novembro 19, 2019

[Carreira] Como tornar as reuniões mais produtivas

Reuniões sempre foram um grande drama corporativo. Em todas as organizações, boa parte do tempo dos funcionários é despendido em reuniões - e é comum ouvir reclamações sobre isso.

Não é a toa que todo mundo odeia ser convocado uma reunião, pois é muito frequente participarmos de reuniões aonde você nada tem a ver com o assunto, ou você só é necessário em um ponto específico. Isso sem falar que é comum você ser convocado para participar em reuniões que você nem sabe o tema. O convite chega e você não tem opção a não ser aceitar e esperar para ver o que vai ser discutido. Me parece que as pessoas acham que manter o segredo sobre a pauta da reunião aumenta o interesse das pessoas, ou aumenta a expectativa... sei lá... :(

Recentemente li um artigo sobre "como tornar as reuniões de condomínio menos chatas" que traz alguns pontos muito importantes sobre como melhorar a dinâmica das reuniões, e essas dicas podem ser aplicadas para qualquer reunião:
  • Antes de mais nada: toda reunião tem que ter uma pauta e uma ata. A pauta serve para descrever, com antecedência, quais assuntos serão discutidos na reunião. Quanto mais detalhada for a pauta, melhor as pessoas podem se preparar para a reunião e, acredite, isso torna as discussões mais rápidas e objetivas;
  • Durante a reunião, faça a ata, transcrevendo o que está sendo discutido e, principalmente, as conclusões e próximas tarefas. Ao final, compartilhe a ata com todos os participantes. A ata serve para formalizar as decisões que foram tomadas, e pode ser utilizada para cobrar uma ação ou, simplesmente, dar continuidade ao assunto na próxima reunião Além do mais, a ata permite que as pessoas que não estavam presentes possam acompanhar o que foi discutido e decidido, evitando que um determinado assunto sempre volte nas reuniões seguintes;
  • Ritmo: a pauta precisa ser listada com antecedência e os assuntos devem ser organizados por prioridade e similaridade. Durante a reunião, todos devem colaborar para que os assuntos sejam debatidos e definidos sem enrolação;
  • Descontração: não é necessário falar com rigor e vocabulário formal. O bom senso deve prevalecer na hora de descontrair o ambiente. Mas cuidado, porque descontração em excesso causa distração;
  • Empatia: essencial para chegar em concordâncias, as pessoas devem tentar se colocar no lugar umas das outras para entender melhor os assuntos tratados e trabalharem por uma decisão que seja boa para ambas as partes. O consenso é melhor do que uma decisão imposta por votação;
  • Ordem: Comece a reunião pelos assuntos mais importantes e urgentes, assim você garante que eles sejam tratados e que as pessoas que estiverem sem tempo poderão participar das decisões críticas antes de saírem da reunião;
  • Cafézinho: depois que os apressados saírem, por que não fazer um coffee break? Pausas assim incentivam a harmonia entre os moradores;
  • Use a Tecnologia a seu favor: hoje em dia é muito fácil preparar e adiantar muitas pautas com a utilização de ferramentas na Internet, como enquetes, grupos de discussão ou mesmo listas de e-mail.

novembro 17, 2019

[Segurança] Eventos de segurança, códigos de conduta e exclusão

Durante o final da última edição da conferência NullByte, no sábado dia 09/11 em Salvador (BA), os organizadores realizaram um debate sobre a comunidade hacker (*), mas que infelizmente saiu do controle e deixou muitos ânimos exaltados e algumas feridas.

(*) Por "comunidade hacker" e "hacking", nesse contexto, entenda-se a comunidade de pessoas interessadas no aspecto ofensivo de segurança da informação.

Como o assunto é longo e delicado, eu resolvi dividir esse post em vários tópicos. E, como a história do ocorrido é um pouco longa, eu deixei o detalhamento dela para o final. Também não vou citar os nomes das pessoas, em respeito a privacidade dos envolvidos.


Qual foi a treta da NullByte?

No final do evento, antes do horário programado para seu encerramento, os organizadores anunciaram que realizariam um debate de encerramento, e então três pessoas subiram ao palco (todos muito bem conhecidos do mercado de segurança nacional). Logo no início me chamaram também para o palco, e eu que estava confortavelmente acomodado no fundão, acabei indo e me posicionando num dos cantos do palco.

A minha impressão pessoal foi de que a intenção era discutir os limites éticos das pesquisas em segurança e a importância dos eventos para as comunidades locais (de novo, esse é o meu "achômetro"). Mas a primeira pergunta do debate já levou para um caminho diferente...

