[Carreira] Setembro Amarelo também vale para os profissionais de TI e Segurança!

O Setembro Amarelo é uma campanha de conscientização sobre a prevenção ao suicídio, organizado pelo Centro de Valorização da Vida (CVV), o Conselho Federal de Medicina (CFM) e a Associação Brasileira de Psiquiatria (ABP). Esse é um problema que deve ser tratado por toda a sociedade e, principalmente, de forma a evitar o preconceito com as pessoas que sofrem problemas de depressão ou distúrbios psicológicos que podem levar ao suicídio. O tabu que cerca esse assunto é um dos principais dificultadores para a prevenção e tratamento. Poucas pessoas entendem que a depressão é uma doença, e por isso eve ser tratada seriamente por profissionais.

Só no Brasil, foram cerca de 12 mil suicídios registrados em 2016, principalmente entre os jovens. É uma das principais causas de morte entre os jovens. A maior parte deles está relacionada a doenças, como depressão e transtorno bipolar.

Caso você conheça alguém que precisa de ajuda, lembre-se que saber escutar com empatia é importante. Além disso, o apoio de um profissional da saúde é essencial. O CVV também está disponível 24 horas por dia para ajudar qualquer pessoa que precisar através do número 188. A ligação é gratuita e anônima.

O que não podemos esquecer é que depressão e distúrbios que levam ao suicídio podem acontecer também com profissionais de TI e de Segurança da Informação. Afinal, além de sermos humanos, trabalhamos em uma área aonde o stress e pressão profissional é constante.

Muitos profissionais de TI e SI sofrem com rotinas de trabalho acima de 8h por dia, trabalhar em esquema de plantão, viagens constantes, além de pressão por resultado, dificuldade em se manter atualizado e os problemas normais do dia-a-dia. Isso se você tiver a sorte de trabalhar em uma empresa aonde seu gestor não tenha comportamento abusivo. A falta de mão de obra no mercado tecnologia também acaba trazendo mais pressão para os profissionais, que muitas vezes são obrigados a acumular muitas tarefas e responsabilidades pois as empresas tem dificuldade de contratar novos colaboradores e expandir seus times.

Para quem trabalha com segurança, sofremos também com a pressão de novos ataques acontecendo a todo momento e com o risco de ser vítima de um ataque desses - na sua vida pessoal ou na empresa.

É muita pressão. Não é a toa que stress é muito comum na área de tecnologia, e "burn out" é uma palavra que já está no dicionário do profissional de segurança há alguns anos.

As minhas sugestões:

• Mantenha-se saudável: Saiba reservar um tipo para você descansar e desligar do trabalho. Faça exercícios, tente manter um número razoável de horas de sono por dia. Respeite o seu corpo;
• Não leve a pressão do trabalho para casa;
• Valorize a sua vida pessoal mais do que a profissional. Se você não fizer isso, ninguém fará por você - muito menos a sua empresa e seu chefe. Sempre que possível, priorize seus compromissos com família e amigos. Você pode mudar de emprego, mas não muda de família. Várias vezes eu deixei de ir em um compromisso pessoal por conta do trabalho, e. me arrependo. Certa vez eu deixei de ir no casamento de um grande amigo porque tinha uma viagem de trabalho marcada. Eu não lembro qual viagem era, para onde nem por qual motivo, mas até hoje lembro que não fui no seu casamento - então, quem você acha que foi o mais importante no longo prazo?
• Mantenha um horário de trabalho adequado: Eu gosto de trabalhar até tarde, ma sem compensação eu chego tarde. Cada pessoa tem seu ritmo de trabalho, logo não vejo problema em segui-lo. O problema é quando você não respeita o seu ritmo e trabalha acima do que deveria. Eu tento manter uma regra, mesmo quando estou sobrecarregado de trabalho: só entro no trabalho 12h depois de ter saído - tenho que ter pelo menos 12h de descanso;
• Saiba dizer "não". Você está sobrecarregado de trabalho e surge uma nova demanda? Nós temos a tendência de aceitar esse trabalho extra, nos sobrecarregarmos e no final, não fazemos direito nem esse trabalho nem o trabalho do dia-a-dia. Quando chegar um trabalho extra, negocie prazos e prioridades. Se você precisa de 3 dias para terminar a tarefa atual, avise que só vai atender a nova tarefa daqui a 3 dias, ou negocie a prioridade - "eu faço isso, mas vou atrasar aquilo". Por já ter trabalhado em empresas americanas, eu vejo que isso é um problema cultural: nós sempre damos um jeito de encaixar a nova tarefa no dia-a-dia. O trabalhador americano não, ele simplesmente responde que vai fazer essa tarefa dentro de "x dias", num prazo determinado. Resultado? Nós fazemos as coisas mais "nas coxas", estamos sempre sobrecarregados, estressados e com as entregas atrasadas;
• Mantenha o bom humor. Divirta-se. Tente sempre encarar o copo como "meio cheio". Pensamentos negativos atraem energias negativas, que atraem stress e te levam para o lado escuro da Força;
• Goste do seu trabalho: passamos muito tempo no escritório e trabalhando fora dele. Passamos mais tempo com os colegas de trabalho do que com a família. Por isso, temos que gostar do que fazemos;
• Apoie seus colegas: se você perceber que seu colega de trabalho está com problemas ou dificuldades, apoie, ajude. Ou, pelo menos, não atrapalhe nem piore a situação. Somos homens, não máquinas.

