outubro 29, 2015

[Segurança] Estamos sob ataque !!!

Em seu recente artigo sobre "Como atingir a segurança perfeita em 3 passos simples", o blog da empresa Veracode fez uma descrição excelente de como é o dia-a-dia de um profissional de segurança trabalhando durante uma mega-invasão em seu ambiente.




Eu, particularmente, já vivenciei na pele e presenciei outros colegas lidando com diversos casos de ciber ataques, aonde a equipe de SI (e TI) tínha que lidar com um incidente, e por isso mesmo achei que a descrição dada pelo pessoal da Veracode é sensacional, e cômico. Veja uma transcrição parcial abaixo, com pequenas adaptações minhas - e algumas notas adicionais.
"Passe um longo tempo respondendo aos gestores como o ataque aconteceu. Sinta como se tivesse um buraco enorme e escancarado em seu peito. Sinta desamparo total. Esconda-se por um tempo em seu escritório para ningém ver você chorar. Se alguém perguntar, diga que tem alergia a poeira.

Perceba que você precisa fazer alguma coisa. Fique com raiva e largue tudo para investigar como o ataque aconteceu. Olhe para os eventos e para os logs até que sua cabeça comece a latejar. Pare tudo o que está fazendo, pela milésima vez, para responder a perguntas dos gestores sobre o ataque. Desista de investigar. Continue dizendo a todos que perguntarem que você realmente não sabe como isso aconteceu.

Nota: se você tiver a sorte de achar algum IP da China fazendo qualquer acesso em seu site (mesmo que seja um acesso válido), culpe os hackers chineses e pode parar de ler a história por aqui ;) #fato

O seu gerente pergunta se você deve contactar a polícia. Você realmente não sabe. Entra em contato com a polícia, mas eles também não sabem o que fazer. Diga ao gestores que eles devem entrar em contato com parceiros e clientes que possam ser afetados. Receba como resposta que você deve evitar os jornalistas. Os gestores te perguntam o que eles devem dizer para os demais empregados, mas você não sabe. Para não dizer nada, peça para os gestores orientar a todos que eles devem alterar suas senhas.

Concentre-se em limpar os equipamentos suspeitos de terem sido invadidos. Altere todas as senhas em todos os lugares que encontrar pela frente. Leia o que todos estão dizendo sobre sua violação nas redes sociais e sites de noticia. Sinta-se mal... Encontre um pouco de conforto em outros profissionais de segurança, seus colegas, que vão te dizer que todo mundo pode ser hackeado algum dia. Vá para casa dormir, mas passe a noite acordado e preocupando-se ao ponto de ter náuseas.

Descubra o banco de dados está corrompido. Seja feliz que você investiu em uma super solução de back-up. Mas descubra que o último back-up realmente recuperável é de um mês atrás. Chute a si mesmo por nunca testar o sistema de recuperação e se sinta um idiota. Fique com raiva e chute a máquina de back-up. Sinta-se mais idiota ainda por bater em uma máquina.

Saia do seu esconderijo o tempo suficiente para ir a gerência relatar o progresso - ou melhor: falta de progresso e falta de perspectiva em quando vai ter tudo resolvido. Diga que você ainda está investigando e limpando o ambiente. Ouça que vai receber um orçamento muito maior para comprar novas soluções e corrigir o ambiente. Não diga a eles que é tarde demais, mas você acha sabe que é e engole seco.

Nota: Durante um ataque grave, os gestores adoram fazer um tour no Data Center para ver o pessoal trabalhando desesperadamente e botar um pouco mais de pressão na galera. Eles nunca colocam o pé lá, e daí descobrem como o ambiente está zoneado. e prometem investir mundos e fundos para corrigir todo o ambiente. Passado o ataque, nenhum investimento é feito, os gestores não voltam nunca mais no data center zoneado e tudo continua bagunçado como sempre foi.

Pense sobre suas ferramentas de proteções para tudo o que entra e sai da rede. Perceba que você seu Firewall parece mais um queijo suiço. Tome uma respiração profunda e diga a si mesmo que é bom que agora você está aprendendo. Perceba que você não têm de perímetro na rede e tudo entra e sai praticamente por todos os lugares.