Resumindo a treta em um pouco mais de um tweet, um dos mediadores perguntou se "os eventos de segurança deveriam ter um código de conduta", e imediatamente começou a discussão que os eventos de segurança não são inclusivos. Rapidamente a discussão escalou para temas como preconceito, machismo, e alguns participantes se exaltaram. Em poucos minutos, começou uma gritaria entre meia dúzia de pessoas, com acusações verbais, dedo na cara (aparentemente rolaram até ameaças). Assim que o caos se instalou e a conversa virou bate-boca, a organização do evento interviu, interrompeu a discussão e argumentou que, na NullByte, o que importa é o hacking, e não o tipo de pessoa, e que qualquer tipo de preconceito seria repudiado pela própria comunidade.

Não me levem a mal: até naquele momento eu tinha achado que, apesar de tudo, o debate tinha sido bom porque fez com que algumas pessoas começassem a se preocupar com a diversidade no mercado e a necessidade de haver mais respeito a todos.

Pouco tempo depois, em poucas horas, apareceram várias críticas no Instagram do evento (na última vez que eu vi tinham 58 comentários, mas todos foram apagados) e algumas discussões em grupos online. Alguns dias depois surgiu um post no Medium sobre o ocorrido, com título "O Hacking está morto", que também foi tirado do ar.



Existe inclusão no mercado e segurança?

Claro que não! Lamentavelmente, o mercado de segurança, assim como o mercado de tecnologia, é extremamente machista e preconceituoso. Há poucas mulheres na área, poucos negros e raramente alguém tem coragem de declarar a sua opção sexual se ela for diferente de "heterosexual". A comunidade hacker de segurança, assim como o nosso mercado, é dominado pelo macho alpha hackudo, que invade tudo e faz leak de todo mundo.

Mas a culpa não é dos profissionais de segurança em si. Muito do preconceito e do desrespeito está enraizado em nossa sociedade e nossa cultura, além disso, o mercado de tecnologia, engenharia e ciências exatas é majoritariamente masculino. Muitas vezes somos preconceituosos e desrespeitosos sem perceber: aquela piadinha sobre mulher gostosa ou sobre alguém ser gay pode, muitas vezes, soar de forma desrespeitosa para uma pessoa que testemunhe a piada.

Ou seja, a nossa sociedade machista e preconceituosa, que nos cerca e está presente no nosso dia-a-dia, molda nosso comportamento (consciente ou subconsciente) e, por sua vez, ttendem a moldar o nosso relacionamento dentro da comunidade.

Em tecnologia isso é muito claro! Infelizmente, não é a toa que vemos poucas mulheres, poucos negros e poucas pessoas LGBT no mercado, e raros são os casos que chegam a ocupar cargo de gestão ou destaque profissional.


A cultura hacker é inclusiva?

Sim, por mais estranho que pareça, eu acredito que a cultura hacker é inclusiva. Principalmente porquê a cultura hacker é fortemente baseada na meritocracia: você vale pelo seu conhecimento, o famoso "show me the code".

Em uma cultura baseada fortemente na interação virtual, online (como nos fóruns no IRC, fóruns online e redes sociais), muitas vezes interagimos com uma pessoa por vários anos sem conhecer-la pessoalmente. O seu nickname e seu conhecimento fala mais sobre você do que sua foto, seu rosto, seu nome verdadeiro, sexo ou condição social.

Mas, infelizmente, o mundo real é injusto, extremamente preconceituoso. Nossa sociedade é repleta de várias nuances de preconceito e exclusão, que acabam moldando a nossa cultura e nosso comportamento. Quando uma comunidade inclusiva no mundo virtual se relaciona no mundo real, os preconceitos enraizados em nossa sociedade começam a se manifestar. O negro vale menos do que o branco, o gay vira motivo de piadas, o sexismo impera: a mulher é considerada menos capaz e é sexualizada.


Eventos de segurança precisam de código de conduta?

Sim, precisam. Precisam para tentar garantir um ambiente respeitoso e "seguro" para seus participantes, independente de sexo, cor, religião, opção sexual ou qualquer outra coisa. O Código de Conduta é importante para que as pessoas saibam que, se acontecer algum problema de assédio, preconceito ou desrespeito, as vítimas tem a quem pedir ajuda e a organização está se comprometendo a oferecer um canal de atendimento.

Eu, particularmente, não acredito que a simples existência de um Código de Conduta consegue resolver o problema do preconceito. Principalmente porque, aqui no Brasil, temos a triste cultura de desrespeitar  as leis quando nos convém (ou, pelo menos, ignorar). Se o Brasileiro já desrespeita as leis do país, porque iria respeitar um código de conduta de um evento qualquer?