Para saber mais:

• Site da campanha Setembro Amarelo
• [Segurança] Stress entre os profissionais de segurança
• Precisamos falar sobre suicídio: 4 mitos e 2 verdades sobre o tema em redes sociais
• Prevenção do suicídio: sinais para saber e agir

[Segurança] Vazaram os dados de toda população! Do Chile e Equador!

É assustador... Em poucos dias, soubemos de dois vazamentos massivos de dados pessoais, aonde cada um deles afetou o equivalente a toda a população do país inteiro:

• Chile: Há cerca de 2 meses, foi encontrado um servidor desprotegido na Elasticsearch, com uma base de dados aberta ao público, sem autenticação, contendo 3 GB de arquivos com  informações pessoais de 14 milhões de chilenos, com idade superior a 17 anos. Isso representa praticamente toda a população adulta do país e cerca de 80% do total de habitantes (a população total do país é de 18 milhões). Os dados comprometidos incluem informações como nome completo, gênero, endereço residencial, idade e número do documento de identificação;
• Equador: Há poucas semanas atrás, pesquisadores de segurança identificaram um servidor Elasticsearch em Miami que estava disponibilizando, sem autenticação, um total de aproximadamente 20,8 milhões de registros de usuários, incluindo dados de 6,7 milhões de crianças - totalizando 16 GB de dados. Os conjunto de dados incluíam detalhes como nomes, informações sobre membros da família, dados de registro civil, informações financeiras e de trabalho, e até mesmo dados sobre a propriedade de carros. A quantidade de dados vazados é maior do que a população do país, que possui 16,6 milhões de cidadãos. A fonte dos dados é uma empresa local chamada Novaestrat, que fornece serviços de análise financeira para o mercadolocal. Seu diretor foi preso pelas autoridades equatorianas.

Em comum, vemos uma prática que está se tornando frequente, de forma assustadora: repositórios de dados na nuvem, armazenados sem uma proteção básica de segurança (sequer tinham controle de acesso!).

Os dois países latinoamericanos se juntam a Bulgária, que em Julho teve um vazamento de dados financeiros de aproximadamente 70% de sua população :(

Para saber mais:

• Vazamento de dados expõe informações de quase toda a população chilena
• BREACH: Data Leak Exposes Personal ID’s of Over 14 Million Chilean Citizens
• Personal Data Of Entire 16.6 Million Population Of Ecuador Leaked Online
• Database leaks data on most of Ecuador's citizens, including 6.7 million children
• IT Firm Manager Arrested in the Biggest Data Breach Case of Ecuador’s History
• Fiscalía realizó la toma de versión de directivos de Novaestrat
• Hacker Stole Data of Over 70% Bulgarian Citizens from Tax Agency Servers

[Segurança] Eventos de Segurança no segundo semestre de 2019

Já estamos em Setembro e, antes tarde do que nunca. vamos dar uma olhada na agenda dos eventos de segurança que aconteceram e vão acontecer nesse segundo semestre de 2019!

