janeiro 20, 2020

[Segurança] Vem aí o Data Privacy Day

Reserve a sua agenda: No dia 28 de Janeiro (terça-feira) será comemorado o Dia Internacional da Privacidade de Dados ("Data Privacy Day"), uma data escolhida para lembrar usuários e empresas sobre a necessidade de proteger nossa privacidade online, os perigos associados, compartilhar boas práticas de segurança e reforçar a necessidade de atender as legislações existentes sobre proteção de dados.

A data de 28 de janeiro surgiu na Europa e foi celebrado pela primeira vez 2007, batizada de “Data Protection Day” (Dia da Proteção de Dados) - nome usado até hoje na Europa. O evento foi criado pelo Conselho da Europa por ser o aniversário da assinatura da “Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data” (ou, simplesmente, “Convention 108”), que aconteceu em 28 de janeiro de 1981, que representa o primeiro tratado jurídico internacional sobre a privacidade e proteção de dados. Em 2008 a data começou a ser celebrada nos Estados Unidos com o nome de “Data Privacy Day” (Dia da Privacidade de Dados), e passou a ser considerado um evento internacional.

Os frequentes vazamentos de dados pessoais por empresas de todo o mundo tem trazido a tona a discussão sobre necessidade de privacidade online. No Brasil, a iminência do início da Lei Geral de Proteção de Dados Pessoais (LGPD), previsto para agosto de 2020, tem forçado as empresas a adequarem seus processos de negócio e tecnologias para respeitar o direito a privacidade e proteção das informações.

O Data Privacy Day é uma ótima oportunidade para as empresas realizarem ações de conscientização sobre privacidade e segurança para seus clientes e funcionários. #ficaadica

Mais informações:



janeiro 15, 2020

[Carreira] Tentando explicar as contribuições ao sindicato e sua obrigatoriedade

O que é a contribuição assistencial do sindicato? Ela é obrigatória?

Essas dúvidas sempre voltam a tona toda vez que devemos entregar a carta de oposição a contribuição assistencial do SINDPD, e eu havia discutido isso em 2018. Mas vou aproveitar aquele texto para escrever esse post aqui no blog, e tentar esclarecer melhor esse assunto.

Todos os trabalhadores devem lembrar que a CLT estabelece que os sindicatos tem a prerrogativa de "impor contribuições a todos aqueles que participam das categorias econômicas ou profissionais ou das profissões liberais representadas." (art. 513, alinea "e"). Essas contribuições são de 4 tipos:
  • A contribuição sindical (antes da Reforma Trabalhista de 2017 era chamada de "imposto sindical"), que era aquele valor recolhido obrigatoriamente uma vez por ano e que corresponde ao desconto de um dia de trabalho;
  • A contribuição confederativa, que é uma contribuição acordada em âmbito sindical e responsável pela manutenção dos sindicatos e outras entidades de classe. Ela é descontada em folha dos filiados à entidade, e seu valor depende do acordo coletivo ou convenção coletiva de trabalho, ficando também em torno de um dia de trabalho, cobrado geralmente no reajuste anual dado à categoria;
  • A contribuição associativa, que é voluntária, cobrada das pessoas afiliadas ao sindicato. Seu valor é determinado pelo sindicato;
  • A contribuição assistencial, que é estabelecida por acordo ou convenção coletiva de trabalho e seu valor, cobrado em folha, varia conforme os acordos trabalhistas. Mas essa cobrança é opcional e o trabalhador pode pedir o fim do desconto, apresentando uma carta de oposição ao sindicato. No caso do SINDPD, o desconto é mensal, no valor de 1% do salário do empregado, limitado ao máximo de R$ 50,00 por mês.
Entre outras coisas, a famosa Reforma Trabalhista de 2017 (Lei 13.467/2017) extinguiu a obrigatoriedade da contribuição aos sindicatos.

Mas, a primeira coisa a notarmos, é que a única forma de recolhimento do sindicato que sofreu mudanças com a Reforma Trabalhista foi a contribuição sindical (antigamente chamada de "imposto sindical"), como explicado nessa reportagem no portal Administradores. Como eu disse acima, esse que era aquele valor descontado uma vez por ano, correspondente a um dia de trabalho. A Reforma Trabalhista alterou os artigos 578 e 579 da CLT mudando o nome do "imposto sindical" para "contribuição sindical" e tornando-o não obrigatório, sujeito a concordância do empregado. Se o funcionário quiser optar por pagar, seria necessário que ele autorize a cobrança da contribuição sindical na folha de pagamento.

Ou seja, a contribuição sindical ficou opcional e o recolhimento da contribuição confederativa, da associativa e da contribuição assistencial continuam valendo, mesmo após a Reforma Trabalhista.

No caso da contribuição assistencial, cujo recolhimento continua válido, ainda existe a possibilidade do trabalhador não autorizar o desconto, o que é feito através de uma carta formal de oposição que deve ser entregue ao sindicato.