Mas, como disse, o código de conduta mostra que a organização assume a responsabilidade de tratar os casos de desrespeito - ou seja, o caso vai ser investigado e, se necessário, o agressor pode ser punido dentro dos limites estabelecidos.

Falando em termos mais chulos... Um código de conduta não vai impedir que uma pessoa escrota seja escrota ou se comporte como tal. Mas vai mostrar a todos que a organização não aceita esse tipo de comportamento e se compromete a agir caso alguém se comporte de forma escrota.

Falando em termos técnicos da comunidade de infoseg, o código de conduta é como um "plano de resposta a incidentes": se acontecer algum problema, a organização se compromete a agir, seguindo regras e um procedimento pré-determinado.


É possível ser inclusivo em tecnologia?

Claro que sim! E é muito fácil: lembra que a comunidade hacker é guiada pelo mérito, pela conhecimento e pela "façocracia"? Temos que exercitar mais o discurso de que o seu conhecimento técnico importa mais do que sua cor de pele, sexo ou opção sexual. Temos que tirar isso do papel, e realmente respeitar o colega pelo seu conhecimento.

Tecnicamente, a solução parece fácil. Mas temos também que exercitar o respeito ao próximo. Temos que deixar de lado o discurso vitimista e o discurso de que "isso não acontece aqui" e começar a enxergar melhor o coleguinha ao lado. Viver em harmonia significa respeitar e tolerar as diferenças. Significa, por exemplo, evitar uma piada machista, e significa também tolerar uma piada machista quando ela acontece de forma esporádica e sem objetivo consciente de ofender.


O Código de Conduta é suficiente para garantir um evento inclusivo?

Não! Ser um evento inclusivo e seguro significa existir um clima aonde todas as pessoas se sintam acolhidas e respeitadas.

O Código de Conduta é um dos passos para atingir isso. Outro passo é as pessoas agirem de forma respeitosa com seus colegas. Outro passo, é tentar enxergar o lado dos outros, em vez de impor sua visão e sua opinião. Outro passo, mais difícil, é conseguirmos ter maturidade, como pessoa, para identificar e evitar daqueles comportamentos preconceituosos e nocivos que estão enraizados em nós, fruto da influência da nossa sociedade. Sim, isso é um auto-policiamento constante.

Para construir um ambiente seguro e inclusivo, temos que, na verdade, construir um ambiente artificial, diferente do mundo real lá fora. Temos que, de forma arbitrária, reforçar comportamentos positivos e criar mecanismos que ajudem a evitar os comportamentos negativos. Temos que nos educar e nos policiar para que isso aconteça.

Porque será que é tão difícil tentar entender as dores das outras pessoas? Eu já percebi que é muito difícil, para alguém que faz parte de um grupo majoritário, perceber os momentos em que age como tal. Pior ainda se o comportamento opressor fizer parte da cultura vigente. Por exemplo... Em muitos casos é difícil para um homem, por si só, perceber quando está sendo machista ou desrespeitoso com as mulheres.


Ok, mas dê mais detalhes de como foi a treta no dia do evento!

O meu report abaixo é baseado no meu ponto de vista do ocorrido. Logo, pode haver imperfeições, principalmente porque eu estava no lado oposto do palco no momento que a treta escalou estratosfericamente. Atém do mais, a situação saiu de um debate para um bate-boca muito rápido, toda a situação durou pouco mais mais do que 15 ou 20 minutos. Quando percebemos, o estrago já estava feito!

Como disse anteriormente, no final do evento os organizadores anunciaram que fariam uma atividade extra, um debate sobre a comunidade. Para atiçar os ânimos, primeiro projetaram uma foto "engraçada" de um dos organizadores, e em seguida, um anúncio da própria NullByte, de um palestrante de uma edição anterior, que é organizador de outro evento de segurança.

No início do debate, um dos mediadores abriu a discussão perguntando se haveria necessidade de ter código de conduta em eventos de segurança. Falou-se rapidamente alguma coisa sobre a cultura hacker não ter limites e em seguida o microfone foi passado para mim. Neste momento, inconscientemente, eu dei início a discussão.

Ou seja, os mediadores levaram a caixa de pandora até o palco, destrancaram ela e eu a abri...

Na minha resposta, eu comecei dizendo que acredito que um Código de Conduta é pouco eficiente pois o brasileiro, culturalmente, não respeita as leis. Mesmo assim, acredito que ele é importante para garantir um espaço seguro para as minorias, e disse também que eu já ouvi várias vezes que as mulheres evitam ir nos eventos de segurança pois sentem-se desrespeitadas.

Nesse momento começou a discussão sobre inclusão e respeito nos eventos de segurança (ou melhor, "exclusão e desrespeito").