Descubra que você está atrasado para a reunião com a gerência. Peça para adiar, porque você está no caminho certo. Rode o Wireshark e veja o que está acontecendo na sua rede. Tente achar algum sentido da confusão. Mas tudo é uma bagunça.

(...)

Uma manhã você começa a trabalhar e encontra seus servidores web atacados pelo novo exploit para buffer overflow que foi anunciado no início daquela semana. Verifique com o seu SOC e descubra que o seu WAF e o IPS deixaram o ataque passar. Ligue para o fornecedor para reclamar e ouça de volta que você configurou as ferramentas errado. Lembre-lhes que eles configuraram o ambiente. Eles negam. Fique com raiva. Vá falar com os gestores sobre trocar os fornecedores. Descubra que você ainda tem mais dois anos de contrato com o fornecedor. Descubra também, através de alguém em sua equipe, que o fornecedor é o primo do CEO. Coma chocolate para lidar com isso.

(...)

Acorde e sinta-se terrível. Você tem toda uma inteligência de segurança para lhe dizer o que as suas defesas de segurança não podem te proteger. Sinta-se como uma fraude por ter um diploma e ter diveersos certificados em segurança da informação, mas não sabe como realmente proteger nada."

outubro 28, 2015

[Humor] O que fazer quando você vê um problema e não sabe como resolver?

Se você é um médico: diga que é virose e mande tomar um analgésico para abaixar a dor e a febre.

Se você trabalha com TI: mande reiniciar o computador.

Se você trabalha com segurança: mande trocar as senhas.

[Segurança] Como atingir a segurança perfeita em 3 passos simples

O Blog da empresa Veracode publicou recentemente um artigo longo, mas muito legal, com 3 dicas simples para tornar a segurança da sua empresa perfeita e, assim, evitar ser constantemente invadido.

Na área de segurança sempre dizemos que uma segurança 100% não existe, e até mesmo um nível ótimo de segurança pode ser ridiculamente difícil de ser alcançado, mesmo com um orçamento enorme. Mas será que empresas importantes, e frequentemente atacadas, não conseguem obter uma segurança perfeita?

As 3 dicas são as seguintes:
  1. Conheça os seus ativos: idenfifique os ativos de sua empresa, incluindo as ferramentas de segurança;
  2. Aplique as melhores práticas: Instale e configure o firewall, o software antivírus, firewall de aplicação web (WAF), um sistema de detecção de intrusão (IDS) e backup. Faça verificações regulares de vulnerabilidade, testes de penetração, e gerenciamento de patches. Também escreva uma política de segurança. E por aí vai...
  3. Seja invadido e comece a adotar boas práticas de gestão de segurança. Este é o trecho mais longo do artigo. Muito looooongo. Mas, resumidamente, o autor sugere que você sofra bastante lidando com uma invasão em sua rede (possivelmente para experimentar as dificuldades e stress que isto causa), para então começar a adotar uma metodologia para operação da área de segurança, a Open Source Security Testing Methodology Manual (OSSTMM). Ela permite revisar a arqiutetura do nosso ambiente para melhor nos proteger contra possíveis vulnerabilidades, conversando e trabalhando em conjunto com sua equipe de segurança, infraestrutura e de desenvolvimento. Ajude-os a entender os riscos e como podemos evitá-los e adotar boas práticas.

Parece simplista, mas a principal dica no artigo é mudarmos nossa postura: de reativa (apagando incêndios e respondendo a ataques), para preventiva: conhecendo nosso ambiente, seus riscos e trabalhando em conjunto com as outras equipes para ajudá-los a adotar práticas seguras.

outubro 23, 2015

[Segurança] Estatísticas de Lavagem de Dinheiro

O site Raconteur publicou um infográfico com algumas estatísticas (e também uma reportagem) sobre lavagem de dinheiro.


Alguns dados são interessantes:
  • Em Julho de 2014, o banco BNP Paribas teve que pagar uma multa de US$ 8,97 bilhões por ter permitido transferências para o Sudão, Irã e Cuba, violando as sanções impostas pelo Governo Americano;
  • Em 2012, o HSBC foi multado pelas autoridades americanas em US$ 1.9 bilhões por permitir a lavagem de dinheiro do cartel de drogas mexicano.
As duas principais medidas para evitar a lavagem de dinheiro são o investimento em sistemas de monitoração de transações financeiras e na criação e manutenção de procedimentos para melhor conhecer o perfil dos clientes.

