novembro 19, 2018

[Cyber Cultura] Truques úteis ao fazer busca no Google

Todo profissional de segurança deveria saber de cor e salteado pelo menos os truques mais simples para fazer buscas no Google. O termo "Google Hacking" surgiu para isso: as diversas formas de usar buscas no Google para encontrar sites vulneráveis ou fazer busca por informações que podem ser utilizadas para reconhecimento do alvo, ataques ou ações de engenharia social.


Na Wikipedia, por exemplo, tem uma lista com os principais comandos interessantes que podem ser utilizados no Google para buscar informações específicas sobre sites e alvos. O projeto Google Hacking Database (GHDB) mantém uma lista mais completa.

Recentemente eu vi um artigo no Medium com um infográfico bem legal e mais algumas dicas adicionais de como usar o Google de forma mais eficiente: "40+ Best Google Search Tips, Tricks & Hacks for 2018 [Infographic]". Veja o infográfico abaixo:


Para saber mais:

novembro 16, 2018

Posts que nunca foram escritos

Chega novamente aquele momento de limpar o backlog...

Paper gigante e bem interessante, do MITRE: Ten Strategies of a World-Class Cybersecurity Operations Center

Conheça o "NIST Cybersecurity Framework"


Outro material interessante do NIST, que mapeia as principais carreiras na área de segurança: "NICE Cybersecurity Workforce Framework" (paper)


Aproveitando a carona, vale a pena ver esse guia do NIST sobre como criar um programa de conscientização: "Cybersecurity is Everyone’s Job".


Já visitou o OWASP Internet of Things Project?

Paper sobre tecnologias de 2o fator de autenticação: "Security Keys: Practical Cryptographic Second Factors for the Modern Web" (PDF).

Alguns sites oferecem exemplos e templates para você criar a politica de segurança da sua organização. O SANS Institute tem um punhado de templates disponíveis online: “Information Security Policy Templates”.

Alguns checklists para desenvolvimento de aplicativos mobile:



Vídeos, vídeos e mais vídeos: The Linux Basics Course 50 vídeos



Operação Serenata de Amor: Um grupo de voluntários criou um aplicativo para analisar gastos dos nossos políticos. Eles também criaram um robô no Twitter chamado @RosieDaSerenata para notificar publicamente os gastos suspeitos da Câmara dos Deputados. (link para apoiar a iniciativa)

Se você procura uma solução de VPN que garanta a sua privacidade, a opinião dos profissionais na área é unânime: "construa a sua própria VPN", usando um servidor e os aplicativos específicos. Um caso mostra que não dá para confiar cegamente nas empresas que vendem serviço de acesso anônimo: a empresa PureVPN forneceu para o FBI os logs de acesso de um usuário que estava sob investigação.

Como se preparar para um mega ciber ataque? Veja esse artigo no blog da RSA.

So What Does A Modern Encryption Key Look Like?

Artigo sobre uma história bem interessante, de como um grupo de franceses conseguiram explorar uma rede de telecomunicação rudimentar na França, há 100 anos atrás: "Here’s How the First Cyber Attack Went Down"

Interessante: Mobile Apps Testing: Sample Test Cases & Test Scenarios


novembro 14, 2018

[Segurança] Mapas de ciber ataques

Diversos fabricantes de segurança disponibilizam online mapas visuais com dados e estatísticas de ciber ataques. São gráficos bem interessante para vermos estatísticas de forma visual e, as vezes, em tempo real.



Estes gráficos podem ser utilizados em campanhas de conscientização ou até mesmo no telão do seu NOC e SOC, como forma de ilustrar os ataques que acontecem no mundo.

Abaixo eu listei os gráficos que encontrei e destaquei meus preferidos ;)
  • Kaspersky - O meu favorito, pelo aspecto visual. O gráfico é bem impressionante. Também tem uma versão "widget", para você embutir em uma página web. (veja aqui uma demo)
  • Digital Attack Map, da Arbor - um dos mais populares, este mapa da Arbor mostra os ataques DDoS que acontecem no mundo, e tem a opção de visualizarmos dados históricos. Embora seja relativamente útil, os recursos gráficos são um pouco simples e consome muitos recursos do navegador. (veja uma demo)

  • Bitdefender - Eu gostei desse mapa, achei um dos mais simples ela o mesmo tempo, causa boa impressão visual;