Inicialmente 2 garotas foram ao palco e disseram que nunca sofreram nem viram acontecer nenhuma situação de desrespeito. Logo em seguida, duas outras se levantaram da platéia e foram até o palco para dizer o contrário: que o clima é machista e preconceituoso. Uma delas relatou uma situação, em outro evento, em que ela se sentiu desrespeitada e, por isso, ficou 2 anos sem frequentar eventos.

Neste momento, já havia começado a discussão aonde vários homens, héteros, diziam que o desrespeito não acontecia e que os eventos eram inclusivos, o que era negado pelas duas garotas. Aparentemente, uma delas se referiu ao público da Nullbyte como "um bando de machos" (eu não ouvi essa frase ser dita), o que deixou um dos organizadores transtornados e que criticou ser chamado de "macho" por sua história pessoal (ele foi criado pela mãe e irmã, e por isso acredita que sempre soube respeitar as mulheres).

Para jogar mais gasolina nos ânimos exaltados, uma pessoa levantou a questão do preconceito contra a comunidade LGBT, e citou o comentário de um palestrante como exemplo de desrespeito: ele havia mostrado seu código cheio de marcas coloridas e havia dito que o código estava "gay" (eu não ouvi essa frase ser dita pelo palestrante). O palestrante ficou surpreso e imediatamente se desculpou, dizendo que sua intenção não era ofender.

Neste momento, passados poucos minutos após o início dos debates, a discussão escalou rapidamente entre um grupinho em um dos cantos do palco, oposto aonde eu estava. Estavam as duas garotas acusando o evento de ser machista, o rapaz acusando de homofobia e alguns presentes e um dos organizadores defendendo ferozmente o evento.

Embora houvessem 2 microfones para conduzir as conversas, as pessoas deixaram os microfones de lado e começaram a aumentar o tom de voz, o que rapidamente se transformou numa gritaria. Nesse momento, pelos relatos que surgiram depois, alguns rapazes começaram a apontar os dedos para as mulheres. Em termos de gritaria, posso garantir que todo mundo gritou com todo mundo - o caos era generalizado.

Percebendo que a conversa tinha virado bate-boca, um dos organizadores tomou o microfone, pediu silêncio a todos e interrompeu o debate. Para se posicionar, naquele momento ele disse que essa discussão não deveria ocorrer, que a NullByte não era o lugar para que ela acontecesse pois, na visão dele, o evento era inclusivo e respeitava a todos. Segundo ele, o evento respeita todos pelo seu conhecimento técnico, independente de sexo, cor de pele, religião, etc. "Se um ET submeter uma apresentação boa no CFP, ele vai palestrar" - foi dito mais ou menos dessa forma. Al/em disso, completou, a comunidade hacker se auto-regula e qualquer pessoa que faça algo errado será expulso pela própria comunidade.

Após o fim do evento, a discussão foi para as redes sociais. No perfil da NullByte no Instagram, surgiram vários comentários exigindo que o evento se posicionasse sobre o assunto e repudiasse uma suposta agressão contra as mulheres presentes. Estes comentários foram removidos e não estão mais online. Alguns dias depois, uma das mulheres que estavam presente publicou um post no Medium, com título provocativo de que "O Hacking está morto",  criticando a postura do evento. Veja abaixo a transcrição de um trecho do texto, que no momento em que eu escrevi esse artigo, estava fora do ar (nota: em alguns momentos, o texto está um pouco confuso mesmo, mas mantive o original):
"Pois bem, o desfecho desse painel — que para mim foi a pior iniciativa possível, como disse acima ninguém estava ali para dialogar sobre o assunto ou coletar informações, eles queriam impôr seus pontos de vista como verdade para organizar o evento, afinal o painel era feito por homens e mulheres que foram chamadas a dedo, eu só me manifestei porque não aguentei ficar em silêncio diante tanta hipocrisia. (...)
Um organizador (inclusive a primeira citação é dele) se demonstrou muito exaltado diante das opiniões apresentadas como se fossem direcionadas a ele, o que em momento algum ocorreu, e diante dessa falta de controle dele, se pôs a gritar após a fala de um participante homem e botou o dedo na cara da outra colega que estava falando no momento da discussão. Deu medo, a intenção foi essa, mostrar poder e nos assediar e foi a mais pura e clara imagem da fala da organização jogada ao vento. Afinal como foi dito “Qualquer problema que acontecer a gente resolve na rua, é assim que o Underground funciona” e o que vi foi que nenhum homem da organização se pôs a controlar o organizador, segurando-o ou impedindo a ameaça física iminente, será que foi resolvido na rua depois? outro participante do evento, da plateia (com outras pessoas que claramente não compactuavam com a situação), que apartaram a briga. Me recusei a ver o desfecho, a minha colega saiu também chorando e garantindo que nunca mais participaria do evento."