A lavagem de dinheiro envolve vários tipos de crimes, como o tráfico de drogas, a corrupção, a fraude fiscal e tráfico de seres humanos, entre outras - além do crime cibernético.

outubro 20, 2015

[Carreira] Como começar uma carreira em segurança?

Em 2007 eu escrevi um texto longo sobre "como começar uma carreira em segurança". Como essa é uma pergunta que aparece frequentemente, eu acho legal dar uma resposta mais objetiva, no intuito de ajudar todos os que tem interesse pela área.

Indo direto ao que interessa, a minha sugestão é o seguinte:

  • Comece estudando como aplicar segurança no que você já faz hoje. Ou seja, continue trabalhando no que você faz e comece a se especializar em segurança. Assim você consegue apreender rápido, aproveitando a sua base de conhecimentos atual. Se você trabalha com TI e é desenvolvedor, há muita coisa bem legal sobre desenvolvimento seguro (sugiro começar pelo OWASP) e, convenhamos, existem poucos profissionais especializados nisso. Se você trabalha com redes, há muito o que estudar sobre falhas nos protocolos de rede, ferramentas de segurança de perímetro (Firewall, IDS e IPS, etc), filtros de acesso e configurações específicas em roteadores e switches, etc. Quem trabalha com SO também deve conhecer como tornar um sistema seguro, com técnicas de hardening, monitoração, etc. Trabalha com gestão? Que tal estudar políticas de segurança? Advogados também tem muito o que apreender sobre direito eletrônico, cyber crime e forense digital;
  • Aplique o que você aprendeu no seu dia-a-dia. Comece a usar tudo o que você esta aprendendo de segurança no seu dia-a-dia. Comece a desenvolver com preocupação em segurança, revise as configurações dos seus roteadores ou servidores, etc. Aproveite o seu trabalho atual para adquirir prática em segurança também;
  • Participe de eventos, grupos de discussão, comunidades e hackerspaces: aproveite para conhecer mais pessoas que se interessam pelo assunto e que podem trocar conhecimento com você. Estamos constantemente apreendendo coisas novas, e isso é mais fácil e divertido se fazemos ao lado de amigos. De quebra, você aumenta o seu networking (grupo de amigos que trabalham na área), o que pode ser muito útil para conseguir novas oportunidades de trabalho no futuro;
  • Colabore com comunidades e projetos Open Source: esta é uma ótima forma de se tornar conhecido no mercado, e ganhar experiência, mesmo se você não trabalhe hoje em dia com Segurança. Ajude a criar novos projetos ou a manter projetos existentes. Há muitas ferramentas bem legais de segurança e poucas pessoas com disposição para ajudar a mantê-las. Dê uma pesquisada nos projetos existentes e aproveite esta oportnidade para colocar a mão na massa, trocar mais experiência, aprender mais e fazer novos amigos na área;
  • Não espere que alguém vai pegar na sua mão e vai te dar tudo de bandeja. Você é responsável pela sua vida. Vá a luta, vá atrás do que você quer, busque informações, não tenha medo de tentar. Há muita gente disposta a ajudar, mas a pessoa mais interessada no seu progresso profissional e pessoal é você mesmo.

Eu, por exemplo, comecei a minha carreira trabalhando com servidores e um pouco de redes. Aos poucos fui me especializando em segurança e nunca mais saí da área. Muito do que eu aprendi (isto é, quase tudo), foi de forma auto-didata, sempre acompanhando as novidades em listas de discussão e eventos.

Como eu disse há pouco tempo atrás, para trabalhar com Segurança da Informação, antes de mais nada é necessário ter um excelente conhecimento de tecnologia, incluindo sistemas operacionais, redes e seus protocolos, bancos de dados, aplicações e desenvolvimento de software. E muitas vezes um bom trabalho em Segurança exige conhecimentos que vão muito além do mundo técnico, pois lidamos também com pessoas, processos (procedimentos, regras e normas) e com aspectos legais.

