setembro 30, 2012

[Segurança] A invasão é inevitável?

Em mais um depoimento curto, objetivo e marcante, o CSO da Intel discute se a invasão de uma empresa é inevitável e como os gestores devem encarar esta possibilidade.

No vídeo "Information Security: Is Compromise Inevitable?", Malcolm Harkins defende que devemos acreditar que o comprometimento é inevitável devido a evolução da complexidade dos ambientes de TI e das ameaças. Para gerenciar o risco, Harkins sugere que as empresas devem repensar a arquitetura de segurança, uma vez que o modelo baseado na defesa de perímetro é insuficiente. Devemos adotar um modelo de confiança mais granular para o gerenciamento de risco, baseado na confiança, necessidade e segurança dos usuários finais.

[Segurança] Segurança dos dados na Nuvem

O CSO da Intel, Malcolm Harkins, disponibilizou um vídeo com um depoimento curto dele sobre segurança em computação em nuvem.

No vídeo, entitulado "Cloud Computing and Security: Thoughts from Malcolm Harkins", ele fala sobre os aspectos fundamentais da segurança em Cloud Computig, incluindo a preocupação sobre aonde os dados estão armazenados e como eles são protegidos (controles físicos e lógicos) - a principal preocupação e desafio para os provedores de Cloud Computing.



setembro 29, 2012

[Segurança] Cuidado com a EKO, que a EKO te pega...

Eu sou um grande fã da Ekoparty, uma conferência de segurança Argentina que é realizada em Buenos Aires. Recentemente, de 19 a 21 de setembro, tivemos a oitava edição do evento, que atraiu mais de 1.200 pessoas de toda a América Latina, incluindo algumas dezenas de Brasileiros.

Eu não tenho a menor dúvida de que a Ekoparty, ou apenas EKO, é a mais importante conferência de pesquisa em segurança da América Latina, principalmente pela qualidade das palestras e pelo fato do idioma Espanhol ser dominante no evento, o que atrai todos os profissionais da região. Como os eventos brasileiros são em Português, acabamos afastando a maioria dos profissionais dos outros países latino-americanos. Outro ponto favorável a Ekoparty é a organização do evento: caprichosa, com um cuidado especial na qualidade das palestras e na ambientação do local, que normalmente é um show a parte. E, principalmente, há a simpatia, atenção e amizade de todos os organizadores.

Mas, infelizmente, nem tudo são flores, e alguns brasileiros sentiram isso na pele neste ano. No ano passado eu já comentei sobre alguns problemas em Buenos Aires, mas esqueci de comentar o mais importante: todo ano ocorrem vários casos de roubo de notebooks durante o evento. Roubo de notebooks não é algo exclusivo da EKO e, na verdade, pode acontecer em qualquer lugar. Há poucos dias atrás, um colega da área de Segurança teve seu notebook roubado de dentro da sala VIP do evento de Crimes Eletrônicos da FECOMÉRCIO. Mas, na Ekoparty, os casos de roubos de notebook se repetem todo ano.

Desde a primeira vez que fui na EKO, em 2009, eu ouço várias histórias de participantes, palestrantes, patrocinadores e até participantes do CTF (Capture the Flag) que tiveram seus notebooks roubados durante o evento. Basta alguns poucos segundos de distração e os "amigos do alheio" levam embora a sua mochila ou seu computador pessoal. O quase-brazuca Domingo Montanaro nos conta que já teve seu notebook roubado em 2007 de cima do palco do evento, quando foi palestrar. Ele deixou o notebook pronto para a sua apresentação, deu uma saída (acho que para pegar uma água ou algo assim) e, quando voltou, tinham levado o computador. Neste ano, o Alberto teve a sua mochila roubada enquanto conversava logo no início do primeiro dia, e dentro estava o computador e um HD externo.

