[Segurança] Dicas de segurança para usuários finais

Resolvi compilar uma rápida lista de dicas de segurança para os usuários finais ao acessarem a Internet e realizarem transações online.

• Cuidados Básicos
• Nunca use Wi-Fi público para acessar o Internet Banking nem ao fazer compras online;
• Sempre mantenha atualizados o sistema operacional e softwares do seu computador e do celular;
• Garanta o download de aplicativos legítimos de fontes conhecidas e confiáveis em seus dispositivos;
• Use antivírus e mantenha ele sempre atualizado;
• Use senhas fortes, ou seja, difíceis de serem adivinhadas, e não use a mesma senha em sites diferentes;
• Nunca compartilhe seus nomes de usuário, senhas ou outras informações pessoais com outras pessoas, e muito menos online;
• Não deixe senhas, dados bancários e dados de cartão de crédito armazenados no celular;
• Use um app ou ferramenta gerenciadora de senhas que permita armazenar e gerenciar com segurança todas as credenciais de um único local;
• Troque todas as suas senhas em caso de suspeita de que elas vazaram ou você sobre alguma invasão;
• Cuidados com mensagens e promoções falsas
• Nunca abra e-mails, clique em links ou abra anexos de fontes desconhecidas;
• Sempre desconfie de mensagens com descontos mirabolantes. Se quiser arriscar, vá direto no site da loja em vez de clicar no link que veio na mensagem da promoção;
• Cuidados com transações online
• Fique atento ao histórico de transações do seu cartão de crédito usando notificações por SMS. Se notar gastos suspeitos, ligue para o banco o mais rápido possível e bloqueie o cartão;
• Cheque seus extratos bancários com frequência e imediatamente relate cobranças não autorizadas ou suspeitas ao seu banco;
• Cuidado se a senha do cartão de crédito for solicitada no momento de uma compra online. Este pode ser um sinal de fraude, uma vez que normalmente basta informar o número do cartão, data de validade e código de segurança;
• Informe ao banco todos os seus dados de contato e viagens programadas. Isso facilita que ele identifique o uso indevido por clonagem;
• Mantenha o número da central de atendimento do seu banco e seu cartão na agenda do seu celular. Em caso de emergência, você precisa ter esse número em mãos!
• O AndroidPay e o ApplePay são métodos de pagamento mais seguros, pois não revelam os dados do seu cartão para o POS;
• Use um cartão de crédito separado apenas para compras pela Internet, com um limite de gastos pequeno.

Para saber mais:

• Saiba como são as fraudes no cartão de crédito e fuja das armadilhas
• Site Fraude Bancária
• Aproveitei algumas dicas em um artigo no UOL e um post recente da Kaspersky, entre outros.

[Segurança] Perfil da senha do brasileiro

O pessoal da Axur publicou um infográfico bem legal com o Perfil da senha do brasileiro, que mostra as características das senhas mais usadas por usuários brasileiros.

É muito comum encontrarmos na Internet diversas listas de senhas mais usadas, que facilitam a vida dos atacantes ao realizar brute force ou password guessing.  Mas a grande maioria das listas que encontramos são baseadas em palavras em Inglês. E é aí que entra a parte legal da pesquisa da Axur!!!

Para fazer este estudo, eles pegaram dados de vários vazamentos recentes e separaram todas credenciais de e-mail com final “.br”, ficando com aproximadamente 5,8 milhões de credenciais brasileiras para análise. O infográfico que eles criaram dá um raio X nas senhas mais usadas e traz algumas informações interessantes, tais como:

• 60% do total das credenciais mais usadas são compostas apenas números, enquanto as senhas que têm apenas nomes próprios representam 20% do total;
• Apenas 9,5% das 100 senhas mais usadas são alfanuméricas;
• A maioria das senhas tem entre 6 e 8 caracteres;
• Encontraram também várias senhas atreladas a nomes de times de futebol, tais como flamengo, tricolor, palmeiras e grêmio. 

O estudo mostra que as senhas com complexidade super baixa são muito populares, infelizmente, o que acaba diminuindo o seu de segurança dos usuários. São senhas facilmente adivinháveis com uso de técnicas básicas de engenharia social ou com dicionários simples em ataques de força bruta (tentativa e erro).

