[Segurança] Principais notícias de segurança em Outubro de 2022

Nesse mês eu atrasei bastante, mas antes tarde do que nunca... segue aqui minha lista com as principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar principalmente em notícias relacionadas a ameaças, ciber ataques, fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu considero mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/10/2022 - Programa de Bug Bounty do Pentágono descobre 350 Vulnerabilidades (em inglês) (Data Breach Today)

02/10/2022 - Principal elétrica de Ghana atingida por ransomware (CISO Advisor)

02/10/2022 - Hackers vazam documentos do Ministério da Defesa mexicano (CISO Advisor)

03/10/2022 - Hackers vazam dados de escola infantil em LA (Los Angeles) após ataque de Ransomware (em inglês) (PCMag)

03/10/2022 - Hotéis Shangri-La atingidos por incidente de vazamento de dados (em inglês) (Data Breach Today)

A luxuosa rede hoteleira asiática Shangri-La Group enfrentou um incidente de violação de dados que pode afetar centenas de milhares de hóspedes. O hotel detectou acesso não autorizado ao seu banco de dados de hóspedes em julho, mas não notificou os hóspedes ou reguladores até setembro.

03/10/2022 - Ataques de ransomware a sistemas Linux aumentam 75% (CISO Advisor)

03/10/2022 - Perfis falsos de CISO no LinkedIn visam Fortune 500s (Minuto da Segurança)

Alguém criou recentemente um grande número de perfis falsos no LinkedIn para cargos de Chief Information Security Officer (CISO) em algumas das maiores corporações do mundo. Não está claro quem está por trás dessa rede de CISOs falsos ou quais podem ser suas intenções. Mas as identidades fabricadas do LinkedIn estão confundindo os resultados dos mecanismos de pesquisa para funções de CISO em grandes empresas.

03/10/2022 - Ferrari atacada por Ransomware, hackers vazam 7TB de dados (em inglês) (Cyber News)

04/10/2022 - Paige Thompson, hacker da Capital One, é condenada a pena de prisão (em inglês) (Data Breach Today)

A hacker condenada pelo vazamento de dados da Capital One, Paige Thompson, recebeu uma sentença de prisão e cinco anos de liberdade condicional após sua condenação em junho nos tribunais federais dos EUA por cinco crimes e duas contravenções. Thompson deverá prestar 50 horas de serviço comunitário a cada ano durante a liberdade condicional, ficando sujeita a monitoramento por três anos restrita a sua casa, e seu uso de computadores e internet estará sujeito a monitoramento federal.

04/10/2022 - Lazarus explora bug no driver da Dell usando o rootkit FudModule (CISO Advisor)

05/10/2022 - 10 mil brasileiros são vítimas de malware que rouba criptomoedas e cartões (Convergência Digital)

05/10/2022 - PCDF deflagra operação contra golpes eletrônicos no Rio de Janeiro (Correio Braziliense)

Policiais civis de Brasília (DF) e do Rio de Janeiro deflagraram a operação Ouro de Tolo, onde foram cumpridos 31 mandados judiciais A operação busca uma organização criminosa que montou uma empresa de fachada que funcionava com um call center assediando pessoas em todo o Brasil, oferecendo créditos consignados. Os criminosos ligavam para pessoas que já possuíam créditos consignados e ofertavam a portabilidade para outro banco com supostas taxas de juros e parcelas menores. A vítima era induzida a aceitar a oferta e fornecer toda a documentação. A abordagem era facilitada pelo uso de dados pessoais vazados. Os golpistas obtinham um novo empréstimo no nome da vítima, que acabava com duas dívidas: a original e a nova, adquirida de forma fraudulenta. Todo o esquema movimentou cerca de R$ 3,5 milhões, segundo a PCDF.

05/10/2022 - Hackers de língua russa derrubam sites de governos estaduais nos EUA (em inglês) (CNN)

05/10/2022 - 10 mil brasileiros são vítimas de malware que rouba criptomoedas e cartões (Convergência Digital)

Pesquisadores da Kaspersky descobriram uma nova campanha de propagação do NullMixer, um malware que rouba credenciais, endereço, dados de cartões de crédito, criptomoedas e contas do Facebook e da Amazon. Ao tentar fazer o download de um software, a partir de sites de terceiros, cerca de 10 mil brasileiros foram infectados. O NullMixer é ativamente distribuído por cibercriminosos através de sites que oferecem programas piratas de computador e ativadores para baixar um software ilegalmente.

05/10/2022 - Aposentada perde R$ 208 mil pensando que namorava Johnny Depp (TecMundo)

05/10/2022 - Telstra Telecom sofre violação de dados potencialmente expondo informações de funcionários (em inglês) (Data Breach Today)

A maior empresa de telecomunicações da Austrália, Telstra, divulgou que foi vítima de uma violação de dados por meio de terceiros, quase duas semanas depois que a empresa de telecom Optus também relatou sua própria violação.

06/10/2022 - Brasil é o país mais atacado pelo infostealer NullMixer (CISO Advisor)

06/10/2022 - PF faz megaoperação contra rei das criptomoedas que movimentou R$ 4 bi (Metrópoles)

06/10/2022 - Banco BRB sofre ataque de ransomware e acaba chantageado (TecMundo)

O Banco de Brasília (BRB) sofreu um ataque do ransomware LockBit e lida com chantagem de cibercriminosos, que pedem cerca de 50 Bitcoins (BTC) para não vazarem o que foi acessado ao público - equivalente a cerca de R$ 5,2 milhões.

06/10/2022 - Ex-chefe de segurança da Uber considerado culpado por encobrir violação de dados (em inglês) (The Hacker News)

O júri do tribunal federal dos EUA considerou o ex-diretor de segurança da Uber Joseph Sullivan culpado por não divulgar aos reguladores a violação de dados de clientes e motoristas em 2016 e tentar encobrir o incidente. Ele enfrenta um máximo de oito anos de prisão. O ataque a Uber, em 2016, foi fruto de dois hackers que obtiveram acesso não autorizado aos backups de banco de dados da empresa, o que levoiu a empresa a pagar secretamente um resgate de US$ 100.000 em troca da exclusão das informações roubadas.

07/10/2022 - Hacker explora bug para roubar milhões da Binance Bridge (em inglês) (Data Breach Today)

A maior exchange de criptomoedas do mundo suspendeu a negociação em uma blockchain de contrato inteligente depois que um hacker levou pelo menos US$ 100 milhões em criptomoedas roubadas. Observadores independentes estimam que o ataque à Binance Smart Chain rendeu ao hacker US$ 586 milhões. Embora o ataque envolveu a retirada de dois milhões de tokens BNB em duas transações, foi possível suspender a cadeia e impedir o roubo de quase US$ 430 milhões em criptomoedas.

