- 'Painel de dados' dá aos golpistas tudo de que precisam (UOL, 11/10/2024)
- Faturamento do crime digital é 40% maior do que verba das polícias do país (UOL, 04/09/2024)
AnchisesLandia- Brazilian Security Blogger
Diversas novidades, informações, dicas e casos do dia-a-dia: na vida pessoal, sobre Tecnologia e, principalmente, Segurança da Informação.
outubro 15, 2024
[Segurança] 6 dicas para não cair na conversa de golpistas
outubro 03, 2024
[Segurança] A hora do golpe
- Spoiler alert: Todos os dias, de 2a a 6a feira!!!! Segundas-feiras de madrugada, terças-feiras à noite e madrugada das quartas-feiras, quintas e sextas-feiras das 11h as 15h.
- Segunda-feira de madrugada e terça-feira à noite são os dias e horários preferidos dos estelionatários para tentativas de fraudes bancárias. Em 2023, terça e sábado de madrugada eram os dias preferidos dos fraudadores;
- Os golpes financeiros representam 2,4 vezes mais golpes do que as demais categorias de golpes analisadas;
- As fraudes mais comuns foram em cartão de crédito, pagamento de boleto ou Pix falsos e comunicação fraudulenta.
- O dia da semana e o horário com a maior representatividade de investidas fraudulentas foram as quartas-feiras entre meia-noite e 5h;
- O grupo mais afetado pelos golpes foram os millennials, as pessoas nascidas entre 1980 a 1995;
- O volume de tentativas de fraude representou uma queda de 7,8% em comparação ao mesmo período do ano passado;
- O ticket médio das tentativas de transação foi de R$ 1.198, um valor 3,5% menor do que o ano anterior (2023);
- A região mais afetada pelos golpes foi a Norte, com ticket médio de R$ 1.308. A região nordeste registrou ticket médio de R$ 1.303, enquanto sudeste teve de R$ 1.129, o centro-oeste de R$ 1.402 e a região sul registrou a menor taxa de tentativas e um ticket médio de R$ 1.319;
- Os produtos mais visados pelos criminosos foram eletrônicos e ar-condicionado.
- Os dias mais propícios para fraudes são as quintas e sextas-feiras, entre 11 horas e 15 horas, concentrando cerca de 35% das ocorrências. Os domingos são os dias com menor incidência de tentativas de fraude;
- Foi prevenido cerca de R$ 833 milhões de prejuízo no varejo online em agosto;
- As tentativas de fraude registraram um aumento de 66% no mês de agosto em comparação com julho de 2024,;
- O tíquete médio das fraudes caiu 59% em comparação com o mesmo período de 2023;
- 25% das tentativas de fraude estão concentradas nos Estados de São Paulo, Rio de Janeiro e Minas Gerais, com São Paulo liderando o ranking;
- As regiões com menor índice de fraudes são Acre, Amapá e Roraima, representando apenas 0,20% dos casos.
- Segundo a Serasa, quatro em cada dez brasileiros sofreram golpes financeiros neste ano. Das pessoas que foram vítimas, 57% tiveram perda média de R$ 2.288;
- Segundo o DataFolha, sete em cada dez brasileiros já ouviram falar de pessoas que foram vítimas de golpes envolvendo aplicativos de bancos;
- Uma pesquisa recente do DataSenado em parceria com a Nexus revelou que 24% dos brasileiros foram vítimas de golpes digitais nos últimos 12 meses.