Mas a novela não acabou ainda !!!! Infelizmente, o texto apresentado na Reforma Trabalhista sobre a não obrigatoriedade da contribuição sindical ficou meio confuso, o que permitiu que os sindicatos tenham tentado dar jeitinho para manter a cobrança. Essa redação havia sido corrigido na Medida Provisória 873/2019, que estipulava explicitamente a necessidade de "autorização prévia e voluntária do empregado" (nos artigos 578 e 579 da CLT), mas ela perdeu a validade em 28 de junho do ano passado e não surgiu nenhuma lei no lugar da MP para corrigir isso. Com isso, voltou a valer o texto da Reforma Trabalhista de 2017, que apesar de acabar com a obrigatoriedade da contribuição sindical (aquela equivalente a um dia de trabalho descontada do salário no mês de março), o novo texto indicado pela lei não deixa claro quem deve fornecer a autorização prévia e expressa do desconto.

Veja, por exemplo, como fica o texto do artigo 578 da CLT na versão atual, dada pela Reforma Trabalhista, e na versão sugerida pela MP:
  • Atualmente: "As contribuições devidas aos sindicatos (...) serão (...) pagas, recolhidas e aplicadas (...), desde que prévia e expressamente autorizadas."
  • Redação sugerida pela MP, que não é mais válida: "As contribuições devidas aos sindicatos (...) serão recolhidas, pagas e aplicadas (...), desde que prévia, voluntária, individual e expressamente autorizado pelo empregado."
Deu para perceber como está confuso o texto atual, sem indicar quem deve dar o consentimento? Por isso, sem a MP e com o texto atual da CLT, alguns sindicatos tem forçado uma interpretação do texto dos artigos 578 e 579 na qual o consentimento poderia ser dado pela assembléia do sindicato, e não pelo empregado. Assim, eles entram na justiça para aproveitar essa brecha e manter a cobrança da contribuição sindical. Felizmente, em 2019 o Supremo Tribunal Federal (STF) manteve a não obrigatoriedade da contribuição sindical e julgou imprecedente as ações dos sindicatos para tentar manter a cobrança.

Por isso, fique de olho e, em caso de dúvidas, converse com o RH da sua empresa.

PS: Veja também esse meu post: "Dúvidas sobre a Contribuição ao Sindicato".

janeiro 14, 2020

[Segurança] Como foram os eventos de Segurança em 2019

Oba!!! Finalmente chegou a hora de comentar como foram os eventos de Segurança no ano passado, uma análise sincera e divertida que eu faço todo o ano. Também aproveito para dar o meu reconhecimento público aos eventos e pessoas que, na minha opinião, se destacaram durante o ano. Eu espero, com esses posts, ajudar na discussão sobre como podemos melhorar cada vez mais o nosso mercado e nossos eventos de infosec.
Importante: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
Antes de mais nada, devo confessar publicamente algumas frustrações em 2019:
  • Infelizmente, mais uma vez eu furei na Latinoware. Compromissos de trabalho e a mudança repentina de data me pegaram desprevenido nesse ano :(
  • Pela primeira vez o pessoal da Alligator me convidou para ir no evento (é um evento fechado, somente para convidados). Achei muito legal, mas infelizmente eu vi o convite em cima da hora e já estava muito caro para comprar passagens.
Indo ao que interessa, começo esse post compartilhando minhas principais observações sobre alguns dos eventos nacionais em 2019:
  • Os grandes destaques e novidades de 2019
    • Garotas palestrando: O Roadsec SP e a BSides São Paulo conseguiram atrair várias palestrantes mulheres! O esforço fez com que uma parte significativa da grade dos dois eventos fosse ocupada por garotas! Além disso, tivemos muitas garotas presentes na H2HC;
    • O CTF está bombando: As competições de CTF já estão presentes na grande maioria dos eventos da área e fora dela, com premiações atrativas: o vencedor do Hackaflag (Roadsec) vai para a Defcon, e o time vencedor da H2HC participará de uma competição no Japão;
    • O "Mind The Sec"(MTS) está dominando o mercado gerencial, com o MTS São Paulo e Rio, os MindTheSec Summits (edições regionais) e o Mind The Sec Club, os encontros mensais que são fechados para executivos convidados pela Flipside;
    • Os eventos regionais, pequenos, estão bombando, com palestras de excelente qualidade e popularizando a cultura hacker fora de São Paulo. Parabéns para a Bhack (Belo Horizonte), Bxsec (Santos), Jampasec (João Pessoa) e Nullbyte (Salvador);
    • Falando em eventos regionais, a BSides Vitória mostrou que não está aqui para brincadeira! Além de ser a primeira BSides brasileira fora de São Paulo, eles passaram pelo perrengue de ter que adiar o evento na véspera, devido a grandes chuvas que assolaram a cidade. Algumas semanas depois realizaram o evento! 
    • Os patrocinadores "ponta firme": Sempre faço questão de agradecer e parabenizar, em nome da comunidade e do mercado brasileiro, as empresas que apoiam os eventos técnicos e de comunidades. Em 2019 eu destaco a presença frequente da Trend Micro Brasil e da Tempest - Cipher, iBliss e El Pescador também apoiaram vários eventos. Os livros da Novatek e as camisetas divertidas da Imaginário Nerd foram presença frequente em vários eventos. Um dos maiores desafios para quem organiza eventos é conseguir bons patrocinadores, que topam apoiar financeiramente e, principalmente, que entendem e respeitam o espírito de cada evento;
    • Os Palestrantes do ano: Eu gostaria de destacar a palestra motivacional do Clebeer Brandão no encerramento do Roadsec e também a palestra-surpresa, improvisada, que o Maycon Vitali deu na Nullbyte. Também merecem destaque o Felipe Prado, um profissional que está há muito tempo no mercado e palestrou em alguns eventos em 2019 (além de ser o magnífico vocalista da banda MD5 que todo ano arrasa na BSidesSP), a Yumi Ambriola, que lotou sua palestra no Roadsec São Paulo, falando sobre hacking e neurociência, o Bordini apresentando na H2HC sobre seu pentest em um avião e o Julio Della Flora, também bombando na H2HC;
  • Os melhores eventos de 2019
    • Acredito que tivemos vários eventos excelentes, por isso a escolha de melhor evento sempre é bem difícil. Mas vamos lá...
    • Novamente o MindTheSec São Paulo foi o destaque para o público corporativo, desbancando o Security Leaders e o You Sh0t the Sheriff (YSTS). Nesse ano o espaço do MTS SP foi reformulado, criando uma área de exposição enorme, com a presença de várias empresas relevantes, e melhor separação das salas de palestras;
    • Hackers to Hackers Conference (H2HC) mudou de hotel e fez uma edição épica!!! O local ficou super bem sinalizado e bem decorado, além de ter mais espaço para palestras e diversas atividades. Também chamou muito a atenção do pessoal uma área grande com computadores e video-games antigos. Destaque? O espaço para car hacking, com 2 carros para o pessoal hackear a vontade. Mas a frustração é que novamente tivemos poucos leaks no banheiro nesse ano (nenhum, na verdade?) e novamente a tentativa de criar uma área de atividades para crianças ficou sem crianças;