07/10/2022 - Facebook detecta 400 aplicativos Android e iOS roubando credenciais de login de usuários (em inglês) (The Hacker News)

08/10/2022 - Dados confidenciais da OTAN roubados de Portugal, agora a venda na dark web (em inglês) (Bleeping Computer)

09/10/2022 - Incidente tirou do ar programação ao vivo da Rede Record (CISO Advisor)

Graças a um um ataque cibernético, a rede de TV Record suspendeu repentinamente a transmissão do programa jornalístico “Fala Brasil”, assando a transmitir um episódio da série infantil “Todo Mundo Odeia o Chris”. Os equipamentos da Record foram contaminados pelo ransomware BlackCat/AlphaVM e o ataque teria começado na sexta-feira dia 7/10 e na manhã do dia seguinte, 08/10 (sábado), a emissora foi obrigada a suspender sua revista matinal pois não era mais possível acessar o material da redação. Os criminosos pediram um resgate equivalente a US$ 5 milhões em criptomoedas. Segundo notícias, enquanto o time de tecnologia tentava recuperar a operação, a direção da Record discutia a possibilidade de pagamento. Os programas ao vivo da emissora foram interrompidos em um primeiro momento, mas posteriormente mantidos no ar graças ao empenho de toda a equipe, utilizando mídias físicas e reprises de programas e notícias., visto que muito conteúdo gravado recentemente estava indisponível. Porém, era visível ao público algumas falhas e até mesmo a simplicidade em alguns conteúdos, como os GC’s dos telejornais, que estão sendo feitos sem qualquer animação gráfica, como era de costume. Os invasores também sequestraram a intranet da emissora, além de arquivos, do correio eletrônico e do sistema interno de mensagens. Alguns dias depois, os criminosos começaram a vazar alguns documentos sigilosos da Record e de seus funcionários na dark web, incluindo uma planilha digitalizada com os gastos detalhados do grupo Record, documentos sigilosos de faturamento com publicidade e do departamento jurídico, além do passaporte digitalizado de uma estrela da emissora, a apresentadora Ana Hickmann.

09/10/2022 - Transmissão da TV oficial do Irã invadida com protesto (CISO Advisor)

09/10/2022 - Funcionário holandês demitido por empresa dos EUA por desligar a webcam recebe € 75.000 em tribunal (em inglês) (NL Times)

09/10/2022 - Mercado da Darkweb BidenCash distribui gratuitamente 1,2 milhão de cartões de crédito (em inglês) (Bleeping Computer)

10/10/2022 - Falta de cibersegurança pode minar o futuro do Metaverso (CISO Advisor)

10/10/2022 - Sites de aeroportos dos EUA visados pelo grupo russo KillNet (em inglês) (The Hacker News)

10/10/2022 - Quase 300 mil informações de clientes da Toyota vazaram (TecMundo)

A Toyota confirmou a descoberta do vazamento de cerca de 296.019 informações de clientes do serviço T-Connect, que se inscreveram no portal desde julho de 2017.. Os dados incluem endereços de e-mail e números dos usuários do serviço que conecta os veículos a uma rede. Segundo a montadora, acidentalmente um empreiteiro que desenvolveu o site do serviço T-Connect carregou partes do código-fonte com configurações públicas de dezembro de 2017 até 15 de setembro deste ano.

10/10/2022 - Intel confirma vazamento do código-fonte da BIOS Alder Lake (em inglês) (The Hacker News)

A fabricante de chips Intel confirmou que o código-fonte proprietário relacionado a suas CPUs Alder Lake foi vazado por um terceiro desconhecido no fórum 4chan e no GitHub. O conteúdo publicado o código em formato Unified Extensible Firmware Interface (UEFI) do Alder Lake, processador de 12ª geração da empresa.

11/10/2022 - Bancos belgas podem ter plantão 24h para phishing (CISO Advisor)

11/10/2022 - Ataques DDoS se multiplicam e crescem 19% no 1º semestre na América Latina (Convergência Digital)

11/10/2022 - Mulher perde R$ 160 mil ao acreditar que namorava astronauta (TecMundo)

11/10/2022 - JPMorgan diz que não está vendo nenhum impacto de suposto ciberataque (em inglês) (Reuters)

O JPMorgan Chase & Co informou que estava ciente de relatos de que o grupo de hackers Killnet havia bloqueado a infraestrutura de rede do banco, mas a empresa relata que não viu nenhum impacto em suas operações.

12/10/2022 - O que é o golpe do 'abate do porco', que manipula vítimas e esvazia suas contas bancárias (Correio Braziliense)

12/10/2022 - Como drones espiões Wi-Fi espionaram uma empresa financeira (em inglês) (The Register)

Pesquisadores de segurança relataram um incidente recente contra uma empresa financeira da Costa Leste dos EUA, focada em investimentos privados, aonde drones foram utilizados para tentar invadir a rede da empresa. O incidente foi descoberto quando a empresa detectou atividades incomuns em sua página interna do Atlassian Confluence, que se originam na rede da empresa. Mas, ao investigar os acessos, os analistas de segurança rastrearem o sinal e foram levados ao telhado do prédio, onde encontraram uma versão modificada do drone DJI Matrice 600 e outra versão modificada do DJI Phantom. Os drones possuíam uma versão modificada do dispositivo Pineapple e um Raspberry Pi, e foram usados para interceptar credenciais WiFi de um colaborador e penetrar na página interna do Confluence da empresa, a fim de acessar as credenciais armazenadas para entrar em outros dispositivos. 

12/10/2022 - Plataforma de negociação de criptomoedas Mango Markets drena mais de US$ 100 milhões em ataque de empréstimo em flash (em inglês) (The Record)

13/10/2022 - Roubo de protocolos DeFi já totaliza US$ 718 milhões no ano (CISO Advisor)

13/10/2022 - DDoS contra servidor de game atingiu 2,5 Tbps (CISO Advisor)

Uma variante do botnet Mirai lançou um ataque distribuído de negação de serviço (DDoS) que atingiu um pico de 2,5 terabytes por segundo (Tbps). A Cloudflare descreveu esse ataque como o maior já registrado em sua rede. O ataque foi direcionado a um servidor Minecraft chamado Wynncraft e envolveu flooding de UDP e TCP.

13/10/2022 - Aplicativo WhatsApp modificado é identificado infectando dispositivos Android com malware (em inglês) (The Hacker News)

Uma versão não oficial do popular aplicativo de mensagens WhatsApp, chamada YoWhatsApp, foi identificada implantando um trojan Android conhecido como Triada. Segundo pesquisadores da Kaspersky, o objetivo do malware é roubar as chaves que permitem o uso de uma conta do WhatsApp sem o aplicativo e, assim, permitir o controle da conta da vítima.