  • Cybercrime Threat Map, da ThreatMetrix - mapa em tempo real com dados de tentativas de fraude online, incluindo roubo de contas, fraudes de pagamentos e tentativas de roubo de identidade.
  • Threat Map da Looking Glass - eu ahem esse mapa legal; ele plota ataques de botnets em ym mapa mundi.
  • Norse - embora seja citado por 10 entre 10 profissionais de segurança, várias vezes eu tenteia cessar esse mapa sem sucesso, obtendo um erro de Connection Refused :(
  • Akamai - Eles tem algumas páginas com mapas e estatísticas, que são bem interessantes:
    • Eles tem uma página com diversas estatísticas de ataques, que tem o link para os demais mapas (abaixo);
    • Real Time Web Monitor - Mostra um heat map estático sobre volume de tráfego ou quantidade de ataques no mundo.
    • Enterprise Threat Monitor - Bem mais interessante, este mapa mostra estatísticas de ataques de Malware, Phishing e C&C.






  • Threatbutt Internet Hacking Attack Attribution Map - apesar do nome pomposo, esse mapa é totalmente fake, pura zoeira... além do visual tosco, simples, ele mostra alguns dados bem falsos, como ataques do Morris Worm, Stuxnet, Slammer, etc. A cada ataque, ele faz um barulho, para aumentar o grau de tosquice ;)



Segundo um artigo da CSO Online, a maioria dos mapas disponíveis não trabalham com dados reais, ao vivo, mas sim com um conjunto de dados pré-gravados e dados de captura sanitizados. Segundo eles, o valor desses mapas não está na informação que apresentam, mas sim na possibilidade deles iniciarem uma conversa ou discussão sobre o assunto.

Para saber mais:

novembro 13, 2018

[Segurança] O golpe de R$ 400 milhões

Algumas reportagens, como essa da revista Época e essa do Yahoo! detalham o funcionamento do esquema criminoso milionário que foi desmascarado recentemente pela polícia, que permitiu a uma quadrilha ganhar milhões de reais através de fraudes online. O caso chamou muito a atenção por causa dos gastos mega-extravagantes dos criminosos presos, que incluíram a compra de diversos carros importados, mansões, viagens para a Europa, passeios frequentes de helicóptero, etc.


O grupo, preso em outubro pela Polícia Civil de São Paulo e pelo Ministério Público, foi acusado de arrecadar cerca de 400 milhões de reais em 18 meses, através de transações fraudulentas pela Internet. Estima-se que pelo menos 23 mil contas correntes foram lesadas em 23 estados.

Apesar do valor total arrecadado pelo grupo criminoso ser absurdamente alto, eles cometiam golpes simples pela Internet, que nada mais são do que o "arroz com feijão' do ciber crime.

Segundo a reportagem, o esquema criminoso funcionava da seguinte forma:
  • O grupo desenvolveu um sistema de roubo de logins e senhas, que deu origem a um banco de dados utilizado pela quadrilha. O sistema foi criado por um autodidata, Leandro Xavier Magalhães Fernandes, morador de Goiânia, que estudou só até completar o ensino médio;
  • Eles aperfeiçoaram o sistema usado para fazer as fraudes, que passou a ser rodado 24 horas por dia, sete dias por semana, capturando logins e senhas de quem entra em sites de bancos;
  • Para executar a fraude e extraviar dinheiro das contas correntes invadidas (as vítimas), a quadrilha oferecia, via WhatsApp e Facebook, o pagamento de qualquer tipo de boleto com “50% de desconto”. Assim, quem tivesse uma conta para pagar dava metade do valor da dívida para a quadrilha, e o boleto era pago pelos criminosos a partir das contas das vítimas. O grupo aceitava boletos de contas de ISS, IPVA, celular ou de TV a cabo;
  • Se o cliente do banco tinha pouco ou nenhum dinheiro na conta, a quadrilha tomava um empréstimo pré-aprovado e, assim que o valor caía na conta, era imediatamente usado para pagamento de boletos ou transferido para contas em nome de laranjas;
  • O dinheiro arrecadado pelo grupo era dividido em cinco empresas diferentes, criadas com a única finalidade de cobrir os atos ilícitos. O grupo possuía um escritório de fachada localizado em um prédio empresarial de alto padrão no bairro do Itaim Bibi, em São Paulo. As empresas eram usadas para dar lastro aos títulos de investidor do mercado financeiro, e para lavagem de dinheiro por meio de bitcoins.
A quadrilha tinha integrantes em Tocantins, Goiás e São Paulo O líder da quadrilha, Pablo Henrique Borges, era morador da periferia de Francisco Morato, em São Paulo, que até 2012 apenas instalava computadores e só em 2015 tirou sua carteira de identidade. Pablo já era conhecido da polícia por pequenos golpes via internet, como venda enganosa de milhagens de companhias aéreas e venda de passagens por valores muito abaixo do mercado, além de compras com senhas roubadas de cartões de crédito.

