[Segurança] A mãe de Todos ao Vazamentos!

O Estadão reportou hoje um grande vazamento de dados pessoais: informações de cadastro, dados pessoais e histórico de saúde de 16 milhões de brasileiros que fizeram testes contra o COVID-19.

Pela grande quantidade de dados e pelo alto grau de sigilo dessas informações, acho que podemos considerar este como o pior vazamento de dados deste ano no Brasil, ou seja, “A mãe de Todos ao Vazamentos de Dados”.

E olha que, dessa vez, ninguém pode botar as culpa nos hackers !!!

Segundo a reportagem do Estadão (que pode ser visto também nesse artigo do Metropolis), um funcionário que trabalha na área de ciência de dados do Hospital Albert Einstein publicou em seu GitHub pessoal uma planilha excel com senhas, dados pessoais e informações médicas extraídos do sistema do Ministério da Saúde.

Foram expostos dados de pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito, confirmado de Coronavírus, e também os que foram internados com Covid-19. Cruzando os dados da planilha com as informações do sistema do Ministério da Saúde, acessíveis pelos logins vazados, era possível acessar informações pessoais altamente sigilosas e detalhadas dos pacientes, tais como nome, CPF, endereço, telefone, e registros médicos que incluíam a medicação usada no tratamento de COVID e informação sobre doenças pré-existentes.

Esse vazamento é emblemático, pois mostra um grande descaso com a proteção básica de dados tão sensíveis. Além do desrespeito a Lei Geral de Proteção de Dados Pessoais (LGPD), esse vazamento mostra que muitos processos básicos de segurança falharam no Hospital Albert Einstein. Além do mais, a desculpa dada pelo profissional mostra a irresponsabilidade com um cuidado básico de segurança, que é o de não usar dados de produção em ambiente de testes: segundo o funcionário, ele "publicou a planilha de senhas em seu perfil na plataforma github para a realização de um teste na implementação de um modelo".

[Cidadania] Dia da Consciência Negra

No dia 24 de novembro lembramos o Dia da Consciência Negra, um momento para a refletir sobre a situação da população negra no Brasil, que é maioria no País. O Dia da Consciência Negra foi criado em homenagem ao Zumbi dos Palmares, importante líder que construiu um dos maiores quilombos na época da escravidão, e que foi morto em 20 de novembro de 1695.

Veja alguns dados estatísticos sobre a violência que infelizmente existe até hoje e que assola a população negra:

• 56,10% da população brasileira se declarou preta ou parda em 2019;
• Segundo o Atlas da Violência 2020, os casos de homicídio de pessoas pretas e pardas aumentaram 11,5% de 2008 a 2018, enquanto a taxa entre brancos, amarelos e indígenas caiu, no mesmo período, 12,9%. 
• Além disso, segundo uma pesquisa recente, a pandemia do novo Coronavírus afetou mais pretos e pardos em aspectos como estresse e preocupações financeiras. 61% de pretos e pardos declararam que sua renda familiar foi reduzida na pandemia, contra 54% dos brancos.

Aproveite e assista ao vídeo do "Jogo do Privilégio Branco":

Nesse ano, em especial, o tema da igualdade racial está na pauta em vários países, que enfrentaram diversos protestos sobre a constante violência contra a população negra. embora esse seja um tema muito frequente no Brasil, não vimos um movimento tão forte quanto o "Black Lives Matter" ("Vidas Negras Importam"), que ainda acontece nos EUA.

É importante lembrar que o Dia da Consciência Negra é muito mais do que um simples feriado.

Para saber mais:

• https://sejaantirracista.org
• Instituto Identidades do Brasil (ID_BR)
• Dados de 2019, mas ainda reais: Dia da Consciência Negra: números expõem desigualdade racial no Brasil

[Segurança] Cuidados com as falsas promoções da Black Friday

Nesta sexta-feira, 27/11, acontece a Black Friday, uma data tradicional no mundo inteiro de promoções no comércio. Essa tradição, que começou nos EUA, foi incorporado pelo comércio Brasileiro há alguns anos e, rapidamente, já se tornou a data com maior volume de vendas no comércio.

