agosto 31, 2017

[Segurança] Como foi o SHA 2017 Hacker Camp

Durante 5 dias no início de Agosto, de 04/08 a 08/08, eu participei do SHA 2017 Hacker Camp, um evento que acontece somente a cada 4 anos na Holanda. Um Hacker Camp, em poucas palavras, é uma conferência que, em vez de acontecer em um centro de convençõres, é realizadsa ao ar livre, em uma grande área de camping. Este tipo de evento fornece uma experiência totalmente diferente dos eventos tradicionais, pois os participantes ficam ao ar livre e, principalmente, ficam imersos no evento 24 horas por dia, initerruptamente. Você assiste palestras, come, toma banho, dorme, bebe, e faz tudo no local do evento durante alguns dias seguidos.




Outro aspecto bem interessante nos hacker camps europeus é que eles fortalecem a participação das comunidades, que são livres para criar as suas "vilas" e realizar dezenas de atividades em paralelo a programação do evento (oficinas, palestras, encontros, debates, etc). Assim, um evento como o SHA 2017 consegue oferece várias centenas de atividades, somando as que constam na programação oficial e as atividades das vilas.

As estatísticas que eu ouvi sobre o SHA 2017 foram impressionantes:
  • 3.650 pessoas no 1o dia de evento
  • O evento ocupou uma área enorme, de 1 por 1 kilômetro, na maior ilha artificial do mundo
  • A programação oficial tinha 300 talks, distribuídas em 4 tendas de palestras e 2 de oficinas
  • A conexão Internet foi de 100 Gbps
Como disse Elger Jonker na palestra de abertura do evento, "Hacking push boundaries, move forward the Society".

As palestras da grade oficial de atividades foram transmitidas online e estão disponíves no canal do evento no YouTube. O temas mais abordados foram relacionados a privacidade, vigilantismo e IoT.

Infelizmente tínhamos poucos brasileiros presentes, cerca de 10, sendo que a grande maioria deles já vive na Europa. E também tivemos um brasileiro palestrando, o Bruno Oliveira, que nos contou sobre sua experiência participando de CTFs e como isso tem ajudado o seu trabalho de pentester. A pouca presença e falta de organização prévia não nos permitiu criar uma "vila brasileira" no evento, o que teria sido bem legal.


Como eu participei do CCCamp há dois anos atrás, na Alemanha, posso comparar os dois eventos: eles são bem similares, seguindo a linha de acampamento hacker: um espaço gigante, com alguns milhares de pessoas de todas as idades, várias vilas e algumas tendas com as programações principais. Os dois eventos acontecem a cada 4 anos, intercalados entre si. O CCCamp me pareceu melhor organizado, e quem viveu o primeiro dia do SHA pode confirmar isso: as lanchonetes demoraram para abrir, algumas pessoas estavam perdidas sobre onde se localizar e aonde montar sua barraca ou vila, etc. O CCCamp tinha 2 tendas enormes com as trilhas de palestras, enquanto o SHA 2017 distribuiu sua agenda oficial em 4 tentas de palestras (menores que a do CCCamp), 2 trilhas de workshops e, também, uma tenda que era o "Badge Bar", com uma pequena infra-estrutura para os participantes montarem e hackearem seus crachás. Eles também separaram uma áres para acampamento e atividades para famílias com crianças.

Depois do fiasco do crachá da Defcon, a SHA não decepcionou: eles fizeram um crachá muito legal!!!

 


Além de assistir algumas palestas e participar de algumas atividades, desta vez eu decidi também ajudar como voluntário na organização do evento. Isso, foi muito fácil: eles possuem um sistema online aonde os participantes podem se inscrever e podem visualizar as vagas que existem para ajudantes. Elas ficavam divididas em blocos de 2 ou mais horas para cada atividade específica (ex: ajudar no estacionamento, na cozinha, no bar, fazendo entregas internamente de bicicleta ou carrinho de golfe). Assim, ficava fácil adequar os horários de trabalho voluntário com as atividades do evento. Foi uma experiência bem legal, pois além de ter a chance de conhecer um pouco da infra do evento, também tive a chance de conversar e interagir com muita gente.

No meu caso, no final do dia eu verificava a programação de palestras e atividades que tinha interesse no dia seguinte e preenchia os horários vagos com o trabalho de voluntário. Assim, ajudei no balcão de informação, no balcão de registro e em 2 bares do evento.