A organização do evento tenta colocar alguns controles para coibir os roubos, mas obviamente, eles não tem funcionado. Por isso, não tem jeito, a melhor prevenção é a conscientizaçao:
  • Sempre que você estiver em um lugar externo, como um evento, somente leve o que for realmente necessário. Se você não precisa do notebook ou tablet, não leve. Há menos motivos ainda para levar um HD externo...
  • Se você precisa de um computador durante um evento ou uma viagem curta, pense na possibilidade de levar apenas um tablet ou um netbook e deixar o seu notebook principal em casa. Mantenhs os arquivos mais utilizados em um pendrive ou na Nuvem, e deixe seus equipamentos e seus dados em um local seguro: em casa, no trabalho ou trancado no hotel.
  • Ah, nunca confie no hotel: sempre deixe seus bens e seu computador em um local protegido: trancado na mala ou dentro do cofre do hotel.
  • Sempre proteja o HD de seu computador com criptografia.
  • Sempre faça backup dos seus dados.
  • Se você estiver em um local externo, deixe o HD com o backup dos dados em sua casa ou escritório - nunca na michila junto com o computador.
  • Sempre fique de olho nos seus pertences.
  • Um evento de segurança não é mais seguro, necessariamente. Mesmo quando estiver em um evento de segurança, mesmo que cercado por advogados e delegados, fique de olho em sua mochila e seus bens.

setembro 21, 2012

[Segurança] Como se tornar um Rockstar da Segurança?

O J4vv4D, que periodicamente publica vídeos bem divertidos sobre segurança da informação, se juntou com o Space Rogue para, juntos, darem as dicas de ouro para qualquer pessoa se tornar um Rockstar na área da Segurança (Infosec Rockstar)!



Segundo eles, você não precisa saber de nada sobre seguranca, afinal, a imagem é tudo. As dicas são bem divertidas, embora muitas pessoas podem se identificar com algumas delas:
  • Vista camisetas pretas
  • Use barba e cabelo comprido
  • Use óculos escuros legais (não vale de camelô!!!)
  • Tire sarro dos outros, por qualquer motivo (putz, a carapuça caiu em muita gente agora...)
  • Começe uma "guerra" (discussão) no Twitter sobre coisas que você não sabe nada
  • Vá no máximo de eventos que você puder, e Tuíte se você estiver lá (e faça login no Four Square!)
  • Palestre em quantas você puder, mesmo que não saiba nada sobre o que está falando (melhor ainda!)
  • Na dúvida, crie novos termos para vulnerabilidades existentes (como chamar XSS - cross site scripting - de "cross dressing"!)
  • Tenha o máximo de certificações possíveis
  • Tuíte sobre o quanto você odeia viajar
  • Mencione o seu status "platinium super diamante" status na compania aérea (e não se esqueça de fazer login no Four Square l'da sala VIP do aeroporto!)
  • Sempre seja visto bebendo e com uma bebida na mão, e tuíte sobre isso!
  • E tenha um drink com o seu nome (serve um prato criado exclusivamente para você em uma balada)
  • Tenha um Blog ;)
  • Escreva sobre coisas que todo mundo já sabe!

Agora, a hora da verdade... se isso fosse um questionário, quantos pontos você fez?

Deixa eu aproveitar o meu "momento Capricho" aqui no Blog e sugerir um score para a pontuação...
  • 15 pontos: Parabéns, você é "o" Rockstar. Você é a Lady Gaga da área de Segurança.
  • 11 a 14 pontos: Você já é um Infosec Rockstar! Ok, você não é a Lady Gaga, mas pode cantar em festas de casamento, churrascarias, etc. Ou melhor: pode participar de reuniões com CxOs, palestrar em qualquer evento que escolher e discutir a relação entre ROI, PenTest e Cloud Computing.
  • 7 a 10 pontos: Você está no caminho certo. Participe mais das listas de discussão (não como ouvinte, mas criticando as perguntas ou as respostas dos outros, ou criticando quem já está sendo criticado), use mais o Twitter (nem que seja só retuitando notícias), e use o Four Square para fazer login sempre que passar em frente a bares, restaurantes, aeroportos, prédios comerciais e data centers.
  • 4 a 6 pontos: Tá longe, mas ainda tem chance.
  • Menos de 4 pontos: Ei, L4mm3r, você é muito bonzinho. Já pensou em trabalhar em outra área?

Não sei quanto a você, mas eu fiz 11 pontos !!! Uh-hu, Rockstar !!! Glu-glu nhe-nhê...

setembro 17, 2012

[Segurança] Agenda da Co0L BSidesSP disponível

A agenda provisória da próxima edição da Co0L BSidesSP já está disponível. O evento terá várias atividades em paralelo, incluindo duas trilhas de palestras técnicas e o Garoa Village, um espaço para quatro oficinas simultâneas (sendo que uma será dedicada exclusivamente a Lockpicking e outra ficará em aberto, para os presente se reunirem a vontade e fazerem uma oficina na hora do evento, livremente).