Mas, infelizmente, comerciantes mal intencionados e criminosos tornaram essa data conhecida como "Black Fraude", por causa das fraudes online que acontecem durante o período e, principalmente, das falsas promoções nos comércios (o famoso "tudo pela metade do dobro do preço"): os comerciantes aumentam os preços artificialmente nas semanas anteriores a Black Friday, para anunciar descontos aonde oferecem o preço original como se fosse um preço "promocional".

Segundo estimativas da Axur, os golpes de phishing crescem 200% nas principais datas comemorativas do comércio.

Por isso, é muito importante prestar muita atenção nesse período. O pessoal da Proteste e do Mente Binária prepararam algumas dicas, que eu resumo abaixo (e incluí algumas dicas minhas também!):

1. Cuidado com as lojas online falsas: verifique a procedência da loja, dados de contato, reputação, etc;
2. Desconfie de promoções muito vantajosas: se o desconto é grand demais, desconfie - mesmo na Black Friday! Golpistas oferecem descontos sedutores para atrair as vítimas para sites falsos;
3. Ofertas muito tentadoras divulgadas por e-mail ou SMS: mesmo caso do citado acima;
4. Cuidado com os sites falsos, criados para imitar sites de e-commerce conhecidos. Verifique cuidadosamente o endereço do site (URL);
5. Verifique as formas de pagamento e desconfie se houver poucas opções;
6. Sempre pesquise os preços antes de comprar, e veja o histórico de preços para ter certeza que a promoção é realmente verdadeira;
7. Verifique a especificação dos produtos e tome cuidado para não comprar versões descontinuadas (fora de linha);
8. Consulte sites de reclamações sobre as empresas (como Reclame Aqui, Proteste, Procon, etc), principalmente se você for comprar em uma loja que não conhece;
9. Nunca passe informações pessoais a sites e aplicativos desconhecidos ou que haja dúvida em relação à segurança;
10. Evite usar Wi-Fi público para realizar compras online;
11. Na dúvida, não compre! É melhor perder uma promoção do que perder todo o seu dinheiro em um golpe.

Para saber mais:

• Fuja das fraudes da Black Friday
• Prepare-se para as 5 fraudes mais comuns durante a Black Friday
• Holiday Cybercrime: Retail Risks And Dark Web Kicks
• Fraudes em e-commerces aumentam 200% em datas comemorativas
• Aqui no Blog:
• Black Friday vira Black FAIL no Brasil (2012)
• Fraudes e Riscos na Black Friday (2015)
• Ciber Fraude na Black Friday (2016)

Veja também essa matéria sobre o site PossoConfiar.com.br: Nova plataforma avisa se sites são tentativas de golpe (adicionado em 25/11).

[Segurança] Parecer do STJ sobre o ciber ataque

No dia 19/11 a Presidência do Superior Tribunal de Justiça (STJ) divulgou um Comunicado esclarecendo sobre as medidas tomadas como resposta ao ciber ataque de Ransomware que eles sofreram recentemente, em 03 de Novembro.

O ataque, classificado pelo STJ como "o pior ataque cibernético já empreendido contra uma instituição pública brasileira", foi realizado pelo Ransomware RansomEXX, causou a interrupção dos serviços do tribunal por vários dias e chamou a atenção de toda a imprensa e da comunidade de segurança (do setor público e privado).

O comunicado lista, brevemente, algumas ações que foram realizadas para o restabelecimento dos sistemas, garantindo o acesso a todos os usuários com segurança.