Disclaimer: Seguindo a tradição destes meus posts sobre os eventos do semestre, aqui eu listo apenas os eventos na área de segurança que eu considero serem os mais relevantes para o nosso mercado e que merecem uma visita.

Normalmente o segundo semestre é bem intenso, lotado de eventos aqui no Brasil. Acompanhe quais são os mais importantes na lista abaixo:

• Julho/2019
• 06/07: Roadsec Para (twitter @roadsec) - Belém (PA) foi a última cidade a receber o tour de edições regionais do Roadsec em 2019, com suas palestras, oficinas e competições;
• Agosto/2019
• 13 e 14/08: Gartner Security & Risk Management Summit - Evento anual de segurança do Gartner, com um mix de palestras de analistas do Gartner, patrocinadores e de convidados. Este é "o evento" topzeira para os CSOs, CISOs e diretores;
• Setembro/2019
  • 02 a 05/09: XIX Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) (São Paulo, SP) - Esse é o principal evento científico e acadêmico sobre Segurança no Brasil, organizado pela Sociedade Brasileira de Computação (SBC). A cada ano ele ocorre em uma cidade diferente, e desta vez será na USP, em São Paulo. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais
  • 09 e 10/09: 8º Fórum Brasileiro de CSIRTs - Organizado pelo Cert.br, o Fórum Brasileiro de CSIRTs é um evento dedicado à discussão de assuntos relacionados com tratamento de incidentes de segurança. É um evento fundamental para quem trabalha com tratamento e resposta a incidentes, em SOCs e Grupos de Tratamento de Incidentes de Segurança (CSIRTs) e com Blue Team;
  • 11/09: Global Risk Meeting (GRM) (twitter @grmeeting) - Evento focado principalmente em gestão de riscos para o público gerencial, realizado pela Daryus desde 2005, sempre próximo a emblemática data de 11/setembro;
  • 17 e 18/09: Mind The Sec São Paulo (twitter @MindTheSec) - Mega-evento corporativo organizado pela Flipside atendendo o público técnico e, principalmente, o gerencial (leia-se, média gerência e alguns CSOs). É o principal evento brasileiro para o público corporativo. Neste ano eles vem com 8 (oito!!!) trilhas de palestras simultâneas e traz como principais keynotes o Chris "Weldpond" Wysopal, da L0pht, e o Fernando Nery, o grande pioneiro do mercado de segurança brasileiro;
  • 21/09: Hackaflag São Paulo (twitter @hackaflag) - O campeonato HackaFlag (#HFBR19), organizado pela Flipside, aterrisa em São Paulo após passar por 10 cidades brasileiras, junto com o Roadsec. Nessa etapa classificatória, o #HFBR19 irá contar com palestras focadas em Segurança da Informação e o que promete ser a maior etapa dessa edição do campeonato. Os vencedores de todas as etapas regionais disputam a final no Roadsec São Paulo;
  • 21/09: Jampasec (João Pessoa, PB) (twitter @jampasec) - Ótimo evento técnico em João Pessoa, que atrai vários pesquisadores da comunidade brasileira de segurança;
  • 26/09: Security Leaders Porto Alegre - Mini edição regional do Security Leaders, com um dia de debates xoxos em um palco lotado de painelistas. Atrai o público corporativo e patrocinadores, que se encontram em sua área de exposição;
• Outubro/2019
• 01 e 02/10: Code{4}Sec - evento da Flipside focado no tema de Application Security e todas as buzzwords relacionadas (AppSec, DevSecOps, etc);
• 25/10: Sacicon - Pequeno evento de segurança que antecede a H2HC, somente para convidados, que tem como objetivo oferecer um fórum aberto para palestrantes internacionais que vieram para a H2HC. O evento começa com uma festa na noite anterior e continua no dia seguinte com palestras após um "hangover brunch". A língua oficial do evento é o Inglês;
• 26 e 27/10: Hackers to Hackers Conference (H2HC) (twitter @h2hconference) - A H2HC é o mais importante e mais tradicional evento brasileiro sobre hacking e pesquisa em segurança, com excelentes palestras técnicas. Nesse ano eles mudaram de hotel, e vão para o Novotel Center Norte, que promete uma área muito maior para o evento;
• 29 e 30/10: Congresso Security Leaders São Paulo - Edição comemorativa de 10 anos do evento! Evento corporativo, formado principalmente por painéis de debates (com conteúdo fraco e que são transmitidos ao vivo) e que também possui uma área de exposição. Evento que atrai gestores de segurança (gerentes, diretores, CSOs etc) atraídos principalmente pela oportunidade de auto-promoção, com um prêmio entregue no final do evento. Apesar da baixa qualidade do conteúdo, é um evento que atrai muitos patrocinadores;
• Novembro/2019
  • 09/11: NullByte (Salvador, BA) (twitter @nullbytecon) - excelente evento técnico em Salvador, que atrai vários dos pesquisadores da comunidade brasileira. Salvador é uma cidade com uma comunidade de segurança forte, que merece a visita;
  • 12/11: Security Leaders Recife - o "mini-Security Leaders" em Pernambuco;
  • 23/11: Roadsec São Paulo (twitter @roadsec) - O mega-evento de encerramento do RoadSec no Audio Clube, com várias trilhas de palestras, diversas oficinas, final do Hackflag, food trucks, stands dos patrocinadores, lojas, etc. O Keynote será o "Mudge", do L0pht, e o show de encerramento será com o CPM 22;
  • 28/11: Security Leaders Fortaleza;
  • 30/11 e 01/12: BHack (Belo Horizonte, MG) - Evento de segurança com foco técnico, o mais antigo no circuito de eventos de alta qualidade fora de São Paulo;
• Dezembro/2019
  • 12/12: Security Leaders Salvador - versão mini do Security Leaders em sua passagem pela Bahia, encerrando o tour deles neste ano;
  • 12 e 13/12: GTER 48 e GTS 34 (twitter @gtergts) - Eventos gratuitos organizados pelo NIC.br e que acontecem sempre em parzinho: no primeiro dia tem o GTER (Grupo de Trabalho de Engenharia e Operação de Redes), seguido pelo GTS (Grupo de Trabalho em Segurança de Redes) no dia seguinte. As palestras, de conteúdo técnico, são transmitidas ao vivo.