- Tentativas de fraude no e-commerce brasileiro sobem 66% em agosto, diz pesquisa (CNN, 20/09/2024)
- Tentativas de fraude já somam R$ 1,2 bi em 2024; veja data, hora e alvos preferidos de golpistas (CNN, 24/07/2024)
- Confira dias e horários preferidos para golpes e fraudes bancárias, e saiba como se proteger (Folha de São Paulo, 01/07/2024)
- Quase 25% dos brasileiros perderam dinheiro em golpes nos últimos 12 meses (TecMundo, 30/09/2024)
- Custo médio das violações de dados no Brasil é de R$ 6,75 milhões (Security Leaders, 25/09/2024)
- Metade dos ataques ocorre depois do expediente (CISO Advisor, 22/09/2024)
- Golpes com Pix causaram prejuízos de R$ 1,5 bilhão em 2023 (TecMundo, 07/08/2024)
- Uma pessoa cai em golpe a cada 16 segundos, aponta anuário da segurança (Correio Braziliense, 18/07/2024)
- Tentativas de fraudes no e-commerce brasileiro recuam 23% no 1º trimestre, diz estudo (CNN, 01/07/2024)
- Relatório de Fraude da Serasa Experian: 4 em cada 10 brasileiros já foram vítimas de golpes e preocupação de empresas aumentou 58% em um ano (Serasa, 27/06/2024)
- Mais de 70% dos brasileiros ouviram falar de alguém que sofreu golpe, diz Datafolha (Folha de São Paulo, 12/04/2024)
outubro 01, 2024
[Segurança] Alguns recursos do Gartner para o mês da Conscientização em Segurança
- SBCP: Security Behavior and Culture Program
- PIPE: Practices, Influences, Platforms and Enablers
- SACBT: Security Awareness Computer-Based Training
- 69% dos funcionários intencionalmente ignoraram as orientações de segurança nos últimos 12 meses;
- 65% dos funcionários abrem em seus dispositivos de trabalho e-mails, links ou anexos recebidos de fontes desconhecidas;
- 63% dos funcionários usam seu dispositivo de trabalho para uso pessoal;
- 63% dos funcionários salvam suas senhas de trabalho no navegador
- e... 93% das pessoas que fazem as coisas acima reconhecem que estão aumentando o disco da empresa.
- Capacidade diversificada de aprendizagem e entendimento técnico, ainda mais se você considerar as diversas gerações dentro da empresa;
- Aumento do uso de dispositivos pessoais no trabalho, que costumam ser mais vulneráveis;
- Diferenças regionais, incluindo em termos regulatórios;
- Conceito errado de que io negócio é mais prioritário do que a cibersegurança.
- Datas comemorativas para conscientização sobre segurança
- Regulamentações sobre Conscientização e Treinamento em Segurança
- Dicas rápidas para construir uma campanha de conscientização (2022)
- Cybersecurity Culture Maturity Model (2019)
- Kits de apoio para o Mês da Conscientização (2024)
- Mês da Conscientiação com as Cartilhas do CERT.br e Autodefesa Digital (2023)
- Cyber Security Awareness Month (post de 2012, eu coloquei nessa lista por ser antigo mesmo! rs)
- Conscientização de Usuários (post de 2006!!!)
setembro 12, 2024
[Segurança] Kits de apoio para o Mês da Conscientização
A CISA (Cybersecurity & Infrastructure Security Agency) acabou de anunciar que o seu "Kit de Ferramentas para o Mês de Conscientização sobre Segurança Cibernética de 2024" já está disponível para download! Ele foi desenvolvido em colaboração com a National Cybersecurity Alliance (NCA) e com feedbacks recebidos de parceiros.
- Use senhas fortes e um gerenciador de senhas
- Ative a autenticação multifator (MFA)
- Reconheça e denuncie phishing
- Atualize o software
- O site da CISA tem muuuuuita coisa: www.cisa.gov;
- Baixe o Kit de Ferramentas do Mês de Conscientização sobre Segurança Cibernética 2024 da CISA, no site Secure Our World Resources & Cybersecurity Awareness Month 2024 Toolkit;
- O pessoal da Knowbe4 também sempre disponibiliza material gratuitamente: 2024 Cybersecurity Awareness Month resource kit, que inclui vários materiais como mini-games, cursos e vídeos de treinamento (tudo em inglês). O meu favorito é o guia com planejamento para o mês, pois mostra que as campanhas tem que acontecer por vários dias, com temas e atividades diferentes.
- Visite o site StaySafeOnline.org da National Cybersecurity Alliance, que também tem vários recursos legais: Cybersecurity Awareness Month
- Eu gostei desse adesivo deles:
setembro 09, 2024
[Segurança] Hoje é o Dia do Bug
A partir desse fato, os termos "bug" e "debugging" se popularizaram e passaram a ser usados de forma generalizada na comunidade de tecnologia para indicar qualquer tipo de erro ou falha em programas ou sistemas.