Veja um rápido resumo dos principais pontos apresentados pelo STJ:

• Mais de 50 pessoas (servidores do quadro permanente do STJ) estiveram envolvidos no processo de recuperação dos sistemas e dados;
• Também participam da investigação a Polícia Federal, o Comando de Defesa Cibernética do Exército Brasileiro(CDCiber) e o Serpro;
• O ambiente de rede não pôde ser manipulado nas primeiras 26 horas após o ataque, para preservar as provas do ciber ataque;
• Após a perícia forense, o STJ teve a liberação do ambiente virtual para reconstrução de sua rede e restabelecimento dos sistemas;
• Cerca de 100 profissionais de oito fabricantes de tecnologia (hardware e software) e três consultorias (Microsoft, Atos Brasil e Redbelt Security) apoiaram a equipe da STI no restabelecimento dos sistemas e backups;
• Como medidas preventivas, o STJ reforçou a segurança das identidades de acesso, com procedimentos de dupla autenticação para uso dos sistemas.

Rápida linha do tempo:

• 03/11 - Dia do ataque;
• 4 a 9/11 - a Presidência atuou em regime de plantão judiciário para assegurar a análise dos pedidos de medidas urgentes encaminhados à Corte;
• 9/11 - restaurados  Sistema Justiça e suas funcionalidades, possibilitando a retomada dos julgamentos no STJ;
• 10/11 - restabelecida a distribuição de processos a todos os ministros.

Para saber mais:

• Comunicado da Presidência do STJ
• Aqui no Blog: Alerta: Brasília sob ataque cibernético

[Segurança] Medidas emergenciais para adequação à LGPD

Pensando nas empresas que precisam adequar-se à Lei Geral de Proteção de Dados Pessoais (LGPD) e não sabem por onde começar, a advogada Gisele Truzzi criou um infográfico com sugestões de 7 medidas emergenciais para conseguir a conformidade com a LGPD.

Resumindo, a Dra Gisele recomenda os seguintes passos:

1. Nomear o encarregado (DPO)
2. Revisar o Consentimento
3. Revisar os Termos de Uso e Política de Privacidade
4. Revisão da Documentação Jurídica
5. Elaborar um Plano de Ação
6. Garantir o atendimento aos Direitos dos Titulares

O material é bem suscinto e objetivo, e está disponível para download (em PDF) no site https://bit.ly/infograficoLGPD.

[Segurança] Quem surgiu primeiro, a Senha ou o Post-It?

Essa é fácil! Rs... As senhas de computador surgiram primeiro!!!

Segundo a Wikipedia, o primeiro computador a utilizar senhas para o login foi criado em 1961 pelo MIT, o Compatible Time-Sharing System (CTSS). Um algoritmo para armazenar as senhas criptografadas surgiu no UNIX em 1974.

Os Post-Its, por sua vez, foram criados pela 3M em 1968, mas só começaram a ser comercializados em 1977.

Ou seja, durante 16 anos (de 1961 a 1977), não era possível anotar senhas em Post-Its! Mas, certamente, a galera dava um jeito de anotar elas em algum outro lugar. (rindo de nervoso)

[Segurança] Em dia de eleição, TSE é hackeado !?

Preparem a pipoca, os memes e um cantinho confortável no sofá!

Hoje, 15/11, dia de eleições municipais, o grupo hacker Cyber Team anunciou que invadiu os servidores web do TSE (www.tse.jus.br), e para comprovar o ato, expôs uma base de dados da entidade (informação desmentida pelo TSE).

Sobre o ataque: O Cyber Team (um grupo hacker de Portugal), junto com o grupo brasileiro Noias do Amazonas (NDA), já estava realizando vários ataques de defacement contra órgãos públicos no Brasil afora, incluindo alguns dos órgãos atacados recentemente, como o CNJ, TJPA e o DATASUS do Ministério da Saúde.