Além dos eventos brasileiros citados acima, existem vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro. Os mais importantes são:

• 03 a 11 de Agosto, em Las Vegas/EUA: Black Hat USA (03 a 08/08), BSidesLV (06 e 07/08) e a Defcon (08 a 11/08);
• Para saber mais dicas sobre a Defcon, Black Hat e BSidesLV, veja este post;
• 25 a 27 de Setembro: Ekoparty (Buenos Aires, Argentina): A "Eko" (twitter @ekoparty) é um excelente evento de segurança, um dos mais importantes da América Latina. Evento técnico com foco em pesquisa em segurança com excelentes palestras;
• 25 e 26 de Outubro: 8.8 (Santiago, Chile) (twitter @8dot8): Principal evento de segurança no Chile, com organização caprichada e excelentes palestras que atendem o público técnico e gerencial. Eles tem algumas edições em outros países da América Latina, o que os torna o principal evento itinerante da região. Infelizmente, nesse ano coincidiu a data com a H2HC :(

Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site infosec-conferences.com.

Notas:

• Quando não houver indicação em contrário, o evento acontecerá em São Paulo.
  
• Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.
• Veja quais foram os eventos no primeiro semestre de 2019;
• Lembre-se: a lista acima é baseada na minha opinião pessoal;
• O Latinoware (Foz do Iguaçu), agendado inicialmente para 16 a 18/10, foi adiado. Assim que tiver notícias eu atualizo esse post;
• Alguns eventos sumiram do calendário: o CNASI (que aconteceu pela última vez em 2017, na sua 26a edição) e o DISI (Dia Internacional de Segurança em Informática), da RNP e que costumava acontecer em Outubro. #RIP

PS: Post atualizado em 18/09.

[Segurança] Normas ISO e ABNT sobre Privacidade

A ISO (International Organization for Standardization), em conjunto com a ABNT (Associação Brasileira de Normas Técnicas) possui várias normas relacionadas a privacidade de dados, que ajudam muito as empresas que estão se esforçando para se adaptarem a GDPR e a LGPD.