    • O Roadsec São Paulo continua gigante, atraindo um público bem diversificado. É um um ótimo evento para empresas interessadas em contratar novos talentos na área. Nesse ano, a organização dos três shows ficou meio confusa: o CPM 22 iniciou no palco principal, mas no intervalo até o show do Nação Zumbi, houve o show da Negra Lee em outro espaço, o que causou a dispersão do pessoal que estava na área do palco principal. Acredito que isso e do horário avançado fez com que o show do Nação Zumbi estivesse relativamente vazio. Na minha opinião, pelo pouco público, nem precisaria ter acontecido o show;


    • Security BSides São Paulo (BSidesSP) - Neste ano a BSidesSP manteve o público na ordem de 1.200 pessoas, e novamente o evento bombou na PUC-SP. Merece destaque o trabalho dedicado do pequeno exército de voluntários! Um evento com muito conteúdo, diversão e gratuito - para toda a família! As diversas atividades que aconteceram em paralelo (palestras, oficinas, villages e atividades para crianças) estavam lotadas, o show do intervalo novamente foi sucesso e o CTF de 24 horas initerruptas ocorreu super bem!
  • Os bons eventos de 2019
    • GTS - um pouco esquecido pela maior parte da comunidade de segurança, o GTS continua firme e forte, com palestras bem legais e um espaço bem caprichado - além de ser gratuito e com streaming online;
    • Cryptorave - Continua um evento excelente, na minha opinião, com uma ótima energia e atraindo muita discussão sobre segurança, privacidade e ativismo online. Na edição de 2019 eles receberam mais de 3 mil pessoas na Biblioteca Mário de Andrade, no centro de São Paulo. O espaço é charmoso, mas a maioria das salas eram pequenas, e muitas vezes tínhamos que caminhar bastante entre uma sala de atividades e outra. Por sinal, achei legal caminhar passando ao lado da área da biblioteca! Eles fizeram uma festa num espaço alternativo, mas eu preferia quando a festa era dentro do espaço do evento. Nesse ano eles também organizaram uma Criptofesta aqui em São Paulo, em Dezembro, um evento menor, com 6 horas de atividades; ;
  • As ótimas surpresas em 2019
    • Muitas garotas palestrando e participando dos eventos de no RoadSecSP;
    • Os meetups tem sido um ótimo canal para promover eventos pequenos e mais objetivos. Algumas comunidades, como a Nerdzão e a o capítulo São Paulo da OWASP, por exemplo, estão aproveitando a plataforma para se promover e realizar eventos bem legais periodicamente. Vale a pena ficar antenado!!!
  • Sentimos saudades
    • Neste ano não tivemos o DISI (o Dia Internacional da Segurança da Informação, organizado pela RNP), nem a BWCon e novamente não tivemos o Security Day em Natal. Fiquei sabendo que a RNP não realizou o DISI pois decidiu reformulá-lo, e ele voltará em 2020;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, gratuito e com transmissão online. Mas, apesar da longevidade, tenho o sentimento de que a cada ano ele chama menos atenção da comunidade de infosec;
  • Não vi mas vou opinar assim mesmo
    • BHack (em Belo Horizonte, MG) - Com palestras de excelente qualidade técnica, o evento está retomando a importância e o brilho das primeiras edições, e está voltando a ser um ponto de encontro dos melhores profissionais da comunidade;
    • Alligator - Continua sendo o melhor evento da comunidade underground, fechado a 4 chaves, com palestras de grande qualidade técnica restritas a poucos, bem poucos, selecionados;
    • Security Leaders - Na minha opinião este é um evento com conteúdo fraco, com debates superficiais. Mas sempre atrai patrocinadores, que aproveitam a premiação e sua área de exposição para contato com clientes;
  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • O local do YSTS: eles realizaram o evento em um espaço muito ruim, ao meu ver. Além de relativamente pequeno, o principal problema na minha opinião foi o palco, que ficava em cima do espaço do bar, muito alto. Isso deixava os participantes com péssima visão do palestrante e da apresentação (imagina quando você vai no cinema, sentar na 1a fileira e tenta assistir o filme...);
    • Palestras do patrocinador e de encerramento do YSTS: pior do que ter um patrocinador fazendo uma palestra 100% marketeira de produto, que nem se deu ao trabalho de traduzir o PPT (nessa hora, todo mundo, todo mundo mesmo, estava batendo papo ou usando o celular), foi a frustração da palestra de encerramento. O tema era muito interessante (ameaças e fraudes em caixas eletrônicos) e o palestrante tem ótimo conhecimento, mas infelizmente ele se perdeu na apresentação. O PPT tinha mais de 140 slides e ele gastou mais de uma hora apenas falando sobre teorias da conspiração. Quando ele finalmente chegou no tema real da apresentação, todo mundo já estava cansado e dispersado, e pelo grande avançado da hora ele teve que passar muito rapidamente no assunto, e acabou não apresentando nada de interessante. Eu achei a palestra interessante e até me diverti, pois acho legal ter algumas palestras diferentes de vez em quando, que fogem da caixinha e que até mesmo viram lenda na comunidade de segurança, mas tem gente que não curte isso;
    • A maior treta do ano, com certeza, foi o debate desastroso sobre código de conduta na Nullbyte. O evento foi muito bom, com ótimas palestras, mas infelizmente esse debate no final tocou numa grande ferida aberta na comunidade, que os eventos de segurança não são inclusivos, e acabou trazendo muita discussão acalorada, seguida por protestos online contra o evento.
Segue então aminha "premiação" para os eventos brasileiros no ano de 2019...