13/10/2022 - RansomExx vaza 52 GB de dados dos centros de saúde de Barcelona (em inglês) (Data Breach Today)

14/10/2022 - Shein é multada em R$ 10 mi por não avisar clientes sobre vazamento (Tecmundo)

14/10/2022 - Por roubos, Nubank restringe uso do PIX à rede Wi-Fi segura fora de casa (Convergência Digital)

O Nubank lançou, em fase de testes, uma nova funcionalidade, batizada 'Modo Rua', que permite limitar o valor de transações via Pix, TED e boleto realizadas fora de casa. Segundo a fintech, o objetivo é conferir maior segurança aos correntistas em casos de roubo de celulares.

14/10/2022 - Ataques DDoS com BitTorrent aumentaram 1200% no 2º trimestre (Convergência Digital)

14/10/2022 - Nova campanha de ransomware "Prestige" ataca Ucrânia e Polônia (em inglês) (The Record)

14/10/2022 - Empresa indiana de energia Tata Power anuncia ataque cibernético que afeta infraestrutura de TI (em inglês) (The Record)

O grupo The Hive, especializadp em ransomware-as-a-service (RaaS), assumiu a responsabilidade por um ataque cibernético contra a Tata Power. Após alguns dias, os atacantes começaram a vazar parte dos dados roubados da empresa, que foram exfiltrados antes de criptografar a rede como parte de seu esquema de extorsão dupla.

14/10/2022 - Agentes secretos da polícia australiana expostos em vazamento de dados colombianos (em inglês) (Bleeping Computer)

14/10/2022 - Não tão rápido: varejista Shein multado em US $ 1,9 milhão por encobrimento de invasão (em inglês) (Data Breach Today)

A gigante de roupas de moda rápida Shein foi multada em US$ 1,9 milhão pelo procurador-geral do estado de Nova York por várias falhas relacionadas a uma enorme violação de dados em 2018, incluindo segurança de senha abaixo do padrão, além de não alertar usuários ou forçar redefinições de senha em tempo hábil.

15/09/2022 - Esta lista foi compilada e compartilhada no blog do Anchises

16/10/2022 - Igreja Mórmon nos EUA revela violação ocorrida há sete meses (CISO Advisor)

17/10/2022 - Promoção via WhatsApp do Assaí que dá R$ 1 mil é golpe (TecMundo)

17/10/2022 - Interpol prende 75 suspeitos de integrarem o grupo Black Axe (CISO Advisor)

17/10/2022 - A violação de dados do MyDeal afeta 2,2 milhões de usuários, dados roubados foram colocados para venda online (em inglês) (Bleeping Computer)

17/10/2022 - Interpol prende 75 suspeitos de integrarem o grupo Black Axe (CISO Advisor)

18/10/2022 - Polícia na Europa prende 21 por hackear e roubar automóveis (em inglês) (Data Breach Today)

18/10/2022 - Cliente tem conta invadida e PicPay orienta a procurar o CVV para ajudá-la (Tecnoblog)

18/10/2022 - ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais” (ANPD)

A Autoridade Nacional de Proteção de Dados (ANPD) lançou o guia orientativo “Cookies e Proteção de Dados Pessoais”, elaborado com o objetivo de orientar os agentes de tratamento sobre as boas práticas na área, além de traçar um panorama geral sobre o assunto, abordando desde questões mais conceituais como a classificação desta tecnologia de acordo com diversos parâmetros, até pontos mais técnicos como as boas práticas a serem observadas na sua utilização em sites eletrônicos. 

18/10/2022 - Malware que rouba informações mira contas do Facebook (CISO Advisor)

Uma nova campanha de phishing por hackers vietnamitas está espalhando o malware Ducktail, de roubo de informações. Escrito em PHP, ele é usado para furtar contas do Facebook, dados do navegador e carteiras de criptomoedas. Essas campanhas se basearam em ataques de engenharia social por meio do LinkedIn, com o malware disfarçado de um documento PDF supostamente contendo detalhes sobre um projeto de marketing. As informações roubadas são exfiltradas para um canal privado do Telegram.

18/10/2022 - Ransomware trava jornais regionais na Alemanha (CISO Advisor)

19/10/2022 - Após ataque hacker, Unimed Belém tem problemas no sistema (Tecmundo)

A Unimed Belém pode ser mais uma vítima de ataque cibernético envolvendo ransomware. Após confirmar uma tentativa de invasão, a instituição sofreu instabilidades em seu sistema. Na semana seguinte, o grupo responsável pelo ataque, que usou o ransomware RansomExx, publicou na dark web informações que teriam sido roubadas da Unimed Belém - uma amostra de 12 arquivos compactados com documentos de um total de cerca de 5,6 GB de dados.

19/10/2022 - PF prende brasileiro suspeito de integrar organização criminosa internacional (Polícia Federal)

A Polícia Federal prendeu em Feira de Santana, BA, o principal investigado brasileiro suspeito de integrar o grupo cibercriminoso LAPSUS$, como parte da Operação Dark Cloud, deflagrada em agosto deste ano. O grupo realizou diversos ataques cibernéticos, especialmente os praticados no final de 2021, contra o Ministério da Saúde e dezenas de outros órgãos e entidades do Governo Federal, entre os quais também o Ministério da Economia, Controladoria-Geral da União e a Polícia Rodoviária Federal.

19/10/2022 - Medibank admite roubo de dados pessoais em ataque cibernético (em inglês) (ABC News)

20/10/2022 - Lana Del Rey tem notebook com músicas inéditas e livro roubado (Tecmundo)

20/10/2022 - Interferência no aeroporto de Dallas tirou precisão de GPS (CISO Advisor)

20/10/2022 - BlueBleed: vazamento de dados de clientes da Microsoft pode ser 'um dos maiores' em anos (em inglês) (The Register)

A Microsoft confirmou que um de seus próprios sistemas de nuvem, mal configurado, levou à exposição de informações do clientes. O Security Response Center (MSRC) da Microsoft foi notificado pela empresa de inteligência de ameaças SOCRadar sobre um endpoint mal configurado, com seis grandes buckets públicos, que expôs dados de transações comerciais relacionados a interações entre a Microsoft e seus clientes, incluindo o planejamento ou potencial implementação e provisionamento de serviços da Microsoft. Os pesquisadores do SOCRadar disseram que a configuração incorreta da Microsoft expôs dados confidenciais de mais de 150.000 empresas em 123 países, incluindo documentos de prova de execução, informações do usuário, ofertas e pedidos de produtos, detalhes de projeto e dados pessoais (PII). Os documentos também podem ter revelado propriedade intelectual, afirmou a empresa. O incidente foi batizado de BlueBleed.