O grupo Cyber Team anunciou o suposto ataque no Twitter e, como forma de comprovar o ciber ataque, publicou uma mensagem no site Doxbin (com a estrutura de algumas bases de dados, que supostamente pertencem ao TSE) e o link para download de um arquivo .RAR, que reuniu 8 arquivos aparentemente roubados do servidor www.tse.jus.br):

No site Doxbin, o grupo Cyber Team deixou a mensagem abaixo:

15/11/2020 dia de eleições, e também um dia de vazamento da base de dados do TSE, no link que deixamos disponível existem 7 arquivos (.txt) com dados de utilizador de diferentes sistemas, vale lembrar que a base de dados pertence ao domínio oficial do TSE, isso significa que todos os sistemas relacionados ao TSE acabam de ter as suas credências comprometidas, resumindo; as credenciais pertencem a todos os domínios estaduais do TSE. (sejam felizes!)
Apenas para que fique esclarecido ao público, a segurança do TSE foi comprometida logo após ser anunciado pelo TSE que a segurança tinha sido reforçada, devido ao ataque efetuado no STJ e nos outros domínios do Ministério da Justiça. Isso só prova que os gastos milionários do governo, não serviram para porra nenhuma.
Observação: o CyberTeam e os nossos aliados não estamos envolvidos com os ataques ao STJ, e sobre a nossa invasão aos servidores (*.saude.gov.br) do Ministério da Saúde e todos os outros domínios do Ministério da Justiça, nós só upamos um arquivo .html (arquivo web), para zuar, protestar e para demonstrar a vulnerabilidade. (just for fun)
Para relembrar, algumas das nossas atividades recentes contra os Ministérios, lista; TJMSP - CNJ - TJPA - TJMG - DATASUS - SAÚDE - etc :)

 

 

Atualizado em 15/11 as 16:10: Segundo notícias, as informações não são verídicas, seriam de um ataque anterior  a um servidor do órgão, provavelmente em 2001. Já estão surgindo mais comentários que validam a possibilidade do anúncio do grupo Cyber Team não ter sido verídico.

Ao contrário do que diz o tweet acima, há indicações de que os dados são de 2010, pelo menos. Um dos arquivos supostamente vazados, chamado "LOGON.txt", tem um campo de datas (chamado DT_TIMESTAMP) que indica que as informações são de 2010 (e não de 2001, como diz o tweet acima e algumas notícias) - como mostra a imagem abaixo, um recorte que eu tirei das informações nesse arquivo. (Adicionado em 15/11, 16:30, atualizado em 16/11 as 10h30):

Mas as especulações sobre a veracidade do ataque seguiram no decorrer do dia da eleição:

Segundo o site Aos Fatos, as informações divulgadas pelo Cyber Team são de vazamentos antigos, de um sistema de RH do tribunal. Essa versão faz sentido ao olharmos o nome dos campos das bases de dados apresentados na mensagem do Cyber Team no Doxbin (pois tem vários campos com relação a dados de saúde, por exemplo). (Adicionado em 16/11, 10h)

Diante dos questionamentos, os membros do grupo Cyber Team também se embananaram um pouco para explicar, e argumentaram que os arquivos vazados eram recentes, apesar da estrutura de banco de dados exposta no site Doxbin ser de uma base não relevante. (adicionado em 16/11, 20h)

Também há diversos relatos na imprensa (esse, por exemplo) de que o ataque ao servidor web do TSE foi recente e, inclusive, que o grupo Cyber Team continuava com acesso ao servidor vulnerável. Foi divulgado indícios de que o acesso continuava ativo em 17 de Novembro (2 dias depois das eleições).

Segundo uma reportagem do G1 publicada em 19/11, "o invasor (Cyber Team), indica a apuração inicial, acessou dados de 2020, como endereços e telefones, no Portal do Servidor, um sistema administrativo e sem relação com o processo eleitoral. (...)  A suspeita é de que o ataque tenha acontecido antes de 1º de setembro porque o material não mostra informações registradas nos arquivos do TSE após o dia 2 daquele mês." (Adicionado em 19/11 as 23h)

Resumindo: na minha opinião, não há evidência técnica inquestionável de quando foram realizados os ataques divulgados pelo grupo Cyber Team (2001, 2010, 2019 ou 2020). Mas os arquivos vazados por eles no dia 15/11 indicam ter informações de, pelo menos, 2019. Isso deu oportunidade a muita especulação e poucos fatos. (Adicionado em 16/11 as 13h)