Sou da época em que comprávamos livros importados, caros, e também acompanhávamos as novidades nas eZines. Hoje há muito material disponível na Internet, mas infelizmente há muita coisa com conteúdo frado ou falho. Busque referências mais confiáveis. Há várias entidades bem reconhecidas que produzem material de qualidade, como o CERT (BR e CC), OWASPCSA, etc.

Além disso, evite os "cursos de hacker". Procure um curso sério, oferecido por uma instituição de ensino ou empresa conhecidos e de boa reputação no mercado, com instrutores com experiência séria na área. Há várias faculdades e empresas de segurança que oferecem bons cursos., além de excelentes eventos de segurança no Brasil. Há ótimos blogs e papers disponíveis na Internet, basta procurar um pouco.

outubro 19, 2015

[Cyber Cultura] Extreme Go Horse (XGH)

Quem é fã da Programação Orientada a Gambiarra (POG) vai gostar do Extreme Go Horse (XGH), uma metodologia de desenvolvimento que, aparentemente, é muito utilizada por aí pelo pessoal mais preocupado com o prazo do que com a qualidade do software.



O XGH é tão sério que é definido através de 22 Axiomas:
1- Pensou, não é XGH.
XGH não pensa, faz a primeira coisa que vem à mente. Não existe segunda opção, a única opção é a mais rápida.

2- Existem 3 formas de se resolver um problema, a correta, a errada e a XGH, que é igual à errada, só que mais rápida.
XGH é mais rápido que qualquer metodologia de desenvolvimento de software que você conhece (Vide Axioma 14).

3- Quanto mais XGH você faz, mais precisará fazer.
Para cada problema resolvido usando XGH, mais uns 7 são criados. Mas todos eles serão resolvidos da forma XGH. XGH tende ao infinito.

4- XGH é totalmente reativo.
Os erros só existem quando aparecem.

5- XGH vale tudo, só não vale dar o toba.
Resolveu o problema? Compilou? Commit e era isso.

6- Commit sempre antes de update.
Se der merda, a sua parte estará sempre correta.. e seus colegas que se fodam.

7- XGH não tem prazo.
Os prazos passados pelo seu cliente são meros detalhes. Você SEMPRE conseguirá implementar TUDO no tempo necessário (nem que isso implique em acessar o BD por um script malaco).

8- Esteja preparado para pular fora quando o barco começar a afundar… ou coloque a culpa em alguém ou algo.
Pra quem usa XGH, um dia o barco afunda. Quanto mais o tempo passa, mais o sistema vira um monstro. O dia que a casa cair, é melhor seu curriculum estar cadastrado na APInfo, ou ter algo pra colocar a culpa.

9- Seja autêntico, XGH não respeita padrões.
Escreva o código como você bem entender, se resolver o problema, commit e era isso.

10- Não existe refactoring, apenas rework.
Se der merda, refaça um XGH rápido que solucione o problema. O dia que o rework implicar em reescrever a aplicação toda, pule fora, o barco irá afundar (Vide Axioma 8).

11- XGH é totalmente anárquico.
A figura de um gerente de projeto é totalmente descartável. Não tem dono, cada um faz o que quiser na hora que os problemas e requisitos vão surgindo (Vide Axioma 4).

12- Se iluda sempre com promessas de melhorias.
Colocar TODO no código como uma promessa de melhoria ajuda o desenvolvedor XGH a não sentir remorso ou culpa pela cagada que fez. É claro que o refactoring nunca será feito (Vide Axioma 10).

13- XGH é absoluto, não se prende à coisas relativas.
Prazo e custo são absolutos, qualidade é totalmente relativa. Jamais pense na qualidade e sim no menor tempo que a solução será implementada, aliás… não pense, faça!

14- XGH é atemporal.
Scrum, XP… tudo isso é modinha. O XGH não se prende às modinhas do momento, isso é coisa de viado. XGH sempre foi e sempre será usado por aqueles que desprezam a qualidade.

15- XGH nem sempre é POG.
Muitas POG’s exigem um raciocínio muito elevado, XGH não raciocina (Vide Axioma 1).

16- Não tente remar contra a maré.
Caso seus colegas de trabalho usam XGH para programar e você é um coxinha que gosta de fazer as coisas certinhas, esqueça! Pra cada Design Pattern que você usa corretamente, seus colegas gerarão 10 vezes mais código podre usando XGH.