E é muito fácil achar listas de palavras para testar senhas, basta uma busca rápida no google. Se você estiver com preguiça de usar o Google, este site tem várias listas de senhas ;)

[Segurança] Ciber crime Brasileiro

Recentemente surgiu a notícia de que a polícia civil prendeu uma quadrilha de ciber criminosos que conseguiram roubar cerca de R$ 3 milhões apenas neste ano! Outra quadrilha, presa em Maio deste ano, faturou cerca de R$ 1 milhão e usava ferramentas desenvolvidas no Leste Europeu.

Aproveitando o embalo, que tal dar uma olhada nas principais características e algumas estatísticas do ciber crime brasileiro?

O relatório "CYBER THREAT SCAPE REPORT" da iDefense/Accenture possui um capítulo dedicado a dar um overview do ciber crime brasileiro, e ele aponta algumas características locais:

• Os principais fóruns de hackers brasileiros são facilmente acessíveis e abertos ao público, aonde são usados frequentemente para disseminar conhecimento, ferramentas e produtos relacionados a ciber ataques e fraudes. Em alguns fóruns os administradores se esforçam para eliminar o comércio de dados criminosos;
• Nota: É muito fácil encontrar diversos grupos públicos de carding no Facebook, dedicados ao ciber crime, aonde o pessoal troca abertamente informações sobre dados roubados, compra e venda de serviços criminosos, etc.
• Há um amplo uso de plataformas de mensagens móveis, como o Telegram e o WhatsApp, para facilitar a comunicação entre os ciber criminosos no Brasil, com troca de informações sobre fraudes ligadas a informações pessoais e fraudes financeiras mais simples. Os ciber criminosos brasileiros estão se afastando dos fóruns e mercados online, optando pela comunicação e comércio através de plataformas de mensagens instantâneas e canais de bate-papo;
• Há uma tendência de que os Malwares brasileiros sejam versões modificadas de malwares anunciados anteriormente em mercados internacionais. Embora os malwares nacionais tenham sido, historicamente, pouco sofisticados, eles estão amadurecendo à medida que o crime cibernético se torna mais próximo do crime organizado;
• A comunidade brasileira de ciber criminosos tem um perfil comportamental único em comparação com as comunidades de língua inglesa e russa: nosss criminosos cibernéticos usam abertamente redes sociais como Facebook, Twitter e YouTube para anunciar suas ferramentas e produtos;
• Diversos fatores fazem com que o ciber crime brasileiro concentre-se fortemente no mercado doméstico (local), tais como as barreiras de língua portuguesa, amplas oportunidades de fraude no mercado local, a ideologia de “Robin Hood” (acreditam que estão roubando do bancos, e não da população) e a alta impunidade e ineficiência da repressão legal.

A Kaspersky, nesse artigo de 2016, já tinha mostrado vários detalhes técnicos sobre os malwares bancários no Brasil. Entre as principais características que eles apontaram, eu destaquei os seguintes trechos:

• Há algum tempo atrás, os malwares brasileiros tinham pouca sofisticação, como a falta de ofuscação do código, nenhuma técnica de anti-depuração, nenhuma criptografia, comunicação em texto puro, etc. O código costumava ser escrito em Delphi e Visual Básico 6, com muitas imagens embutidas, fazendo com que o arquivo do malware fosse enorme. Hoje em dia os ciber criminosos estão investindo tempo e dinheiro para desenvolver soluções melhores, ocultando o código sob muita ofuscação e técnicas de proteção de código, uso de outras linguagens como .NET e melhora na a qualidade do código;
• Como a maioria dos bancos brasileiros usa a identificação de máquinas para evitar tentativas não autorizadas de transações, os ciber criminosos realizam suas operações mal-intencionadas a partir da máquina infectada, usando os mecanismos de automação nativos do Internet Explorer para manipular e injetar transações (como automação OLE e o Browser Helper Objects - BHOs). Outra técnica comum é acessar o computador da vítima remotamente para tomar controle do computador enquanto a vítima está logada no Internet Banking, e realizar transações maliciosas (ataque conhecido como "RAT", sigla de "Remote Access Tool");
• Há evidências de que os criminosos brasileiros estão cooperando com as gangues do leste europeu envolvidas com os malwares ZeuS e SpyEye, entre outros. Essa colaboração melhora a qualidade e o nível do malware brasileiro, pois seus autores estão adicionando novas técnicas e melhorando a qualidade de seu código, e também usando a infraestrutura de ciber crime no exterior.