O uso de pagamento de boletos para desviar dinheiro é um golpe muito comum no Brasil, e é muito fácil achar anúncios desse tipo de "serviço" nas redes sociais. No vídeo abaixo, por exemplo, um fraudador oferece esse serviço através do Youtube.


Veja o texto do anúncio:
"Pagamento de boleto online com desconto de 50% do valor
*Você está endividado ? não aguenta mais cobradores na sua porta te enchendo o saco? CHEGOU A HORA DE MUDAR !!1
PAGO BOLETOS COM PELA METADE DO PREÇO ,COM 50 % DE DESCONTO
FUNCIONA Assim: você envia a foto ou o documento do boleto ,vou te passar um prazo para que o boleto seja pago e envio o comprovante de pagamento, o comprovante é fornecido pelo próprio site do BANCO,após o envio do comprovante você tem 30 minutos para efetuar o pagamento dos 50 % do valor do boleto via depósito ou transferência BANCARIA.
Caso o pagamento não seja feito estornamos o pagamento e seu débito volta a existir,temos várias referencias ,você só fara o pagamento após comprovante ,pago boletos a partir de 600 reais pois cobro caro por meus conhecimentos ,pagamos"

Ou seja, a pessoa endividada passa os dados do boleto para o criminoso, paga para ele 50% do valor da dívida, e o ciber criminoso invade a conta de uma vítima e usa essa conta para pagar o valor integral do boleto. O criminoso ganha o dinheiro e a vítima fica no prejuízo.

novembro 09, 2018

[Segurança] As senhas mais usadas de todos os tempos

O pessoal do Techmundo fez um artigo em 2011 sobre "as senhas mais usadas de todos os tempos", um erro muito comum entre os usuários finais, e que os tornam alvos fáceis de ataques baseados em adivinhação de senha - os ataques mais básicos para tentar acessar a conta de uma vítima.

As senhas mais comuns (sem ordem de preferência), segundo o Techmundo, são:
  • 1234567
  • 123456
  • 12345
  • 123123
  • 000000
  • password
  • qwerty
  • asdfgh
  • zxcvbnm
  • qazwsx
  • abc123
  • blink182
  • lol123
  • 7777777
  • 666666
  • jesus
  • brasil/brazil
  • letmein
  • iloveyou
  • hello123
  • matrix
  • admin
  • hotmail
  • babygirl
Dá para perceber, na lista acima, que ela mistura vários termos em inglês (como "letmein") com um em português: "brasil". Obviamente, as senhas mais utilizadas variam de acordo com o idioma da vítima - a chance de encontrar um usuário brasileiro usando uma senha "hello123" é bem baixa.

Além disso, o artigo mostrou quais temas são os mais escolhidos na hora de cadastrar uma senha:

  • O nome ou sobrenome do próprio usuário ou de membros da família;
  • O nome do clube de futebol favorito;
  • A data de nascimento do usuário ou de pessoas próximas;
  • O número do seu telefone ou do cônjuge;
  • O nome do próprio site do cadastro (como “facebook” ou “twitter”);
  • Teclas que estejam lado a lado no teclado (como em “qwerty” ou “123456”);
  • O mesmo nome de usuário utilizado no login.

O artigo tem algumas dicas interessantes e, apesar de ter sido escrito há 7 anos atrás, continua bem atual.

novembro 07, 2018

[Segurança] Você é um alvo!

O pessoal do SANS Institute, em conjunto com o Brian Krebs, criaram um poster de conscientização para os usuários finais que destaca porque os usuários devem se preocupar com segurança.

Batizado de "You Are A Target", o pôster lista brevemente os principais riscos em termos de senhas, e-mails, informações financeiras, extorsão, roubo de identidade, fraudes em e-commerce, ameaças de botnets e de hospedar conteúdos no computador da vítima.


O poster é um bom material de conscientização, pena que eles disponibilizaram o material feito com cores muito claras, que deixam o material de difícil leitura.

novembro 05, 2018

[Segurança] Leis para Proteção de Dados Pessoais e a origem da LGPD

Diversos países em todo o mundo já possuem ou estão elaborando leis específicas para a proteção de dadospessoais. A popularização da Internet, do e-commerce e das redes sociais trouxe o hábito de compartilharmos online fotos, opiniões e dados pessoais, que estão em mãos de diversas empresas. Em contra partida, isso trouxe o grande risco de roubo e vazamento de dados, além do mal uso por terceiros (como, por exemplo, empresas que vendem dados cadastrais de seus usuários para outras).