As normas mais relevantes são as seguintes:

• ABNT NBR 16167:2013 - Segurança da Informação — Diretrizes para classificação, rotulação e tratamento da informação
• Norma Brasileira que descreve como deve ser uma política de classificação da informação;
• Publicada em 04/04/2013, essa Norma Brasileira, criada pela ABNT, está em processo de revisão;
• Objetivo: "Esta Norma estabelece as diretrizes básicas para classificação, rotulação e tratamento das informações de acordo com sua sensibilidade e criticidade para a Organização, visando o estabelecimento de níveis adequados de proteção."
• ISO/IEC 27018:2019 - Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
• Publicada no início deste ano, em 15/01/2019, essa Norma está em processo de adoção pela ABNT. A versão anterior da norma está traduzida para o Português, disponível pela ABNT como ABNT NBR ISO/IEC 27018:2018 (Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII);
• Objetivo: "This document establishes commonly accepted control objectives, controls and guidelines for implementing measures to protect Personally Identifiable Information (PII) in line with the privacy principles in ISO/IEC 29100 for the public cloud computing environment. In particular, this document specifies guidelines based on ISO/IEC 27002, taking into consideration the regulatory requirements for the protection of PII which can be applicable within the context of the information security risk environment(s) of a provider of public cloud services. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which provide information processing services as PII processors via cloud computing under contract to other organizations. The guidelines in this document can also be relevant to organizations acting as PII controllers. However, PII controllers can be subject to additional PII protection legislation, regulations and obligations, not applying to PII processors. This document is not intended to cover such additional obligations."
• ISO/IEC 27701:2019 - Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines
• Norma novinha, publicada em 05/08/2019. Com 66 páginas, ela mapeia os requisitos e controles da 27001 e 27002 e identifica os cuidados adicionais de privacidade que devem ser tomados;
• Objetivo:: "This document specifies requirements and provides guidance for establishing, implementing, maintaining and continually improving a Privacy Information Management System (PIMS) in the form of an extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management within the context of the organization. This document specifies PIMS-related requirements and provides guidance for PII controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which are PII controllers and/or PII processors processing PII within an ISMS."
• ISO/IEC 29100:2011 - Information technology - Security techniques - Privacy framework
• Embora seja de 2011 (publicada em 05/12/2011), essa Norma está em processo de adoção pela ABNT;
• Objetivo: "ISO/IEC 29100:2011 provides a privacy framework which specifies a common privacy terminology; defines the actors and their roles in processing personally identifiable information (PII); describes privacy safeguarding considerations; and provides references to known privacy principles for information technology. ISO/IEC 29100:2011 is applicable to natural persons and organizations involved in specifying, procuring, architecting, designing, developing, testing, maintaining, administering, and operating information and communication technology systems or services where privacy controls are required for the processing of PII."

Essas normas ISO 29100, 27701 e 27018, junto com a norma ABNT 16167 fornecem subsídios para apoiar as empresas que estão se adequando a LGPD, garantindo padrões internacionais a serem seguidos nessa jornada.

Para saber mais:

• Tackling privacy information management head on: first International Standard just published
• ISO/IEC 27701 - Sua empresa é Certificada em Privacidade e Proteção de Dados? Ainda não?

[Segurança] Estatísticas sobre Segurança em Computação em Nuvem

Recentemente a Checkpoint e a Symantec disponibilizaram relatórios interessantes sobre Segurança da Nuvem, com várias estatísticas recolhidas do mercado. São relatórios que abordam questões de segurança na adoção de cloud computing, incluindo quais sÃo os maiores riscos, desafios e dificuldades - não é a toa, ambos os relatórios destacam a dificuldade em identificar mão de obra qualificada nesse assunto.