Veja algumas das atividades que temos planejado:
  • Palestra From Bug to MSF Module, com o Ewerson Guimarães (Crash)
  • Palestra Como destruir uma investigação forense, Fernando Fonseca 
  • Palestra Soluções de Segurança: Você está investindo da maneira correta?, com o Rodrigo Montoro(Sp0oKeR) 
  • Palestra Big Data Forensics: Melhores Práticas em Segurança da Informação e Proteção a Privacidade na Prestação de Serviços Cloud, José Antonio Milagre 
  • Palestra Police Ransomware, David Sancho 
  • Palestra Dependência de Internet: diferenciando o uso saudável do patológico, Ana Luiza Moreira Mano 
  • Palestra O $BadCLus do seu HD realmente é Bad?, Dimas R. Tomadon Palestra Python Black Hat, Wagner Barongello
  • Palestra Basic Criptography, Ricardo Iramar dos Santos 
  • Palestra Segurança em Códigos QR, Rafael Santos 
  • Palestra Performance e Segurança no Desenvolvimento Web, Claudio Meinberg
  • Oficina Introduction to Malware Analysis, Leo Fernandes 
  • Oficina pev: conheça um toolkit para análise de malpare, Fernando Mercês 
  • Oficina de VANT (Veiculo Aereo Nao Tripulado) para uso Civil e Militar, Shoei Massunaga Netto e Oscar Marques 
  • Oficina de Criação de Exploits, Anderson Peixoto 
  • Oficina Embedded headerless programming, Rodrigo Almeida 
  • Debate: Bozo Security
A Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP) é uma mini-conferência sobre segurança da informação e os valores positivos e inovadores da cultura hacker, organizada pelo Garoa Hacker Clube como forma de divulgar o nosso espaço e, principalmente, promover a inovação, discussão e a troca de conhecimento entre os participantes. A Co0L BSidesSP é um evento gratuito que  faz parte das conferências “Security B-Sides” existentes em 34 cidades de nove países diferentes

A quarta edição da conferência ocorrerá no dia 21 de Outubro de 2012 (domingo), como parte do apoio a Hackers to Hackers Conference (H2HC), uma das mais importantes conferências de segurança brasileiras, que vai ocorrer de 20 a 21 de Outubro.

setembro 11, 2012

[Segurança] Buzzwords

Buzzword é uma gíria que existe no inglês para indicar palavras, as vezes vagas, utilizadas geralmente para causar alguma impressão marcante. As buzzwords também são utilizadas em campanhas de "FUD", ou seja, em campanhas de desinformação que visam influenciar a percepção das pessoas através do uso de informação negativa, duvidosa ou falsa.

Marketeiros adoram buzzwords para ajudar a divulgar uma idéia ou conceito, mesmo que não seja cientificamente correto. Por exemplo, há pouco tempo a "nanotecnologia" entrou na moda e, por isso, virou sinônimo de algo avançado e sofisticado. E eu já vi até propaganda na TV de alguma marca de shampoo que usava nanotecnologia...

Em 1994 o Dilbert já tinha descoberto a utilidade das buzzwords...



Embora elas possam ser comuns no dia-a-dia, o uso de buzzwords é incrivelmente frequente no mercado de segurança.

Não só os marketeiros que trabalham na nossa área, mas até mesmo os profissionais com perfil técnico usam algumas buzzwords no dia-a-dia, pois afinal precisamos resumir conceitos e tecnologias complexas em algo que o usuário final entenda, para querer comprar um produto ou evitar uma ameaça específica. Além do mais, a indústria de segurança vive de provocar o medo, de vender através do medo aplicado ao usuário final. É como a industria de seguro: você não compra algo porque é legal ou porque vai te dar algum benefício, mas é obrigado a comprar para evitar um problema maior.