Vale a pena citar que dois exemplos recentes me motivaram muito a querer ajudar como voluntário no SHA 2017: na semana anterior ao SHA eu fui para a Defcon e Bsides em Las Vegas, e vi dois amigos, o Fernando Amate e o Fellype, que foram voluntários na Defcon e na BSides Las Vegas, respectivamente.

agosto 30, 2017

[Segurança] Portal Mente Binária

O Fernando Mercês não para! Depois do sucesso de sua experiência como YouTuber no canal Papo Binário (excelente, a propósito), ele acaba de transformar o seu site Mente Binária em um portal de conteúdo interativo. Ou seja, ele transformou o blog dele em um fórum, na verdade ;)

Como ele mesmo explica em um vídeo, o objetivo é fornecer uma plataforma online para as pessoas interagirem e trocarem conhecimento.


O que você está esperando? Entra lá: https://www.mentebinaria.com.br

PS: A propósito, neste momento o canal Papo Binário já está com quase 5 mil inscritos no You Tube!!! Parabéns !!!

agosto 24, 2017

[Segurança] Posts que nunca foram escritos

Está na hora de dar uma limpada na minha coletânea de artigos, histórias e idéias que nunca viraram posts nesse blog.

E viva o vazamento de dados...
Alguns posts sobre política, governos e ciber espionagem:
Notícias sobre Ransomware:
Alguns artigos sobre o mercado de segurança:


"Legítima defesa digital": https://www.bleepingcomputer.com/news/legal/proposed-us-bill-would-legalize-aggressive-hack-back-attacks/
  • O interesse é que há quase 10 anos atrás o PL de crimes cibernéticos do Eduardo Azeredo tinha uma cláusula sobre isso.
Indústria 4.0

Reportagens com estatísticas do Gartner sobre o mercado de segurança baseado em Cloud Computing: Serviços mundiais de segurança baseados em nuvem devem crescer 21% em 2017 e devem movimentar US$ 5,9 bi neste ano no mundo

Alerta: ladrões clonam contas no WhatsApp e pedem transferência em dinheiro

"Mini guia para se manter mais “seguro” na Internet" - apresentação bem legal do Corvolino feita na Cryptorave 2017

agosto 21, 2017

[Segurança] Estatística de ciber crime no Brasil

Em 2016 foram registradas pela Policia Federal, Ministério dos Direitos Humanos e pela ONG SaferNet cerca de...

115 mil denúncias de crimes digitais


Os principais crimes relacionados a estes casos são de pornografia infantil, racismo e apologia e incitação de crimes contra a vida.

agosto 16, 2017

[Segurança] Nova Buzzword: A Internet das Identidades (IoI)

Vem aí uma nova buzzword para nós:


Internet das Identidades (IoI)


A “Internet of Identies” (IoI), ou "Internet das Identidades", se propõe a tratar o problema de mapear as diversas identidades possíveis para os dispositivos no universo da Internet das Coisas (IoT). Isso inclui a gestão da identidade do dispositivo, do usuário, do aplicativo ou serviço e a identidade do recurso associado ao dispositivo.

Uma das preocupações, válidas, é como implementar uma autenticação forte para os dispositivos IoT, algo normalmente resolvido com certificados digitais X.509 associados ao dispositivo ou tecnologias biométricas quando ocorre intervenção dos usuários finais. A gestão de indentidade dos dispositicvos IoT é fundamental para garantir o acesso apenas dos dispositivos e usuários válidos, além de servir de base para implementações de controle de acesso e de soluções de seguarnça baseadas no comportamento.

agosto 14, 2017

[Cidadania] Cuidado com a depressão na adolescência

Lembram do problema social que foi o tal jogo da Baleia Azul? Há poucos meses atrás este jogo se propagou entre adolecentes através de redes sociais, e ao final estimulava o suicídio dos participantes.

Então, se houve algo de positivo nesta história, foi que ela fomentou a discussão sobre o problema da depressão e suicídio entre adolescentes e, principalmente, causou um questionamento sobre a importância os pais conversarem com seus filhos. Nesse sentido, eu vi um infográfico publicado em uma reportagem do jornal carioca Extra que achei bem instrutivo e reproduzo parcialmente abaixo:


Ou seja, os pais devem se preocupar e interagir mais com seus filhos se ocorrer algum dos comportamentos abaixo, que podem ser sinais de depressão:

  • Isolamento por longos períodos;
  • Falta de atenção;
  • Desinteresse por atividades comuns entre jovens, principalmente atividades em grupo ou com outros jovens;
  • Predominância de contato com outras pessoas pela Internet do que no mundo real (embora isso seja cada vez mais comum);
  • Desempenho escolar ruim ou em queda;
  • Descuido com a higiene pessoal;
  • Ausência de memória;
  • Alteração no apetite, para mais ou para menos;
  • Irritabilidade exagerada;
  • Apresentar machucados com frequência, principalmente se representar provável automutilação.