20/10/2022 - Agência Nacional de Proteção de Dados transformada em autarquia (Minuto da Segurança)

20/10/2022 - Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo (Minuto da Segurança)

20/10/2022 - E-commerce: tentativas de fraude crescem 4,5 vezes até agosto (CISO Advisor)

Entre janeiro e agosto deste no foram registradas quase 13 milhões de tentativas de fraudes no comércio eletrônico brasileiro, segundo o Censo da Fraude, da Konduto. O número de pedidos analisados no período foi 71% maior em relação ao mesmo período do ano passado. Já o número de tentativas de compras “fakes” barradas foi, proporcionalmente, 4,5 vezes maior que o registrado nos primeiros oito meses de 2021.

20/10/2022 - Rompimento de fibra na França afeta internet em todo o mundo (CISO Advisor)

21/10/2022 - 21 de outubro: Dia Mundial da Criptografia (CryptoID)

21/10/2022 - Brasil lidera ranking de ciberataques no setor de saúde no mundo (Olhar Digital)

21/10/2022 - Apenas 23% das empresas brasileiras possuem área de proteção de dados (IT Forum)

22/10/2022 - Banco Central planeja mudar Pix para evitar fraudes e conta laranja (Folha)

24/10/2022 - McAfee: apps maliciosos somam 20 milhões de downloads no Android (Tecmundo)

A McAfee identificou 16 apps maliciosos do estilo "clicker" que estavam disponíveis na Google Play, do Android. Juntos, eles somaram mais de 20 milhões de downloads e estavam agindo de maneira oculta nos celulares das pessoas que, após infectados, clicam em anúncios automaticamente no celular de maneira "invisível" para o usuário.

24/10/2022 - Especialistas alertam sobre os riscos que envolvem o Pix parcelado (Correio Braziliense)

24/10/2022 - Malware de ponto-de-venda roubou dados de 167 mil cartões (CISO Advisor)

Desde pelo menos fevereiro de 2021 até o dia 8 de setembro de 2022, os operadores de dois malwares específicos para terminais PDV (ponto-de-venda ou POS na sigla em inglês) roubaram mais de 167.000 registros de pagamento, principalmente de varejistas dos EUA. De acordo com as estimativas do Group-IB, que descobriram o problema, esses cibercriminosos podem ganhar até US$ 3.340.000 se venderem os dados de cartões comprometidos em fóruns clandestinos.

24/10/2022 - Comerciante de carros Pendragon recusa resgate de ransomware de 60 milhões de dólares do LockBit (em inglês) (Bleeping Computer)

25/10/2022 - Relatada vulnerabilidade de 22 anos na biblioteca de banco de dados amplamente usada SQLite (em inglês) (The Hacker News)

25/10/2022 - FEBRABAN e 26 bancos promovem Semana da Segurança Digital e orientam população sobre golpes (FEBRABAN)

26/10/2022 - Austrália quer aumentar as penalidades para violações de dados (Olhar Digital)

26/10/2022 - Falso app da Coinbase é capaz de esvaziar carteiras de usuários (Olhar Digital)

26/10/2022 - Senado Federal abre consulta pública sobre projeto de lei de incentivos fiscais para empresas se adequarem à LGPD (LGPD News)

26/10/2022 - Febraban vai montar uma Academia de formação de CISOs (Convergência Digital)

27/10/2022 - Nova campanha de cryptojacking visando instâncias vulneráveis do Docker e do Kubernetes (em inglês) (The Hacker News)

27/10/2022 - A seguradora de saúde australiana Medibank sofre violação ao expor dados de 3,9 milhões de clientes (em inglês) (The Hacker News)

28/10/2022 - Interpol faz alerta sobre o crescimento de crimes no metaverso (Tecmundo)

28/10/2022 - Com golpes “amorosos” na moda, apps de namoro tentam barrar criminosos (Olhar Digital)

28/10/2022 - Esses aplicativos dropper na Play Store visam mais de 200 carteiras bancárias e de criptomoedas (em inglês) (The Hacker News)

Cinco aplicativos Android contendo dropper maliciosos com mais de 130.000 instalações foram descobertos na Google Play Store, distribuindo trojans bancários como SharkBot e Vultur, que são capazes de roubar dados financeiros e realizar fraudes no dispositivo. Os alvos desses droppers incluem 231 aplicativos bancários e de criptomoedas de instituições financeiras na Itália, Reino Unido, Alemanha, Espanha, Polônia, Áustria, EUA, Austrália, França e Holanda.

28/10/2022 - ThermoSecure: agora é possível quebrar senhas usando o calor dos dedos nos teclados (Minuto da Segurança)

30/10/2022 - Violações de dados aumentaram 70% globalmente no 3º trimestre (CISO Advisor)

Segundo um estudo da empresa de segurança Surfshark, um total de 108,9 milhões de contas foram violadas no terceiro trimestre, o que representa um aumento de 70% em relação ao trimestre anterior. Os cinco principais países e regiões mais afetados por violações de dados no período foram Rússia, França, Indonésia, EUA e Espanha. Enquanto a Rússia teve o maior número de violações no geral (22,3 milhões), a França registrou a maior densidade de violações, com uma média de 212 contas vazadas por mil pessoas.

31/10/2022 - Samsung: bug no Galaxy Store permitia controle remoto de hackers em aparelhos (Olhar Digital)

O aplicativo Galaxy Store, disponível para aparelhos da marca, estava com uma falha de segurança, que poderia desencadear a execução de comandos remotos nos telefones afetados. Esse bug afetava a versão 4.5.32.4 da Galaxy Store, e está associado a um erro de “cross-site scripting” (XSS) que ocorre ao lidar com determinados links diretos.

31/10/2022 - Ciberataque atinge gigante alemão de fabricação de cobre (em inglês) (Data Breach Today)

Veja também o vídeo dos incidentes do mês de outubro de 2022 produzido pela CECyber. Neste mês, eles não podiam deixar de comentar sobre o ciber ataque Record TV, e destacaram também a prisão do brasileiro suspeito de fazer parte do grupo Lapsus$, correções da Oracle, o vazamento de dados da Microsoft Azure (BlueBleed) e o ataque de ransomware à Pendragon. Confira o vídeo abaixo:

Veja também:

• Principais notícias de segurança em Maio de 2021
• Principais notícias de segurança em Junho de 2021
• Principais notícias de segurança em Julho de 2021
• Principais notícias de segurança em Agosto de 2021
• Principais notícias de segurança em Setembro de 2021
• Principais notícias de segurança em Outubro de 2021
• Principais notícias de segurança em Novembro de 2021
• Principais notícias de segurança em Dezembro de 2021
• Principais notícias de segurança em Janeiro de 2022
• Principais notícias de segurança em Fevereiro de 2022
• Principais notícias de segurança em Março de 2022
• Principais notícias de segurança em Abril de 2022
• Principais notícias de segurança em Maio de 2022
• Principais notícias de segurança em Junho de 2022
• Principais notícias de segurança em Julho de 2022
• Principais notícias de segurança em Agosto de 2022
• Principais notícias de segurança em Setembro de 2022

[Segurança] Cuidado com a Black Fraude

A próxima sexta-feira, 25 de novembro, acontece novamente a Black Friday, ou "Black Fraude' como já se popularizou aqui na boca do povo. A Black Friday no Brasil teve sua primeira edição em 2010 e, desde então, vem sendo uma das principais ações dentro do varejo e já é a data com maior volume de vendas durante o ano – inclusive para o e-commerce. De acordo com um levantamento do Mercado Livre, as vendas na Black Friday 2022 tem expectativa de crescimento em 20% em vendas quando comparado com a edição do ano passado.