No final da tarde de 15/11 começaram a pipocar notícias na imprensa sobre os supostos ataques ao sistema do TSE, e as respostas do TSE ao ocorrido. O problema é que a maioria dos relatos sobre os ataques e sobre a segurança dos sistemas ficaram confusos, e muitas vezes, misturando os cenários de ataques que foram especulados no decorrer do dia. Para esclarecer, houve 4 cenários de problemas técnicos ou ciber ataques que poderiam ter acontecido, segundo os diversos relatos (Adicionado em 15/11, as 20h):

1. A invasão do site www.tse.jus.br, alegada pelo grupo Cyber Team (que teve a conta to Twitter suspensa no decorrer do dia): até o momento (15/11, 20h), ainda há diversas especulações se o ataque realmente ocorreu recentemente, ou se foi notificado um ciber ataque antigo. Além disso, é importante ressaltar que um possível ataque ao site web do TSE, mesmo que verdadeiro, não implica que a urna ou sistema de apuração estejam vulneráveis;
2. Problemas de indisponibilidade no aplicativo para celular do TSE: diversas pessoas e órgãos de imprensa reportaram lentidão e dificuldade de usar o app e-Título do TSE no decorrer do dia - que seria necessário para quem precisa justificar o voto. Segundo relatos do TSE, o problema foi relacionado ao grande volume de acessos e um dimensionamento errado da infra-estrutura de tecnologia, pois um dos servidores utilizados foi deixado desligado, para preservar o sistema caso ele sofresse algum ciber ataque;
3. Ataques de DDoS: Também foi reportado que o TSE sofreu ataques de negação de serviço (DDoS) durante o dia. O suposto ataque, aparentemente direcionado a infra-estrutura do app do TSE, consistiu em 436 mil conexões simultâneas por segundo, originadas do Brasil, Estados Unidos e Nova Zelândia.;
4. Problemas técnicos e lentidão na apuração: Como se isso tudo não bastasse para fomentar a especulação, no final do dia 15, após o encerramento da votação, o sistema de apuração do TSE teve lentidão e ficou fora do ar em alguns estados (por exemplo, a apuração da cidade de São Paulo ficou parada por várias horas, atrasando a divulgação dos resultados). Isso só fez aumentar as especulações e discussões sobre a possibilidade de ataques. O TSE atribuiu isso a problemas técnicos em um núcleo do supercomputador responsável pelo sistema de totalização.

O TSE desmentiu todas as acusações e garante que não houve ataque cibernético contra o sistema de votação. Veja o resumo abaixo (adicionado em 16/11, 10:30):

PS (adicionado em 15/11 as 11:50): As vozes na minha cabeça não cansam de repetir as cenas dos próximos capítulos:

1. Assim que a notícia espalhar, jornalistas vão questionar s segurança das eleições e da urna eletrônica;
2. Como sempre, o TSE vai dizer que a urna é segura. Não vão mostrar provas disso, mas vão repetir o argumento de que nunca houve fraude comprovada (fácil, né, já que o sistema e a votação não podem ser auditados abertamente) e vão dizer que a urna já passou por diversos testes públicos de segurança (nessa hora vão esquecer de falar que o TSE controla o escopo de testes, limita o tempo que as equipes tem para testar as urnas, e controlam a divulgação dos resultados);
3. O grupo Cyber Team vai ganhar bastante atenção, muito mais do que conseguiram nos ataques do início do mês. Em breve vão conhecer a democracia de perto, bem de perto, batendo na porta de suas casas.