No relatório "Phishing Activity Trends Report, 4th Quarter 2018" do APWG publicado em 15 de maio deste ano, há uma seção que destaca os ataques de phishing no Brasil, baseado em dados da Axur. Embora estas estatísticas me pareçam meio "pobres" (por ex, eles apontaram "apenas" 526 ataques de phishing em dez/2017), mesmo assim eles indicam um constante crescimento dos ciber ataques no Brasil nos últimos três meses:

• Um aumento de 379% nos casos de phishing detectados (430 em Q3 versus 1.631 em Q4/2017);
• Aumento de 245% nos Web sites falsos (2.562 em Q3 e 6.293 em Q4);
• Aumento de 247% em phishing baseados em redes sociais (1.909 em Q3 versus 4.724 em Q4);
• No 4o trimestre de 2017, foram detectados 410 malwares e 320 rogue DNS severs;
• Em média, cada malware é direcionado a 10 empress e cada servidor DNS falso (rogue DNS) é direcionado a 3 empresas;
• Os ataques de phishing são direcionados principalmente a empresas do setor financeiro, como bancos e empresas de cartões de crédito.

Quando se trata de acompanhar as notícias sérias sobre o ciber crime brasileiro, eu gosto muito de acompanhar os pesquisadores da Kaspersky (o Assolini, o Thiago e o Dmitry), o Mercês da Trend Micro e o Altieres Rohr, da Linha Defensiva.

Para saber mais:

• Relatório "CYBER THREAT SCAPE REPORT"
• Latin America makes excellent target for cybercriminals
• The evolution of Brazilian Malware
• Brazilian banking Trojans meet PowerShell
• Brazilian Banking Trojan Communicates Via Microsoft SQL Server
• O CERT.br mantém estatísticas sobre notificações de incidentes e spam que são que são notificamos para eles.

[Cyber Cultura] Vídeo sobre os Hackerspaces Brasileiros

O pessoal da FAPESP fez uma reportagem e um vídeo muito bons sobre os hackerspaces brasileiros, os locais que reúnem presencialmente diversos aficionados por tecnologia. Eles visitaram o Garoa Hacker Clube e o Hackerspace do Instituto de Física da USP, ambos em São Paulo.

O vídeo, de aproximadamente 10 minutos, explica o que são os hackerspaces e apresenta o espaço do Garoa.

[Cyber Cultura] Gestão baseada em tretas

O pessoal do Calango Hacker Clube, o hackerspace localizado em Brasília, tem um modelo de gestão inovador e interessante, que eles chamam de "gestão baseada em tretas".

Os princípios básicos são os seguintes:

1. Quem dá a ideia é quem faz: Quando alguém propõe uma demanda ou uma proposta ("uma Treta"), ele é eternamente responsável por ela. ou seja, "Cada um só pode arranjar demanda para si mesmo"; 
2. Treta é a resolução do Universo: Toda treta tem um fundo didático e um processo de aprendizagem multitarefa e interdisciplinar;
3. Não sei como fazer, mas estou aqui: Todo membro é livre para propor as mais absurdas Tretas, mesmo não tendo o conhecimento necessário para resolução da mesma, pois o conhecimento coletivo do grupo pode ajudar a resolver essa Treta;
4. Pega que a Treta é sua: Durante o desenvolvimento de uma Treta, ela pode ser encaminhada para diferentes pessoas de acordo com o seu nível de conhecimento sobre o assunto;
5. Me dá que a Treta é minha: Durante o processo de resolução das Tretas, qualquer membro pode pedir para si a resolução de uma Treta não resolvida e concluí-la, ou adiantar uma parte que esteja pendente;
6. Xeque Mate, essa Treta não cabe mais: Assim como no Xadrez, os problemas e as possibilidades podem chegar a um fim, e uma Treta pode ser finalizada a qualquer momento, seja por conclusão, incapacidade ou desinteresse.

Eles até criaram um vídeo bem divertido sobre isso.

[Turismo] Lançamentos de Foguete nos EUA

Já fazia um certo tempo que eu estava com vontade de blogar sobre opções de turismo geek/nerd, e para inaugurar este tema, que tal aproveitar aquela viagem para os EUA para assistir o lançamento de um foguete?

O Kennedy Space Center, localizado na Flórida, possui uma página com o calendário de lançamentos e eventos, que incluem a oportunidade de conversar com astronautas: https://www.kennedyspacecenter.com/launches-and-events

Quando ocorre um lançamento de foguetes, os tickets são disponibilizados online, e incluem uma opção "VIP". Mas não se esqueça que lançamentos de foguetes podem ser adiados sem aviso prévio, devido a condições meterológicas. Ou seja, se você der azar, pode não conseguir assistir o lançamento. Eles mantém também uma página com dicas para quem for assistir um lançamento.