A Black Friday é uma data que surgiu nos Estados Unidos nos anos 1980/1990, e é comemorada na quarta sexta-feira de novembro, pois está associada ao feriado de Ação de Graças (Thanksgiving), que acontece na quarta quinta-feira de Novembro. Por sinal, o Dia de Ação de Graças é o feriado mais importante na cultura dos EUA, algo equivalente ao que é o Natal para nós. A Black Friday foi criada para permitir, ao comércio, aproveitar esse feriado para alavancar as vendas no final de ano e, principalmente, limpar o estoque e encher os caixas para os comerciantes renovarem suas mercadorias para o período de festas (Natal e Ano Novo). Nos Estados Unidos a data é levada a sério pelo comércio e os descontos são bem agressivos, atraindo multidões para as lojas. Posteriormente também surgiu a Cyber Monday, na primeira segunda-feira após a Black Friday, voltada para promoções no e-commerce.

A grande popularidade da Black Friday nos EUA chamou a atenção de outros países, que começaram a realizar sua própria edição do evento. Aqui no Brasil, a primeira Black Friday aconteceu em 2010, e desde então cresceu rapidamente. Mas, aqui no Brasil o pessoal criou algumas aberrações como a "Black Friday antecipada", "Esquenta Black Friday", "Black Week" e até mesmo a "Black November", com objetivo de extender a temporada de promoções e aumentar as vendas. Ou seja, na falta de um contexto cultural, a Black Friday virou um simples sinônimo de "descontos no comércio".

Esse período exige um cuidado e atenção bem especial, graças ao aumento de golpes aproveitando a euforia e a empolgação dos consumidores provocadas pela data. Dentre os diversos riscos para as empresas e consumidores, eu destaco dois que considero serem os mais importantes, e que atingem justamente a parte mais vulnerável, o usuário final:

• Falsas promoções nas lojas, o famoso "tudo pela metade do dobro do preço". Infelizmente, existem lojistas mal intencionados que aumentam artificialmente o preço de seus produtos para oferecer um falso desconto no dia da Black Friday. Pode acontecer, inclusive, do valor da mercadoria com o suposto desconto ser maior do que o seu preço original. Por isso, nunca confie em qualquer anunciou de oferta, e sempre pesquise o histórico de preços ou o preço em outras lojas antes de comprar;
• Anúncios falsos de promoções, que direcionam os consumidores para sites ou perfis falsos em redes sociais. Tais avisos prometem grandes descontos em mercadorias específicas e direcionam a vítima para um site falso, aonde ela pensará que está fazendo a compra, mas na verdade, estará simplesmente cedendo seus dados pessoais e de pagamento para o fraudador. A mercadoria nunca vai ser entregue - e pior ainda se o pagamento for por PIX, pois a vítima não conseguirá recuperar seu dinheiro.

As principais dicas de segurança são as mesmas de sempre, que podemos reduzir em uma simples palavra: "desconfie". Mas veja também um resumo das dicas compartilhadas pela Febraban:

• Cuidados com compras online
• Dê preferência aos sites conhecidos para as compras e verifique a reputação de sites não conhecidos em comentários de clientes que já utilizaram as plataformas;
• Nunca use um computador público ou de um estranho para efetuar compras. Sempre utilize seu computador ou smartphone, com softwares e aplicativos originais e com um antivírus atualizado;
• Desconfie quando o e-commerce possui poucas formas de pagamento (principalmente se receber apenas por PIX);
• Atenção nas redes sociais
• Golpistas criam perfis de lojas famosas e patrocinam posts nas redes sociais para enganar o consumidor. Verifique se a página tem selo de autenticação, número de seguidores compatíveis e também comentários de outros compradores;
• Desconfie das promoções cujos preços sejam muito menores que o valor real do produto;
• Nunca preencha formulários com dados pessoais para ter acesso às promoções da Black Friday;
• Fique atento na hora de pagar
• Sempre confira com atenção todos os dados do pagamento e se a loja escolhida é realmente quem irá receber o dinheiro. Se o nome for diferente da marca ou empresa onde a compra foi feita, não faça a transferência;
• Dê preferência para usar os cartões virtuais para fazer suas compras online;
• Nas compras presenciais, sempre confira o valor na maquininha de cartão antes de digitar a sua senha;
• Cuidados com links
• Cuidado com “links falsos patrocinados” cadastrados pelos fraudadores em sites de busca. Sempre verifique se o nome do site realmente corresponde a loja que você quer visitar;
• Tenha muito cuidado com e-mails de promoções. Acesse o site digitando o endereço no navegador em vez de clicar nos links da mensagem;
• Fique atento ao e-mail do remetente. Empresas de grande porte não utilizam contas privadas como @gmail ou @hotmail, por exemplo;
• Outras dicas do Anchises:
• Regra de ouro: sempre desconfie!!
• Se for comprar em uma loja que você não conhece, verifique a reputação no Reclame Aqui;
• Antes de comprar, pesquise o preço da mercadoria pelo google e veja também;em o histórico de preços;
• Já tenha determinado que itens você quer comprar na Black Friday (ex, uma TV nova para a sala e um aspirador de pó) e pesquise bastante o preço, para você identificar quando aparecer uma oferta verdadeiramente vantajosa;
• Cuidado com falsas mensagens de confirmação de compra ou de pis realizado. Elas costumam te direcionar para um site falso ou para um telefone que será atendido por um falso funcionário da loja. Sempre vá no site original da empresa e busque os canais oficiais de suporte.

Veja mais algumas dicas nesse meu post.

Recentemente eu tive um bate-papo com a Marina Ciavatta no "Papo Cabeças" da Hekate, falando sobre a Black Fraude e Cyber Monday. Vale a pena assistir o vídeo:

Para saber mais:

• 5 golpes que podem estar em alta na Black Friday 2022
• Black Friday: conheça casos de phishing comuns durante essa época
• Black Friday: veja como reconhecer um boleto falso e evitar golpes
• FEBRABAN dá dicas de como aproveitar ofertas durante “Esquenta Black Friday” sem cair em golpes
• Febraban dá dicas para evitar golpes no 'Esquenta Black Friday' (matéria do Tecmundo)
• Black Friday: 11 dicas para evitar golpes na internet
• Black Friday 2022: conheça as novas fraudes e veja como proteger o e-commerce
• Black Friday: como não cair na “Black Fraude”
• Cibersegurança na Black Friday: 3 cuidados para evitar golpes na compra online
• Aqui no blog:
• Evite fraudes na Black Friday (2021)
• Cuidados com as falsas promoções da Black Friday (2020)
• Ciber Fraude na Black Friday (2016)
• Fraudes e Riscos na Black Friday (2015)
• Black Friday vira Black FAIL no Brasil (2012)

PS: Pequena atualização em 25/11.