Os pais não podem ter medo de conversar e cuidar de seus filhos. Em caso de dificuldade, procure auxílio de parentes ou, se necessário, auxílio profissional com psicólogos. Conversar com um psicólogo (ou psicóloga) não é motivo de vergonha; é uma ótima oportunidade de consultar alguém que vai te ajudar no autoconhecimento.

agosto 10, 2017

[Segurança] Estatísticas do Ciber crime em 2016

Um artigo de Junho deste ano traz algumas estatísticas sobre ciber crime baseadas no relatório Internet Crime Report 2016, divulgado anualmente pelo Internet Crime Complaint Center (IC3), do FBI.


Veja algumas estatísticas:
  • As perdas reportadas devido ao ciber crime no ano passado totalizaram US$ 1,3 bilhão;
  • O FBI recebeu 298.728 queixas de criber crime por parte dos residentes dos EUA em 2016;
  • No ano passado, os três principais tipos de crimes relatados pelas vítimas foram o não pagamento e a falta de entrega, a violação de dados pessoais e golpes de pagamento;
  • O Departamento de Justiça estima que apenas 15% dos ciber crimes são relatados às autoridades
  • Canadá, India e o Reino unido lideram a lista de países com maior número de vítimas, além dos EUA.
Dentre as diversas categorias de ciber crime registrados pelo IC3 em 2016, o artigo destacou os principais, que também mostram os diversos tipos de golpes que acontecem na Internet:
  • Comprometimento de e-mail de negócios, ou "Business email compromise" (BEC) (US$ 360,5 milhões): os atacantes enganam um empregado para fazer um pagamento por transferência bancária;
  • Fraude de Confiança / Romance, ou "Confidence fraud / romance" (US$ 219,8 milhões): Enganar um indivíduo para pensar que eles estão em um relacionamento para extrair fundos, informações pessoais ou outra assistência;
  • Violação de dados corporativos, ou "Corporate data breach" (US$ 95,9 milhões): quando dados confidenciais ou privados do negócio vazam ou são roubados;
  • Adiantamento de taxa, ou "Advanced fee" (US$ 60,5 milhões): Scammers enganam um indivíduo para adiantar algum dinheiro, pela promessa de receber uma quantidade ainda maior em troca;
  • 419 / pagamento em excesso ou "overpayment" (US$ 56 milhões): um golpe muito associado a Nigéria, por conta das mensagens que existem há muitos anos sobre "um princípe que precisa de ajuda para recuperar seu dinheiro". O termo "419" também é usado para identificar este golpe por indicar uma seção da lei nigeriana associada à fraude. Os scammers pedem ajuda para transferir uma grande quantidade de dinheiro e oferece uma "comissão" em troca, mas primeiro pede que parte do dinheiro seja enviado para pagar alguns dos custos associados à transferência";
  • Phishing, vishing, smishing, pharming (US$ 31,7 milhões): uso de e-mails não solicitados, mensagens de texto ou chamadas telefônicas para roubar informações pessoais ou credenciais de acesso a sites;
  • Extorsão, ou "Extortion" ($ 15,8 milhões);
  • Fraude de suporte técnico, "Tech-Support fraud" (US $ 7,8 milhões): esquemas convencem os usuários de comprar ferramentas ou pagar por suporte técnico desnecessário ou falso (ineficiente, que as vezes "resolve" um problema inexistente);
  • Malware / Scareware (US$ 3,9 milhões): software malicioso projetado para roubar informações pessoais, ameaçar os usuários ou fazê-los pagar taxas e assinatura, como por exemplo em um software anti-vírus falso;
  • Ransomware (US$ 2,4 milhões);
  • Hacktivismo ($ 55.500).



Para saber mais: Internet Crime Complaint Center (IC3) website

agosto 08, 2017

[Segurança] Como proteger seus dados dos Ransomwares

Aproveitando a recente onda de grandes ataques de Ransonware, eu juntei algumas dicas de como as pessoas e empresas devem se prevenir para, assim, evitar serem mais uma vítima desse tipo de código malicioso, tão comum hoje em dia.