Para saber mais:

• Não custa lembrar alguns posts antigos aqui no blog:
• [Segurança] Segurança das Urnas Eletrônicas (2014)
• [Segurança] Somos um risco à soberania nacional? (2015)
• [Cidadania] A urna impenetrável (2016)
• [Cidadania] Debatendo a segurança nas urnas brasileiras
• [Cidadania] As urnas eletrônicas são seguras? (2018)
• [Segurança] Como as urnas brasileiras foram provadas vulneráveis (2018)
• Tweet antigo do Diego Aranha: "Material técnico sobre nossa análise de segurança do software de votação das urnas eletrônicas pode ser encontrado em http://urnaeletronica.info"
• Tweet recente do Diego Aranha:

• TSE não foi hackeado; dados “vazados” são de 2001 (o título dessa matéria do TecMundo foi ajustado após a sua publicação para "TSE não foi invadido; hackers admitem que dados eram antigos")
• Tweet do TSE sobre a segurança das eleições:

• Sobre a segurança da urna eletrônica brasileira: https://urnaeletronica.info
• Após negar ataque, TSE tem bancos de dados expostos por hackers em dia de eleição
• Hackers invadem TSE e acessam 28 bancos de dados; ataques prosseguem
• Eleições ocorrem em meio a problemas no e-título, ataque hacker e prisões
• Nota oficial do TSE: Ministro da Justiça afirma que tentativa de ataque ao sistema do TSE não afetou lisura da eleição
• Ataque de hackers no sistema do TSE não viola segurança da eleição
• Tentativa de ataque a sistema do TSE partiu de diferentes países, diz Barroso
• Parecer dos sites de checagem de fatos (e fake news):
• Aos Fatos: Ataque hacker ao TSE não violou segurança do sistema das eleições (ótima análise!)
• Comprova: Ataque de hackers no sistema do TSE não viola segurança da eleição
• Agência Lupa: #Verificamos: É falso que ‘ataque hacker’ ao TSE revelou insegurança ou fraude nas urnas
• Investigação aponta operação coordenada em ataque ao TSE e postagens alegando fraude
• Barroso tenta ser transparente, mas não consegue explicar falhas do TSE
• Reportagem bem legal na The Hack: "O dia que o TSE revelou o código da urna: a história de Diego Aranha"
• Diego Aranha: “Os testes de segurança (nas urnas eletrônicas) são importantes e desejáveis, mas continuam insuficientes”
• o que aconteceu no TSE ontem?
• Barroso suspeita de “grupos extremistas” e pede que PF investigue ataques
• TSE neutraliza ataque que tentou sobrecarregar sistemas, diz Barroso
• TSE muda versão e atribui pane a falta de testes em supercomputador
• Rápido resumo da treta: Barroso tenta ser transparente, mas não consegue explicar falhas do TSE
• Matéria do O Bastidor para causar polêmica, mas que não agrega nada: 72 horas depois, hacker segue invadindo o TSE enquanto aguarda a polícia
• TSE garante que atraso nas eleições não tem relação com segurança do sistema
• Entrevista com o Zambrius, do Cyber Team: 'Atos foram feitos com celular de 50 euros', diz hacker português que reivindica ataques ao TSE (NOVO)
• TSE: ataques DDoS duraram 18 minutos e foram de 30 gigabits/segundo
• TSE divulga nota técnica sobre o atraso da totalização dos votos no primeiro turno
• Brecha em teste de urna fez TSE adotar supercomputador que travou
• Considerações do Edison Fontes
• Estudo interessante da  Fundação Getúlio Vargas: Desinformação On-line e Eleições no Brasil: A circulação de links sobre desconfiança no sistema eleitoral brasileiro no Facebook e no YouTube (2014-2020)
• Hackers também acessaram dados de 2020 do TSE
  
  
  
  
• Hackers tiveram acesso a dados deste ano de servidores do TSE, apontam Polícia Federal e tribunal
• TSE institui comissão presidida por Alexandre de Moraes para acompanhar investigações sobre ação de hackers contra o processo eleitoral (NOVO)
• TSE assume que ataque de DDoS derrubou app e-Título durante as eleições (NOVO)
• O "0 News", do Papo Resumo Binário, fez um rápido resumo de toda a treta (NOVO)
• Urna Eletrônica Comprometida! (NOVO)
• Bons artigos sobre o uso político da discussão sobre ataques ao TSE:
• Atraso nos resultados das eleições inspira teorias da conspiração
• Ataque hacker na eleição vira arma política de desinformação para bolsonaristas
• Bolsonaristas tentam espalhar suspeitas de fraude nas eleições do Brasil
• A Veja criou um novo termo: "terraplanismo digital"
• Informações do TSE:
• Página Seguranca da Urna (NOVO)
• Artigo Urna eletrônica: segurança, integridade e transparência nas eleições (NOVO)
• Sequencia de Tweets do TSE sobre a segurança do processo eletrônico de votação (NOVO)