Esse cenário tem fomentado o surgimento de leis específicas em todo o mundo. A União Européia, por exemplo, possui uma lei de proteção de dados desde 1995 e, neste ano, entrou em vigor a famosa GDPR, a General Data Protection Regulation.

No Brasil, temos a Lei Geral de Proteção de Dados (LGPD). Antes dela, o Marco Civil já possuía diversos artigos que abordam a necessidade de proteção de dados pessoais e da privacidade dos usuários online. Também existe o Projeto de Lei 3558/2012, que dispõe sobre a proteção de dados pessoais e sobre a utilização de sistemas biométricos. O problema é que este projeot de lei trata a proteção de dados de forma superficial.

A LGPD juntou alguns projetos existentes no Congresso. O principal deles foi criado pelo Ministério da Justiça, que criou um projeto de legislação específica sobre a proteção de dados pessoais através de um esforço público, batizado de Anteprojeto de Lei de Proteção de Dados Pessoais, Tal trabalho foi similar ao processo de criação do Marco Civil da Internet, e iniciou em 2011 por meio da Secretaria Nacional do Consumidor (Senacon) em conjunto com a Secretaria de Assuntos Legislativos do Ministério da Justiça. O projeto foi criado de uma forma colaborativa através de discussões online e presenciais com a sociedade, através de diversas discussões e colaborações recebidas (veja alguns detalhes aquiaqui). No total foram recebidas mais de 2.000 contribuições. Também colaboraram o Comitê Gestor da Internet no Brasil (CGI.br) e a Universidade Federal de Minas Gerais (UFMG). A última versão do anteprojeto está disponível aqui.


A tramitação do projeto de lei na Câmara dos Deputados começou em 13 de maio de 2016, e recebeu o nome de Projeto de Lei 5276/2016.




Este projeto foi juntado ao PL 4060/2012, do deputado Milton Monti (PR-SP), que já tramitava no congresso, dando origem a nossa LGPD.

novembro 02, 2018

[Segurança] Os cinco principais desafios para os líderes de segurança

O pessoal da Fortinet preparou um pequeno infográfico com alguns dados sobre o que eles consideram serem os cinco principais fatores que estão gerando as mudanças no cenário das ciberameaças.

Segundo eles, os principais desafios são relacionados a proliferação de dispositivos IoT, a dificuldade de proteger ambientes na Nuvem, os ataques dos Ransomwares, os ataques que passam desapercebidos por utilizarem comunicação criptografada e a falta de profissionais de segurança.


outubro 31, 2018

[Cidadania] A eleição das redes sociais (com memes)

Ufa! Bem ou mal, finalmente acabaram as eleições de 2018! Não sentiremos saudades desse período eleitoral, em particular!

Essa foi uma eleição marcada pela polaridade e discursos exaltados, brigas e discussões infindáveis. Em minha opinião, essa polarização foi fruto do discurso de ódio e medo que dominou o período eleitoral, alimentadas por um volume jamais visto de notícias falsas fake news espalhadas pelas reses sociais e aplicativos de comunicação.


Passado o pesadelo das eleições presidenciais de 2018, não há como negar que o grande destaque foi a importância que tiveram as redes sociais e os aplicativos de comunicação instantânea (ou seja, Facebook e WhatsApp). Eles foram usados massivamente como meio de propaganda e contra-propaganda, para beneficiar candidatos e prejudicar os adversários.


Na minha opinião, há dois aspectos bem interessantes a analisarmos:
  • O sucesso das redes sociais como forma de campanha: já tínhamos visto isso em eleições anteriores (a Marina Silva, por exemplo, investiu muito nas redes sociais nas eleições de 2014), mas neste ano dois candidatos foram os que melhor se beneficiaram das redes sociais: o Jair Bolsonaro e o Amoedo, do partido NOVO. Afastados da mídia tradicional, aonde tinham direitos a tempos irrisórios nos horários de campanha eleitoral, os dois investiram massivamente no marketing boca-a-boca através das redes sociais. Mesmo hospitalizado após o atentado, o Bolsonaro continuou ativo na campanha graças as redes sociais, aonde constantemente publicou mensagens e vídeos direcionados a seus eleitores;
  • A predominância das "fake news": elas foram uma presença constante durante o período de campanha eleitoral, e muito utilizadas nas campanhas dos dois candidatos que lideraram o pleito: Haddad e Bolsonaro. Fake News não são novidade e acontecem nas campanhas antes mesmo da popularização da Internet, mas neste ano o volume de notícias falsas e caluniosas foi excessivo! Todos nós fomos bombardeados frequentemente por notícias falsas através do Facebook e dos grupos nos WhatsApp. Tais notícias traziam diversos tipos de acusações contra cada um dos candidatos, variando desde denúncia de pedofilia, falsas provas de enriquecimento ou pagamento de propina ao Roger Waters, por se manifestar durante sua turnê no Brasil.

