O pessoal da Duo Security publicou um infográfico com um timeline bem legal e detalhado dos principais eventos de segurança e hacking. Batizado de "A History of Hacking", ele mostra vários eventos desde 1903 até o ano passado, chegando até o Heartbleed.
Diversas novidades, informações, dicas e casos do dia-a-dia: na vida pessoal, sobre Tecnologia e, principalmente, Segurança da Informação.
Páginas
▼
outubro 31, 2016
outubro 28, 2016
[Segurança] Relembrando a BSides Latam 2016
Vale a pena relembrar como foi a primeira BSides Latam através desse vídeo curto, criado pelos nossos amigos da Gravento:
A BSides Latam aconteceu em São Paulo, nos dias 11 e 12 de Junho deste ano Esta foi a primeira edição das BSides organizada em conjunto e juntando os organizadores de todas as Security BSides da América Latina. Ainda estamos planejando como será a edição do ano que vem, mas é muito provável que ela ocorra na Colômbia, em Setembro.
Enquanto a BSides Latam não chega, nos visite na próxima BSides São Paulo, que vai acontecer daqui a pouco, nos dias 19 e 20 de novembro de 2016.
A BSides Latam aconteceu em São Paulo, nos dias 11 e 12 de Junho deste ano Esta foi a primeira edição das BSides organizada em conjunto e juntando os organizadores de todas as Security BSides da América Latina. Ainda estamos planejando como será a edição do ano que vem, mas é muito provável que ela ocorra na Colômbia, em Setembro.
Enquanto a BSides Latam não chega, nos visite na próxima BSides São Paulo, que vai acontecer daqui a pouco, nos dias 19 e 20 de novembro de 2016.
outubro 26, 2016
[Cidadania] O Cadastro Nacional de Acesso à Internet
A nossa Câmara dos Deputados está discutindo um Projeto de Lei (PL) que, sob o pretexto de proteger as crianças e adolescentes de conteúdo impróprio na Internet, ele pretende criar o "Cadastro Nacional de Acesso à Internet".
Este projeto, o PL 2390/2015, pretende alterar a Lei nº 8.069 (o Estatuto da Criança e do Adolescente) para criar uma aberração batizada de "Cadastro Nacional de Acesso à Internet" (eu vou chamar isso de "cadastro único", para facilitar a escrita e leitura desse post), que deve conter os dados de todos os usuários da Internet no Brasil e uma relação de sites considerados "com conteúdo inadequado". Além disso, ele exige que todos os computadores e smartphones comercializados no Brasil tenham um aplicativo pré-carregado que, além de exigir o cadastro do usuário nesse "cadastro único", ele vai identificar que site a pessoa está acesando com a finalidade de proibir o acesso de crianças e adolescentes aos sites "inadequados".
Na minha humilde opinião, isso está criando a censura na Internet Brasileira!!!
OK, respira fundo...
Segue abaixo os principais trechos das sugestões propostas nesse projeto de lei, que serão incluídas na Seção do Estatuto da Criança e do Adolescente que trata sobre as medidas de prevenção no acesso adequado a "Informação, Cultura, Lazer, Esportes, Diversões e Espetáculos" (negritos são por minha conta, para destacar algumas aberrações mais relevantes):
O PL 2390/2015 é de autoria do deputado Pastor Franklin, do PTdoB/MG, e está seguindo os trâmites burocráticos do congresso - neste exato momento, esse PL está prestes a ir para avaliação na Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI). Ele está em tramitação há mais de 1 ano e o último parecer que recebeu, do Relator da CCTCI em 01/06/2016 (Dep. Missionário José Olimpio do DEM-SP), foi pela sua aprovação.
Para saber mais:
Este projeto, o PL 2390/2015, pretende alterar a Lei nº 8.069 (o Estatuto da Criança e do Adolescente) para criar uma aberração batizada de "Cadastro Nacional de Acesso à Internet" (eu vou chamar isso de "cadastro único", para facilitar a escrita e leitura desse post), que deve conter os dados de todos os usuários da Internet no Brasil e uma relação de sites considerados "com conteúdo inadequado". Além disso, ele exige que todos os computadores e smartphones comercializados no Brasil tenham um aplicativo pré-carregado que, além de exigir o cadastro do usuário nesse "cadastro único", ele vai identificar que site a pessoa está acesando com a finalidade de proibir o acesso de crianças e adolescentes aos sites "inadequados".
Na minha humilde opinião, isso está criando a censura na Internet Brasileira!!!
OK, respira fundo...