Em um belo dia, eu estava com alguns amigos em um bar e, devidamente alcoolizados, anotamos em um pedaço de papel as principais buzzwords e termos técnicos utilizados no mercado de segurança. Será que esquecemos de algo?
  • Hacker
  • Cracker
  • Carder
  • Phreacker
  • Lammer
  • Pirata de computador
  • Pirata informático
  • Malware Writer
  • Coder
  • Hacker Ético
  • Black/White/Gray Hat
  • Cyber Warrior
  • Ciber Mercenário
  • Hacker Vigilante
  • Hacker do Bem
  • CSO
  • CISO
  • BISO (Business Information Security Officer)
  • Black Market
  • Underground
  • SPAM
  • Vírus
  • Worm (verme)
  • Trojan
  • Malware
  • Adware
  • Spyware
  • Ransomware
  • Código Malicioso
  • Vírus Polimórfico
  • Polimorfismo
  • Backdoor
  • Phishing
  • Smishing
  • Vishing
  • Spear Phishing
  • Twishing
  • Farming
  • Whaling
  • Mobile Malware
  • Malvertisement
  • Ransonworm
  • Antivírus
  • Anti-SPAM
  • Anti-spyware
  • Anti-adware
  • Proxy
  • Firewall
  • Personal Firewall
  • Human Firewall (Firewall Humano)
  • Stateful Inspection
  • Deep Packet Inspection
  • NAT - Network Address Translation
  • PAT - Port Address Translation
  • Port Knocking
  • IDS - Intrusion Detection System
  • IPS - Intrusion Prevention System
  • HIDS - Host Intrusion Detection System
  • WAF - Web Application Firewall
  • Virtual Patching
  • Criptografia
  • Esteganografia
  • Kleptografia
  • Criptografia Quântica
  • Certificação Digital
  • CIA (Confidentiality, Integrity, Availability)
  • DIE (Distributed, Immutable, Ephemeral)
  • Blockchain
  • Criptomoedas (cryptocurrency)
  • PKI - Public Key Infrastructure
  • VPN - Virtual Private Network
  • SSL VPN
  • Biometria
  • Liveness (Biometria com prova de vida)
  • Honey pot
  • Honey net
  • Honey token
  • Defesa de perímetro
  • Defesa em profundidade
  • Defesa em camadas
  • Zero Trust
  • Behaviour Analysis
  • Análise Heurística
  • Black List
  • White List
  • Gray List
  • Sandbox
  • Vulnerabilidade
  • Zero Day (0-day)
  • Exploit
  • Bot
  • Botnet
  • Zumbi
  • C&C - Command and Control
  • Stealth
  • Tempest
  • Rainbow Table
  • Appliance
  • Soft Appliance (ou Software Appliance)
  • Password Synchronization
  • Identity Management
  • SSO - Single Sign On
  • OTP - One Time Password
  • 2FA - Two Factor Authentication
  • MFA - Multi Factor Authentication
  • Passwordless
  • Compliance
  • Auditor
  • Auditor Líder
  • Política de Segurança
  • PSI - Política de Segurança da Informação
  • Pentest - Penetration Test
  • Vulnerability Scanner
  • SQL Injection (SQLi)
  • DoS - Deny of Service
  • DDoS - Distributed Deny of Service
  • Targeted Attack
  • APT - Advanced Persistent Threat
  • DLP - Data Leakage (Leak) Prevention
  • SIEM - Security Information and Event Management
  • BCP - Business Continuity Plan
  • BIA - Business Impact Analysis
  • ROI - Return of Investment
  • ROSI - Return of Security Investment
  • DRP - Disaster Recovery Plan
  • GRC - Governance, Risk and Compliance
  • SDL / SDLC - Secure Development Life Cycle
  • PCI - Payment Card Industry
  • QSA - Qualified Security Assessor
  • BYOD - Bring your own device
  • SOC - Security Operation Center
  • MSS - Managed Security Services
  • MSP - Managed Security Services Provider
  • UBA - User Behavior Analytics
  • UEBA - User and Entity Behavior Analytics
  • Consumerização
  • Gameficação
  • Cyber War (Guerra Cibernética)
  • Cyber Armageddon
  • Cyber Pearl Harbor
  • Cyber weapon
  • Cyber bomb
  • Digital Act of War
  • Hacktivismo
  • Ciber Ativismo
  • Ciber Terrorismo
  • Deep Web
  • Dark Web
  • Dark Net
  • Surface Web
  • OSINT (Open Source Intelligence)
  • HUMINT (Human Intelligence)
  • SIGINT (Signals Intelligence)