- Sep 9, 1947 CE: World’s First Computer Bug (National Geographic)
- First Instance of Actual Computer Bug Being Found
- The World’s First Computer Bug
- September 9, 1945: First Computer Bug Discovered
- Dia do Bug e os 5 Bugs Mais Famosos da História da Computação
- Dia do Bug: Tecnologia, Avanços e a Importância da Cibersegurança
- Bugs famosos:
- Y2K bug (National Geographic)
- The Worst Computer Bugs in History: Race conditions in Therac-25
- The Worst Computer Bugs in History: The Ariane 5 Disaster
- The Worst Computer Bugs in History: Losing $460m in 45 minutes
- The Worst Computer Bugs in History: Rapid unanticipated disassembly of the Mars Climate Orbiter
setembro 06, 2024
[Segurança] Pesquisa Cyber 360 sobre o mercado brasileiro
- 80% dos entrevistados consideram que suas empresas têm um alto nível de maturidade em segurança cibernética, mas 20% ainda estão no início;
- As pessoas (funcionários e terceiros) são apontadas como a principal porta de entrada para ameaças em 84% das empresas;
- 15% das empresas deixam de lado treinamento sobre cibersegurança;
- Dentre as principais ameaças para as empresas, estão:
- 58%: ataques de phishing
- 50%: senhas fracas
- 46%: descuido das informações
- Os tres principais desafios para a gestão de riscos cibernéticos são:
- 48%: falta de profissionais qualificados;
- 38%: recursos financeiros insuficientes;
- 28%: falta de apoio da alta direção.
20% das empresas brasileiras estão no estágio inicial do programa de Segurança (Security Leaders)
15% das empresas deixam de lado treinamento sobre cibersegurança (TV Cultura)
PS: Post atualizado em 13/09.
setembro 05, 2024
[Segurança] Criptografia – Segredos Embalados para Viagem
setembro 03, 2024
[Segurança] Os memes da treta do X
- Os usuários ficaram em dúvida:
- Os golpes sobre o assunto já começaram a surgir, em mensagens do Musk pedindo ajuda para pagar as multas e, mais recente, mensagens falsas cobrando a multa por acessar o Twitter (será que alguém realmente caiu nisso? kkkkkkkk):
- Já surgiram iniciativas de protesto, como a galera de outros países acessando o X só para gerar tráfego e aumentar a dificuldade de monitoração. E um perfil para, supostamente, desmascaras o ministro Alexandre de Moraes:
- Elon Musk encerra operação do X/Twitter no Brasil e demite funcionários
- Alexandre de Moraes determina suspensão do X (Twitter) no Brasil
- X, o ex-Twitter, sai do ar em todo país após decisão de Moraes
- Bloqueio do X reduz posts a um terço da média, mas não zera atividade de brasileiros
- STF aprova, por unanimidade, manutenção do bloqueio do X (Twitter) no Brasil
- Uso VPN no trabalho e entrei no X/Twitter. Vou ter que pagar multa?
- Threads começa a sentir mais a presença de “tuiteiros” com X bloqueado no Brasil
- Concorrente do X, Bluesky teve um milhão de novos usuários em três dias
- X (Twitter) também enfrenta bloqueio e restrições em outros países; veja quais
- Hackers atacam Anatel em retaliação ao bloqueio do X
- STF, Anatel e PF relatam que foram alvo de ataque hacker nos últimos dias
- Ataque hacker afeta PF e escritório de família de Moraes após bloqueio do X
- PF investiga ataque hacker contra a corporação; STF e Anatel também foram afetados
- Hacker que atacou Venezuela lançou DDoS contra STF
- STJ é alvo de novo incidente cibernético contra administração pública
- STJ sofre ataque hacker; tribunal diz que não houve prejuízos
- Rádios e sistemas da PMDF ficam fora do ar em “possível” ataque hacker
- Hacker afirma ter derrubado hoje aplicações “gov.br”
- Sites do governo federal ficam fora do ar; Serpro apura causas
- PF apura exposição em massa de dados pessoais para intimidar delegados
- GOV.br foi alvo de ataques DDoS e sites deixaram de funcionar
setembro 02, 2024
[Segurança] Eventos de segurança no segundo semestre de 2024
Disclaimer: Seguindo a tradição destes meus posts sobre os eventos do semestre, aqui eu listo apenas os eventos na área de segurança que eu considero serem os mais relevantes para o nosso mercado, que eu gosto e que merecem uma visita. Geralmente dou preferência para os eventos da comunidade e para os mais tradicionais, e pouca importância para os eventos comerciais, pois prefiro apoiar os eventos que eu acredito que trazem conteúdo de qualidade ou que, pelo menos, tem relevância para o mercado.