Segue abaixo os principais trechos das sugestões propostas nesse projeto de lei, que serão incluídas na Seção do Estatuto da Criança e do Adolescente que trata sobre as medidas de prevenção no acesso adequado a "Informação, Cultura, Lazer, Esportes, Diversões e Espetáculos" (negritos são por minha conta, para destacar algumas aberrações mais relevantes):
Art. 80-A. O Poder Público manterá Cadastro Nacional de Acesso à Internet, que conterá:Esse PL do "cadastro único" também prevê penalidades para as empresas que não cumprirem a lei:
I – relação de usuários da internet no Brasil;
II – relação com sítios na internet que divulguem conteúdos inadequados para acesso por crianças e adolescentes.
§ 1º A instalação, operacionalização, carregamento, manutenção e atualização do Cadastro Nacional de Acesso à Internet será de responsabilidade do Poder Público
§ 2º Os provedores de informação na internet que mantenham conteúdos de livre acesso ao público geral e que sejam inadequados para crianças e adolescentes deverão informar ao órgão responsável pela operação do Cadastro Nacional de Acesso à Internet que os conteúdos por eles disponibilizados devem ser bloqueados para acesso por crianças e adolescentes.
§ 3º Para inscrição no cadastro de que trata o caput, o usuário deverá fornecer, entre outras informações, o nome completo, endereço completo, número do documento oficial de identidade e número de registro no Cadastro de Pessoas Físicas (CPF) do Ministério da Fazenda.
Art. 80-B. Os terminais de acesso à internet comercializados no País deverão ser embarcados com aplicativo ativado que, cumulativamente:
I – permita a inscrição do usuário no Cadastro Nacional de Acesso à Internet;
II – exija a identificação do usuário a cada conexão à internet, acesse o Cadastro e, caso o usuário não conste do Cadastro ou tenha idade inferior a dezoito anos, proceda ao bloqueio automático do acesso aos sítios que divulguem conteúdos inadequados para crianças e adolescentes que constam do Cadastro;
(...)
Parágrafo único. Para efeitos deste artigo, consideram-se terminais de acesso à internet os computadores, aparelhos de telefonia móvel e demais equipamentos eletrônicos que ofereçam ao usuário a possibilidade de acessar a internet (...).
- Não instalar o "cadastro único" (Art. 258-D): multa de R$ 5.000 a R$ 20.000;
- Comercializar equipamentos de acesso à Internet que não tenham o aplicativo do "cadastro único" (Art. 258-E ): multa de R$ 1.000 a R$ 3.000 (dobrada em caso de reincidência);
- Não comunicar ao responsável pelo "cadastro único" que o seu conteúdo online é inadequado para "clientes" (ops, eu achei um erro: aqui deveria ser "crianças") e adolescentes (Art. 258-F): multa de R$ 1.000 a R$ 3.000 (dobrada em caso de reincidência).
- Quem vai definir que tipo de conteúdo deve ser considerado "inadequado"?
- Quem, do "Poder Público", cuidará da criação e manutenção desse "cadastro único"?
- Quem vai garantir a segurança e privacidade desses dados cadastrais? Quem seria responsável por um eventual vazamento de dados?
- Quem será responsável pela criação e manutenção desse "aplicativo" que deve ser previamente ativado em todos os computadores comercializados no Brasil?
- Quem vai garantir a seguranca desse "aplicativo" que deve vir instalado em todos os computadores? Isso é pior que um backdoor!
- Esse aplicativo pode ser utilizado para qualquer tipo de censura!
- Esse aplicativo vai manter registro de tudo o que acessamos? Vai enviar essa informação (de navegação) para o responsável pelo "cadastro único"?
- Se sim, isso não poderia ser utilizado pelo governo para vigiar as pessoas?
- Não tem como evitar que alguém burle a autenticaçào do aplicativo!!! Um adolescente poderia facilmente criar um cadastro falso ou, simplesment,e utilizar a senha de um adulto (que alguém emprestou, que ele descobriu ou roubou).
O PL 2390/2015 é de autoria do deputado Pastor Franklin, do PTdoB/MG, e está seguindo os trâmites burocráticos do congresso - neste exato momento, esse PL está prestes a ir para avaliação na Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI). Ele está em tramitação há mais de 1 ano e o último parecer que recebeu, do Relator da CCTCI em 01/06/2016 (Dep. Missionário José Olimpio do DEM-SP), foi pela sua aprovação.
Para saber mais:
outubro 25, 2016
[Segurança] Lá vem a Ekoparty !!!
Nesta semana, de 26 a 28 de outubro, acontece em Buenos Aires a Ekoparty, que é, na minha opinião, um dos maiores e melhores eventos técnicos de segurança na América Latina. A grade de atividades é formada por uma trilha de palestras e uma de workshops, além de competição de CTF, área de exposição e algumas atividades em paralelo. Nesse ano eu percebi um destaque muito grande (e interessante) para hacking de automóveis, inclusive com uma oficina sobre o assunto!