[Carreira] Cadê as pessoas negras em tecnologia?

O dia 20 de Novembro foi escolhido para celebrar o Dia da Consciência Negra, uma data escolhida pois marca a morte de Zumbi dos Palmares, em 1695. Zumbi é uma figura histórica importante e representa um dos maiores líderes negros do Brasil, que lutou pela libertação do seu povo contra a escravidão.

Portanto, essa é uma data para refletirmos sobre o racismo estrutural existente e a inserção das pessoas negras na nossa sociedade. No nosso caso, devemos aproveitar esse momento para questionarmos aonde estão as pessoas negras no mercado de tecnologia da informação e de segurança!

Mesmo no campo das ciências excatasm em geral, poucas pessoas negras conseguem ganhar destaque. Por exemplo, quantas pessoas negras você conseguiria apontar no campo das áreas exatas, além do cientista Neil deGrasse Tyson?

Mas a história tem vários casos muito interessantes, todos com algo em comum: a dificuldade e perseverança para "furar a bolha" criada pelo racismo estrutural. Por exemplo, em 1945, a curitibana Enedina Alves Marques foi a primeira mulher a se formar em engenharia no estado e a primeira engenheira negra do Brasil, ao conquistar o diploma na Universidade Federal do Paraná.

Segundo uma pesquisa da Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom) divulgada pela Forbes, realizada em 2019 sobre formação educacional e empregabilidade em TIC, apenas 30% da força de trabalho no setor de tecnologia é formada por profissionais negros, pardos ou indígenas (11% mulheres e 19% homens). Considerando que a população negra brasileira representa 56,10% do total, a diferença é muito grande.

Nas startups brasileiras, cerca de um terço (31,2%) sequer possui profissionais negros em seu quadro de colaboradores, enquanto apenas 3,3% dos cargos de Diretoria e Conselho Administrativo são ocupados por negros e 0,8% por negras.

Um levantamento do coletivo Potências Negras, divulgado pelo Valor, identificou que os principais motivos para os negros não terem interesse em estudar na área de Tecnologia incluem não enxergar oportunidades (29%), não dominar o inglês (21%) e o elevado investimento (15%). Além disso, as pessoas negras ganham salário menor: a renda média familiar dos negros é R$ 6.469, enquanto para brancos é R$ 9.728.

A ótima notícia é que existem algumas iniciativas bem legais para apoiar os profissionais negros. Afinal, mais do que uma "modinha", precisamos reparar um erro histórico e promover a redução das desigualdades sociais. Isso, inclusive, faz parte dos Objetivos de Desenvolvimento Sustentável da ONU: "empoderar e promover a inclusão social, econômica e política de todos, independentemente da idade, gênero, deficiência, raça, etnia, origem, religião, condição econômica ou outra".

Veja alguns exemplos de iniciativas bem legais:

• Você conhecia esse projeto maravilhoso do Mente Binária? Do Zero ao Um
• Movimento Black Money
• Comunidades de inovação e/ou tecnologia:
• AfroPython
• Afroya Tech Hub
• BlackRocks
• Carreira Preta
• Educafro
• Empodera
• Pretahub
• Pretalab
• Programadores do Amanhã

Para saber mais:

• 10 negros que marcaram o ramo da tecnologia
• Setor de tecnologia brasileiro precisa protagonizar a luta antirracista
• ESPECIAL INOVADORES NEGROS: 10 profissionais que estão fazendo história nas grandes empresas de tecnologia
• Pesquisa indica as barreiras para negros no setor de tecnologia
• PretaLab lança relatório sobre perfil da tecnologia no Brasil: “por um mercado mais negro e feminino”
• Carreira: conheça iniciativas que atuam na luta por profissionais negros na tecnologia
• A XP fez uma parceria com o grupo "UX para Minas Pretas" (vídeo)

[Segurança] HackShield Brasil

O pessoal do do Teckids - Programa de Proteção à Criança Online, lançou recentemente o HackShield Brasil, um jogo interativo onde crianças de 8 a 12 anos aprendem sobre os perigos da Internet e como detectar e se proteger.

O HackShield é um jogo online, divertido e cheio de ensinamentos a respeito da segurança digital, que foi idealizado para crianças de 8 à 12 anos - mas que pode ser aproveitado por toda a família. O jogo é totalmente gratuito, não há compras no aplicativo.

A iniciativa do HackShield não tem fins lucrativos e não se envolve em marketing infantil. O principal objetivo do projeto é disponibilizar o conhecimento para as crianças e adolescentes. Essa é uma iniciativa do Teckids, um programa de mentoria e educação em Segurança Digital voltado à Proteção da Criança Online.

Para começar a jogar, basta baixar o app no Android ou iPhine, ou acessar o site https://br.joinhackshield.com/pt-BR e clicar em "Jogue HackShield".

Em tempo... vale a pena conhecer também o Projeto SEC4KIDs, da IBLISS, um projeto para sensibilizar crianças e responsáveis em Cyber Segurança e Privacidade. O projeto criou atividades exclusivas para os pequenos a partir de 8 anos, através de contação de histórias, dinâmicas e rodas de conversa.

[Segurança] Criptografia para leigos

O pessoal do canal Manual do Mundo tem um vídeo bem legal, e curtinho, explicando os conceitos básicos de criptografia de forma bem didática. Baseado na necessidade de privacidade na troca de mensagens do Whatsapp, o Iberê explica o conceito de criptografia de ponta-a-ponta e criptografia assimétrica (com chaves públicas e privadas):

Em apenas 9 minutos, o vídeo dá uma explicação que ajuda qualquer leigo ter uma noção básica do que é a criptografia :)

PS: E vale a pena ler também a descrição do vídeo.

[Segurança] As Villages da BSidesSP

No dia 20/11, domingo, acontecerá a 17a edição da conferência Security BSides São Paulo (BSidesSP), um dos principais eventos de segurança e cultura hacker no Brasil. Essa é uma edição especial, realizada para após 2 anos de pandemia, e que por isso mesmo foge do nosso calendário tradicional (as BSidesSP anteriores foram realizadas em Maio, coladas com a conferência You Sh0t The Sheriff (YSTS).

E os preparativos estão a milhão...