Todo ano é a mesma ladainha: o segundo semestre é lotado de eventos aqui no Brasil. Nesse ano não vai ser diferente, e vocês vão perceber que, em alguns dias, chegamos a ter 4 ou mais eventos em uma mesma data!!!!
Acompanhe abaixo quais são os eventos que eu considero serem os mais importantes ne relevantes no mercado. Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.
- Julho/2024
- 09 a 14/07: Campus Party Brasil (São Paulo) (CPBR16) (@CampusPartyBRA) - Principal edição da Campus Party, ex-mega-evento realizado em São Paulo, com dezenas de palestras relacionadas ao universo da tecnologia, empreendedorismo e redes sociais, mas que também tem algumas atividades relacionadas a segurança. A galera dos hackerspaces são representadas pela comunidade Dumond e tem um palco na área de comunidades;
- 13/07: CajuSec (Aracaju-SE) (cfp) - Evento novo em Aracaju, na sua 2a edição, que promete agregar a comunidade local de segurança;
- 29 e 30/07: 12º Fórum Brasileiro de CSIRTs (cfp) - Evento gratuito e presencial organizado pelo NIC.br e CERT.br, direcionado para os profissionais que trabalham em resposta a incidentes de segurança, SOC e Threat Intelligence. São 2 dias de palestras seguidos por um terceiro dia (31/07), dedicado para um workshops gratuito sobre MISP, com várias palestras sobre o assunto;
- Agosto/2024
- 01 a 04/08: Hack Town (Santa Rita do Sapucaí, MG) - Grande evento de tecnologia que acontece na bela Santa Rita do Sapucaí. Por 4 dias, a cidade é tomada por diversas atividades, oficinas, workshops e muito mais. No meio desse caldeirão, sempre brotam algumas atividades de segurança, fique de olho!
- 05/08: BRHueCon (Las Vegas, EUA) - Ponto de encontro dos Brasileiros que vão para a BSidesLV, Black Hat e Defcon. Um ponto de encontro, uma mistura de happy hour, networking e palestras, em um ambiente descontraído. Alguns brasileiros aproveitam para mostrar, em primeira mão, as palestras que irão apresentar nos próximos eventos;
- 08/08: Security Leaders Salvador (Salvador, BA) - Edição regional do Security Leaders, levando a fórmula de debates superficiais para a bela e alegre Salvador;
- 22/08: Security Leaders Recife (Recife, PE) - Versão local do Security Leaders. Evento repleto de painéis e palestras de patrocinadores;
- 23 e 24/08: CyberSecGO (Goiânia, GO): Novo evento da comunidade de Goiânia;
- 24/08: bxsec (Santos, SP) (cfp) - Neste ano, a 5ª edição da BxSec Security Conference dá um salto de qualidade e será realizada no hotel Sheraton Santos, com 2 trilhas de palestras bem caprichadas, além de competição de CTF e área para as comunidades;
- 24/08: 0xE Hacker Conference (Maceió, AL) - Novo evento da comunidade de Maceió, organizado pelas pessoas responsáveis pelo hackerspace local, o 0xE. O evento acontece num sábado a noite, com uma pequena, mas bem qualificada, grade de palestras;
- 24/08: HackBahia (Salvador, BA) - Mais um ano desse evento de hacking em Salvador! A região tem uma comunidade muito forte, que merece ter 2 eventos por ano (o HackBahia e a NullByte);
- 27/08: RNPSeg 2024 (@caisRNP) - Evento executivo organizado pelo CAIS/RNP em formato de painel sobre um tema relevante na área com convidados na platéia. O evento é online, gratuito e pode ser acompanhado pelo canal no Youtube;
- 27 a 29/08: Fórum RNP (@RedeRNP) (Brasília, DF) - Evento executivo da RNP, direcionado aos gestores das instituições de ensino que fazem parte da RNP. O evento é híbrico, com transmissão online, e pode ser acompanhado pelo canal no Youtube;
- Setembro/2024
- 02 e 03/09: 15º Seminário de Proteção à Privacidade e aos Dados Pessoais - Evento organizado pelo CGI.br e NIC.br. O evento é gratuito, realizado presencialmente e com transmissão online pelo canal do NIC.br no YouTube.