Comparando com os eventos brasileiros, a "Eko" tem um público possivelmente maior do que o Roadsec São Paulo (que não é tão tecnicamente profundo como a Eko) e tem uma qualidade equivalente a H2HC, com muitas palestras de conteúdo excelente (mas a H2HC tem tamanho menor se comparado com a Eko). Eu vi a grade deste ano e fiquei maravilhado.
Eu gosto muito do evento pela qualidade das palestras, pela qualidade do local (um centro cultural bem charmoso), e pelo capricho da organizaçào (que a cada ano escolhem um tema e fazem toda uma decoração em volta desse tema). Sem falar que Buenos Aires é pertinho e é uma cidade sensacional!!!
Como nem tudo são flores, ir na Ekoparty exige uma dose muito grande de cuidados:
Algumas dicas extras:
OBS: Post atualizado em 26/10.
Comparando com os eventos brasileiros, a "Eko" tem um público possivelmente maior do que o Roadsec São Paulo (que não é tão tecnicamente profundo como a Eko) e tem uma qualidade equivalente a H2HC, com muitas palestras de conteúdo excelente (mas a H2HC tem tamanho menor se comparado com a Eko). Eu vi a grade deste ano e fiquei maravilhado.
Eu gosto muito do evento pela qualidade das palestras, pela qualidade do local (um centro cultural bem charmoso), e pelo capricho da organizaçào (que a cada ano escolhem um tema e fazem toda uma decoração em volta desse tema). Sem falar que Buenos Aires é pertinho e é uma cidade sensacional!!!
Como nem tudo são flores, ir na Ekoparty exige uma dose muito grande de cuidados:
- Roubo de notebooks: isso acontece com muita frequência no evneto. Já tive dois amigos roubados: um deles deixou o notebook no palco porque ia palestrar, e saiu um segundo para pegar uma garrafa de água - quando voltou, o note não estava mais lá. Outro amigo estava sentado com mochila no chão, ao seu lado, e quando olhou para o lado a mochila sumiu. com o HD de backup junto! Ou seja: não levem notebook no evento. Lá tem muito roubo de notebook, muito mesmo!
- Dinheiro falso nos taxis: Cuidado nos taxis, pois os taxistas costumam dar troco com nota falsa ou, se você der uma nota de 100 pesos, ele diz que você deu dinheiro falso e te devolve uma nota falsa como se fosse a sua. antes de pagar a corrida do taxi, veja os últimos numeros de série da nota, pois se o taxista reclamar você pode ter certeza de que a nota é sua;
- Verifique o caminho que o taxi está fazendo. Eu já desci do taxi no meio do trajeto pois o motorista estava fazendo um caminho desnecessariamente longo.
Algumas dicas extras:
- Para evitar o problema com os taxis, utilize Uber. Há muita disponibilidade de carros, apesar dos protestos dos taxistas argentinos;
- Ao viajar para Buenos Aires, prefira ir para o Aeroparque (AEP) do que para o aeroporto Internacional de Ezeiza (EZE). O Aeroparque fica pertinho do centro da cidade, e Ezeiza fica bem longe. Fazendo isso, você economiza tempo e dinheiro;
- Compre pesos no Banco de La Nacion no aeroporto. embora normalmente ele tenha uma fila grande, vale pela economia. As casas de câmbio no aeroporto utilizam uma taxa de câmbio desfavorável;
- Durante o evento, desligue o Bluetooth e o Wi-Fi do seu celular. Se você tem um smart watch ou um fitbit da vida, está acostumado a deixar o bluetooth ativo e nem lembra disso. Deixe eles em casa também. Se possível, deixe o seu smartphone offline (em modo avião) a maior parte do tempo e limite quais aplicativos podem usar a sua rede de dados.
OBS: Post atualizado em 26/10.
[Segurança] 10 mandamentos de segurança contra Phishing
O pessoal da empresa El Pescador fez algumas atividades legais durante a H2HC, realizada neste final de semana. Dentre elas, havia uma pessoa vestido de pirata que leu os "10 mandamentos de segurança":
Estas dicas são muito boas para compartilhar com usuários, pois representam erros muito comuns que acarretam no roubo de dados ou infecção de seu computador por malware
O pessoal do El Pescador também tem um "guia completo sobre ataques de phishing", que é um e-book ilustrado e interativo sobre Phishing, suas modalidades e como se proteger.
OBS: Post atualizado em 25/10 para corrigir alguns erros de digitação e para incluir o vídeo dos 10 mandamentos, gravado durante a H2HC.
- Não clicarás!
- Não fornecerás credenciais em sites desconhecidos;
- Não serás persuadido por banners pornográficos;
- Verificarás a procedência de ofertas mirabolantes;
- Duvidarás dos erros gramaticais;
- Conferirás o teor das mensagens recebidas;
- Não usarás plug-ins pecaminosos como Java e Flash;
- Não efetuarás downloads de servidores misteriosos;
- Não desabilitarás o Javascript;
- Evitarás vazamentos de nudes bloqueando a webcam.