17- O XGH não é perigoso até surgir um pouco de ordem.
Este axioma é muito complexo, mas sugere que o projeto utilizando XGH está em meio ao caos. Não tente por ordem no XGH (Vide Axioma 16), é inútil e você pode jogar um tempo precioso no lixo. Isto fará com que o projeto afunde mais rápido ainda (Vide Axioma 8). Não tente gerenciar o XGH, ele é auto suficiente (Vide Axioma 11), assim como o caos.

18- O XGH é seu brother, mas é vingativo.
Enquanto você quiser, o XGH sempre estará do seu lado. Mas cuidado, não o abandone. Se começar um sistema utilizando XGH e abandoná-lo para utilizar uma metodologia da moda, você estará fudido. O XGH não permite refactoring (vide axioma 10), e seu novo sistema cheio de frescurites entrará em colapso. E nessa hora, somente o XGH poderá salvá-lo.

19- Se tiver funcionando, não rela a mão.
Nunca altere, e muito menos questione um código funcionando. Isso é perda de tempo, mesmo porque refactoring não existe (Vide Axioma 10). Tempo é a engrenagem que move o XGH e qualidade é um detalhe desprezível.

20- Teste é para os fracos.
Se você meteu a mão num sistema XGH, é melhor saber o que está fazendo. E se você sabe o que está fazendo, vai testar pra que? Testes são desperdício de tempo, se o código compilar, é o suficiente.

21- Acostume-se ao sentimento de fracasso iminente.
O fracasso e o sucesso andam sempre de mãos dadas, e no XGH não é diferente. As pessoas costumam achar que as chances do projeto fracassar utilizando XGH são sempre maiores do que ele ser bem sucedido. Mas sucesso e fracasso são uma questão de ponto de vista. O projeto foi por água abaixo mas você aprendeu algo? Então pra você foi um sucesso!

22- O problema só é seu quando seu nome está no Doc da classe.
Nunca ponha a mão numa classe cujo autor não é você. Caso um membro da equipe morra ou fique doente por muito tempo, o barco irá afundar! Nesse caso, utilize o Axioma 8.

Claro que isso tudo é uma piada, que ilustra como desenvolvedores devem se preocupar com a qualidade do seu código - e isso, certamente, impacta na segurança do software.

outubro 15, 2015

[Segurança] Como medir o tamanho de um hacker?

Toda vez que aparece uma reportagem dizendo que "o maior hacker fez tal coisa", surge a pergunta inevitável: como medir o "tamanho" do hacker?
Nota: como já discuti aqui antes, geralmente, o título é dado porque ele foi preso ou fez algum tipo de fraude milhonária, pois aparentemente a imprensa só sabe associar a imagem do "hacker" ao "ciber criminoso".

Mas, enfim, como medir o conhecimento de um hacker? Será que isso é possível?

Algumas áreas, bem ou mal, já descobriram como medir o conhecimento ou a eficiência de um profissional:
  • Os RHs das empresas de TI gostam de utilizar os diplomas e as certificações como forma de medir o conhecimento técnico. O diploma de graduação, pós e MBA comprova um nível básico ou geral de formação, enquanto as certificações profissionais comprovam o possível conhecimento do candidato em tecnologias e produtos específicos. Neste caso, quanto mais "medalhas" você tiver, mais conhecimento tem;
  • As Universidades, há muito tempo, utilizam a "produção acadêmica" para medir a competência de um pesquisador. Quanto mais artigos forem publicados em revistas de qualidade e renome na área e quanto mais orientações de teses de alunos o pesquisador tiver, mais conhecimento e competência ele tem;
  • Nos times de pesquisa de diversas empresas, uma métrica muito valorizada é a quantidade de patentes que o funcionário tem em seu nome, indicando que ele/ela produziu novos conhecimentos que podem ser aproveitados em novas tecnologias e produtos;
  • Nos times de vendas, a competência do vendedor é medida pela sua rede de contato e pelos seus resultados financeiros. Se conhece muita gente e bate meta de venda, o cara é bom.