  • Bullying
  • Sexting
  • Revenge porn
  • Sextortion
  • Frexting
  • Cyberflashing
  • SWATing
  • Hacker as a Service
  • Espionage as a Service
  • Malware as a Service
  • Ransomware as a Service (RaaS)
  • Segurança Cibernética / Cyber Security
  • Defesa Cibernética
  • Data at rest
  • Big Data
  • Data Lake
  • PII - Personal Identifiable Information
  • Hiper Mobilidade ("hypermobility")
  • IoT: Internet das Coisas ("Internet of Things")
  • Internet de Todas as Coisas ("Internet of Everything")
  • IoT traduzido como "Internet of Threats" (Internet das Ameaças)
  • IoT "mineirizado", traduzido como "Internet desses Trens"
  • Cyber Range
  • Cyber security methods
  • Critical Infrastructure (infraestrutura crítica)
  • Resiliency
  • “Cyber Kill Chain”
  • "Cyber Hygiene"
  • Segregação de Funções (Segregation of Duties, ou SOD)
  • Need to Know
  • Targeted Cyber Attack
  • Ciber-resiliência / Resiliência Cibernética
  • Fileless Malware
  • Advanced Volatile Threat (AVT)
  • Destruction of Service
  • Bug collision
  • Cryptojacking
  • Blue Team
  • Red Team
  • Purple Team
  • AppSec
  • DevSecOps
  • Bug Bounty
  • Bug Hunter
  • Dynamic Application Security Testing (DAST)
  • Static Application Security Testing (SAST)
  • Interactive Application Security Testing (IAST)
  • Run-time Application Security Protection (RASP)
  • Black Box Testing
  • Grey Box Testing
  • White Box Testing
  • Cyber Defense Center (CDC)
  • Cloud Access Security Broker (CASB)
  • Secure Web Gateway (SWG)
  • Container Runtime Security (CRS)
  • Punycode
  • Endpoint Detection and Response (EDR)
  • Network Detection and Response (NDR)
  • Managed Detection and Response (MDR)
  • Extended Detection and Response (XDR)
  • Human Detection and Response (HDR)
  • Next-Generation Antivirus (NGAV)
  • Security Orchestration, Automation and Response (SOAR)
  • Business E-mail Compromise / Comprometimento de E-mails Empresariais (BEC)
  • Breach and attack simulation (BAS)
  • Attack surface management (ASM)
  • Secure Access Service Edge (SASE)
  • Doxing
  • Dorking
  • MELT (Metrics, Events, Logs, Traces)
  • Threat Hunting
  • Enterprise Risk Management (ERM)
  • Jump Server
  • Tabletop exercises (TTX)
  • Software Bill of Materials (SBOM)
  • Continuous Diagnostics and Mitigation (CDM)
  • Cyber-physical systems (CPS)
  • Industrial Control Systems (ICS)
  • Internet of Medical Things (IoMT)
  • Internet of Military Things (IoMT)
  • Internet of Battlefield Things (IoBT)
  • Industrial Internet of Things (IIoT)
O Gartner adora criar mais buzzwords e anualmente cria um "hype cicle" com elas. Veja alguns exemplos:
Não custa lembrar também algumas siglas relacionadas a Computação em Nuvem:
  • Software-as-a-service (SaaS)
  • Infrastructure-as-a-service (IaaS)
  • Platform-as-a-service (PaaS)
  • Container-as-a-service (CaaS)
  • Desktop-as-a-service (DaaS)
O surgimento do Open Banking também promete trazer novas buzzwords para o mercado:
  • Open Banking
  • Open Finance
  • Open Everything
No final das contas, a lista acima mistura buzzwords com várias palavras, expressões e siglas muito comuns na área de segurança. A lista poderia continuar indefinidamente, mas eu tentei evitar isto não incluindo, intencionalmente, várias outras siglas existentes na área (basta pensar nos nomes dos diversos algoritmos de segurança existentes),  e listei apenas as "principais" siglas e expressões normalmente utilizadas - algumas vezes, desnecessariamente ou de forma pedante. Além do mais, em algum momento a maioria das soluções, tecnologias ou sopa de letrinhas acima já foi oferecida por algum "vendedor de geladeira" como sendo a solução milagrosa para todos os problemas de segurança das empresas.