Estas dicas são muito boas para compartilhar com usuários, pois representam erros muito comuns que acarretam no roubo de dados ou infecção de seu computador por malware
O pessoal do El Pescador também tem um "guia completo sobre ataques de phishing", que é um e-book ilustrado e interativo sobre Phishing, suas modalidades e como se proteger.
OBS: Post atualizado em 25/10 para corrigir alguns erros de digitação e para incluir o vídeo dos 10 mandamentos, gravado durante a H2HC.
outubro 21, 2016
[Segurança] USB Kill
Recentemente, uma empresa de Hong-Kong lançou o USB Killer 2.0, um dispositivo parecido com um pendrive que promete "fritar" o computador em que ele esteja conectado.
Ao ser conectado na porta USB de um computador, o USB Kill 2.0 rapidamente carrega os seus capacitores através da alimentação da porta USB, e depois descarrega 200V pela porta USB, em questão de segundos. Isso é feito repetidas vezes (carrega e descarrega), podendo assim danificar os controladores de disco a ponto de que tornar impraticável a recuperação de dados.
O dispositivo custa US$ 49, e pode ser comprado com um "Test shield", opcional.
Esse é mais um bom motivo para você pensar 2 vezes antes de colocar em seu computador um pen-drive que achou jogado no chão ;)
Ao ser conectado na porta USB de um computador, o USB Kill 2.0 rapidamente carrega os seus capacitores através da alimentação da porta USB, e depois descarrega 200V pela porta USB, em questão de segundos. Isso é feito repetidas vezes (carrega e descarrega), podendo assim danificar os controladores de disco a ponto de que tornar impraticável a recuperação de dados.
O dispositivo custa US$ 49, e pode ser comprado com um "Test shield", opcional.
Esse é mais um bom motivo para você pensar 2 vezes antes de colocar em seu computador um pen-drive que achou jogado no chão ;)
outubro 19, 2016
[Segurança] Guia para segurança em IoT
A Cloud Security Alliance (CSA) lançou recentemente um guia sobre segurança em IoT, batizado de "Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products".
O guia tem 76 páginas e identifica 13 recomendações principais:
O documento é bem completo, pois além de descrever as recomendações acima, ele também inclui um capítulo sobre as necessidades e sobre os desafios relacionados a adoção de dispositivos IoT.
Esta é a iniciativa mais madura que eu conheço para discutir detalhadamente como tratar segurança no mundo IoT. Há um ano atrás, eles já tinham publicado um relatório inicial sobre este tema.
O relatório pode ser baixado gratuitamente do site da CSA.
Atualização (11/11): Eu criei uma apresentação que resume estes principais tópicos e recomendações do reltório da CSA. Ela está disponível no meu slideshare.
O guia tem 76 páginas e identifica 13 recomendações principais:
- Start with a Secure Development Methodology
- Implement a Secure Development and Integration Environment
- Identify Framework and Platform Security Features
- Establish Privacy Protections
- Design in Hardware-based Security Controls
- Protect Data
- Secure Associated Applications and Services
- Protect Logical Interfaces / APIs
- Provide a Secure Update Capability
- Implement Authentication, Authorization and Access Control Features
- Establish a Secure Key Management Capability
- Provide Logging Mechanisms
- Perform Security Reviews (Internal and External)
O documento é bem completo, pois além de descrever as recomendações acima, ele também inclui um capítulo sobre as necessidades e sobre os desafios relacionados a adoção de dispositivos IoT.
Esta é a iniciativa mais madura que eu conheço para discutir detalhadamente como tratar segurança no mundo IoT. Há um ano atrás, eles já tinham publicado um relatório inicial sobre este tema.
O relatório pode ser baixado gratuitamente do site da CSA.
Atualização (11/11): Eu criei uma apresentação que resume estes principais tópicos e recomendações do reltório da CSA. Ela está disponível no meu slideshare.
outubro 14, 2016
[Segurança] Técnicas, ferramentas e processos dos ciber ataques
A RSA tem um vídeo curto, simples e objetivo que explica rapidamente como normalmente funcionam os ciber ataques contra empresas. Batizado de "Understanding Hacker TTPs" ele dá uma visão superficial das técincas utilizadas em um ataque. A ropósito, TTP é um termo utilizado na área de segurança que significa "Tactics, Techniques and Procedures" ("Táticas, Técnicas e Procedimentos").
Para saber mais, a RSA disponibilizou um whitepaper sobre este assunto.
Para saber mais, a RSA disponibilizou um whitepaper sobre este assunto.
outubro 13, 2016
[Segurança] Regras do ciber crime
Alguns posts recentes com anúncio de venda de dados roubados mostram como são algumas das regras que normalmente os ciber criminosos utilizam para a comerialização de informações nos mercados underground:
Normalmente os ciber criminosos fornecem suporte aos seus "clientes" através de e-mail e softwares de mensagem, caso haja problemas com os dados que foram bendidos.