- 05 e 06/09: Global Risk Meeting 2024 - Evento focado no universo de GRC, organizado pela Daryus, com painéis e palestras sobre o tema;
- 14/09: BSides João Pessoa (BSidesJP) (@BSidesJP) (João Pessoa, PB) (cfp) - Terceira edição da Security BSides em João Pessoa (antigo Jampasec), evento bem organizado pela comunidade local e com palestras de excelente qualidade técnica;
- 16 a 19/09: XXIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg) (São José dos Campos/SP) - Principal evento acadêmico sobre segurança da informação no Brasil, a cada anio é realizado em uma cidade diferente;
- 17 a 19/09: Mind the Sec (MTS) (10º edição) (@mindthesec) - Principal e maior evento de segurança brasileiro, direcionado ao público profissional e executivo. O evento cresceu muito nesses últimos 3 anos, e atrai uma grande quantidade de patrocinadores em uma área de exposição gigante, no Transamérica Expo. Também tem trilhas de palestras - algumas acessíveis na área de exposições e outras limitadas para os congressistas. É um evento que merece a visita, praticamente obrigatória para manter o seu networking, para você ver e ser visto;
- 18 a 20/09: TDC São Paulo (@TheDevConf) (cfp) - O TDC São Paulo é o principal evento do mercado de desenvolvimento, gigante e tradicional, e sempre tem uma trilha com palestras sobre segurança e privacidade. Nesse ano, a trilha de "Software Security" acontecerá no dia 20/09. Fique de olho, pois vale a pena!!!
- 21/09: Hacking na Web Day (@hackingnawebday) (São Paulo, SP) - Evento da comunidade Hacking na Web, que surgiu nesse ano em um formato "roadshow" com eventos em algumas cidades brasileiras (Brasília, Salvador, Rio de Janeiro e SP). A temática é mais técnica, mas com um nível mais básico, perfeito para o público que está iniciando na área;
- 26/09: Security Leaders Fortaleza (Fortaleza, CE) - versão regional do Security Leaders, com palestras e painéis;
- Outubro/2024
- 08 a 10/10: Futurecom - Tradicional evento de tecnologia e que por alguns anos foi dominado por empresas de telecomunicações, neste ano a Futurecom merece destaque aqui no blog pois criaram uma trilha focada em segurança, a Future Cyber, que apresentará excelente conteúdo, em formato de painéis;
- 14/10: Congresso de Direito Digital, Tecnologia e Proteção de Dados - 2024 (Digital Privacy Summit) - Organizado pela OpiceBlum Academy, o evento é focado em direito eletrônico e privacidade;
- 19/10: 8.8 Brasil (cfp): Spoiler alert: o principal evento de segurança do Chile, a 8.8, pretende fazer uma edição aqui em São Paulo!
- 23 e 24/10: Security Leaders Nacional - Principal edição do tradicional Congresso Security Leaders, comemorando o seu aniversário de 15 anos em uma grande infraestrutura em São Paulo. Um evento voltado principalmente para gestores de segurança (média e alta gerência, e alguns CISOs);
- 26/10: Human Risk Management Conference Brazil 2024 - Novo evento sobre Conscientização em segurança, criado e organizado pelo Rodrigo Jorge. Esse é um tema que tem crescido muito em importância e atenção do mercado;
- 28 e 29/10: Cyber Security Summit (CCSB) - Evento voltado para os gestores de segurança (média e alta gerência), com algumas palestras e painéis;
- Novembro/2024
- 06/11: Simpósio de Segurança Digital (SSD): Evento com foco Técnico-Cientifíco, organizado pelo ITA. É o sucessor do tradicional SSI (Simpósio sobre Segurança em Informática), que existiu de 1999 até o inicio dos anos 2000. Evento gratuito, realizado em São Paulo (capital);
- 12/11: Cultsec: Evento pioneiro ao focar no mercado de conscientização em segurança, já chegando na sua quarta edição;
- 13/11: CangaSec (Recife, PE) - Novo evento de segurança organizado pela comunidade de Recife, um dos maiores berços da comunidade de cibersegurança;
- 23/11: XibéSec (Belém, PA) - Segunda edição desse evento de segurança organizado pela comunidade local, o único evento de segurança na região Norte!!!
