning and John D. Stersman.

Artigos interessantes relacionados a conscientização em segurança:

• 5 temas de email que mais fazem funcionários cair no golpe de phishing (e o resultado é bem interessante!)
• Construindo um programa corporativo de conscientização em Segurança da Informação efetivo
• How Company Culture Shapes Employee Motivation
• Dicas: Internet Safety Month: 7 tips for staying safe online while on vacation

Uma idéia interessante: esse é um framework para ajudar a entender que tecnologias de segurança a empresa tem, de acordo com as suas necessidades:

• Cyber Defense Matrix makes sense of chaotic security market
• https://cyberdefensematrix.com

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD

Sobre ransomwares:

• Fontes recomendadas para informações de ransomware
• Relatório da Atento: Resilience in the Time of Ransomware

Um pouco sobre história do nosso mercado:

• The history of cybersecurity (artigo bem legal, completo e detalhado)
• Como as ameaças digitais evoluíram nos últimos 10 anos?
• 10 principais ataques de segurança cibernética da última década

[Segurança] E assim foi o Roadsec 2022

No sábado 09 de Julho aconteceu o Roadsec 2022, a primeira versão presencial do evento após o período da pandemia do COVID-19. O Roadsec não decepcionou, e voltou com a força toda, em um novo espaço, aonde reuniu mais de 4 mil pessoas!

 

Passada a ressaca, quero fazer jus à minha fama de "sommelier de eventos de segurança" e compartilhar minhas opiniões sobre esse que é o maior evento brasileiro de segurança (em termos de tamanho) e, inegavelmente, um dos mais importantes.

Antes de mais nada, temos que destacar o que representa participar do Roadsec após 2 anos de pandemia. Todos estávamos com saudades dos eventos presenciais, principalmente de reencontrar as pessoas. Por isso, o Roadsec foi importante para promover esse reencontro - sem desmerecer o conteúdo oferecido aos participantes e toda a experiência do evento em si.

O Roadsec tem um papel muito importante na comunidade de segurança, principalmente pela sua grandiosidade e pelo Hackaflag, seu campeonato que popularizou os CTFs. Sim, ele é um verdadeiro "festival", que atrai muitas pessoas interessadas por iniciar na área. O Roadsec também tem o mérito de trazer vários temas complementares a área de segurança, incluindo biohacking, hardware hacking, etc. 

Pontos fortes dessa edição:

• Novo espaço, maior do que o Audio Club e com circulação mais fácil (pois era um galpãozão, sem divisões e labirintos entre os espaços, como acontecia na Audio);
• Possibilidade de sair e voltar ao evento, que foi usado por muitas pessoas para almoçar em lugar externo;
• Grade bem diversificada de palestras, com 10 palcos simultâneos e vários conteúdos legais;
• Espaço para as comunidades (eu achei um pouco confuso, com metade de mesa para cada uma, mas não pude ficar muito tempo lá para ter certeza se funcionou bem ou mal);
• Fiquei muito contente em ver a participação da WOMCY no espaço de comunidades, uma oportunidade muito legal de promover a diversidade na nossa área!
• Vale a pena destacar o público diverso do evento, com uma grande participação de mulheres;
• O Roadsec é um evento que atrai muitas pessoas no início de carreira, o que fortalece o crescimento do mercado.

Como nem tudo é perfeito e sempre pode melhorar, o evento também teve alguns pontos de atenção:

• Filas e mais filas. Fila gigante para entrar, mais filas para pegar brindes nos stands e, principalmente, filas gigantescas para comer. Algumas pessoas chamavam o evento de "Roadfilas". Para comprar algo para comer ou beber, era necessário primeiro pegar uma fila para comprar o Ticket, e depois pegar outra fila para pegar sua comida ou bebida. Justiça seja feita: não é fácil alimentar 4 mil pessoas de uma vez, e em todos os eventos anteriores tivemos problemas de filas, principalmente na entrada e nas refeições;
• Esquema de compra de comidas muito mal organizado. Ao comprar o ticket da comida ou bebida, vocÊ era obrigado a informar o que gostaria, pois isso era registrado no próprio ticket. Se você mudasse de idéia ou o lanche tivesse acabado (por exemplo), era obrigado a trocar o ticket em um dos caixas. Outra desvantagem é que o processo de compra era muito lento (o que aumentava o tempo na fila), pois você era obrigado a escolher cada item que fosse comer ou beber, e o funcionário tinha que achar esse item no sistema e imprimir o ticket equivalente. O jeito mais fácil seria apenas comprar "créditos", por exemplo, 100 reais, e gastaria como quisesse;
• Nem vou comentar sobre o alto valor cobrado pelas comidas e bebidas, outro problema recorrente... rs...
• Tinha uma coisa muito legal que fez falta na programação deste ano: não tivemos as tradicionais oficinas do Roadsec (como lockpicking, hardware hacking, drone, VR, pixel art, etc). São atividades simples, mas que atraem o público iniciante na área e ilustram a diversidade de conhecimentos que podem ser englobados no universo do hacking;
• A área de exposição dos maiores patrocinadores (Diamond e Platinun) e da arena do Hackaflag ficou meio pequena e apertada, com os stands muito grudados uns nos outros. Isso atrapalhou a circulação e até mesmo a visualização dos stands;
• O palco principal tinha poucos assentos. Embora fossem suficiente para as palestras no decorrer do dia, isso não era suficiente para os momentos de maior público: a abertura, os keynotes e o encerramento do evento. O espaço ficou pequeno nessas horas.