- Nunca venda o mesmo dado para mais de uma pessoa ("I never sell the same CC, CVV to more than a person");
- Não forneça dados de graça ("I don't share CC, CVV for test free") - na verdade. é comum os ciber crimonosos fornecerem um pequeno conjunto de dados como "exemplo", para provar que realmente possuem os dados que querem vender;
- Os dados vendidos são verdadeiros ("All my CC, CVV always are fresh and live"). - e, na verdade, normalmente eles oferecem uma espécie de "garantia" (ou "replacement policy") na qual o criminoso fornece gratuitamente um novo dado (por exemplo, número de cartão) se algum dado vendido não estiver mais válido (o que pode acontecer caso o cliente ou operadora cancele o cartão);
- Os dados são verificados previamente pelo ciber criminoso ("All my CC, CVVs are checked") - e isso é feito até mesmo para o ciber criminoso estipular o preço pela informação sendo vendida (por exemplo, o acesso a uma conta corrente com mais saldo ou limite vale mais no mercado underground).
Normalmente os ciber criminosos fornecem suporte aos seus "clientes" através de e-mail e softwares de mensagem, caso haja problemas com os dados que foram bendidos.
outubro 11, 2016
[Segurança] The Internet of Ransomware Things
O portal de charges The Joy of Tech publicou recentemente uma charge muito legal batizada de "The Internet of Ransomware Things", que mostra como seria uma residência moderna totalmente automatizada e tomada pelos ransonwares:
outubro 07, 2016
[Carreira] TI nos Jogos Olímpicos
Passada as Olimpíadas Rio 2016, vale a pena analisar o gigantismo do evento do ponto de vista da infra-estrutura de TI que ele exigiu.
Alguns números, apresentados por Elly Resende. CIO da Rio 2016 e pelo Bruno Moraes, Gerente de SI da Rio 2016 (durante o MindtheSec) já são de arrepiar:
Veja mais algumas informações interessantes sobre o Portal Oficial dos Jogos Rio 2016, desenvolvido pela Microsoft:
Alguns números, apresentados por Elly Resende. CIO da Rio 2016 e pelo Bruno Moraes, Gerente de SI da Rio 2016 (durante o MindtheSec) já são de arrepiar:
- A estrutura de TI da Rio 2016 correspondeu a uma empresa com 200 mil funcionários e 4,8 bilhões de clientes, funcionando 24 horas por dia, sete dias por semana;
- A Rio 2016 foi a primeira olimpíada a usar Cloud Computing: o portal do evento foi sustentado por 300 servidores virtuais na plataforma Azure espalhados por quatro data centers distribuídos em três continentes;
- O site aguentou picos de 636 páginas visualizadas por segundo, com mais 4,7 milhões de usuários simultâneos. Além disso, 47 milhões de usuários visitaram o sistema, gerando mais de 91 milhões de seções de consulta, com mais de 470 milhões de páginas visitadas;
- A infraestrutura de TI do comitê Olímpico utilizou 12 Datacenters, que hospedaram 850 servidores, enquanto a rede deles tinha 15 mil computadores, 100 mil dispositivos de rede, 5.200 access points e gerou um tráfego de 1,4 Petabytes.
- O ambiente teve mais de 40 milhões de alertas de segurança, que geraram aproximadamente 25 milhões de ataques bloqueados, desencadeando 223 ações para mitigação destes incidentes;
- Foram gerados 12 bilhões de registros de log;
- Como preparativo aos jogos, foram realizados 125 testes de segurança no ambiente, incluindo 25 testes de Spear Phishing e 3 Cyber War Games para preparar o time a responder incidentes.
Veja mais algumas informações interessantes sobre o Portal Oficial dos Jogos Rio 2016, desenvolvido pela Microsoft:
- A Microsoft desenvolveu uma arquitetura inteligente que permite o reconhecimento automático do modelo de tela mais adequado, com o objetivo de oferecer ao usuário a melhor experiência de navegação e interação para cada dispositivo;
- Houve uma definição de estratégia de segunda tela: a página principal é flexível e se adapta a cada evento dos jogos, oferecendo notícias em tempo real em quatro idiomas: português, inglês, espanhol e francês.
outubro 06, 2016
[Segurança] Ameaça do momento: Ransomware
Esqueça os roubos de dados e ataques DDoS. Esqueça a Deep Web. Basta acompanhar as notícias do mercado para ver que todo mundo tem medo mesmo é dos...
Os ransomwares são uma forma de código malicioso especializado na ciber extorsão das suas vítimas: eles sequestram o computador e exigem um pagamento em dinheiro (através de bitcoins) para que os usuários voltem a ter acesso aos seus dados.