- 27/11: Security Leaders Porto Alegre (Porto Alegre, RS) - A franquia Security Leaders se despede de 2024 em Porto Alegre, a capital gaúcha que se recupera das terríveis enchentes que sofreu no início do ano (e obrigou o adiamento do evento para o final de novembro);
- 27 a 29/11: Latinoware (@latinoware) (cfp) (Foz do Iguaçu (PR) - Tradicional conferência de software livre, que volta a ser realizado no Parque Tecnológico de Itaipú. Apesar do foco na comunidade de software livre, costuma ter várias palestras sobre segurança;
- 30/11: Nullbyte Security Conference (cfp) (Salvador, BA) - Edição comemorativa de 10 anos desse excelente evento de segurança na capital baiana!!! O evento sempre tem excelentes palestras técnicas e participação dos principais pesquisadores da comunidade brasileira;
- 30/11 e 01/12: BHACK (@bhack) (Belo Horizonte, MG) - evento tradicional da comunidade de segurança de BH, sempre com ótimas palestras técnicas;
- Dezembro/2024
- 09 e 10/12: GTS-39 (Grupo de Trabalho em Segurança de Redes) (@gtergts) (cfp) - Tradicional evento de segurança do Comitê Gestor da Internet (CGI.br), com palestras técnicas, transmissão online (desde muito antes disso ser comum) e gratuito. Acontece na véspera do GTER-53 e junto com a 14a Semana de Infraestrutura da Internet no Brasil. Ao mesmo tempo presencial e com transmissão online, neste ano o evento será na Villa Blue Tree;
- 14 e 15/12: H2HC (@h2hconference) (cfp) - O evento mais importante da comunidade brasileira de segurança, que tem crescido bastante nos últimos anos e investido em espaço para Villages temáticas - sem perder a grandiosa qualidade técnica das palestras das 2 trilhas do evento. Preste atenção para a nova data, pois o evento costumava ocorrer em Outubro.
- 27 e 28/08: CISO Forum
- 23 a 25/09: Conferência Gartner CIO & IT Executive (*)
- 09 a 11/10: CSO Network
- 03 a 08 de Agosto: Black Hat (cfp) (Las Vegas, EUA)
- 06 e 07 de Agosto: BSidesLV (cfp) (Las Vegas, EUA)
- 08 a 11 de Agosto: Defcon (cfp) (Las Vegas, EUA)
- 10 e 11 de Outubro: 8.8 Chile (cfp) (Santiago, Chile)
- 13 a 15 de Novembro: Ekoparty (cfp) (Buenos Aires, Argentina)
- Em Dezembro, na semana entre o Natal e o Ano Novo, tradicionalmente acontece o Caos Computer Club Congress (38C3), na Alemanha.
- 14 de Fevereiro de 2025: Digital Investigation Conference Brazil (cfp) (Porto Alegre, RS)
- 22 de Fevereiro de 2025: Fortalsec (Fortaleza, CE)
- 15 de Março de 2025: Hacking na Web Day Brasília (Brasília, DF)
- 22 de Março de 2025: BSides Rio de Janeiro (Rio de Janeiro, RJ)
- 12 de Abril de 2025: Hacking na Web Day Recife (Recife, PE)
- 28 de Abril a 01 de Maio de 2025: RSA Conference
- 07 de Junho de 2025: Hacking na Web Day Belo Horizonte (Belo Horizonte, MG)
- 18 e 19 de Julho de 2025: CajuSec (Aracaju-SE)
- 05 e 06 de Agosto de 2025: Conferência Gartner Segurança & Gestão de Risco (São Paulo, SP)
- 05 e 06 de Agosto de 2025: BSidesLV (Las Vegas, EUA)
- 06 a 07 de Agosto de 2025: Black Hat US (Las Vegas, EUA)
- 07 a 10 de Agosto de 2025: Defcon 33 (Las Vegas, EUA)
- 16 de Agosto de 2025: Hacking na Web Day Florianópolis (Florianópolis, SC)
- 23 de Agosto de 2025: bxsec (Santos, SP)
- 13 de Setembro de 2025: Hacking na Web Day Rio de Janeiro (Rio de Janeiro, RJ)
- 25 de Outubro de 2025: Hacking na Web Day São Paulo (São Paulo, SP)
- 08 de Novembro de 2025: Nullbyte Security Conference (Salvador, BA)
- 29 a 30 de Novembro de 2025: BHACK (@bhack) (Belo Horizonte, MG)
Se eu esqueci de algum evento brasileiro importante, me avisem.