O Roadsec também se destacou pela presença de grandes empresas patrocinando e reforça a presença dos bancos tentando se aproximar da comunidade de segurança: o Bradesco, o C6 Bank e o BTG estavam presentes, com stands bem agitados. Desta vez, ao contrário dos anos anteriores, o Itaú não patrocinou o evento - justo ele, que foi o pioneiro, o primeiro banco a patrocinar eventos de segurança.

Como disse anteriormente, estamos vivenciando um momento de volta dos eventos presenciais. Dos principais eventos brasileiros de segurança, começamos o ano com a volta do You Sh0t the Sheriff, em Maio, que entregou um evento no mesmo padrão de todos os anos, proporcionando uma grande carga de saudosismo entre os participantes e permitindo o nosso reencontro após 2 anos de hiato. Agora tivemos o Roadsec, para nos lembrar dos grandes eventos. Vamos esperar a H2HC, a BSidesSP e todos os demais eventos esperados para esse segundo semestre (incluindo Nullbyte, Jampasec e BHACK).

Aproveite e assista também esse bate-papo entre o Pedro Bezerra e o Felipe Prado, compartilhando suas opiniões sobre o evento:

Veja também:

• Aqui no blog:
• O Roadsec 2022 está chegando!
• Eventos de Segurança no primeiro semestre de 2022
• Olha que legal essa sequencia de posts da Andréa Thomé
• Como foi o Roadsec? Jornada No. 1
• Como foi o Roadsec? Jornada No. 2
• Como foi o Roadsec? Jornada No. 3
• Como foi o Roadsec? Jornada No. 4

[Segurança] 10 técnicas de extorsões dos Ransomwares

Muito se fala sobre o "double extortion", como uma técnica que os operadores de ransomware utilizam para pressionar suas vítimas para pagar o resgate: além de sequestrar (criptografar) os dados da vítima, os criminosos roubam esses dados e ameaçam vazar, expondo ao público as informações proprietárias e confidenciais da empresa.

Entretanto, já foram identificadas diversas técnicas de extorsão, e recentemente chegamos na décima estratégia diferente, que eu publico aqui no blog.

Segundo a empresa Cyble, em um blog publicado em 06/07/2022, o ransomware ALPHV, também conhecido como “Blackcat”, recentemente adicionou uma nova técnica de extorsão onde eles estão fornecendo dados vazados da vítima em um formato pesquisável.

Os ciber criminosos esperam que, ao expor de forma mais facilitada os dados roubados da vítima, essa tática aumente a probabilidade de monetizar os ataques. Se as empresas souberem que suas informações internas, muitas vezes relacionadas a clientes e funcionários, serão divulgadas dessa maneira, tão facilmente acessível, elas podem estar mais inclinadas a pagar o resgate para evitar que isso aconteça.

Cá entre nós, há casos de empresas que optaram em pagar o resgate para evitar a exposição de seus dados, mesmo tendo conseguido recuperar seus sistemas.

Veja a minha "lista de 10 extorsões" abaixo:

1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
3. Realizar ataques de DDoS contra a empresa;
4. Call centers que ligam para a empresa atacada pelo ransomware;
5. Avisar os clientes que a empresa teve os dados roubados!
6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
7. Vazar documentos que mostrem práticas ilegais da empresa;
8. Vazar documentos confidenciais para os competidores;
9. Uso de imagens violentas para assustar as vítimas;
10. Acesso pesquisável aos dados roubados.

Para saber mais:

• ALPHV Ransomware Expands Its Arsenal Of Extortion Techniques
• Hackers permitem que vítimas pesquisem dados roubados
• Gangue de ransomware cria site para funcionários procurarem seus dados roubados

[Segurança] Como avaliar o nível de maturidade da sua resposta a incidentes

A capacidade de responder a um incidente de segurança demanda muita preparação, tanto em ferramentas, em processos e no treinamento e capacitação das pessoas envolvidas.