Este sequestro pode ser realizado através de um pop-up que bloqueia a tela do usuário até o pagamento da taxa (chamados de "Crypto Wall"), ou criptografando os dados locais do computados ("Cryptolocker") - neste caso, o ciber criminoso libera um programa com a chave de criptografia após o pagamento da extorsão. Mas os ransomwares não se limitam apenas a computadores pessoais: podem atacar servidores, smartphones e até mesmo TVs inteligentes.
Inicialmente os Ransomwares eram restritos principalmente aos EUA e Europa, mas hoje eles são uma praga global, com vítimas espalhadas em todo o mundo. Segundo uma estatística mal atualizada da Cyberark, em 2015 os Ransomwares custaram mais de 400 milhões de dólares para as empresas (eu digo "mal atualizada" pois há notícias desta estatística sendo divulgada antes do final de 2015 como sendo de 325 milhões de dólares de prejuízos, e depois este mesmo número foi repetido pela imprensa em 2016 como se fosse o total do ano passado).
Para saber mais:
Ransomwares
Os ransomwares são uma forma de código malicioso especializado na ciber extorsão das suas vítimas: eles sequestram o computador e exigem um pagamento em dinheiro (através de bitcoins) para que os usuários voltem a ter acesso aos seus dados.
Este sequestro pode ser realizado através de um pop-up que bloqueia a tela do usuário até o pagamento da taxa (chamados de "Crypto Wall"), ou criptografando os dados locais do computados ("Cryptolocker") - neste caso, o ciber criminoso libera um programa com a chave de criptografia após o pagamento da extorsão. Mas os ransomwares não se limitam apenas a computadores pessoais: podem atacar servidores, smartphones e até mesmo TVs inteligentes.
Inicialmente os Ransomwares eram restritos principalmente aos EUA e Europa, mas hoje eles são uma praga global, com vítimas espalhadas em todo o mundo. Segundo uma estatística mal atualizada da Cyberark, em 2015 os Ransomwares custaram mais de 400 milhões de dólares para as empresas (eu digo "mal atualizada" pois há notícias desta estatística sendo divulgada antes do final de 2015 como sendo de 325 milhões de dólares de prejuízos, e depois este mesmo número foi repetido pela imprensa em 2016 como se fosse o total do ano passado).
Para saber mais:
- Paper "The Evolution of Ransomware" (Symantec)
- Infográfico "Detecting and Responding to a Ransomware Attack" (RSA)
- Infográfico "Ransomware Rescue Plan" (Trend Micro)
outubro 04, 2016
[Segurança] Nova buzzword: Ciber Higiene
Recentemente eu bati o olho em um artigo que me chamou a atenção pois foi a primeira vez que eu vi a expressão...
A "ciber higiene" se refere aos cuidados básicos de segurança que devemos ter online, tais como não abrir e-mails de pessoas desconhecidas, usar uma solução de antivírus confiável, não instalar qualquer software em seu computador, manter seus softwares atualizados, e não acessar sites de conteúdo inapropriado nem suspeito.
O artigo, em especial, defende o ponto de vista que os funcionários que se preocupam com cuidados básicos de segurança em sua vida pessoal também tem mais cuidados no ambiente de trabalho. Isto acontece, por exemplo, com os pais que se preocupam com o que os seus filhos acessam na Internet. Por isso mesmo, uma campanha de conscientização de sucesso deve sensibilizar os usuários para os riscos que eles correm no mundo online e, a partir daí, também conscientizar que a falta de cuidados pode representar riscos para a empresa também.
Nota adicionada em 30/03/2019: Segundo um paper da ENISA, a "higiene cibernética" é o equivalente no mundo online a lavar as mãos para proteger sua saúde ou trancar a porta de sua casa para proteger suas propriedades. Ela significa que os usuários precisam estar cientes dos riscos e tomar as medidas apropriadas e mínimas de proteção de segurança, como uso de ferramenta de firewall e detecção de malware (anti-vírus), além de aplicar atualizações e patches para proteger seus dispositivos e sistemas de TI.
Cyber Hygiene
A "ciber higiene" se refere aos cuidados básicos de segurança que devemos ter online, tais como não abrir e-mails de pessoas desconhecidas, usar uma solução de antivírus confiável, não instalar qualquer software em seu computador, manter seus softwares atualizados, e não acessar sites de conteúdo inapropriado nem suspeito.
O artigo, em especial, defende o ponto de vista que os funcionários que se preocupam com cuidados básicos de segurança em sua vida pessoal também tem mais cuidados no ambiente de trabalho. Isto acontece, por exemplo, com os pais que se preocupam com o que os seus filhos acessam na Internet. Por isso mesmo, uma campanha de conscientização de sucesso deve sensibilizar os usuários para os riscos que eles correm no mundo online e, a partir daí, também conscientizar que a falta de cuidados pode representar riscos para a empresa também.