  

PS 2 (Adicionado em 15/11, 16h): Fiquei sabendo que, infelizmente, esse post está sendo usado por alguns grupos políticos e distorcendo o que publiquei aqui. A discussão sobre a segurança do voto eletrônico é de interesse do nosso país e de todos os cidadãos, e não deveria ser politizada. O processo democrático só perde com essa postura :(

PS 3: Post atualizado em 15/11 (várias vezes, últimas alterações as 20h15 e 20h20). Atualizado em 16/11 as 10h (ajustes nos textos,  mais referências, inclui link para nota no site do TSE), as 10:30 (mais referências e ajustes na formatação e ordem do texto), 12h20, 12h25, 13h, 13h45, 13h50, 20h, 20h05 e 20h30. Post atualizado em 18, 19/11 (as 13h e 23h) e 23/11 (aproveite para assistir o vídeo do 0 News). Atualizado em 24/11 para incluir a discussão sobre segurança do processo eletrônico de votação.

PS 4: Para relaxar, que tal alguns memes que estão sendo compartilhados nas redes sociais?

PS 5 (Adicionado em 16/11, 12h20): Tivemos muitas especulações e notícias desencontradas sobre esses supostos ciber ataques ao TSE, com informações erradas ou facilmente questionáveis de cunho técnico e político. Não é meu objetivo compartilhar essas informações que são pura especulação ou que estejam claramente erradas ou confusas. Prefiro utilizar sites confiáveis de jornalismo e buscar e avaliar a veracidade das fontes.

PS 6 (Adicionado em 18/11): O TSE se embananou muito ao tentar explicar o motivo do atraso na apuração dos votos, que para algumas cidades atrasou 3 horas. Assim, algumas pessoas tiveram que esperar até o dia seguinte para saber o resultado das eleições em seu município, em vez de assistir o resultado no Fantástico. Isso não seria um grande problema, se não fosse o eterno discurso do TSE de que eles são perfeitos e infalíveis. As eleições brasileiras são super seguras, jamais seriam invadidas por hackers, mas o TSE resolveu botar a culpa no novo supercomputador de 26 milhões de reais da Oracle, e eu já identifiquei 7 motivos diferentes apresentados pelo TSE e alardeados pela imprensa em momentos diferentes, para justificar o problema da totalização dos votos. De certa forma, todos esses problemas foram abordados na nota técnica do TSE sobre o atraso da totalização dos votos no primeiro turno.

1. Núcleo do supercomputador pifou
2. Rosa Weber desligou o supercomputador
3. A inteligência artificial não estava treinada
4. A Oracle demorou para entregar supercomputador devido a pandemia
5. Sistema de apuração centralizado
6. Culpa da PF
7. Falta de testes do supercomputador

PS 7 (Adicionado em 19/11): O Edison Fontes publicou no seu perfil do Linkedin alguns comentários sobre a nota técnica do TSE:

PS 8 (Adicionado em 19/11): Eu sinto um distúrbio na força... Eu vejo cada vez mais o questionamento sobre a segurança das urnas eletrônicas e do sistema eleitoral brasileiro ser apropriado pelo discurso político de grupos extremistas e, assim, essas discussões acabam recebendo o rótulo de "desinformação". Com isso, corremos o triste risco de ter qualquer discussão técnica sobre o assunto ser desvalorizada e ignorada, ao ser minimizada e rotulada como "campanha de desinformação". Obviamente, não interessa a vários grupos que exista essa discussão sobre a segurança e auditoria dos votos, e por isso, essa técnica pode começar a ser usada para censurar os especialistas que buscam melhoria no sistema atual.