Para usuários finais:
  • Tenha soluções de segurança que te protejam contra códigos maliciosos e que protejam os seus dados. Isso inclui ferramentas de antivírus, backup e criptografia de  dados;
    • Mantenha o sistema operacional de seus equipamentos e suas soluções de segurança sempre atualizadas. Instale novos patches e atualizações o mais rápido possível;
    • Os antivírus tradicionais nem sempre conseguem detectar os Ransomwares mais recentes e avançados, mas mesmo assim, são a nossa primiera linha de defesa;
    • Automatize o seu backup, para que ele aconteça com frequência;
    • Mantenha uma cópia de backup atualizada em um disco externo, desconectado do seu computador. Mantenha também uma cópia de dados na Nuvem (ex: Dropbox, Google Drive, etc);
    • Tenha muito cuidado para não sobrescrever os arquivos sequestrados pelo Ransomware em seu backup!!!
  • Conscientize os funcionários sobre os principais problemas de segurança e, no que diz respeito a Ransomwares, sobre a importância de tomar cuidado com mensagens que recebe.
    • Nunca abra mensagens estranhas;
    • Somente clique em anexos e links quando estiver certo sobre a origem da mensagem.
Para empresas, além do acima, há algumas dicas específicas:
  • Além de ferramentas de antivírus, backup e criptografia de dados, tenha soluções de controle de acesso (para evitar que um usuário infectado prejudique os dados de outros usuários) e ferramentas de detecção de ataques (IPS, host IPS e SIEM);
    • Controle cuidadosamente os compartilhamentos e acessos dos usuários a dados via rede local;
  • Tenha estratégias de recuperação e continuidade de negócios. Neste caso, prepare-se para operar mesmo se o seu sistema de TI estiver paralisado por um ainfestação de Ransomware;
  • Tenha plano de resposta a incidentes;
  • Tenha uma estratégia de backup robusta, com backup de dados dos usuários e servidores;
    • Mantenha uma cópia de backup offline e, preferencialmente, armazenada externamente (offsite), pois em caso de um Ransomware, ele pode afetar cópias de seus dados acessíveis via a rede local;
    • Use a "estratégia 3-2-1": 3 cópas dos seus dados, 2 das cópias são locais em meios diferentes (discos externos, DVD, etc) e 1 cópia offsite;
    • Teste periodicamente seus backups e sua capacidade de "restore" dos dados.
    Para saber mais:

    agosto 07, 2017

    [Cyber Cultura] O Zodíaco Geek

    O Zodíaco Geek (Geek Zodiac) é uma versão nerd do zodíaco usado na astrologia tradicional, aonde os animais representados nos signos chineses foram substituidos pelos arquétipos mais emblemáticos na cultura popular. O resultado é um conjunto colorido, criativo e bonito de super-heróis aos quais todos podemos nos relacionar e aspirar.


    Os 12 signos do Geek Zodiac são:
    1. Robot (Robô)
    2. Wizard (Mago)
    3. Alien
    4. Superhero (Super herói)
    5. Undead / Slayer (Morto-vivo / Assassino)
    6. Pirate (Pirata)
    7. Daikaiju ("Monstro Gigante")
    8. Time Traveler (Viajante no tempo)
    9. Spy (Espião)
    10. Astronaut (Astronauta)
    11. Ninja/Samurai
    12. Treasure Hunter (Caçador de tesouros)
    O site GeekZodiac.com tem uma descrição precisa de cada signo.

    agosto 04, 2017

    [Carreira] Porque 8 horas de trabalho nunca são suficientes

    Recentemente me deparei com o infográfico abaixo que nos mostra, claramente, porque atualmente não conseguimos mais produzir em "apenas" 8 horas de trabalho por dia.


    Afinal, facilmente passamos pelo menos 12 horas por dia online :)

    Brincadeiras a parte, as redes sociais e os comunicadores instantâneos são os grande vilões da nossa produtividade. Além disso, os comunicadores como o Whatsapp e Telegram estão rapidamente substituindo o e-mail e a ligação telefônica como meio principal de comunicação no trabalho. O resultado é uma demanda contínua de comunicação instantânea, pois o uso do Whatsapp pressupõe uma resposta rápida, sem a demora tradicional do e-mail nem a linha ocupada do telefone. E, consequentemente, somos obrigados e ficar verificando os comunicadores o tempo todo, para não atrasar nenhuma resposta. Além de causar distração, essa situação nos obriga a ficar conectados constantemente.

    agosto 03, 2017

    [Segurança] O blog virou meme!