As pesquisas trazem vários dados muito interessantes, e elas se complementam em vários pontos. Entre os dados apresentados nesses relatórios, eu destaco os seguintes:

• Segundo a Checkpoint...
• O SaaS (Software como Serviço) é o modelo de nuvem mais implementado (51%), seguido por IaaS (Infraestrutura como Serviço) (39%) e PaaS (Plataforma como Serviço) (22%);
• Os cinco aplicativos SaaS mais populares são o Microsoft Office 365 (66%), o Microsoft Exchange (37%), Salesforce (32%), o Google G Suite (29%) e o Dropbox (26%);
• O e-mail é a informação mais comum armazenada na nuvem (63%), seguido por dados de clientes (45%) e dados de funcionários (incluindo RH e folha de pagamento com 42%);
• A segurança dos dados e os riscos de segurança em geral (um total de 57%) figuraram no topo da lista de obstáculos para a adoção mais rápida da nuvem, seguidos pela falta de orçamento (26%), desafios de conformidade (26%) e falta de equipe qualificada (26%);
• 66% dos entrevistados afirmam que soluções de segurança tradicionais não funcionam ou apresentam funcionalidade limitada em ambientes de nuvem;
• As maiores dores de cabeça em relação à segurança na nuvem se referem à conformidade (34%) e à falta de visibilidade na segurança da infraestrutura (33% no total). A definição de políticas de segurança consistentes na nuvem e localmente e a falta contínua de equipes de segurança qualificadas estão empatadas em terceiro lugar (com 31% cada);
• O acesso não autorizado e interfaces inseguras empatam em primeiro lugar como as maiores vulnerabilidades da segurança na nuvem (42% cada). Eles são seguidos pelos erros de configuração da plataforma da nuvem (40%) e sequestro de contas (39%);
• Os maiores obstáculos são a falta de conhecimento especializado e de treinamento das equipes (41%), seguido por desafios orçamentários (40%), preocupações com a privacidade de dados (38%) e falta de integração com as plataformas locais (34%);
• A criptografia de dados em repouso (38%), a automação da conformidade (37%) e APIs para denúncia, auditoria e alerta sobre eventos de segurança (34%) são os três controles de segurança mencionados com mais frequência;
• Segundo o Relatório da Symantec, realizada em parceria com a Cloud Security Alliance (CSA)...
• 53% das organizações já estão avançandas na implementação da nuvem em seu ambiente de TI;
• A maioria das organizações está subestimando o volume de uso de aplicações na nuvem: enquanto uma organização acredita que seus funcionários estão usando em média 452 aplicativos na nuvem, na verdade, de acordo com os dados da própria Symantec, o número real de aplicativos de TI em uso por organização é de 1.807 (quase 4 vezes a mais do que eles estimam);
• 73% das empresas pesquisadas acreditam que os incidentes na nuvem aconteceram devido à práticas de segurança imaturas - incluindo o uso de contas pessoais, falta de serviços de Autenticação Multifator (MFA) ou Prevenção de Perda de Dados (DLP);
• 54% dos entrevistados dizem que a segurança na nuvem de sua organização não conseguiu acompanhar a expansão do uso de novos aplicativos;
• Segundo dados da Symantec, o acesso não autorizado a contas é responsável pela maior parte dos incidentes de segurança na nuvem (64%);
• 85% das empresas não estão usando as práticas recomendadas de segurança na nuvem
• Por exemplo, 65% das organizações não implementaram Autenticação Multifator (MFA) na configuração de IaaS e 80% não usam criptografia;
• A maioria (92%) disse que precisa melhorar as habilidades de segurança na nuvem, enquanto 84% confirmaram que precisavam adicionar pessoas na equipe para eliminar a deficiência.

O relatório da Symantec também fala muito da Nuvem como sendo o "novo shadow IT" (eu gosto e chamar isso de "Shadow Coud"), ou seja, quando a empresa cria recursos e serviços de tecnologia sem conhecimento, nem participação e aprovação, da área de TI. Assim, os dados da empresa se propagam nos serviços de nuvem SaaS autorizados e não autorizados. Mais da metade dos entrevistados (52%) consideram problemático o aumento do uso de aplicativos na nuvem para armazenar e compartilhar dados corporativos confidenciais. A grande maioria (93%) informou que seus usuários compartilham arquivos na nuvem contendo dados confidenciais e relacionados à conformidade

Ao final, o relatório da Symantec aponta algumas das melhores práticas para desenvolver a maturidade da segurança na Nuvem:

• Desenvolver uma estratégia de governança;
• Adotar um modelo de Zero Trust (Confiança Zero);
• Promover a responsabilidade compartilhada;
• Aproveitar automação e inteligência artificial sempre que possível;
• Abrir caminho para DevSecOps.