PS 9 (Adicionado em 24/11): É importante destacar que o TSE reforça que as urnas eletrônicas são seguras e nunca foram comprometidas. Essa sequencia de Tweets sumariza a posição do TSE. Infelizmente, eles publicaram um tweet dizendo que "o TSE convoca especialistas p/ tentar quebrar barreiras de segurança das urnas e, em 5 edições, nenhuma tentativa de quebra do sigilo de voto ou de desvirtuamento da destinação dos votos teve êxito" - mas essa informação é muito imprecisa e questionável. Isso porque foram encontradas vulnerabilidades em todos os testes públicos realizados, incluindo algumas que comprometiam o sigilo dos votos. Em resposta a este tweet, o Dr. Diego Aranha publicou uma sequência de tweets resumindo os resultados encontrados nos testes públicos de segurança, mostrando que a informação do TSE não condiz com a realidade. Ele também resumiu as melhorias que surgiram após os testes e o que ainda precisa ser feito para dar credibilidade no processo. Essa informação também foi contestada pelo pessoal do Epic Leet Team (ELT), que participou dos testes em 2017.

 

[Segurança] O impacto da Pandemia no mercado de Segurança

O relatório anual sobre o mercado de Bug Bounty lançado recentemente pela HackerOne (o 4th Hacker-Powered Security Report) trouxe uma pequena seção discutindo os impactos da pandemia do novo Coronavírus no mercado dos programas de Bug Bounty. O relatório contou com entrevistas com 1.400 líderes de segurança em empresas que possuem um programa de Bug Bounty organizados pela HackerOne.

Vejam alguns dados citados pelos executivos:

• 64% acreditam que há maior chance de ter um vazamento de dados;
• 30% viram um crescimento nos ciber ataques desde o início da pandemia;
• 30% tiveram redução no time de segurança (*);
• 25% tiveram corte no orçamento de segurança;
• 30% tiveram que mudar suas prioridades, focando em segurança para o trabalho remoto e ferramentas de comunicação.

(*) Os EUA foram o país com menor quantidade de gestores informando corte no time (24%). Isso faz muito sentido, pois o mercado de trabalho nos EUA está muito aquecido e as empresas americanas não podem se dar ao luxo de dispensar seus profissionais de segurança, com o risco de não conseguir repor futuramente.

O relatório também trouxe uma tabela com os resultados da pesquisa categorizados por país do entrevistado.

[Segurança] Algumas estatísticas de ciber ataques

Dentre o conjunto de materiais para conscientização que o pessoal da El Pescador / KnowBe4 disponibilizou gratuitamente para conscientização de usuários, eles tem um infográfico com algumas estatísticas e dicas de segurança sobre ciber ataques de engenharia social.

Veja abaixo:

[Segurança] RNPSeg’20

Na próxima quarta-feira, dia 11/11, o pessoal do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP) vai realizar o evento RNPSeg’20 – edição Digital, para compartilhar o conhecimento e troca de experiências dos gestores de segurança e tecnologia da informação com outros profissionais e interessados na área.

Neste ano, o RNPSeg abordará aspectos da Continuidade de Negócios, com uma discussão sobre os desafios e cenários de continuidade que contará com a participação do Jeferson D'Addario, CEO do Grupo Daryus, com o CISO do Grupo Cogna Educação, Alex Amorim, e o Diretor de Gestão de Risco, Governança e Segurança da Informação do TCU, Rodrigo Coutinho. Essa conversa promete trazer visões complementares sobre o tema, com visões de profissionais de segurança que atuam no setor de educação em instituições públicas e privadas. O evento terá uma plateia virtual para permitir a interação com os palestrantes através de câmera e chat - e compensar o distanciamento causado pela pandemia do novo Coronavírus.

O RNPSeg’20 ocorrerá no próximo dia 11 de novembro de 2020, das 17h às 19h, e será transmitido online no canal da RNP no Youtube.

Veja mais detalhes no site do evento: https://rnpseg.rnp.br