Nota adicionada em 30/03/2019: Segundo um paper da ENISA, a "higiene cibernética" é o equivalente no mundo online a lavar as mãos para proteger sua saúde ou trancar a porta de sua casa para proteger suas propriedades. Ela significa que os usuários precisam estar cientes dos riscos e tomar as medidas apropriadas e mínimas de proteção de segurança, como uso de ferramenta de firewall e detecção de malware (anti-vírus), além de aplicar atualizações e patches para proteger seus dispositivos e sistemas de TI.
outubro 03, 2016
[Cidadania] A urna impenetrável
Eu vi vários colegas comentando a imagem abaixo, então resolvi procurar no perfil do TSE no Facebook para ter certeza que a imagem era verdadeira:
Esta argumentção de que "a urna é segura porque não está conectada a Internet" é tão tosca que é difícil de acreditar que pudesse ser verdade! Não basta isolar um sistema da Internet para que ele "automagicamente" fique seguro.
Este tipo de argumento ignora a possibilidade de tentativas de ataques e fraudes que possam ser feitos por qualquer pessoa com acesso físico as urnas, que poderiam ser, hipoteticamente, funcionários mal intencionados (do TSE ou terceirizados) atuando na produção, configuração, distribuição ou até mesmo na proteção das urnas, incluindo mesários (mais de 2 milhões, segundo o próprio TSE) e o pessoal que faz o transporte das mais de 550 mil urnas. Essa argumentação também ignora, intencionalmente ou não, a possibilidade de fraude na transmissão dos resultados, um processo que certamente é feito por redes de telecomunicações.
Em sua defesa, o TSE também disponibilizou no Facebook um vídeo em que o Secretário de Tecnologia de Informação do TSE, Giuseppe Dutra, rebate as críticas sobre a segurança e auditoria do processo eletrônico de votação e apuração.
Na minha opinião, o grande problema do processo eleitoral brasileiro é que ele é apoiado na hipótese inquestionável e imutável de que o TSE é confiável. Ou seja, todo o processo eleitoral é controlado a mãos de ferro pelo TSE e nós, cidadãos, conveniente acreditamos que o TSE é confiável. Tudo o que o TSE decide, legisla e faz deve ser assumido, goela abaixo, como verdadeiro e, principalmente, inquestionável. Confiamos no processo de votação porque confiamos cegamente no TSE. Acreditamos que não existe a mínima possibilidade de fraude dentro do TSE, acreditamos que nenhum funcionário ou juiz do TSE pode ser corrompido.
Do ponto de vista de segurança da informação, essa confiança cega no TSE reflete no fato de que a mesma entidade (TSE) que realiza as eleições é a mesma entidade que audita o processo eleitoral - quando, ao contrário, a prática real do mercado é a de que "quem realiza uma atividade não é a mesma pessoa que audita", justamente para evitar conflitos de interesses no processo de auditoria.
As eleições presidenciais de 2014 foram bem interessantes, do ponto de vista da discussão sobre a segurança da nossa urna eletrônca. Sejamos francos: devido a diferença mínima nas pesquisas de intenção de votos entre os dois principais candidatos presidenciais (Dilma e Aécio), pela primeira vez nós tivemos uma eleiçõa de grande importância aonde o resultado final era imprevisível, ou seja, qualquer um dos 2 candidatos poderia ser o vencedor. E, para apimentar mais ainda a discussão, havia uma grande expectativa de que o candidato da oposição iria conseguir a vitória - ao contrário do que foi apresentado no resultado final. O PSDB, então, questionou o resultado e pediu uma recontagem dos votos - algo que é de pleno direito para qualquer partido ou candidato em qualquer eleição de qualquer país democrático.
Mas, provavelmente pela primeira vez, descobrimso que a votação brasileira não é auditável e não permite a recontagem dos votos. "Recontar os votos" na nossa urna eletrônica é tão ineficaz como você fechar e abrir um documento do Word para ter certeza de que o conteúdo do arquivo ainda está lá. Se, hipoteticamente, tivesse ocorrido alguma fraude eleitoral, ela teria acontecido na própria urna, durante a votação, ou durante a transmissão dos resultados dos votos - e como auditar isso no nosso sistema?
Na época, o PSDB então pediu uma auditoria do sistema de votação e, ao contrário do que foi noticiado pelo TSE e replicado irresponsavelmente pela mídia, o resultado da auditoria foi totalmente inconclusivo, pois o nosso sistema eleitoral é inauditável. Veja você mesmo:
Qual deve ser a prioridade em uma eleição? Garantir a agilidade na apuração dos votos ou garantir a confiança de que a apuração foi feita de forma correta? Precisamos garantir que o nosso voto na urna foi representado no resultado final? Podemos esperar 2 ou 3 dias a mais pera decidir quem vai nos governar nos próximos 4 anos?