A grade de palestras (provisória) já está no ar, e teremos 4 trilhas simultâneas de palestras, além de uma trilha com workshops (atividades um pouco mais longas e detalhadas, mais "mão na massa") e da competição de CTF, organizada em parceria com a Hackaflag. As atividades vão das 11h as 19h.

Além das trilhas de palestras, há várias edições passadas nós temos organizado também as "villages", que são espaços temáticos e organizados por comunidades específicas - a programação é totalmente feita pelos responsáveis pela village específica. Cada village tem uma sala dedicada, aonde pode realizar palestras, workshops, competições, etc. Isso nos permite aumentar bastante a oferta de conteúdo e de atividades, para atender os interesses dos diversos públicos que vem na BSidesSP. E não custa dizer que essa idéia foi copiada da DEFCON, que é um evento gigantesco e atualmente conta com cerca de duas dezenas de villages diferentes.

Nesta edição nós já temos confirmadas várias villages e atividades dedicadas:

• Appsec Village; Organizada em parceria com a Nova8 Cybersecurity;
• Cyber Woman Village: village organizada pelas comunidades Cyber Security Girls e WOMCY, com palestras apresentadas por mulheres e uma atividade de mentoria de carreira!
• Biohacking Village: organizada pelo Raul Candido, do portal Hacker Culture, que é um grande entusiasta do tema (veja artigo aqui);
• BSides 4 Kids: Espaço dedicado as crianças, com atividades para os hackers de amanhã. Contaremos com o apoio da Teckids e da IBLISS, que trarão diversas atividades educativas - para todas as idades; 
• Capture the Flag (CTF) organizado em parceria com o Hackaflag;
• Cloud Security Village: organizada pela Tenchi, a village vai ter uma grade completa de palestras e um CTF fornecido pelo pessoal da AWS;
• Forense e OSINT Village: mais uma vez teremos uma village dedicada ao tema de perícia forense e investigação de crimes digitais, organizada pela Daryus. Neste ano, eles também vão trazer conteúdo sobre Threat Intelligence e OSINT, e também terão uma sala de palestras e outra de atividades, com competição de CTF temática;
• Hacker Carreer Fair (HCF): Village dedicada a discussões sobre carreira, vai ser organizada pela Nova8 Cybersecurity;
• Hardware Hacking Village: organizada pelo Garoa Hacker Clube, vai ter atividades de hardware hacking, robótica e lockpicking (com o apoio da Hekate).

A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países. O total de público esperado é de 1.200 pessoas.

A BSidesSP conta com o patrocínio da Hacker Rangers, IBLISS junto com a Cybeer Lab, da LogicalIT, da Daryus, Forcepoint e da Nova8 Cybersecurity, e com o apoio da BugHunt, da comunidade Cyber Security Girls, do Hackaflag, do Garoa Hacker Clube, Hekate,  Tenchi e WOMCY.

Anote na sua agenda:

• Quando: 20/11/2022 (domingo), das 10h as 19h
• Site: https://securitybsides.com.br/2022/
• Inscrições gratuitas (link)
• Aonde: PUC-SP (Campus Consolação), Rua Marquês de Paranaguá, 111, Consolação, São Paulo, SP, CEP 01303-050 (ao lado da estação do metrô Higienópolis-Mackenzie - linha amarela)

Veja também:

• Bsides 2022 e a tradicional Biohacking Village!

PS: Pequena atualização em 14 e 19/11.

[Segurança] O ataque do Drone Hacker!

Segundo uma reportagem publicada no mês passado no jornal britânico The Register, um pesquisador de segurança chamado Greg Linhares relatou um caso ocorrido com uma empresa do ramo financeiro nos EUA, aonde dois drones foram utilizados para tentar invadir a empresa.

Segundo os relatos dos pesquisadores envolvidos, o incidente foi descoberto quando a empresa identificou atividades incomuns na página interna do Confluence (ferramenta de colaboração da Atlassian muito utilizada em empresas), originadas  de dentro da rede da empresa.

A equipe de segurança que respondeu ao incidente descobriu que o usuário associado ao endereço MAC que foi utilizado para obter acesso à rede wifi da empresa e ao Confluence estava, na verdade, logado da sua casa a vários quilômetros de distância do escritório - indicando que uma outra pessoa (ou dispositivo) estava tentando usar o endereço MAC desse usuário para acessar a rede wifi. Ou seja, já disparou um alerta aí: o usuário verdadeiro estava conectado remotamente ao mesmo tempo que alguém estava usando o endereço MAC dele para acessar a rede wifi dentro do escritório.

Para rastrear o sinal, os analistas de segurança usaram a ferramenta Fluke e, assim,. chegaram ao topo do prédio, onde encontraram uma versão modificada do drone Matrice 600 da DJI e outra versão modificada do drone Phantom, também produzido pela DJI. No Phantom estava acoplado um dispositivo Pineapple (da Hack5), enquanto o Matrice carregava uma caixa com um Raspberry Pi, um mini laptop, um modem 4G e outro dispositivo WiFi.

A investigação descobriu que o drone Phantom foi usado para interceptar a rede wifi e capturar as credenciais, que foram posteriormente incluídos nas ferramentas utilizadas no drone Matrice. Os drones foram usados para acessar a página interna do Confluence da empresa, com objetivo de acessar outros equipamentos e dispositivos na rede usando as credenciais armazenadas lá no Confluence.

A identidade do atacante não foi revelada.

A própria reportagem do The Register destaca que a ideia de usar drones domésticos para hackear foi apresentada anteriormente em algumas conferências de segurança como a Black Hat e Defcon em 2016 e, antes disso em 2013, o pesquisador de segurança Samy Kamkar demonstrou seu drone SkyJack, que usava um Raspberry Pi para controlar outros drones via Wi-Fi.

Para saber mais:

• How Wi-Fi spy drones snooped on financial firm (em inglês) (The Register)
• Drones tem sido usados na guerra da Rússia contra a Ucrânia: Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia (artigo aqui no blog)
• The Phantom Menace - Weaponising a consumer drone (artigo de 2015)

• Vídeo da palestra na Black Hat USA 2016: Drone Attacks on Industrial Wireless A New Front in Cyber Security

PS: Para dar crédito a quem merece, eu fiquei sabendo dessa história graças a Apura Cybersecurity Intelligence e o texto foi baseado na reportagem do The Register, com alguns ajustes meus.

[Segurança] Se preparem para uma nova buzzword, o Darkverso

Sim, conforme o pessoal tenta emplacar a ideia do Metaverso, que nem está popularizado ainda, a galera de segurança já está tentando surfar nessa onda e já começou a propagar uma nova buzzword, o suposto submundo do:

Darkverso

O Darkverso seria, portanto, como uma "darkweb" dentro do Metaverso. O estudo da Trend Micro sobre o assunto abusa de buzzwords como Metaworse, Deepverso e Darkverso. Eles criaram um vídeo bem curtinho e objetivo para explicar esse conceito:

Entre as vantagens para os ciber criminosos, pelo menos em teoria, é que o uso do Metaverso para troca de informações e comércio ilegal permite que eles evitem dos canais normalmente monitorados por empresas e autoridades policiais, além do Metaverso permitir uma conversa um-a-um, baseado na proximidade entre os avatares - dificultando o monitoramento e interceptação.