E não custa lembrar que "Cloud" (Nuvem), bullying e cyber bullying são palavras da moda, embora não sejam necessariamente relacionadas com segurança da informação.

Veja também:

OBS: Lista atualizada pela última vez em 10/12/13 28/01/15 19/02/15 23/03/15 03/06/15 09/06/15 22/07/15 21/12/15 06/01/16 26/01/16 12/06/16 18/07/16 23/07/16 04/10/16. Atualizado em 03/11/17 para incluir algumas buzzwords novas, incluindo 3 que eu aprendi com o Professor Nelson Brito na H2HC: "Fileless Malware", "Advanced Volatile Threat"e "Destruction of Service". Atualizado em 09/01/18 e 11/01. Em 15/02 adicionei os termos (Blue | Red | Purple) Team e  "Cryptojacking". Mais uma pequena atualização em 24/4. Atualizado em 10/10/18. Atualizado em 15/05/2019. Atualizado em 26/06/19. Atualizado em 15 e 29/07/19. Atualizado em 09 e 11/09/19, e depois em 01/10/19. Atualizado em 14/09/2020 e quase dois anos depois, em 06, 20 e 25/05/2022. Pequena atualização em 09/06 e 03/10/22. Atualizado em 02/10/23. Atualizado em 05/06/24 para incluir o link para o post aqui no blog sobre glossários. Atualizado em 23/10/2024.

setembro 07, 2012

[Segurança] O Futuro do mercado: Incidentes já não assustam ninguém

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

Diariamente vemos diversas notícias sobre empresas de todos os portes que sofreram incidentes de segurança: defacements, invasões, ataques de DDoS, roubo de informações e roubos de dados pessoais (incluindo cartões de crédito) já fazem parte do nosso dia-a-dia.

Para exemplificar o tamanho do problema, o site DataLoss DB mantém estatísticas atualizadas de sites e empresas que sofreram roubo de dados, expondo informações de seus usuários. Eles mostram 942 incidentes de roubo de informações envolvendo dados pessoais em 2012 (até 6 de setembro deste ano).

Para exemplificar, um dos maiores incidentes da história foi noticiado em 2009, quando a 5a maior empresa processadora de transações de cartões dos EUA, a Heartland Payment Systems, foi invadida e foram roubados dados de cartão de crédito de 130 milhões de usuários. Mas nem precisamos ir tão longe: em Junho deste ano foram roubadas cerca de 6,5 milhões de senhas do LinkedIn e em Julho o Yahoo confirmou o roubo de 400 mil senhas.

Pelo dito acima, já dá para perceber que os usuários e executivos estão acostumados a ouvir notícias quase que diariamente sobre sites que foram atacados e dados roubados pela Internet. Mas, mesmo assim, a quantidade de usuários online cresce a cada dia. Nenhum site, mesmo após o ataque, deixa de existir. Porque será?
Os incidentes de segurança viraram "carne de vaca", e como os usuários já se acostumaram com estas notícias, o impacto para a imagem das empresas atacadas é minimo.

Salvo raras exceções, ou seja, empresas cujo negócio está diretamente relacionado a provacidade e a confidencialidade de dados realmente sigilosos (como instituições financeiras), os clientes não se assustam mais com notícias de ataques ou de roubos de dados, e não trocariam de fornecedor por causa dele ter sofrido um ataque.

Nos primórdios da Internet, a segurança e a reputação dos sites era fundamental, e qualquer notícia de ataque, na época, poderia causar um sério impacto para um negócio. Na época eu lembro de ter ouvido histórias de que o site de vendas de CDs CDNow.com tinha fechado após ter dados de clientes roubados. Mas uma simples pesquisa no Google mostra que, na verdade, a empresa fechou no início dos anos 2000 devido a concorrência com a Amazon e mais alguns gigantes do e-commerce (isso sem falar que esta foi a época da estoura da bolha da Internet). Pesquisando um pouco mais, eu achei a notícia de que o site CD Universe foi hackeado no início de 2000 e teve 300 mil dados de cartões de créditos roubados - o que foi considerado o maior caso de roubo de dados da época. Mas, mesmo assim, o site existe ate hoje!
Então, esta história de que a sua empresa vai perder credibilidade e pode até fechar, se sofrer um cyber ataque, é bravata?

Sim, na minha opinião este é um dos maiores FUDs da indústria de segurança.