Em alguns grupos do Telegram e WhatsApp, a discussão perdurou por mais vários dias. Na grande maioria das vezes as mensagens negavam o problema de inclusão e criticavam as pessoas que levantaram essa discussão.


O evento agiu certo?

Embora não estivesse preparado para hospedar uma discussão sobre inclusão, eu acredito que os organizadores agiram muito bem ao interromper o debate a partir do momento em que ele saiu do controle e começou a gritaria.

Quando as críticas passaram para as redes sociais, um dos organizadores partiu em defesa do evento, em alguns momentos simplesmente negando que tivesse ocorrido alguma agressão durante a discussão. Logo no início da semana os organizadores se posicionaram oficialmente sobre o ocorrido, publicando uma "Nota de Esclarecimento" no site:
O comitê organizador da conferência de segurança NullByte vem, por meio desta, esclarecer seu ponto de vista acerca de alguns incidentes ocorridos em sua última edição, em 9 de novembro de 2019.
Completamos seis edições nessa ocasião, em uma história que é resultado do esforço de diversas pessoas; sejam elas membros da organização, voluntários ou palestrantes. Gente que se dedica ao evento não só da Bahia, mas também de outros estados e do exterior e que busca fomentar a cena hacker brasileira, apresentar conteúdo de elevado nível técnico e incentivar o estudo e a pesquisa na área de segurança da informação ofensiva.
Após o encerramento do evento no dia 9, foi estabelecido por parte dos participantes, um debate do tipo "microfone aberto" em que se discutiu o desequilíbrio entre os gêneros na comunidade. Essa conversa escalou rapidamente para uma discussão a ponto de que a organização teve que interromper o debate. No processo, algumas pessoas se sentiram ofendidas.
Pedimos desculpas a quem tenha se ofendido com o incidente e reforçamos que a NullByte é uma conferência técnica. Ou seja, qualquer conteúdo de natureza técnica e dentro do escopo do hacking é bem-vindo. Não importa para nós o gênero ou o background identitário e político de quem o apresente.
O comitê organizador da NullByte repudia veementemente qualquer tipo de desrespeito, agressão ou assédio por qualquer motivo e se coloca à disposição para tomar as medidas necessárias durante seus eventos.
Keep hacking."

Porém, eles também erraram:
  • Algumas pessoas que fazem parte da organização se exaltaram em excesso durante o debate, entraram na discussão e perderam o controle, dando um péssimo exemplo de comportamento. Nessa hora, o que conta não é a opinião pessoal de alguém, pois o que fica é a imagem de alguém da organização participando da discussão ("com grandes poderes vem grandes responsabilidades");
  • Ao interromper a discussão, foi feito um discurso que, na minha opinião, tentou simplesmente abafar o caso e ignorar o problema. Em vez de admitir que o tema merece uma discussão mais amadurecida, em um fórum apropriado, eles partiram para o velho discurso batido de que "isso não acontece aqui" - como naquela imagem do avestruz que envia a cabeça no buraco achando que está seguro.

Para saber mais...



novembro 14, 2019

[Segurança] Um fim de semana de cultura hacker em Salvador

No final de semana passado, dias 09 e 10/11, tive a feliz oportunidade de vivenciar dois dias intensos de imersão na cultura hacker, e melhor ainda, na maravilhosa Salvador.

No sábado dia 09/11 foi realizada a sexta edição da conferência NullByte, um evento de segurança pequeno (com 100 participantes), mas com palestras de excelente conteúdo técnico. Esse é um ótimo exemplo de como é importante termos eventos regionais que ajudem a fomentar e manter uma comunidade local de pesquisadores de segurança, incentivando o estudo e a pesquisa de segurança ofensiva.

A NullByte teve 7 palestras, em sua grade, mas no final contamos com uma palestra surpresa do Maycon Vitalli (excelente!), além de um pequeno debate, infelizmente desastroso (comentarei sobre isso em um próximo post, logo logo!). Todas as palestras de excelente qualidade, falando sobre temas avançados de técnicas de ataque, invasão e defesa.


A NullByte é um excelente exemplo de evento que representa a cena hacker brasileira - nesse caso, considerando o aspecto de segurança ofensiva associado ao termo "hacking". É um evento pequeno, organizado totalmente por voluntários e sem fins lucrativos. O interesse sincero dos organizadores é de, simplesmente, criar um espaço para troca de conhecimentos em segurança da informação e, assim, fomentar a comunidade de pesquisadores na área. Temos poucos eventos desse tipo no Brasil: além da Nullbyte, o Jampasec em João Pessoa, a DarkWaves em Natal, a Alligator e a BWCon em Recife - além da Hackers to Hackers Conference (H2HC)  - nosso maior evento nessa área. Esses eventos agregam as pessoas interessadas em compartilhar o conhecimento técnico e suas pesquisas sobre segurança da informação e invasão de sistemas.