Resumão 2019
Melhores Eventos Brasileiros MindTheSecSP, RoadsecSP, H2HC e BSidesSP
Melhor Novidade Mulheres presentes em vários eventos!
Maior Surpresa CTF super concorrido da H2HC, premiando com uma viagem para Tokio
Maior Roubada A palestra de encerramento do YSTS
New kids on the block BSides Vitória
Festa estranha com gente esquisita Balada da Cryptorave
Maior Mico Fazer "cara-crachá" no segundo dia do MindTheSec
Maior WTF? Cadê os leaks do banheiro da H2HC?
Maior Polêmica O debate sobre código de conduta da Nullbyte
Os Patrocinadores Pira MindTheSec SP
Alternativo BSidesSP e Cryptorave
Visual e Infra Caprichados MindTheSec e H2HC
Organização Caprichada Flipside (MindTheSecs e Roadsecs)
Sumiu :( code{4}sec, AndSec (Argentina)
Saudades DISI
Melhor Camiseta BSidesSP: "0 day is coming"
Melhor Local Nullbyte em uma charmosa Cinemateca
Pior Local YSTS
Fora do Eixo Rio-São Paulo NullByte, Jampasec, BHack e RoadSec cidades
Não Pode Faltar no seu Evento Competição de CTF e as camisetas da Imaginario Nerd
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico BSidesSP, GTS
Para o Público Ninja H2HC, Alligator, BHack e Nullbyte
Para o Público Underground Alligator
Para o Público Gerencial MindTheSec e Security Leaders
Para a Baixa Gerencia Security Leaders
Para o CSO Gartner Security & Risk Management Summit; MindTheSec Club
Para os Ciber ativistas CryptoRave
Para o Usuário Final CryptoRave
Para o Povão Roadsec SP
Para quem está começando BSidesSP, Roadsec
Para Crianças BSidesSP (com a BSides 4 Kidz)
Para Competir no CTF H2HC, RoadSec (Hackaflag), CTF 24H da BSidesSP
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para comer comida vegana Cryptorave
Para Babar o Ovo ou ser Babado Security Leaders, MindTheSec SP
Para ser VIP Roadsec SP, com suas várias pulseiras VIP
Para ver palestrante gringo e não entender nada H2HC e SaciCon
Para ir de Graça BSidesSP e GTS
Para pagar caro Security Leaders e MindTheSec SP
Para pagar caro em evento ruim Security Leaders
Para Assistir de Casa GTS
Evento Hostil Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Jampasec, Latinoware
Palestrante gringo mais Pica Grossa Gustavo Scotti, pq é possível ser brazuca, gringo e fodão!
Melhor Palestrante do ano "Clebeer" Brandão
Melhores Palestrantes de todos os tempos Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
Palestrantes revelação 2019 Felipe Prado e Yumi Ambriola
Em 2020 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty, 8.8
Em 2020 eu quero ir na... BSides Vitória, Latinoware e Alligator (se me convidarem de novo!)
Em 2020 eu quero viajar para... Defcon (US), 8.8 (Chile), Ekoparty, BSides Lisboa
Patrocinadores "ponta firme" Trend Micro e Tempest

Para saber mais:

Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

PS: Post atualizado em 14/01 para corrigir o texto de avaliação da BHack, pois eu havia copiado do ano passado.
PS/2: Já que você leu até aqui, que tal aproveitarmos para ver esse pequeno vídeo com o resumo da BHack de 2019? (adicionado em 15/01)


PS3: Post atualizado de novo em 15/01 para melhorar o texto de avaliação da Cryptorave, pois eu havia copiado do ano passado e tinha esquecido de comentar mais sobre o evento.

janeiro 13, 2020

[Segurança] Cyber Self-Defense

Recentemente eu assisti essa palestra do TEDx, "Cyber Self-Defense" Paul Carugati (TEDx Spokane, em Nov  de 2015). O que me chamou a atenção nessa palestra foi o foco em "ciber defesa", ou seja, na importância de treinar os usuários a tomarem os cuidados básicos de segurança. Para isso, o palestrante dá uma visão rápida e didática dos ataques mais comuns que afetam os usuários no dia-a-dia, incluindo engenharia social, phishing e roubo de credenciais.