    Depois de mais de 10 anos no ar (mais de uma dúzia, na verdade) e mais de 1000 posts, o meu blog virou meme :)


    Eu me esforço bastante para manter o blog ativo, com posts tratando de assuntos que possam servir de ajuda para o pessoal que trabalha na área de segurança.

    agosto 01, 2017

    [Segurança] As novidades da Defcon 2017

    Acabamos de ter mais uma edição da Defcon, o maior evento de hacking do universo conhecido. E não foi uma Defcon qualquer: neste ano ela comemorou sua 25a edição, e fez isso em grande estilo: pela primeira vez eles ocuparam o centro de convenções do suntuoso e enorme cassino Caesars Palace, em Las Vegas.

    Parece ótimo, não é? Mas mesmo indo para um lugar bem maior, que até há poucos anos atrás hospedava a Black Hat, a impressão era de evento lotado: em alguns momentos mesmo as salas gigantes ficavam totalmente cheias, com filas enormes para entrar (que andavam rápido, a propósito), os corredores ficavam congestionados e era difícil andar no espaço das lojinhas. Na quinta-feira, data de entrega das credenciais, fiquei cerca de 2 horas na fila para a loja oficial do evento!

    Os principais destaques que eu mais gostei neste ano foram:
    • A nova "village" para discutir segurança em eleições e nas urnas eletrônicas, que chamou muito a atenção de todos e fez bastante sucesso; As primeiras máquinas de votação foram hackeadas em cerca de 90 minutos;
    • A moeda comemorativa de 25 edições da Defcon: bem legal, de prata, mas esse foi a única coisa diferente por ser uma edição comemorativa do evento. Não vi mais nada de especial ou de diferente das edições anteriores;
    • Muitos Goons, em todo o lugar, o que ajudou muito na cirulação e orientação do pessoal;
    • Tinha 4 carros na Car Hacking Village! Um deles (um dodge) foi usado como vídeo game e outros dois deles eram para ser hackeados;
    • Duas trilhas de palestras ficaram em salas gigantes (mas mesmo assim eu sinto saudades do auditório que era usado quando a Defcon era no cassino Rio).


    O evento também teve alguns micos e problemas. Na minha opinião, os principais foram:
    • Crachá de borracha: certamente essa foi a maior decepção do evento, para todo mundo. Eles não conseguiram produzir os tradicionais, famosos e cobiçados crachás eletrônicos a tempo e, como plano B, fizeram um crachá simples, tosco, de borracha, que era uma reprodução de crachás antigos. O mais comum deles era a réplica da 1a edição da Defcon, mas mesmo assim todos ficaram muito decepcionados. Pelo menos eu dei a sorte de ter o meu crachá autografado pelo Jeff moss :)
    • Cadê a comemoração? Na verdade, eu não vi nada de especial para indicar uma edição comemorativa, nem nada que remetesse a comemoração desse fato;
    • Escadas rolantes em obras: em vários momentos as escadas rolantes ficavam congestionados e com fila. Sim, fila para pegar escada rolante, igual no metrô no centro de São Paulo as 18h;
    • A dificuldade de se encontrar e se deslocar durante o evento: a defcon estava espalhada em 3 andares diferentes do centro de convenções, então era necessário ter muito deslocamento para ir de um lugar (ou atividade) para outro. Sobe e desce de escada rolante, caminhar por corredores longos e lotados eram desafios comuns. Embora houvessem mapas do evento espalhados por todo o lado, e goons dispostos a ajudar, era fácil se perder entre um andar e outro; eu só achei algumas vilas no segundo dia de evento;
    • A área do CTF diminuiu e ficou apertadinha, com cerca de metade ou 1/3 do espaço que ocupava anteriormente, algo bem frustrante para essa competição que é uma das atrações da defcon. pela sala ser apertada, não era possível ficar muita gente circulando pelo espaço. Outra atraçào tradicional, que eram as projeções realizadas no espaço, sumiram :(
    • Assim como o CTF, diversas áreas de vilas também ficaram bem menores e os espaços das Villages estavam bem apertados e alguns escondidos. A área da Car Hacking, Evidence Tampering e Lockpicking villages estava em uma sala escondida e mal sinalizada), e a sala dedicada para o Wall of Sheep também estava apertada.

    O Caesars Palace é grande, mas parece que ele não é grande o suficiente para a Defcon, que no ano passado recebeu 20 mil pessoas e neste no ouvi comentários de que chegou a 26 mil. As salas de palestras eram eram enormes (principalmente nas trilhas 1 e 2, que eram gigantescas), mas as salas das trilhas 3 e 4 estavam constantemente lotadas.

    A Defcon, como sempre, foi sensacional. Muitas atividades legais, muitas palestras boas, muito networking e 4 dias muito intensos para todo mundo, com muita energia. É um evento que eu recomendo a todos ir, independente dos problemas que eu citei acima.

    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.