No domingo, dia 10/11, a experiência foi diferente: realizamos o primeiro encontro nacional de hackerspaces, o "Dumont Fest", no Raul Hacker Club - o hackerspace de Salvador. Diferente da NullByte, que era focada em segurança da informação, o encontro no Raul foi um espaço para conversarmos sobre a cultura hacker de forma mais ampla e abrangente, em todas as suas nuances - principalmente no sentido de fomentar conhecimento tecnológico e educação colaborativa.


O Raul é um espaço extremamente inclusivo. que se preocupa em se manter assim nos mínimos detalhes. Também é um espaço de educação e experimentação, para pessoas de todas as idades e classes sociais.

Nesse dia, conseguimos juntar pessoas de 5 Hackerspaces do Brasil: Mandacaru (de Feira de Santana, na Bahia), Jerimum (Natal), Oxe (Maceió), Garoa (eu!) e do próprio Raul - além de uma pessoa interessada em montar um hackerspace em Sergipe. Foi uma excelente oportunidade para, principalmente, compartilhamos nossas experiências (sucessos e dificuldades), e aprender como hackerspace tem se adaptado a sua realidade local. Em termos de desafios, todos tem dificuldades em atrair pessoas interessadas em participar das atividades, além da dificuldade em manter financeiramente saudável. Também tivemos a oportunidade de ouvir a Ka Menezes, do Raul, contar sobre a sua tese de doutorado sobre "pedagogia hacker", ou seja, sobre como a cultura hacker pode revolucionar a educação.

Ou seja, foi um final de semana para vivenciar dois lados complementares da cultura hacker: o lado técnico, aonde o uso do termo "hacking" está focado em segurança da informação, e o lado comunitário, aonde o "hacking" esta preocupado com a educação tecnológica e o lado humano.


Vale a pena ler:

novembro 01, 2019

[Segurança] The cyber awareness wheel of pain

Eu achei uma imagem engraçadinha, que mostra o "cyber awareness wheel of pain":


Ela resume bem a realidade do nosso mercado: nós compramos cada vez mais ferramentas e serviços, mas como continuamos sendo vítimas de ciber ataques, culpamos os usuários. E, para resolver isso, compramos mais ferramentas.

Ou seja, investir apenas em ferramentas não é suficiente para garantir um nível aceitável de segurança, pois precisamos investir também no treinamento e conscientização das pessoas, incluindo os funcionários, terceiros e clientes.

outubro 31, 2019

[Cyber Cultura] O ódio na Internet

O pessoal do site de notícias 6 Minutos publicou há pouco tempo um artigo muito bom sobre o fenômeno do ódio na internet, baseado em um estudo de uma antropóloga da Unicamp, Adriana Abreu Magalhães Dias (ela estuda esse fenômeno desde 2002). O artigo também contou com informações da Safernet.


Segue um rápido resumo dos principais pontos do artigo:
  • As comunidades de ódio, não são um fenômenos recente nem estão restrito apenas nas "profundezas da web". Desde o início dos anos 2000 o discurso de ódio já estava presente em comunidades de sites de relacionamento como o Orkut;
  • Os grupos de ódio são um fenômeno global, arma da extrema-direita em todo mundo;
  • “O ódio é uma substância na vida do ser humano que é cultivada. Cultivada tanto no sentido de planta, que a gente cultiva e alimenta, quanto no sentido de ser cultuada”, diz.
  • “É impossível remover o ódio enquanto você não civilizar essas pessoas. A Alemanha, por exemplo, teve de se ‘desnazificar’, e isso envolveu um processo de educação.”
  • O processo da cultura do ódio é complexo porque o ódio oferece conforto e pode ser estruturado a partir de três fatores: o alimento da masculinidade (a partir da ideia da luta, de guerras, de duelos, de uma sociedade de cultura de estupro, de ódio ao gay, à mulher), a meritocracia (que define que alguns são melhores que outros) e a construção de um “outro conveniente”, que é quando as minorias (como judeus, ciganos, nordestino, índios,a mulher ou o gay, por exemplo) são associadas a entraves aos objetivos de determinados grupos privilegiados (essa minoria é acusada de causar atraso, problemas ou, por exemplo, "roubar um direito”);
  • A sociedade construiu uma ideia de "normalidade", segundo a qual o “normal” é seguir um padrão como ser branco, de classe media, falar inglês, ser hetero, casado, com filho. Dentro dessa normalidade as pessoas se sentem seguras, mas quando outra minoria destoa e tenta brigar por espaço, ela se sente ameaçada;
  • Esses grupos online não são investigados, identificados e punidos por conta de algumas dificuldades, principalmente o anonimato e porque esses grupos adotam táticas para despistar as autoridades, como escolher provedores de sites que não colaboram com as autoridades;
  • Há casos de crimes de ódio que são anunciados nos fóruns online e praticados na vida real, contra vítimas, com requintes de crueldade.
Para saber mais:

outubro 30, 2019

[Segurança] 20 mil inscritos no Papo Binário

O canal Papo Binário, mantido pelo Fernando Mercês e pelo Paulo Arruzzo, acabou de atingir a marca de 20 mil inscritos. Para comemorar, eles prepararam uma entrevista especial, muito mais do que especial: desta vez, o entrevistado é o próprio Fernando Mercês, que conta várias histórias sobre o canal e sua carreira na área.

Eu tive a honra de ser convidado para entrevistá-lo, e obviamente aceitei o convite na hora! O vídeo ficou bem legal, pois dessa vez o Mercês trocou de lugar e ele foi a pessoa entrevistada. Nós não havíamos combinado o roteiro da entrevista, então todas as perguntas e o bate papo rolou naturalmente, no improviso. As perguntas iam surgindo conforme conversávamos. Bom.... Pare de ler esse post  aqui e corra logo para ver o vídeo:


Não se esqueça de dar um Like no vídeo, coloque um comentário e parabenize o Mercês pelo excelente canal! Se você ainda não tiver se inscrito, faça isso e vamos apoiar a iniciativa!

Aproveite e se cadastre no portal Mente Binária e receba atualizações semanais , acesso ao fórum de discussão, notícias, artigos e muito mais: https://www.mentebinaria.com.br/register

Se gostou do portal e do canal, também podemos apoiar a iniciativa: http://menteb.in/apoie

outubro 28, 2019

[Segurança] Vazamentos internos

Uma reportagem relativamente recente da Isto Dinheiro trouxe algumas estatísticas sobre vazamentos de dados causados por funcionários das empresas.

O primeiro dado, baseado em uma pesquisa da empresa ICTS Protiviti, é que de cada 10 incidentes de vazamento de informação nas companhias, 7 deles tratam de dados considerados confidenciais e estratégicos ao negócio.

E a reportagem traz um infográfico legal:


outubro 25, 2019

[Segurança] O sequestro relâmpago é digital!

Eu já queria ter acabado de postar sobre a Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, mas lembrei de comentar sobre uma versão relativamente recente e preocupante de um golpe bem conhecido, o sequestro relâmpago! (caraca, existe até um verbete na Wikipedia sobre isso!!!)

O sequestro relâmpago é um crime no qual uma vítima é sequestrada por um curto espaço de tempo (frequentemente por poucas horas), aonde os criminosos utilizam os cartões de débito e crédito em poder da vítima para fazer compras e saques em dinheiro, até esgotar todos os seus limites de transação. É um golpe famoso no Brasil e muito comum em grandes cidades. Tão comum que até virou filme!


Segundo uma reportagem da Folha, de janeiro a setembro deste ano, as delegacias do estado de São Paulo registraram 278 casos de crimes do tipo (mais do que um caso por dia), embora isso represente 6% a menos do que o ano passado.


Até agora, nenhuma novidade, não é? Mas a preocupação é que atualmente o sequestro relâmpago migrou para a fraude digital!!!

Ao sequestrar uma vítima, os criminosos pedem para ela desbloquear o celular e abrir seus aplicativos bancários! Ao acessar o app, eles transferem todo o dinheiro da vítima, baixam os investimentos e limpam toda a conta! Eles não querem mais apenas os nossos cartões de crédito e débito!

Nessa nova modalidade de sequestro relâmpago, também há casos em que os bandidos carregam suas próprias maquininhas de crédito e débito, de modo que eles mesmos conseguem gastar todo o limite do cartão. Como várias empresas permitem ao comerciante resgatar o dinheiro no dia seguinte, os criminosos seguram a vítima até conseguir resgatar o dinheiro da máquina.

PS: Não, isso não é um boato.

Moral da história: evite carregar muitos documentos, cartões e aplicativos bancários com você. Ande somente com o essencial!