Ao final, ele cita algumas regras (dicas) de "cyber self-defense", que certamente representam um conjunto de dicas básicas que todos os usuários poderiam seguir:
  1. Não clique (pense antes de clicar!)
  2. Sério! Pare de clicar!!!!
  3. Use senhas fortes (preferencialmente, com senhas longas)
  4. Não reuse suas senhas - não use a mesma senha em diversas contas
  5. Pare de usar senhas, e comece a utilizar segundo fator de senhas (como códigos temporários enviados em seu celular)
  6. Mantenha seus softwares atualizados (de forma frequente e automática)
  7. "Confie, mas verifique"
Essas regras são simples, citadas há 4 anos atrás, mas resume os principais cuidados que os usuários devem ter no seu dia-a-dia para ficar minimamemte seguros.

janeiro 10, 2020

[Segurança] Ataque do momento: O golpe do WhatsApp

Esqueça os malwares! Um dos golpes mais populares hoje em dia entre os criminosos e já virou uma grande epidemia no Brasil é um golpe de engenharia social! Muito cuidado com o...

O golpe do WhatsApp


O WhatsApp é um dos principais aplicativos de comunicação instantânea. Devido a sua grande popularidade aqui no Brasil, recentemente ele tem sido muito utilizado por fraudadores para aplicar golpes nas vítimas.

O principal objetivo dos fraudadores é obter acesso ao WhatsApp da vítima e, a partir dele, entrar em contato com parentes e amigos para pedir dinheiro "emprestado" - que, obviamente, seu amigo ou parente nunca mais vai ver de volta. E vocÊ ainda vai ter uma baita dor de cabeça com isso!

Para conseguir o acesso ao WhatsApp de forma fraudulenta, os golpes mais comuns são:
  • O criminoso consegue "clonar a linha do celular" e, assim, abrir o WhatsApp da vítima no aparelho que está em suas mãos. Isso é possível através de um golpe conhecido como "SIM Swap": o criminoso consegue acesso aos sistemas da operadora telefônica e, com isso, transfere a linha que está associada ao chip no celular da vítima para um novo chip, que está no aparelho do criminoso;
  • O fraudador transfere a conta do WhatsApp para outra linha telefônica, em seu poder, e assim ativa o WhatsApp e consegue falar com seus contatos. Esse é um recurso nativo do WhatsApp (através do recurso "Mudar Número"), mas que por segurança ele envia um código de 6 dígitos para o número telefônico original. O fraudador simplesmente liga para a vítima e pede esse número. Ao responder, o fraudador ativa o WhatsApp e a vítima perde o seu acesso no seu celular. Normalmente os fraudadores ficam de olho em pessoas que publicam anúncios online, em sites populares como OLX e Mercado Livre, por exemplo. Os criminosos pegam os dados da vítima no próprio anúncio, ligam para o telefone indicado se fazendo passar pelo site do anúncio e pedem que a vítima forneça o código recebido pelo SMS como se ele fosse necessário para ativar o anúncio.

A melhor forma de evitar o golpe é ativar a verificação em duas etapas: vá em "Configurações > Conta > Verificação em duas etapas", clique em "Ativar" e cadastre sua senha.

Veja mais informações:

janeiro 09, 2020

[Segurança] WWIII e a guerra cibernética

Eu já vi perguntarem se a terceira guerra mundial seria física ou cibernética.


A resposta é simples: hoje em dia qualquer ato de guerra envolve os dois cenários. A guerra tradicional é acompanhada pela guerra cibernética, seja através de ações de propaganda online e ciber ataques a infraestrutura crítica do adversário, por exemplo. Essas táticas são utilizadas como parte do conflito, para prejudicar a população, a produção, a comunicação e o dia-a-dia da sociedade envolvida no conflito. Ciber ataques também podem ser direcionados contra as infra-estruturas militares do adversário.

Na doutrina atual de guerra, considera-se que os 4 palcos principais de conflito são a terra, o ar, o mar e o ciberespaço. Algumas nações também consideram o espaço, mas em geral nas décadas recentes houve um avanço bem menor do que o esperado na exploração espacial e no uso do espaço como cenário de conflito. As nações mais avançadas possuem uma doutrina militar, uma estratégia e um centro de comando unificado, que envolve os 4 domínios.

Vale lembrar que, além de ciber ataques com objetivo militar, também podem acontecer ciber ataques realizados por pessoas comuns, da população em geral, ou seja, não associados as forças militares. Isso normalmente representa os ataques de defacement (ou pichação de site), utilizados normalmente por ciber ativistas como uma forma de protesto, propaganda e também para compartilhar ofensas ao adversário. É muito comum que esses ataques aconteçam antes mesmo de ser declarada uma guerra, e podem ser realizados por pessoas de outros países, que na verdade estariam apenas apoiando um dos lados do conflito.