PS: Com ou sem lançamento, o Kennedy Space Center é sensacional e vale a visita!

[Cyber Cultura] Barbie Engenheira Robótica

Depois de lançar a "Barbie Desenvolvedora" e da Barbie Astronauta há poucos anos atrás, agora foi a vez da Mattel criar a "Barbie Engenheira Robótica", como parte da coleção de bonecas com temas associados a diversas profissões.

Essa nova boneca vem com um acesso a plataforma Tynker, uma ferramenta de programação de jogos infantis que oferece algumas lições para ensinar lógica, resolução de problemas e programação por montagem de blocos.

Esse lançamento vem em bom momento, em que há um debate constante sobre a necessidade de respeitar e incluir as mulheres nas carreiras tecnológicas. Eu acho muito legal ver essa iniciativa de associar as bonecas as profissões relacionadas a tecnologia, para mostrar para a sociedade e também para as crianças de que as mulheres também podem atuar nessas profissões. Espero que estas bonecas ajudem a encorajar as meninas a seguir estas carreiras, aprender programação, robótica, matemática, física, etc.

[Segurança] DEF CON Conference Transparency Report

O pessoal da Defcon teve uma iniciativa bem interessante e lançou o "DEF CON Conference Transparency Report", uma página com estatísticas sobre alguns incidentes ocorridos no evento.

O relatório traz alguns números interessantes sobre a edição de 2017:

• Número estimado de participantes: 25.000
• 7 casos de assédio, sendo que em 2 deles, as pessoas foram banidas do evento para toda a vida devido a assediarem mulheres;
• 3 casos de roubo;
• 3 casos de vandalismo com a DEF CON ou o hotel;
• 9 Incidentes médicos, dos quais 4 casos foram encaminhado a hospitais.

A propósito, recentemente comemoramos mais um aniversário do evento, pois a primeira Defcon aconteceu no dia 09 de junho de 1993.

[Cyber Cultura] A Internet em 1 minuto

A Lori Lewis e o Chadd Callahan criaram um infográfico que mostra a quantidade monstruosa de informações que são transmitidas na Internet a cada 1 minuto. Os dados de 2018 são os seguintes:

Comparando os dados de 2017 e 2018, podemos ver que o Netflix quase quadruplicou de tamanho, enquanto a maioria das demais estatísticas, incluindo o uso do Facebook, Twitter e troca de mensagens por e-mail cresceram cerca de 10%. Este aumento na quantidade de e-mails me parece meio surreal, pois na prática eu vejo muito das interações entre pessoas e no trabalho movendo do e-mail para os aplicativos de mensagem instantânea (que cresceram muito em uso no último ano), embora esse movimento seja muito mais forte no Brasil do que nos EUA, por exemplo.

Aproveite e compare com os dados em 2012 e em 2016!

[Segurança] Boas práticas no seu Programa de Conscientização

O pessoal do Sans Institute divulgou seu relatório anual sobre boas práticas em programas de coscientização para empresas, o "2018 SANS Security Awareness Report".

O relatório traz dados de cerca de 1700 profissionais sobre seus programas de conscientização de segurança de todo o mundo, para identificar e avaliar como essas organizações estão gerenciando seus riscos humanos.

O relatório define 5 estágios de maturidade para o programa de conscientização: não existente, focado em atender necessidades de compliance, programas que promovem uma mudança no comportamento, aqueles que promovem uma mudança cultural na empresa, e por fim, os programas maduros o suficiente a ponto de possuir métricas para medir a sua eficiência.

Com 38 páginas, ele traz alguns dados interessantes, tais como:

• 53% dos entrevistados relatou que seus programas se encaixam na categoria  de maturidade intermediária, “Promoting Awareness & Behavior Change”, e seu programa de conscientização se concentra nos problemas de maior risco de sua organização;
• 85% dos profissionais de conscientização relatam que seu trabalho tem um impacto positivo na segurança da organização;
• Mais de 80% dos entrevistados relataram gastar menos da metade do tempo dedicado a programas de conscientização e a maioria das organizações classifica a conscientização de segurança como um trabalho de dedicação parcial;
• Os programas de maior maturidade dedicam um tempo equivalente a se tivessem 3,67 empregados dedicados a ele.

O mais legal de tudo isso, na verdade, é que para cada uma das estatísticas apresentadas pelo relatório, também são indicadas algumas ações recomendadas para melhoria.

Tem um pequeno vídeo sobre o relatório:

O relatório pode ser baixado gratuitamente no site do SANS Institute.