Para avaliar como está sua capacidade de resposta a incidentes, o pessoal da fundação Open CSIRT desenvolveu o "Security Incident Management Maturity Model" (SIM3), uma metodologia para avaliar sua maturidade baseada em 45 indicadores construídos a partir de 4 quadrantes principais: Organização, Humano, Ferramentas (Tools) e Processos. São 8 indicadores sobre a Organização (que avalia como ;é feito o planejamento necessário dos recursos), 7 sobre os aspectos Humanos, 10 sobre as Ferramentas e 17 indicadores sobre os Processos estabelecidos para o CSIRT.

Esses indicadores são medidos de acordo com 5 níveis (de 0 a 4):

• 0: não disponível / indefinido / desconhecido
• 1: implícito (conhecido / considerado mas não escrito, “de ouvido”)
• 2: explícito, interno (escrito, mas não formalizado de forma alguma)
• 3: explícito, formalizado com uma autoridade em nome do gestor do CSIRT (formalizado ou publicado)
• 4: explícito, auditado com autoridade nos níveis de governança acima do gestor do CSIRT (sujeito ao processo de controle / auditoria / execução)

O mais legal é que existe uma ferramenta online para fazer a avaliação de maturidade: SIM3 Self Assessment Tool, que em seu site ela descreve com detalhes o que são cada um desses indicadores:

Ao final do self assessement, ferramenta indica sua aderência a alguns baselines (FIRST, ENISA e do TF-CSIRT) e também cria uma lista de tarefas necessárias para aumentar a maturidade em cada indicador.

PS: Eu aprendi essa dica ao assistir a live do NIC.br (Intra Rede) sobre Como se prevenir e atuar durante um incidente de segurança.

Para saber mais:

• SIM3 Model & References
• SIM3 : Security Incident Management Maturity Model
• SIM3 Self Assessment Tool
• Versão da ENISA: SIM3v1 self-assessment tool

[Segurança] O Roadsec 2022 está chegando!

Neste sábado, 09 de Julho, o Roadsec volta com sua mega-edição presencial em São Paulo, após 2 anos de pandemia.

O Roadsec acontece no espaço Arca, uma nova casa para receber. muito conteúdo técnico e espaços para networking, além de algumas atrações musicais para agitar os participantes. Neste 2022 o evento promete trazer nada menos do que 108 sessões (entre atividades, oficinas e palestras) e 70 palestrantes em 14 horas de programação, com um total de 9 palcos simultâneos: um palco principal, um palco para as comunidades e sete palcos por eixo de conteúdo (ataque, defesa, hardware, Back End, Front End, Data Science e Cloud).

Entre uma palestra e outra, os participantes poderão interagir na toy machine do C6 Bank ou hackear uma choppeira no estande montado pelo BTG. Para aqueles que desejam um desafio maior, o Roadsec 2022 terá um carro modelo Defender que poderá ser hackeado pelos desafiantes. A programação inclui, ainda, a final ao vivo do Hackaflag, o campeonato de CTF (Capture the Flag), em que 12 jogadores têm 6 horas para resolver o máximo de falhas de segurança em sistemas.

O keynote do evento será o Samy Kamkar, pesquisadores de cibersegurança e criador do MySpace Worm, vírus que entrou para a história da computação como o de disseminação mais ágil que já existiu. Ele também é ativista e criador do SkyJack, capaz que sequestrar e controlar outros drones nas proximidades. Eu vou participar de um painel sobre Bug Bounty, com a intenção de juntar a visão das empresas e dos participantes destes programas de recompensas.

A programação completa já está disponível no site: https://www.roadsec.com.br/programacao.

Uma curiosidade: a inspiração para a identidade visual deste ano inclui a realidade cyberpunk, com uma pitada de brasilidade, uma estética asiática e personagens que possuem representatividade PCD.A criação coube ao artista João Antunes Jr. e ao Paulo Sica. No logo do evento, está escrito "Cultura Hacker" em Mandarim, e nos cordões de crachá estará escrito, também em em Mandarim, "O maior festival hacker da América Latina"..

Desde 2014, o Roadsec leva conteúdo e networking para todo o país. Já foram realizadas 100 edições presenciais e online que reuniram mais de 40 mil pessoas ao longo desses 8 anos. Desta vez a proposta do evento é um pouco diferente dos anos anteriores, pré-pandemia, quando o Roadsec em São Paulo era o encerramento do roadshow das edições regionais do Roadsec, que aconteciam em vários estados do país. Essas edições não aconteceram neste ano, e deram lugar para eventos pequenos, híbridos (online e presencial), no estilo "meetup".

O Roadsec 2022 contará com o patrocínio do Bradesco, Hackaflag, C6 Bank, Bitso, VTEX, BTG e SANS Institute, além da Conviso, ISH e NTT, entre outras.