Se fosse possível desenhar uma linha do tempo, eu diria que hoje em dia um conflito militar em grande escala envolveria:
  1. Ciber protestos através de ataques de defacement, realizados por grupos civis como forma de apoio ou protesto (como o defacement em um site do governo americano, ocorrido em 5 de janeiro) e também por governos como estratégia de propaganda e como ações de inteligência e contra-inteligência;
  2. Ciber ataques contra infra-estrutura crítica do país, como preparação para a guerra física;
  3. Início dos conflitos físicos;
  4. Ciber ataques contra a infraestrutura crítica como apoio as ações de guerra;
  5. Ações de propaganda on-line (por exemplo,enaltecendo as qualidades de um lado e tentando desmoralizar o adversário, divulgando notícias e fake news sobre o conflito, etc).

Nada disso é novidade! Na invasão da Georgia, em 2008 (há mais de 11 anos atrás!), a Rússia realizou ciber ataques para tirar do ar os sites de notícias e até mesmo interromper o acesso a Internet, para deixar a população desinformada sobre a guerra. 90% dos sites do governo da Georgia sofreram ataques de DDoS.

Vale lembrar que dificilmente um conflito iria envolver apenas os Estados Unidos e o Irã.


Diversos aliados poderiam entrar nessa guerra: do lado dos Estados Unidos normalmente ficam na Inglaterra, França, Alemanha e Israel. E, se o conflito se espalhar para a Europa, entra a OTAN. Do lado do Irã, além dos países árabes com posicionamento anti-americano, a China e a Rússia condenaram o ataque. A Rússia foi além e manifestou o seu apoio ao Irã. Em caso de conflito, a China poderia ser seguida pela Coreia do Norte. E isso poderia trazer também o Japão e a Coréia do Sul para o conflito.


Para saber mais:

janeiro 08, 2020

[Carreira] Carta de Oposição ao SINDPD 2020

Sim, é início do ano, época de pagar o IPVA e, para a maioria dos profissionais de tecnologia, fazer a carta de oposição a contribuição mensal ao SINDPD!

A contribuição assistencial é descontada mensalmente do salário do trabalhador, representando 1% do salário, limitado a até R$ 50. Ela não é obrigatória, mas o empregado deve manifestar formalmente que se opõe ao desconto.

Por isso, todos os trabalhadores filiados ao SINDPD, ou cuja empresa é filiada (veja na sua carteira de trabalho / CTPS), tem o prazo de dez dias úteis, de 06/01 a 15/01, para entregar pessoalmente a carta de oposição a Contribuição Assistencial em 2020. Eu sugiro ir o mais cedo possível, para evitar filas!

Atenção: Neste ano, o SINDPD alterou o texto usado no modelo da carta de oposição que divulgou no ano passado. Veja como ficou a nova redação:


Mas as contribuições aos sindicatos não tinham deixado de ser obrigatórias desde a reforma trabalhista de 2017? Sim, mas os sindicatos estão dando um jeitinho para tentar manter elas...

Conversando com alguns amigos sobre a não obrigatoriedade das contribuições sindicais, eles lembraram que a Medida Provisória 873/2019, que estipulava a necessidade de "autorização prévia e voluntária do empregado" (artigos 578 e 579 da CLT), perdeu a validade em 28 de junho do ano passado. Com isso, voltou a valer o texto da reforma trabalhista de 2017, que apesar de acabar com a obrigatoriedade da contribuição sindical (aquela equivalente a um dia de trabalho descontada do salário no mês de março), o novo texto indicado pela lei não deixa claro quem deve fornecer a autorização prévia e expressa do desconto (por exemplo, o artigo 578 atualmente diz que "As contribuições devidas aos sindicatos (...) serão (...) pagas, recolhidas e aplicadas (...), desde que prévia e expressamente autorizadas."- e a frase acaba assim, sem indicar quem deve dar o consentimento). Por isso, sem a MP e com o texto atual da CLT, alguns sindicatos tem forçado uma interpretação do novo texto dado pela reforma trabalhista na qual o consentimento é dado pela assembléia, e não pelo empregado. Assim, eles arranjam uma brecha para manter a cobrança da contribuição sindical.

Não se esqueça:
  • Prazo para entrega da carta de oposição: 06 a 15/01/2020, de segunda a sábado, das 9h as 17h
  • Local de entrega em São Paulo, Capital: Clube Atlético Juventus, na R. Comendador Roberto Ugolini, 152 (Mooca), CEP 03125-010
Informações adicionais:
PS: Post atualizado em 14/01 para ajustar melhor a explicação sobre a obrigatoriedade das contribuições sindicais.

janeiro 07, 2020

[Segurança] Prepare-se para a guerra cibernética dos memes!

Não é de hoje que os presidentes americanos adotaram o hábito de atiçar um conflito no Oriente Médio quando a popularidade deles está em baixa. Seguindo essa onda, o presidente Donald Trump resolveu atiçar o vespeiro ao ordenar um atentado contra um alto general do governo iraniano, o que obviamente despertou a ira do país.