As fake news, em particular, alimentaram o clima de polarização entre o eleitorado, que acabou se dividindo entre dois grupos radicais: os eleitores do Bolsonaro (apoiadores dele ou contrários ao PT) e os eleitores do Haddad (formado por apoiadores tradicionais do PT ou contrários a figura do Bolsonaro). Como os dois candidatos eram os que possuíam maior rejeição, a polarização dos eleitores foi muito baseada no discurso de ódio e repulsa ao candidato concorrente.

Eu acredito que um dia conseguiremos mapear que essa polarização, que já era muito forte no 1o turno, foi plantada artificialmente para beneficiar os dois candidatos. Ou seja, a única chance de um dos dois (Bolsonaro ou Haddad) vencer era se fosse com o outro candidato, pois todos os demais tinham menor rejeição. E, acredito, os dois partidos apostaram nessa possibilidade, e assim fomentaram indiretamente essa polarização. Isso não é difícil de ser feito, basta lembrarmos o bombardeio de notícias sobre pesquisas apontando que nenhum outro candidato venceria esses dois nos segundos turnos. Adicione a isso os discursos de ódio anti-PT e a repulsa contra o Bolsonaro, e esses dois candidatos acabaram ganhando preferência dentre os demais.

Além de tudo que foi dito acima, teve outra trocada master da galera do ciber crime: ciber criminosos colocaram um aplicativo na Google Play chamado "Mitos17", que roubava dados bancários de eleitores do Bolsonaro.

Para acabar esse post, não custa lembrarmos alguns memes que circularam durante o período eleitoral...











Resumindo...


Aproveitando o tema das "fake news" nas eleições, vale a pena ver o excelente vídeo do pessoal do Porta dos Fundos sobre o assunto:


Para saber mais...
OBS: Post atualizado em 01/11 para incluir mais um meme e o vídeo do porta dos fundos.

outubro 30, 2018

[Carreira] O perfil dos profissionais de Segurança

O (ISC)², International Information System Security Certification Consortium Inc., divulgou recentemente um estudo sobre o perfil dos profissionais de segurança em todo o mundo, o "(ISC² Cybersecurity Workforce Study". O estudo entrevistou cerca de 1.500 profissionais de segurança em todo o mundo.

O relatório é extenso e tem várias informações legais sobre o mercado de trabalho e os desafios na carreira. Algumas estatísticas são bem interessantes e também descrevem algumas características do perfil médio dos profissionais de segurança em todo o mundo:
  • As três principais qualificações para os profissionais de segurança são:
    • Experiência relevante em segurança cibernética (49%);
    • Conhecimento de conceitos avançados de cibersegurança (47%);
    • Possuir certificações de segurança cibernética (43%);
  • 35% dos profissionais de segurança pesquisados ​se ​identificaram como millennials; enquanto 49% se identificam como baby boomers e geração X;
  • As mulheres representaram 24% dos profissionais de segurança;
  • Em média, os profissionais de segurança trabalham há 13 anos na área de TI, com 7 anos dedicados à segurança;
  • O salário anual dos profissionais de segurança pesquisados é, em média, de US$ 85.000.
    • Os profissionais de segurança com certificações ganham um pouco acima da média, US$ 88.000, enquanto o salário médio anual dos profissionais sem certificação é de US$ 67.000;
  • 63% dos entrevistados relatam que suas organizações têm uma escassez de funcionários dedicados a segurança cibernética;
  • Aproximadamente 48% das empresas representadas na pesquisa pretendem aumentar o time de segurança cibernética nos próximos 12 meses.


A imprensa destacou que essa pesquisa deixa claro a grande escassez de profissionais de segurança no mercado de trabalho, totalizando cerca de 2,93 milhões vagas em aberto globalmente. Surpreendentemente, a Ásia é a região com maior falta de profissionais: 2,14 milhões de vagas em aberto! A América do Norte é a segunda região mais crítica, com uma escassez aonde a demanda supera a oferta em 498.000 profissionais. Em seguida vem a Europa, Oriente Médio e África, com uma estimativa de 142.000 posições abertas, e a América Latina, com falta de 136.000 profissionais.

Notas adicionadas em 31/10:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.