Como sempre acontece nos principais eventos da comunidade de segurança, haverá uma lojinha da Novatec vendendo livros com desconto :)

Para aquecer os motores, assista ao teaser do Roadsec 2022 no YouTube!

Anote na agenda:

• 09 de julho de 2022, a partir das 8h30
• Agenda: https://www.roadsec.com.br/programacao
• Inscrições: https://www.roadsec.com.br/inscreva-se (link com 20% de desconto)
• Local: Arca - Av. Manuel Bandeira, nº 360 - Vila Leopoldina, São Paulo/SP
• Haverá 2 filas VIPs no credenciamento, para os participantes do Mind The Ser Club e para os clientes do C6 Bank.

Algumas observações importantes:

• Será obrigatória a apresentação de um documento original com foto e comprovante de vacinação - COVID/19, com o esquema vacinal de pelo menos 2 doses.
• A entrada de menores de 18 anos somente será permitida se acompanhados dos pais ou responsáveis legais.
• Há estacionamento no local (R$ 50 a diária).

[Geek] 30 anos da internet no Brasil

Este mês de junho está chegando ao fim, mas ainda dá tempo de lembrar que há 30 anos foi oficialmente realizada a primeira conexão do nosso país com a Internet.

O fato aconteceu no dia 3 de junho de 1992, para oferecer uma conexão internacional estável e de boa capacidade para os chefes de estado e representantes de governo de 180 países que participaram da Rio-92 (ou ECO-92), a Conferência das Nações Unidas sobre Meio Ambiente e Desenvolvimento. O evento, de grande importância mundial e que representou um marco histórico no debate sobre desenvolvimento sustentável, aconteceu no Rio de Janeiro e reuniu governos, organizações não governamentais, cientistas, jornalistas e a sociedade civil, para discutir o futuro do nosso planeta.

Coube à RNP criar uma infraestrutura de conexão com a Internet para o evento, através de uma conexão entre Rio e São Paulo com saída internacional, aproveitando um projeto criado para o Fórum Global, um evento que aconteceu em paralelo a Rio-92. O Fórum Global já havia contratada uma infra-estrutura de BBS ("bulletin board system") chamada Alternex, mantida pelo Instituto Brasileiro de Análises Sociais e Econômicas (Ibase), que permitia aos participantes se comunicar com instituições no exterior, duas vezes por dia. 

O responsável pela Alternex, Carlos Afonso, articulou-se com o coordenador do projeto RNP, Tadao Takahashi, e dessa parceria, surgiram recursos do governo brasileiro para equipamentos que dariam suporte à infraestrutura necessária para os dois eventos, e que ficariam no país para o uso posterior.  Assim, foi construída uma conexão Rio-São Paulo com duas saídas internacionais para os EUA, uma na Fundação de Amparo à Pesquisa do Estado de São Paulo (Fapesp), na liderança de Demi Getschko, e outra na Universidade Federal do Rio de Janeiro (UFRJ).

Em seguida, ainda em 1992, a RNP criou a primeira rede de internet do país para fins acadêmicos, interligando dez capitais e o Distrito Federal. A rede permitiu que pesquisadores brasileiros estivessem conectados entre si e com seus pares internacionais.

Para saber mais: Como a Rio-92 possibilitou a primeira rede de internet do país

[Segurança] Castores causam DoS

Essa história, destacada no portal The Record, chega a ser engraçada: alguns moradores do noroeste da província de Columbia Britânica, no Canadá, ficaram sem energia elétrica e sem serviços de celular e de conexão Internet por oito horas devido a um incidente causada por castores: eles derrubaram uma árvore que cortou os cabos de energia elétrica e telecomunicações na região.

Em outro incidente, em abril do ano passado, castores roeram o cano de fibra ótica na cidade de Tumbler Ridge, na Columbia Britânica. O Canadá também sofre com apagões de energia causados por ninhos de pássaros nos postes de transmissão.

Assim como os castores, também são comuns incidentes com cabos de Internet envolvendo esquilos e tubarões.

Aqui no Brasil, em contraste, um grande problema enfrentado pelas empresas de energia e telecomunicações é o roubo de cabos e equipamentos, que são revendidos como sucata. Em 2021, em todo o país, mais de 6 milhões de pessoas tiveram os serviços de energia, telefonia, TV ou internet interrompidos por causa de roubos e furtos de cabos, uma perda estimada em aproximadamente R$ 1 bilhão.

Para saber mais:

• Canadian internet outage attributed to beaver
• Single beaver caused mass internet, cell service outages in Northern B.C.
• Hundreds lose internet service in northern B.C. after beaver chews through cable
• Roubos e furtos de cabos de energia geram prejuízo milionário em todo o país
• CCJ aprova penas mais duras para roubo de fios de luz e telecomunicações
• Aqui no blog: Esquilos ciber terroristas