Ambas pesquisas revelam que o maior desafio que as organizações estão enfrentando não é apenas na tecnologia, mas também nas pessoas e nos processos. Elas dão uma boa visibilidade de como as organizações estão se adaptando a evolução das ameaças na nuvem, examinando questões como visibilidade de seu ambiente, perda de controle de dados e práticas de segurança imaturas, com uso insuficiente de tecnologias, processos inadequados e pessoal sem a devida capacitação.

Para saber mais:

• Check Point: "Relatório de Segurança na Nuvem"
• Symantec: "Relatório de Ameaças à Segurança na Nuvem de 2019 (CSTR), volume 1"
• Blog: "O Relatório de Ameaças à Segurança na Nuvem da Symantec aponta os reais riscos da nuvem"
• Webinar "Relatório de Ameaças à Segurança na Nuvem de 2019: Descubra recentes tendências"

OBS: Post atualizado em 11/09/2019.

[Segurança] Sobre vazamento de dados

Eu li um artigo interessante, que analisou algumas características e estatísticas dos últimos vazamentos de dados, um problema constante no dia-a-dia.

Os pesquisadores identificaram que nenhuma empresa está imune à possibilidade de violação de dados. Eles analisaram as principais violações de dados de 2014 até 2018 e identificaram que houve uma grande variedade de ataques empregando estratégias diferentes, o que torna mais complexo a tarefa de garantir a segurança dos dados. Este estudo inclui 182 organizações diferentes, incluindo empresas públicas e privadas, agências governamentais e instituições de ensino.

O que me chamou a atenção nesse artigo foi que os pesquisadores identificaram que as violações de dados parecem acontecer em ciclos, em relação a forma como ocorrem (tipos de empresas atacadas e técnicas de ataques). Ou seja, de tempos em tempos, alguns setores são mais visados do que outros.

Veja algumas tendências que o artigo aponta em termos de ataques e tipos de negócios envolvidos em violações de dados:

• Em 2014 as violações de dados pareciam ter como alvo principalmente os sistemas de ponto de venda (POS) na loja (79% dos casos). Não é de se espantar, portanto, que 75% das instituições-alvo foram empresas de varejo;
• Em 2015 houve um aumento nos ataques a sistemas online para obter informações (90% dos casos). 2015 viu 24% de violações em empresas de tecnologia, 19% em organizações médicas e 14% em entretenimento, mas apenas 10% das organizações afetadas estavam no ramo de varejo; 
• O ano de 2016 teve o hacking on-line como a ocorrência mais comum (72% das vezes). O ano de 2016 trouxe violações em organizações de tecnologia (21%), do setor médico (17%), social (8%) e governamental (8%);
• Em 2017 e 2018 ocorreu um aumento no número de vazamentos ocorridos em função de erros das empresas - embora os ataques online ainda fossem comuns. Igualmente, nesses anos manteve-se uma tendência de atacar empresas do setor de tecnologia, médica, social e governamental.
• Em 2018 as empresas de criptomoedas também tornaram-se alvos de ataques, com 2 hacks que totalizaram uma perda de mais de US$ 69 milhões de dólares em moeda online sendo roubada.

Recentemente estamos vendo com mais frequência casos de ataques e vazamento de dados relacionados ao setor Financeiro (vaja, no Brasil, os casos do Banco Inter e Panamericano, além do recente ataque ao banco americano Capital One). Também está se tornando comum os casos de vazamento de dados causados por armazenamento desprotegido em servidores em Nuvem (os famosos "buckets").