Esta argumentção de que "a urna é segura porque não está conectada a Internet" é tão tosca que é difícil de acreditar que pudesse ser verdade! Não basta isolar um sistema da Internet para que ele "automagicamente" fique seguro.
Este tipo de argumento ignora a possibilidade de tentativas de ataques e fraudes que possam ser feitos por qualquer pessoa com acesso físico as urnas, que poderiam ser, hipoteticamente, funcionários mal intencionados (do TSE ou terceirizados) atuando na produção, configuração, distribuição ou até mesmo na proteção das urnas, incluindo mesários (mais de 2 milhões, segundo o próprio TSE) e o pessoal que faz o transporte das mais de 550 mil urnas. Essa argumentação também ignora, intencionalmente ou não, a possibilidade de fraude na transmissão dos resultados, um processo que certamente é feito por redes de telecomunicações.
Em sua defesa, o TSE também disponibilizou no Facebook um vídeo em que o Secretário de Tecnologia de Informação do TSE, Giuseppe Dutra, rebate as críticas sobre a segurança e auditoria do processo eletrônico de votação e apuração.
Na minha opinião, o grande problema do processo eleitoral brasileiro é que ele é apoiado na hipótese inquestionável e imutável de que o TSE é confiável. Ou seja, todo o processo eleitoral é controlado a mãos de ferro pelo TSE e nós, cidadãos, conveniente acreditamos que o TSE é confiável. Tudo o que o TSE decide, legisla e faz deve ser assumido, goela abaixo, como verdadeiro e, principalmente, inquestionável. Confiamos no processo de votação porque confiamos cegamente no TSE. Acreditamos que não existe a mínima possibilidade de fraude dentro do TSE, acreditamos que nenhum funcionário ou juiz do TSE pode ser corrompido.
Do ponto de vista de segurança da informação, essa confiança cega no TSE reflete no fato de que a mesma entidade (TSE) que realiza as eleições é a mesma entidade que audita o processo eleitoral - quando, ao contrário, a prática real do mercado é a de que "quem realiza uma atividade não é a mesma pessoa que audita", justamente para evitar conflitos de interesses no processo de auditoria.
As eleições presidenciais de 2014 foram bem interessantes, do ponto de vista da discussão sobre a segurança da nossa urna eletrônca. Sejamos francos: devido a diferença mínima nas pesquisas de intenção de votos entre os dois principais candidatos presidenciais (Dilma e Aécio), pela primeira vez nós tivemos uma eleiçõa de grande importância aonde o resultado final era imprevisível, ou seja, qualquer um dos 2 candidatos poderia ser o vencedor. E, para apimentar mais ainda a discussão, havia uma grande expectativa de que o candidato da oposição iria conseguir a vitória - ao contrário do que foi apresentado no resultado final. O PSDB, então, questionou o resultado e pediu uma recontagem dos votos - algo que é de pleno direito para qualquer partido ou candidato em qualquer eleição de qualquer país democrático.
Mas, provavelmente pela primeira vez, descobrimso que a votação brasileira não é auditável e não permite a recontagem dos votos. "Recontar os votos" na nossa urna eletrônica é tão ineficaz como você fechar e abrir um documento do Word para ter certeza de que o conteúdo do arquivo ainda está lá. Se, hipoteticamente, tivesse ocorrido alguma fraude eleitoral, ela teria acontecido na própria urna, durante a votação, ou durante a transmissão dos resultados dos votos - e como auditar isso no nosso sistema?
Na época, o PSDB então pediu uma auditoria do sistema de votação e, ao contrário do que foi noticiado pelo TSE e replicado irresponsavelmente pela mídia, o resultado da auditoria foi totalmente inconclusivo, pois o nosso sistema eleitoral é inauditável. Veja você mesmo:
- O que noticiou o TSE: "o documento confirma que não foi verificada nenhuma evidência de que houve adulteração de programas, de votos ou mesmo qualquer indício de violação ao sigilo do voto no pleito do ano passado"
- O que concluiu a auditoria do PSDB: "os procedimentos de perícia previstos em leis e regulamentos da Justiça Eleitoral são “insuficientes para a garantia da transparência do processo de eleições”. (...) Por conta disso, não é possível concluir se houve ou não fraude nas eleições. (...) porque o sistema implantado pelo TSE é inaferível, inauditável”"
Qual deve ser a prioridade em uma eleição? Garantir a agilidade na apuração dos votos ou garantir a confiança de que a apuração foi feita de forma correta? Precisamos garantir que o nosso voto na urna foi representado no resultado final? Podemos esperar 2 ou 3 dias a mais pera decidir quem vai nos governar nos próximos 4 anos?