Cabe uma nota de que nenhum dos sistemas acima é livre de falhas. Certamente todos conhecemos pessoas que tem certificados profissionais pois tem facilidade de responder provas, ou que tem muito conhecimento teórico e pouca prática. Ou professores universitários com milhares de títulos e pouca, ou nenhuma, didática.

Mas, e na área de segurança? Já presenciei muitíssimas vezes discussões aonde o título de "hacker" é atrelado a coisas como...
  • O número de CVEs descobertos (isto é, vulnerabilidades encontradas pelo profissional)
  • O ranking em sites de defacement
  • Número de artigos e apresentações em eventos
  • Número de projetos open source que contribui
A lista acima está, intencionalmente, colocada na ordem do argumento mais frequente (CVEs) para os mais raros (projetos Open Source).

Na "cultura hacker", vale o princípio da meritocracia, aonde as pessoas são reconhecidas naturalmente pelo que fazem e, em muitos casos, pelo que contribuem com a comunidade. É o conhecido princípio do...
"talk is cheap; show me the code"
O primeiro problema nesta história toda, na minha opinião, é que qualquer forma de conhecimento é difícil de ser medida.

Além disso, o principal aspecto é que o conceito de "hacker" é muito amplo, portanto, não é possível criar uma única forma de medir algo que é tão diversificado. Uma pessoa pode ser um "hacker" expecialista em hardware hacking, criando diversos equipamentos e ferramentas, sem nunca ter descoberto uma vulnerabilidade que virou CVE. Ou pode ser um desenvolvedor - e mesmo assim ser hacker.

Afinal, "ser hacker" é mais do que um título. Ser hacker é um comportamento, é uma cultura, é uma forma de vida. É ter interesse em aprender constantemente (e, preferencialmente, compartilhar o conhecimento), testando incansavelmente os limites e buscando criar coisas novas.

Como medir isso? Eu, particularmente, acho isso impossível. Mas, se você é apaixonado pelo que faz, está sempre tentando criar coisas novas e, principalmente, compartilha o seu conhecimento, facilmente será reconhecido pelos seus colegas de profissão.


outubro 14, 2015

[Segurança] Ciber Crime e Lavagem de Dinheiro

Muitas das técnicas tradicionais de lavagem de dinheiro são utilizadas por ciber criminosos em todo o mundo para transferir dinheiro a partir das contas correntes de suas vítimas. Após conseguir invadir uma conta corrente, os ciber criminosos devem transformar o dinheiro "virtual' em algo real. Normalmente isto é feito através de compras online ou transferência de fundos para outras contas correntes, que estejam sob controle dos ciber criminosos e em nome de laranjas. Normalmente os ciber criminosos trabalham em grupos, aonde cada um tem uma função especializada, do criador do phishing até a pessoa que retira o dinheiro dos bancos (veja meus posts sobre esse assunto aqui e aqui).

Conhecer as técnicas de lavagem de dinheiro pode ajudar os profissionais de segurança a ter um melhor entendimento de como as fraudes online acontecem. Uma ótima referência é a legislação internacional e nacional sobre o assunto. No Brasil, o Banco Central mantém um conjunto de normas que ditam quais são os procedimentos mínimos a serem adotados pelas instituições financeiras nacionais na prevenção e no combate à lavagem de dinheiro. Tais normas descrevem um conjunto de controles e tipos de transaçòes que são normalmente utilizadas por criminosos em todo o mundo.