Alguns cuidados básicos incluem:

  • Evite sair de casa com todos cartões bancários e de créditos;
  • Ao sair de casa, separe previamente o dinheiro para pequenas despesas;
  • Quando sair do banco ou do caixa eletrônico, verifique sempre se não está sendo seguido;
  • Não exponha grande quantidade de dinheiro em público;
  • Procure utilizar caixas eletrônicos em locais movimentados, tais como postos de gasolina, shopping centers, farmácias, mercados;
  • Em caso de abordagens por criminosos, nunca reaja;
  • Se possível, diminua o limite do seu cartão de crédito e os limites de saque e cheque especial na conta corrente;
  • Mantenha os investimentos em outra conta, diferente da que você usa no dia-a-dia, de preferência noutro banco. Guarde o cartão dessa conta de investimento em casa;
  • Para os mais paranóicos: tenha 2 celulares: um para o seu dia-a-dia, sem nenhum aplicativo financeiro, e outro em casa, com os apps dos seus bancos.

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

[Segurança] Phishing: falsas promoções

Não vou mentir... como estamos no final da Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, eu não consigo evitar de postar sobre os golpes mais comuns, aproveitando o material da Febraban. Eu pretendia já ter acabado de publicar sobre esse assunto no meu post anterior, sobre Privacidade, mas agora eu quero escrever esse post e mais um!!!

Afinal de contas, é impossível falar sobre ciber crime e fraudes sem falar dos phishings!!! Segundo a Kaspersky, o Brasil foi o país mais atacado por golpes de phishing no 1o semestre de 2019: 21,66% das ocorrências de phishing no mundo ocorreram no Brasil!


Os ataques de phishing podem se aproveitar de qualquer assunto que seja de interesse da vítima. Uma tática muito comum é usar datas comemorativas para enviar mensagens com falsas promoções, convidando a vítima a clicar em links maliciosos. Datas comemorativas muito comuns incluem o Dia dos Namorados, Dia dos Pais, Dias das Mães, Black Friday e o Natal.

Nessas épocas, aumentam as tentativas de golpes aplicados pelos bandidos, com propagandas enganosas enviadas através de e-mails e mensagens, para direcionar a vítima a páginas falsas, idênticas as das lojas virtuais ou de bancos. Nesses sites, o criminoso pode colocar uma tela falsa de login, para capturar os dados, ou simular a compra de um produto que a vítima nunca vai receber. Em ambos os casos, a vítima acaba cedendo seus dados de login e dados bancário para que golpistas façam diversas transações fraudulentas.



Moral da história: pense 2 vezes (ou mais) antes de clicar em um link de uma promoção que você recebeu por e-mail, WhatsApp ou SMS.

Alguns cuidados básicos incluem:
  • Desconfie de mensagens que prometem coisas muito incríveis ou mensagens com teor negativo, aquelas que pedem para você clicar em um link urgentemente;
  • Antes de clicar em um link, verifique se o endereço do site é o verdadeiro;
  • Para garantir, não clique em links: digite você mesmo o endereço do site no navegador e procure pela super promoção;
  • Prefira sempre comprar em sites conhecidos;
  • Nunca use computadores públicos para fazer compras e transações financeiras online;
  • Mantenha um antivírus atualizado em seus dispositivos;
  • Não repasse para qualquer pessoa nenhum código de segurança fornecido por SMS ou imagem de um QR code enviado para autenticar alguma operação;
  • Na dúvida, procure no site oficial da empresa o telefone da central de atendimento e ligue para eles.
Veja também a página Antifraudes da Febraban.

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

[Segurança] Privacidade!

Como estamos no final da Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, vamos fechar essa sequencia de post falando sobre um assunto sério: a nossa privacidade!

Segundo a empresa Risk Based Security, nos primeiros 6 meses de 2019 houve 54% mais incidentes de vazamento de dados do que no mesmo período em 2018, totalizando 3.800 casos. O site Have I Been Pwned já acumula mais de 8,5 bilhões de registros de usuário e senha vazados, mais do que a população da Terra!


   

O Gregorio Duvivier fez um vídeo bem legal no seu programa "Greg News" sobre privacidade. Apesar do tom político em alguns momentos (como ele sempre faz), o vídeo toca em alguns aspectos importantes e destaca a importância de nos preocuparmos com a nossa privacidade.


Moral da história: cuide muito bem das suas informações pessoais!
  • Monitore suas contas pessoais: e-mails, perfis de redes sociais, sites importantes, etc;
  • Use senhas fortes, com letras maiúsculas e minúsculas, caracteres especiais e números- e troque frequentemente;
  • Sempre que possível ative o recurso de “autenticação de dois fatores”;
  • Pense duas vezes ao compartilhar informações em redes sociais;
  • Evite fornecer seus dados pessoais, a menos que seja realmente necessário;
  • Consulte serviços que verificam se suas senhas ou contas já foram vazadas alguma vez, como o Serasa Antifraude e o site “Have I Been Pwned”.
Veja também a página Antifraudes da Febraban.

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.