Basta vermos alguns incidentes importantes que aconteceram recentemente:
  • Em 2007 aconteceu o terceiro maior roubo de dados de cartãod e crédito de toda a história: Alberto Gonzalez invadiu os sistemas da empresa americana TJX Companies Inc e roubou 94 milhões de dados de cartões de crédito. A TJX é dona da T.J. Maxx, uma cadeia gigantesca de lojas de roupas e acessórios para casa nos EUA. E a empresa continua existindo, firme e forte. Ou seja, as pessoas continuam comprando lá, mesmo sabendo que a empresas já teve os dados dos clientes roubados há poucos anos atrás.
  • Em 2009 a ANATEL mandou a Telefônica suspender a venda do Speedy, seu serviço de banda larga, depois que o serviço passou por vários problemas de instabilidade, alguns deles como consequência de ataques de DDoS na sua infraestrutura. O resultado? Após o fim da suspensão que durou dois meses, as vendas do Speedy explodiram, pois na verdade havia uma demanda reprimida de clientes.
  • Em 2011 a Sony sofreu uma série de ataques, em represália a decisão da empresa de processar o hacker Geo Hot, que quebrou a segurança do PS3 e descobriu como desbloquear o console. Por conta destes ataques, a empresa teve milhares de dados de clientes roubados, suspendeu a PSN por cerca de um mês e anunciou um prejuízo estimado de US$ 170 milhões. Apesar do roubo de dados dos clientes e do serviço ficar fora do ar por mais de um mês, o impacto em termos de quantidade de clientes e vendas de PS3 foi pequeno. Ou seja, os clientes não abandonaram a empresa. Afinal você iria jogar fora o seu console? Iria abandonar o seu avatar nível 50 e começar do zero? Os prejuízos foram causados principalmente pela parada no serviço em função da estratégia (lenta) de recuperação após os ataques, e não por conta dos ataques em si.

Moral da história: o usuário troca de fornecedor por problemas no serviço final ou por falta de atendimento de qualidade. Notícias de ataques, roubos de dados e de sites fora do ar por causa de DDoS são muito comuns hoje em dia, e os consumidores já se acostumaram com elas e com as desculpas que as empresas dão (mesmo que esfarrapadas).

Afinal de contas, você não vai deixar de ir na padaria porque ela foi assaltada na semana passada, nem mesmo vai trocar de banco só porque a agência perto da sua casa foi assaltada. Se você não for diretamente prejudicado, a chance de abandonar a empresa é pequena.

setembro 04, 2012

[Cidadania] Respeite a faixa de pedestres!

Por sorte, eu estava navegando no site de notícias Huffington Post e fiquei sabendo da campanha viral bem humorada criada pela Free Multiagência e pelo Rotary Club Hermann Blumenau, que criou a campanha "Respeito a Vida, Respeito a Faixa", para conscientizar pedestres e motoristas sobre a importância de respeitar a faixa de pedestres como uma forma de diminuir os índices de atropelamento.



Um relatório recente sobre mortes no trânsito brasileiro em estradas indicou uma mortalidade média de pedestres em 5,46 mortes por 100 mil pessoas.

setembro 03, 2012

[Segurança] O Futuro para os Usuários

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

A verdade é uma só:

Os usuários não se preocupam com segurança - e nem deveriam.

Os usuários querem apenas uma coisa, bem simples: que os serviços que eles utilizam funcionem e que, em caso de eventuais problemas, haverá uma central de atendimento a disposição para irá resolver tudo, com pouca dor de cabeça.

Eu até pensei em me arriscar a dizer que isto não seria válido em alguns casos especiais, como serviços de Internet Banking (afinal, afetam diretamente o nosso bolso), mas mesmo nestes casos, o cliente final busca simplesmente a comodidade em troca da certeza de que, em caso de fraude, o banco irá reconhecer o problema e arcar com o prejuízo.

Ou seja, sob o ponto de vista do usuário final de um servico online, a confiança não está atrelada, necessariamente, ao uso claro e evidente de tecnologias complexas de segurança. A confiança depende da qualidade do serviço prestado.