Essa recente escalada de tensão entre os Estados Unidos e o Irã tem causado temores de uma terceira guerra mundial (em inglês, abreviada pela hashtag "#WWIII", sigla para "World War III"), algo que nos tempos atuais é sinal de que há uma enxurrada de memes na internet.







Recentemente o Department of Homeland Security (DHS) publicou um boletim de alerta avisando sobre a iminente possibilidade de um conflito com o Irã, e vale a pena destacar que eles falam explicitamente sobre o risco de ataques cibernéticos:
"Iran maintains a robust cyber program and can execute cyber attacks against the United States. Iran is capable, at a minimum, of carrying out attacks with temporary disruptive effects against critical infrastructure in the United States."
Entre as dicas de como se preparar para a situação, duas delas dizem respeito a possibilidade de ciber ataques:
  • Be prepared for cyber disruptions, suspicious emails, and network delays.
  • Implement basic cyber hygiene practices such as effecting data backups and employing multi- factor authentication. For more information visit CISA.gov.
Mas será que uma guerra cibernética entre os EUA e Irã pode mesmo acontecer? Isso é assunto para meu próximo post, aguardem...

PS: Achei esse artigo ótimo, vale a leitura: "A New, Meme-Fueled Nostalgia for War".

PS/2: Post atualizado em 09/01 para incluir a imagem da notícia do New York Times sobre o ataque ao Iraque ordenado pelo presidente Bill Clinton, em 1998.

janeiro 02, 2020

[Segurança] Previsões para 2020

Agora é hora de pensar o que o ano de 2020 está preparando para nós.


No ano passado eu separei a minha coletânea de previsões entre as óbvias e as que considerava válidas. Para esse ano, vou dar uma melhorada nessa separação:

O Óbvio
  • É claro que os ataques de Ransomware vão continuar assolando as empresas e organizações em todo o mundo. Além de serem muito lucrativos para os ciber criminosos, não há uma bala de prata capaz de proteger as empresas. Afinal, o ransomware é um ataque que explora a falha humana, semelhante quando um usuário se infecta por um vírus - um problema quase tão antigo quanto a própria informática;
  • Os vazamentos de dados vão continuar. Afinal, as empresas ainda vão demorar um bom tempo até aprenderem a proteger seus dados armazenados em ambientes em nuvem - isso representou a maioria dos casos de vazamento de dados em 2019. Além do mais, as ferramentas e procedimentos de segurança ainda engatinham frente a grande facilidade de criar ambientes em nuvem, sem a devida proteção (e esse foi o principal vetor de vazamento de dados em 2019);
  • Falta de profissionais qualificados. Isso é um problema crônico que afeta o mercado de tecnologia e também o de segurança há vários anos. Esse problema não vai ser resolvido tão cedo :(
  • Fake news nas eleições de 2020 - um tema que preocupa vários países, principalmente os EUA e o Brasil, que terão eleições nesse ano. As Fake News tem sido amplamente utilizadas para manipular a opinião do eleitorado, distrair a discussão sobre assuntos importantes, etc. Os países tem grande dificuldade em identificar e evitar a proliferação de notícias falsas nas redes sociais. Eu gostei de uma iniciativa que surgiu no Brasil: o TSE decidiu punir os candidatos que produzirem e disseminarem notícias falsas no período eleitoral.
"Tendências" que não são tendências! #peloamordeDeus
  • Blockchain? Sem novidades. Lamento! Embora a tecnologia exista há mais de 10 anos, ela não trouxe nenhum uso inovador além das criptomoedas. E não acredito que isso vá mudar tão cedo. Além disso, seu uso já está enraizado por ciber criminosos e até mesmo criminosos tradicionais, para esconder, movimentar e lavar o dinheiro;
  • Ataques em dispositivos IoT e a infraestrutura crítica não são novidades para ninguém, há vários anos. Mas, mesmo assim, eles permanecem nas listas de mercado, como se fossem tendências;
  • Threat Intelligence não é bala de prata! Nos últimos dois anos, principalmente, vi uma glamourização da área de Threat Intelligence. Nessa área, muito se fala de OSINT, como se fosse o principal aspecto de Threat Intel - mas, na verdade, é apenas uma pequena engrenagem de algo muito mais complexo que é a capacidade de identificar novas possibilidades de ameaças, investigar tendências e extrair indicadores úteis para a empresa. As empresas ainda engatinham nessa área, enquanto proliferam empresas que cobram rios de dinheiro para fazer um OSINT bem besta.
Vamos ao que interessa!
  • O fim da privacidade online - com tanta exposição nas redes sociais e, principalmente, com tantos vazamentos de dados pessoais sensíveis, toda nossa informação pode ser facilmente encontrada online. É o fim da privacidade dos nossos dados :(
  • O fim da identidade online - com mais dados vazados do que a população da terra, as empresas tem grande dificuldade em validar a identidade online de seus clientes. As senhas já são consideradas insuficientes há vários anos (o próprio NIST tem dito isso desde 2016, pelo menos). Além disso, a facilidade de fraude de SIM Swap torna muito difícil utilizar um dispositivo como parâmetro para identificar um usuário;
  • Os "Deepfakes" vão facilitar a criação de identidades falsas. Com o avanço da tecnologia para criação de "deepfakes", provavelmente ciber criminosos vão começar a utilizá-la para criação de identidades falsas online, que podem ser usadas em esquemas de fraudes. Além de constar em 11 de cada 10 listas de tendências dos principais fabricantes, a Forcepoint chegou a prever o surgimento do "Deepfakes-As-A-Service";
  • Esse será o "Ano do reconhecimento facial", graças  a expansão do uso de tecnologias de biometria facial, principalmente como forma de autenticação de aplicativos nos celulares. Além disso,vamos ver um grande debate sobre a necessidade de privacidade relacionado a o uso dessa tecnologia para vigilantismo governamental (que já é realidade na China e pode ser facilmente adotado em países que já investiram muito em câmeras de vigilância);
  • A dificuldade em manter segurança na nuvem vai gerar uma maior demanda por profissionais de segurança especializados em Cloud Security, enquanto os grandes provedores estão expandindo suas ofertas de serviços e ferramentas para facilitar a automatização dos controles de segurança em seus ambientes - já que os mega-vazamentos de dados de 2019 deixaram claro que os clientes falharam em manter controles básicos de segurança;
  • Zero Trust - o mercado de segurança ainda fala pouco sobre o conceito de Zero Trust, mas esse é um conceito muito importante para as empresas que adotam massivamente o uso de Cloud Computing. Cada vez vamos depender de confiar e aplicar controles de segurança associados a identidade do usuário e seu endpoint, e depender menos da segurança na rede local e na conectividade com a Internet.
Tendências nefastas
  • "Compliance fatigue" - Essa tendência sugerida pelo The Hacker News diz respeito a dificuldade das empresas acompanharem as dezenas de regulamentações locais e internacionais relacionadas a segurança e privacidade que já existem e as que estão surgindo. Além disso, a GDPR teve o mérito de criar o precedente de ser uma regulamentação local, mas que deve ser seguida por países fora de sua área geográfica. Esse excesso de regulamentações, leis e padrões regionais, nacionais e internacionais, que causam regulamentações repetitivas ou até mesmo conflitantes, pode causar um impacto negativo nas áreas de Compliance das empresas, tornando seu trabalho muito difícil. Some a isso sopas de letrinhas como ISO, NIST, SOX, HIPAA, GDPR, LGPD, CCPA, etc;
  • Fadiga do Endpoint: Hoje existem tantas soluções de segurança que devem ser aplicadas nos computadores pessoais (endpoint) que está tornando impossível gerenciar isso tudo. Antigamente os críticos dos softwares de anti-vírus argumentavam que eles impactavam na performance dos computadores. O que dizer agora, em que além do anti-vírus, as empresas adotam soluções específicas de anti-APT, client de Proxy, client de VPN, DLP e CASB (para segurança no acesso a ambientes em nuvem)? Ou seja, só aí temos 6 ferramentas de segurança que estão presentes nos desktops dos usuários. Segundo uma estimativa de 2018, um usuário trabalha com cerca de 35 aplicações diferentes - mas, se considerarmos que hoje e dia a maioria das aplicações de escritório estão na nuvem (ou migrando para nuvem) e são acessadas via browser (até mesmo o Office tradicional já está na nuvem e pode ser acessado vi browser), eu acredito que hoje em dia esse número é muito menor. Corremos o risco do nosso usuário final ter mais aplicativos de segurança em seu computador do que aplicativos de trabalho! Uma piada que eu sempre faço com meus colegas é que daqui a pouco vamos precisar de 2 computadores: um para rodar as ferramentas de segurança e um para trabalhar. Não é a toa que já tem quem preveja a consolidação dos fabricantes de solução de segurança para endpoints.
Aqui no Brasil
  • Certamente 2020 vai ser o ano da privacidade no Brasil, por causa da Lei Geral de Proteção de Dados Pessoais (LGPD)! As empresas já estão desesperadas, as consultorias estão bombando e a galera está desesperada procurando DPOs;
  • Eu acredito que vamos ver um grande número de empresas brasileiras aderindo a programas de Bug Bounty. Embora seja algo relativamente comum em grandes empresas americanas e globais, o Bug Bounty ainda é muito raro no Brasil - e as poucas empresas que tem, rodam em modo "privado", sem divulgar que o fazem (rara excessão é o caso do C6 Bank, que embora tenha um programa privado, fala abertamente sobre o assunto).

Para saber mais:


PS (adicionado em 03/01): Se houver uma praga global em 2020, provavelmente será cibernética... um Ransomware super mega destrutivo? Uma guerra cibernética?


PS: Post atualizado em 07, 08 e 11/01.

dezembro 31, 2019

Boas Festas

Estamos chegando próximos a virada de ano, aquele ponto da translação da Terra escolhido de forma quase arbitrária para marcar mais uma volta em torno do Sol.


Mas, como manda a nossa tradição, a virada de ano é aquele momento para pensarmos e refletirmos sobre como foi nosso ano anterior e quais são os sonhos e objetivos para o ano que se inicia.



Eu não desejo muita coisa... eu gostaria "apenas" que houvesse mais respeito entre as pessoas, e que todos aceitassem a diversidade de pensamento, crenças, cores, raças, opções sexuais, músicas, humores e, até mesmo, a uva passa no arroz!


PS: Não deixe de ver esse vídeo do sensacional Eduardo Bueno:



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.