Para saber mais:

• Paper "Data Security: A review of major security breaches between 2014 and 2018"
• Paper "Are Large Scale Data Breaches Inevitable?"
• Alguns artigos no blog da IdentityForce:
• 2018 Data Breaches - The Worst Breaches
• 2019 Data Breaches - The Worst Breaches, So Far
• Data Breaches Are Surging: What You Need to Know

[Segurança] A origem do Phishing

Em um artigo no blog da Axur, sobre um infográfico sobre Phishing (veja meu comentário no blog sobre ele), eles contam como foi a origem desse ataque. Segue uma transcrição:

O phishing nasceu na década de 90 e o termo foi criado por criminosos que, naquela época, utilizavam uma ferramenta conhecida como AOHell para roubar credenciais de usuários da America Online (AOL). Essas contas – que quase sempre vinham acompanhadas de números de cartões de crédito – eram posteriormente negociadas e trocadas por softwares de hacking ou programas pirateados.

Usando a AOHell, os golpistas se passavam por funcionários da AOL e pediam as senhas das vítimas, geralmente sob o pretexto de “verificar a sua conta” ou “atualizar informações de cobrança”. Visto que tais armadilhas não eram comuns naquela época, os criminosos invariavelmente tinham sucesso.

A “moda” pegou e muitos criminosos começaram a usar a técnica fora da AOL para obter informações preciosas e lesar internautas desavisados. Hoje, o phishing já é um dos maiores problemas para o mercado global de segurança digital – ao longo de 2018, foram registradas mais de 1 milhão de notificações de e-mails ou mensagens com conteúdo malicioso ao redor do mundo inteiro.

Veja um screenshot do tal do AOHell:

O Scan Nigeriano é um dos golpes mais antigos, que remonta dos primórdios da Internet. E até hoje faz muitas vítimas. Consiste em um pedido de ajuda (originalmente em nome de um rei ou príncipe africano), que busca uma alma caridosa para receber e repassar uma grande quantidade de dinheiro - em troca de uma generosa porcentagem. Esse golpe também é conhecido como "419 fraud".

Para saber mais:

• Blog da Axur: Phishing: o guia completo para proteger seus clientes
• Nigerian Email Scammers Are More Effective Than Ever

[Cyber Cultura] Você faz ideia do tamanho da pornografia na Internet?

Esse é um pequeno documentário de 7 minutos sobre a pornografia online. Muito bem feito, com uma linguagem leve e descontraída, ele descreve como a pornografia influênciou o crescimento da Internet e como ela representa uma indústria gigantesca.

Por exemplo, enquanto Hollywood produz mais de 600 filmes e fatura US$ 10 bilhões por ano, nesse mesmo período a indústria da pornografia online produz 13 mil filmes e fatura a bagatela de US$ 15 bilhões. Muitos outros dados e estatísticas foram tirados do site Pornhub. Ele recebeu o upload de 4 bilhões de vídeos em 2017, que demandariam 68 anos ininterruptos para serem vistos.

No final, ele acaba com um trecho da música “The Internet is for porn” rs...

[Segurança] Stay Safe from Phishing and Scams

O pessoal do Google for Education fez um vídeo ben curtinho, e legal, sobre o que são as mensagens de Phishing e Scam que recebemos e como identificá-las:

Esse vídeo faz parte de uma iniciativa muuuuuito legal do Google, o "Curso de Cidadania Digital e Segurança", que aborda tópicos como segurança e privacidade na Internet, proteção contra phishing e golpes, e como gerenciar sua reputação on-line.

[Segurança] Imagens de ataques a Caixas Eletrônicos

Eu achei algumas imagens animadas sobre ataques a caixas eletrônicos, que podem ser usadas para ilustrar ações de conscientização de usuários:


Criminosos atacando fisicamente alguns caixas eletrônicos:

Criminosos explodindo caixas eletrônicos, para roubar o dinheiro (veja aqui meu post no blog sobre esse assunto):

Um Caixa Eletrônico com frente falsa, identificado aqui no Brasil:

Essa imagem de um caixa eletrônico cuspindo dinheiro parece saído das palestras do Barnaby Jack:

Nos EUA, aonde o abastecimento de gasolina é feito pelo próprio cliente, o pagamento também é feito diretamente em uma leitora de cartões na bomba. Por isso, lá eles tem o problema dos "chupa cabras" (skimmers) nas bombas de gasolina:

Para descontrair um pouco, que tal mais algumas imagens engraçadas?

Um gato impedindo o uso do caixa eletrônico:

Beavis e o Butthead num caixa eletrônico:

Você já viu o Hulk tentando usar o caixa eletrônico?