As principais medidas definidas pelo Banco Central do Brasil para prevenção de lavagem de dinheiro estão descritas nas seguintes circulares:
  • A Circular nº 3.583/12 determina que instituições financeiras não devem iniciar qualquer relação de negócio com clientes, ou dar prosseguimento a relação já existente, se não for possível identificá-lo plenamente. A norma também esclarece que as políticas e procedimentos internos de controle, implementados pelas instituições financeiras no Brasil, devem ser estendidos às suas agências e subsidiárias situadas no exterior;
  • A Circular nº 3.584/12 dispõe que as instituições autorizadas a operar no mercado de câmbio no Brasil, com instituições financeiras do exterior, devem se certificar de que a sua contraparte no exterior tenha presença física no país onde está constituída e licenciada ou seja objeto de efetiva supervisão;
  • A Carta-Circular nº 3542/12 traz exemplos de operações e situações que podem configurar indícios de ocorrências do crime de lavagem de dinheiro, totalizando 106 cenários, distribuídos em 14 categorias, A norma enriquece o elenco de operações ou situações que podem ser consideradas suspeitas ou atípicas, melhorando a qualidade das comunicações das instituições financeiras ao Coaf – Conselho de Controle de Atividades Financeiras.
A Carta-Circular nº 3542/12 é a mais interessante das três acima, em minha opinião. Ela descreve 106 cenários que podem configurar indícios de ocorrência de uma transação fraudulenta. Alguns casos são bem específicos, mas outros podem ser utilizados por qualquer empresa que tenha algum tipo de monitoração contra fraude. Veja alguns exemplos de operações financeiras que podem ser consideradas suspeitas:
  • aumentos substanciais no volume de depósitos em espécie, sem causa aparente, nos casos em que tais depósitos forem posteriormente transferidos, dentro de curto período de tempo, a destino não relacionado com o cliente;
  • fragmentação de depósitos, em espécie, de forma a dissimular o valor total da movimentação;
  • realização de depósitos de grandes valores em espécie, de forma parcelada, especialmente em regiões geográficas de maior risco, principalmente nos mesmos caixas ou terminais de autoatendimento próximos, destinados a uma única conta ou a várias contas em municípios ou agências distintas;
  • movimentação de recursos em espécie em municípios localizados em regiões de fronteira, que apresentem indícios de atipicidade ou de incompatibilidade com a capacidade econômico-financeira do cliente;
  • realização de saques em espécie de conta que receba diversos depósitos por transferência eletrônica de várias origens em curto período de tempo;
  • transferências de valores arredondados na unidade de milhar ou que estejam um pouco abaixo do limite para notificação de operações;
  • manutenção de numerosas contas destinadas ao acolhimento de depósitos em nome de um mesmo cliente, cujos valores, somados, resultem em quantia significativa;
  • movimentação de quantia significativa por meio de conta até então pouco movimentada ou de conta que acolha depósito inusitado;
  • ausência repentina de movimentação financeira em conta que anteriormente apresentava grande movimentação;
  • recebimento de depósitos provenientes de diversas origens, sem fundamentação econômico-financeira, especialmente provenientes de regiões distantes do local de atuação da pessoa jurídica ou distantes do domicílio da pessoa natural;
  • investimentos significativos em produtos de baixa rentabilidade e liquidez;
  • utilização de diversas fontes de recursos para carga e recarga de cartões; 
  • realização de operações de carga e recarga de cartões, seguidas imediatamente por saques em caixas eletrônicos.

Vários dos cenários descritos na Carta Circular do Banco Central podem ser utilizados para configurar os sistemas existentes de controles internos ou de prevenção a fraudes online, e não apenas como prevenção de lavagem de dinheiro e do financiamento do terrorismo.

outubro 13, 2015

[Cyber Cultura] Como não ter a sua foto nu espalhada na Internet

Frequentemente vemos notícias de pessoas (personalidades ou não) que tem suas imagens ou videos íntimos vazadas na Internet - normalmente como forma de vingança entre ex-namorados (que é chamado de "revenge porn").