OBS:
- Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2023;
- Veja a minha lista de eventos no início desse ano: Eventos de Segurança no primeiro semestre de 2024
- O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com;
- O Eduardo Fedorowicz mantém um post no Linkedin com um calendário dos principais eventos de tecnologia: Eventos de Tecnologia (2024);
- A Axur criou uma lista de "2024 Cybersecurity and Tech Events com diversos eventos de tecnologia e de segurança no Brasil e no mundo;
- O Sickeira postou uma lista de Eventos 2024 em seu blog, com eventos de segurança e das comunidades maker, de hackerspaces e de software livre;
- O Gutem também compartilhou uma lista com eventos de segurança, hacking, programação e open source: Eventos de Tecnologia;
- O Felipe Prado publicou no seu Linkedin, no início do ano, um dump com um monte de eventos de segurança: "Eventos 2024 - Segurança, Hacking e Privacidade".
- O site CTF Time possui uma lista gigante de eventos em todo o mundo que estão com a chamada de trabalhos (CFP) aberta.
- Alguém criou um "linktree" com os eventos de Cyber: https://linktr.ee/EventosCyber.
- Bonus: 10 melhores eventos de tecnologia em 2024
- Post atualizado em 04, 05, 10 e 23/09; e novamente em 09 e 17/10.
Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci, não conheço ou porque considero que nem vale a pena escrever sobre ele.
agosto 31, 2024
Posts que nunca foram escritos
Putz, todo ano eu quero escrever um post sobre o relatório do Fórum Econômico Mundial, mas perco o timing:
Olha que interessante: a página de métricas do site CVE.org apresenta o total de CVEs publicados desde 1999 até os dias de hoje ("Published CVE Records").
- Published CVE Records
- Essa lista da CISA eu acho muito útil, pois indica as vulnerabilidades que foram exploradas: Known Exploited Vulnerabilities Catalog
O portal do FIRST.org tem vários documentos que são uma ótima referência e vale a pena dar uma olhada:
- FIRST Best Practice Guide Library (BPGL)
- FIRST Security Reference Index
- FIRST Standards
- Publications - centenas de artigos e apresentações publicados desde 1997
- esse doc explica tudo sobre os principais conceitos relacionados ao PGP: An Introduction to PGP/GnuPG
A RFC 2350 oferece uma maneira fácil e padronizada para as Equipes de Resposta a Incidentes de Segurança em Computadores (CSIRT) documentarem sua missão, serviços, políticas e procedimentos.
Um estudo recente, “Psychology of Human Error”, pode ajudar as empresas a entender como melhor conscientizar seus usuários e se proteger de ataques cibernéticos.
- “Psychology of Human Error” Could Help Businesses Prevent Security Breaches
- Estudo: Psychology of Human Error
- O relatório da AXUR sobre Atividade Criminosa Online no Brasil em 2021, em um determinado momento, traz uma informação interessante: "de acordo com um estudo realizado pela NortonLifeLock, 52% dos consumidores sentem raiva ao serem alvos de fraudes, com essa raiva ligada não ao fraudador, mas sim à marca pelo qual o cibercriminoso se passou. A sensação é de que a culpa é da empresa e não do cibercrime. Ao mesmo tempo, 46% se sentem estressados e 41%, vulneráveis."
- Eles disponibilizaram online toda a informação sobre o framework no site http://veriscommunity.net e também no Github https://github.com/vz-risk/veris
- Lá tem outros documentos interessantes, tais como:
- Mapping to att&ck: https://github.com/vz-risk/veris/blob/master/bin/vcaf-rev2020-v1_0_3.csv
- How to use technical data from their security tools for strategic insights (CIS controls mapping) for understanding what mitigations apply to what strategic actions: https://github.com/vz-risk/veris/blob/master/bin/cis_csc_veris_map-rev2020-v1_0.xlsx
- California Consumer Privacy Act: The Challenge Ahead – The CCPA’s “Reasonable” Security Requirement
- What is "state of the art" in IT security?
- Dark Web Price Index 2021
- Preços de dados roubados na dark web vão de US$ 25 a US$ 6 mil
- Mastercard clonado a $25: Veja quanto custa dados roubados por criminosos na dark web
- Já que você leu até aqui, pode valer a pena dar uma olhadinha nesse artigo: The state of the dark web: Insights from the underground
Uma referência muito boa é o guia do NIST "Digital Identity Guidelines Authentication and Lifecycle Management": ele descreve quais tecnologias de autenticação são as mais recomendadas de acordo com o nível de criticidade da aplicação, além de detalhar quais padrões de autenticação existem como deve ser o ciclo de vida deles. Ele também discute as principais ameaças, suas estratégias de mitigação, além de questões de privacidade e usabilidade dessas tecnologias de autenticação.