Fazendo um paralelo com o mundo real...
  • Quando você compra um carro novo, com air-bag, você pede para o vendedor testar o air-bag do seu carro na sua frente, para ter certeza que ele funciona? Afinal, air-bag é um item que encarece o custo do carro, com a promessa de que você estaria a salvo em caso de acidentes. Você paga a mais por isso, mas nem sabe se ele funciona? Ou será que acreditamos no princípio de que a empresa e seus engenheiros sabem como fazer um air-bag? No fundo, queremos apenas o conforto de saber que, se eventualmente precisarmos, haverá um air-bag para nos proteger. E, mesmo assim, você ao menos pede para o vendedor desmontar o painel do carro e mostrar que o air-bag esta lá? Ou será que, novamente, confiamos cegamente na reputação da empresa?
  • Quando você compra um apartamento, ou se muda para um apartamento novo, você testa a rigidez das paredes e das vigas de sustentação? Você se preocupa com que tipo de material o prédio foi construído, ou seja, com a qualidade do concreto? E você verifica antes o projeto arquitetônico? Ou será que confiamos cegamente que, após uns 5 mil anos construindo casas, prédios e pirâmides, os arquitetos e engenheiros já apreenderam a conxtruir um prédio de forma segura?

O usuário final não tem que se preocupar com a segurança do site ou do serviço que ele utiliza. Ele tem que ter a paz e o sossego de acreditar que, se o serviço está disponível online, então ele é, de alguma forma, seguro. Mesmo porque o usuário final não sabe como avaliar a segurança de um serviço, assim como eu não entendo nada de mecânica de automóveis nem mesmo sei como empilhar dois tijolos, um em cima do outro.

Na lingua inglesa, as palavras "security" e "safety" tem significados ligeiramente diferentes, mas em português as traduzimos para a mesma palavra, "segurança". "Safety" remete à condição de estar seguro. O usuário final quer "safety", enquanto a indústria entope ele com soluções de "security".

A solução?
  • Educação e conscientização - sim, a educação do usuário final sempre será a melhor forma de minimizarmos os problemas de segurança, mas isto não acontece do dia para a noite. Não vai ser uma simples cartilha ou uma palestra que vai tornar um usuário leigo em um expert em identificar e evitar golpes online. A educação é um esforço contínuo, que demora, consome tempo, exige várias atividades para apresentar e reforcar os conceitos principais. Envolve treinamento, e também envolve prática - para não falar tentativa e erro também! Além do mais, milhares de novos usuários surgem todo o dia, seja porque eles simplesmente nascem (a propósito, um grande amigo meu criou um perfil no facebook para seu filho recém-nascido!), ou por causa da inclusão digital. E novos usuários são extremamente propensos a cometer os mesmos erros que a maioria de nós cometemos quando começamos a usar a internet, inclusive clicar em tudo o que vê, instalar qualquer software que vê pela frente, e repassar mensagens de motivação com power points cheios de coraçõezinhos, paisagens, anjos e pôneis. Pôneis malditos...
  • Tecnologias de fácil uso, com interface amigável - a indústria tem que fornecer soluções fáceis de usar, em vez de esperar que o cliente seja um expert ou leia o manual do software antes de sair usando. Ninguém lê manual. Você leu o manual do seu liquidificador antes de ligar ele na tomada? E do carro novo? Programas fáceis de usar minimizam a chance de mal uso. Isso também tem a ver com o próximo item da lista...
  • Segurança embutida na tecnologia, no serviço e no processo - a segurança não deve algo que deva ser adicionada a parte, muito menos pode depender de configuração e interação com os usuários. O usuário não tem conhecimento de segurança, e portanto, não tem condições de escolher a alternativa mais segura. Pelo menos a indústria já está começando a perceber que o usuário comum não sabe configurar um personal firewall e muito menos decidir se deve clicar no botão de aceitar ou recusar daquelas centenas de pop-ups chatos e que não dizem nada compreensível.
  • Empresas adotando uma postura que não exponha os usuários ao risco. Um exemplo é pensarmos nos emails de phishing para roubar dados de cartão de crédito que são enviados aos milhares, imitando promoções. Pois bem, quem começou com esta história de promoção premiada de cartão de crédito aonde o cliente tem que acessar um site e fornecer os números do cartão foram... as próprias empresas de cartão. Eu lembro que, há pouco tempo atrás, elas enviavam folhetos de promoções junto com a fatura e pediam aos clientes acessarem um site e dar o número do cartão para concorrer a premios. Com isso, os cyber criminosos simplesmente precisaram imitar as promoções que já existiam, e hoje este tipo de fraude é extremamente comum, entupindo nossas caixas de e-mail.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.