Eu tenho algumas recomendações singelas para evitar que isso aconteça com você:
  • Não tire fotos íntimas. Esta é a melhor forma de evitar que suas fotos ou vídeos vazem. Se você não quer que outras pessoas vejam uma foto, não fotografe. pense duas vezes antes de gravar o vídeo. Seria muito mais fácil evitar problemas se todos seguissem essa idéia simples;
  • Não compartilhe com ninguém. Se você realmente quer tirar uma foto íntima, não a compartilhe. Não envie para amigos, colegas, namorados (namoradas), maridos (esposas), etc. O primeiro motivo é que nunca sabemos o que o destinatário vai fazer com a foto hoje ou amanhã. E o amigo/companheiro de hoje pode ser seu pior pesadelo no futuro. Atualmente, poucos relacionamentos são duradouros - não caia na ilusão de que seu namorico de hoje vai ser um relacionamento eterno. Além disos, há o risco da imagem ser roubada do dispositivo de quem a recebeu, ou eventualmente ser interceptada em trânsito. Mesmo que o destinatário não tenha intenção de compartilhar a foto íntima, alguém pode ter acesso ao computador ou smartphone com a foto;
  • Armazene as fotos de forma segura. Uma vez que você decidiu tirar uma foto íntima. armazene-a de forma mais segura possível: offline (fora da Internet), encripitada e protegida por senha. Preferencialmente, grave elas em um CD/DVD externo, criptografadas. Você pode utilizar a criptografia do windows ou PGP, por exemplo - ou então um simples arquivo winzip com senha já é melhor do que nada (é prático mas é pouco seguro, pois existem aplicativos para quebrar a senha de arquivos Zip). Um amigo meu guardava fotos íntimas em seu notebook, até o dia em que alguém invadiu a sua casa e roubou o seu computador. Roubo de celulares é algo muito comum nas grandes cidades, logo o seu smartphone é o pior lugar aonde você pode deixar suas fotos;
  • Não compartilhe fotos de ninguém. Não importa se a pessoa é sua conhecida, desconhecida ou alguma personalidade famosa. Vale aí um pouco de respeito a privacidade e ao ser humano que está na foto. Se você viu ou recebeu alguma foto íntima de outra pessoa, apague a foto e fique quieto. Não compartilhe, não incentive nem saia por aí fazendo comentários nas redes sociais sobre isso - provavelmente estes comentários serão desnecessários, idiotas e machistas. Respeite o próximo.

Se, mesmo assim, você resolveu tirar uma foto íntima (ou fazer um vídeo), e ela vazou na Internet, então procure um advogado especializado em crimes cibernéticos. Ele/Ela vai saber te orientar sobre os principais passos que você deve seguir para identificar e processar a pessoa responsável por isso. Você pode deve processar quem foi o responsável por isso. Mas, infelizmente, depois que a foto vazou, pouco ou quase nada pode ser feito para retirar o material da Internet e para evitar que outras pessoas continuem compartilhando. Sua privacidade acabou :(

outubro 12, 2015

[Cyber Cultura] Ada Lovelace Day

No dia 13 de Outubro (2a terca-feira de Outubro) é celebrado em todo o mundo o Ada Lovelace Day, uma data para marcar as conquistas das mulheres nas áreas de ciências, tecnologia, engenharia e matemática.

Neste ano fazem 200 anos desde o nascimento da Ada Lovelace, a mulher que foi considerada a primeira programadora da história, por trabalhar junto com o Charles Babbage criando o programa que iria rodar em sua Máquina Analítica.

Duzentos anos depois, discute-se intensamente porque as mulheres não são tão presentes nas áreas de tecnologia. Na Inglaterra, apenas 6% dos engenheiros são mulheres.


Tem uma excelente palestra do TED sobre porque há tão poucas mulheres na área de Engenharia e sobre a grande demanda por estes profissionais em todo o mundo.


O Garoa Hacker Clube vai realizar um evento para celebrar a data.

outubro 06, 2015

[Cidadania] Bloody Hacker


Criamos uma nova promoção para aa próxima edição da Co0L BSidesSP, que acontecerá nos dias 17 e 18/10: os participantes que doarem sangue até o dia do evento podem ganhar camisetas da campanha "Bloody Hacker", uma campanha que criamos para estimular a doação de sangue.

Serão entregues 20 camisetas, para os 20 primeiros inscritos no evento que apresentarem um comprovante recente de doação de sangue. Além disso, será sorteado 1 ingresso para a H2HC entre estas 20 pessoas.

Para mais informações sobre a campanha Bloody Hacker da Co0L BSidesSP e sobre como doar sangue, veja os links abaixo:

outubro 01, 2015

[Segurança] Cyber Security Awareness Month

O mês de Outubro é considerado o "Cyber Security Awareness Month", ou "National Cyber Security Awareness Month", como é chamado nos Estados Unidos desde 2004. Na Europa, este mês é celebrado desde 2012 e a campanha é chamada simplesmente de "Cyber Security Month".




No site Americano e no Europeu há muito material para ajudar em campanhas de conscientização de segurança, tais como infográficos, banners. imagens para bótons e jogos.

Esta é uma ótima oportunidade para as empresas aproveitarem a "carona" e desenvolverem atividades específicas de conscientização de segurança.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.