Para saber mais:

• Metaverso já tem o darkverso como sua versão do mal
• Estudo da Trend: Metaworse? The Trouble with the Metaverse (https://research.trendmicro.com/metaworse)
• Relatório bem detalhado da Trend: METAVERSE OR METAWORSE? Cybersecurity Threats Against the Internet of Experiences
• Vídeo Into the Darkverse: Exploring the Dark Side of the Metaverse

[Segurança] Resiliência CyberEmocional

Recentemente eu fui agraciado pela oportunidade de palestrar no Tempest Talks, um evento organizado anualmente pela Tempest que sempre traz assuntos muito interessantes apresentados por grandes palestrantes.

Neste ano, eles escolheram como eixo central do evento o tema da "resiliência cibernética", uma preocupação que tem se tornado cada vez mais presente no dia-a-dia dos executivos e dos profissionais de segurança da informação. Atualmente, todos os líderes devem assumir que sua organização enfrentará um ataque cibernético em algum momento. A estratégia de resiliência permite que, quando o ataque vier, a organização se recupere total e rapidamente.

Assim, eu tive o desafio de preparar algum conteúdo que abordasse esse tema da resiliência, e assim eu acabei propondo uma palestra focado no lado humano do desafio de prepararmos nossas empresas para o impacto de um ciber ataque.

Eu sou de uma geração que pegou algumas das primeiras grandes infestações por vírus, como o "I Love You" no ano 2000 e o "SQL Slammer worm" em 200X. Naquela época, conseguíamos recuperar o ambiente da empresa e eliminar completamente o vírus em cerca de um dia de trabalho (trabalho muito intenso, por sinal). Hoje, por outro lado, a resposta a um incidente de Ransomware representa vários dias, semanas e até meses das esquipes de segurança e tecnologia para conseguir restaurar o ambiente e o negócio!

A capacidade de resiliência deve ser construída. Para resistir, manter e recuperar suas operações frente a um incidente cibernético, as empresas devem investir em pessoas, processos e tecnologia. Mas, quando acontece um ciber ataque e a tecnologia falha (por exemplo, sua rede, seus servidores e até mesmo seu AD podem ser comprometidos), nós dependemos exclusivamente dos processos e das pessoas para retomar o ambiente. Cabe aos processos (previamente planejados e testados) e as pessoas (devidamente orientadas e treinadas) promover a continuidade dos negócios. Ações de treinamento e conscientização, portanto, são fundamentais em uma estratégia de resiliência.

Esse esforço dos profissionais, ou seja, esse foco nas pessoas, eu chamei de Resiliência CyberEmocional.

Por uma grande e feliz coincidência, em 2021 eu participei de parte dos esforços realizados pelo time de segurança do C6 Bank para revisarmos nosso plano de resposta a incidentes e treinarmos nossos colaboradores. Um dos pontos mais interessante desse esforço, ao meu ver, foram os exercícios de simulação de resposta a incidentes que realizamos na época, realizado no modelo de "Table Top Exercise" (TTX) - e compartilhar essa experiência foi o ponto focal da minha palestra.

Tal exercício permitiu treinar várias pessoas chave da organização e discutir como agir frente a um incidente cibernético. No nosso caso, optamos por realizar algumas turmas com públicos específicos, para direcionar o exercício para suas demandas e seus papéis em um cenário de resposta a incidentes.

Veja o vídeo da minha palestra no Tempest Talks:

Vou aproveitar e compartilhar aqui as referências que coloquei na minha apresentação:

• NIST SP 800-160 Vol. 2 Rev. 1 - Developing Cyber-Resilient Systems
• Building Cyber-Resilient Organizations with Fire Drills and Tabletop Exercises
• 10 Benefits of Running Cybersecurity Exercises (DarkReading)
• Cyber Resilience Act (EU)
• Scottish government offers cyber resilience training to hundreds of organisations
• Locked Shields
• Backdoors & Breaches, an Incident Response Card Game (sobre a versão online)

E veja também:

• Tempest Talks 2022: Conheça o tema, o lineup e as palestras do evento anual da Tempest, que acontece em outubro

[Segurança] Ciber resiliência na agenda dos CISOs

Temos uma nova buzzword da moda, que está no discurso e na preocupação de 10 em cada 10 CISOs:

Ciber Resiliência

O NIST define a ciber resiliência como "The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources" ("A capacidade de antecipar, resistir, recuperar e se adaptar a condições adversas, estresses, ataques ou comprometimentos em sistemas que usam ou são habilitados por recursos cibernéticos").

Ou seja, ela representa a capacidade da organização de minimizar o impacto de um incidente, manter suas operações de negócio e se recuperar rapidamente frente a um incidente cibernético.

Não tenho dúvida que o grande crescimento dos incidentes de Ransomware tem feito esse tema ganhar bastante destaque recentemente.

As empresas tem alguns recursos fundamentais para garantir sua capacidade de resiliência, que fazem parte das boas práticas e algumas regulamentações específicas:

• Plano de resposta a incidentes (Incident Response Plan)
• Plano de continuidade de negócios (Business Continuity Plan, ou BCP)
• Plano de recuperação de desastres (Disaster Recovery Plan, ou DRP)

É interessante destacar também que o tema tem ganho grande relevância, a ponto de que alguns países estão liderando iniciativas para promover a cultura e preparação necessária para estabelecer a resiliência a ciber ataques. Dentre essas iniciativas, achei algumas notícias interessantes:

• Scottish government offers cyber resilience training to hundreds of organisations
• União Européia:
• EU Cyber Resilience Act (CRA)
• State of the Union: New EU cybersecurity rules ensure more secure hardware and software products
• Notícia: EU proposes new Cyber Resilience Act
• Regulation on digital operational resilience for the financial sector (DORA) (European Commission)
• European Commission’s DORA proposal (2020): EBF position

Para saber mais:

• NIST SP 800-160 Vol. 2 Rev. 1 - Developing Cyber-Resilient Systems
• Building Cyber-Resilient Organizations with Fire Drills and Tabletop Exercises
• Ciber Resiliência (EY)
• Necessidade de ciber resiliência nas organizações
• Organizações ciber-resilientes (MIT Technology Review Brasil)
• O caminho para a ciber-resiliência
• DANGER! Tips for Dealing with a Panicked C-suite During a Ransomware Event (RSA Conference)

PS: Pequena atualização em 18/11.