dezembro 29, 2017

[Cyber Cultura] IoT e o futuro das seguradoras de carro

Recentemente eu vi um vídeo que mostra de forma bem divertida como as empresas de seguro poderiam usar a tecnologia para auxiliar seus clientes para automatizar e agilizar o atendimento de sinistros.


Tudo o que o vídeo mostra já poderia ser feito hoje, pois já existe tecnologia para isso.

dezembro 27, 2017

[Segurança] Tendências para 2018

Fim de ano é tempo de pensarmos em o que aconteceu nesse ano e o que nos espera no futuro próximo.


Algumas tendências são óbvias e vão refletir naturalmente os acontecimentos dos últimos anos: crescimento do ciber crime e dos investimentos em segurança, constante risco de vazamento de dados e novos ataques em IoT, a plataforma da modinha. Nem mesmo as novas iniciativas de criar padrões de proteção para novas tecnologias em IoT serão capazes de frear a constante descoberta de vulnerabilidades nessa área.

Pensando em tendências que realmente vão fazer diferença em nosso mercado de segurança, eu acredito que algumas coisas vão balizar as principais tendências para o ano que vem:
  • A indústria de segurança vai continuar investindo pesado em Machile Learning e em segurança para dispositivos IoT. É interessante notar que o assunto "machine learning" esteve presente em 3 dos 10 cursos mais populares do Coursera em 2017;
  • Vai começar a ter um fortalecimento gradativo da segurança do e-commerce, com a adoção lenta e gradual do padrão 3DS 2.0, o que vai dificultar um pouco as compras fraudulentas com cartões de crédito roubados;
  • Ainda do ponto de vista regulatório, as empresas europeias estão se preparando para a entrada em vigor do "General Data Protection Regulation" (GDPR) a partir de 25 de Maio de 2018. Esta é uma regulamentação importante sobre proteção de dados e privacidade, que vai influenciar as empresas européias e pode servir de inspiração para aumentar o debate sobre privacidade online e motivar que outros países criem leis semelhantes;
  • Assim como ocorreu com a pobre coitada da Kaspersky em 2017, provavelmente veremos em 2018 vários governos oficialmente banindo o uso de tecnologias de segurança de outros países para instituições governamentais. Isso se deve principalmente a crescente sofisticação das capacidades de ciber espionagem de vários países;
  • No Brasil, está começando a surgir a discussão sobre seguro contra ciber ataques, algo que já existe nos EUA há muitos anos;
  • A notícia do grande vazamento de dados da Netshoes vai impactar o mercado nacional: as nossas empresas vão ficar cada vez mais preocupadas em esconder seus problemas de segurança do público e da mídia, já que não existe nenhuma obrigação legal delas notificarem esses incidentes. O caso da Mastercard é outro exemplo de que as empresas nacionais também podem sofrer vazamentos de dados. Enquanto isso, a população vai começar a perceber mais fortemente que seus dados online podem ser vazados, e a sociedade vai começar a cobrar mais controle e segurança sobre os cadastros online, a guarda e a responsabilidade sobre esses dados. Com isso, os projetos de lei referente a proteção de dados pessoais sofrerão maior pressão para serem aprovados;
  • Ainda no Brasil, veremos muitos problemas e discussões sobre as notícias falsas disseminadas em redes sociais. Esse é um problema que já acontece muito hoje em dia, mas vai ficar muito pior para nós durante a campanha para as eleições presidenciais;
  • A Rússia é um celeiro do ciber crime, ao mesmo tempo em que as autoridades russas tem fama de serem boazinhas com ciber crimonosos e ciber espiões que atacam os países capitalistas. Vai ser interessante ver o quanto o ciber crime russo vai se aproveitar do campeonato mundial e futebol da FIFA para praticar golpes online - ou não. Será que os russos vão manter os ciber criminosos sob controle, para evitar prejudicar a imagem da competição? #justasking
Infelizmente há várias previsões divulgada por fabricantes e pela imprensa que eu considero "furadas", por simplesmente repetir discurso de marketing e FUD do mercado, sem considerar alguma inovação ou mudança efetiva. Esses casos me lembram quando, nos anos 80 e 90, era comum irem futurólogos no programa do Fantástico fazer previsões triviais, como de que a inflação ia aumentar (sempre crescia!) e que algum famoso iria morrer no ano seguinte.

Por isso mesmo, eu quis destacar aqui no meu post as previsões que fogem da obviedade e que não representem fatos que já acontecem hoje em dia.

Algumas leituras interessantes:
Atualização (04/01/18): O artigo 10 Cybersecurity Trends: What to Expect in 2018 contém uma lista com 10 tendênias/previsões bem óbvias, mas que retratam muito bem o cenário atual. Vale uma lida bem rápida no artigo.

dezembro 26, 2017

[Carreira] Expressões regulares

Expressão regular (também chamado de "regex", uma abreviação do inglês "regular expression") é uma forma concisa e flexível de representar conjuntos específicos de caracteres de forma a identificá-los dentro de um conjunto maior, como quando procuramos por palavras específicas ou padrões de caracteres em um bloco de texto.

As expressões regulares são escritas numa linguagem formal para identificar os blocos de texto que coincidem com a especificação dada.

O exemplo mais simples e arcaico de uma expressão regular é o uso do asterisco (*) e da interrogação (?) na linha de comando do windows ou Linux, aonde o asterisco representa qualquer conjuto de caracteres e a interrogação representa um caractere qualquer (como quando, por exemplo, você busca por todos os arquivos com final .doc fazendo um "dir *.doc"). Hoje as expressões regulares são aceitas em uma grande quantidade de linguagens de programação e ferramentas, como Perl, Python, Ruby, Java, PHP, e MySQL.

Recentemente eu encontrei um artigo com 8 expressões regulares referente a informações capturadas em web sites que todo mundo deveria saber. Elas são bem interessantes e mostram o poder das expressões regulares, por isso eu resolvi destacar aqui 5 delas:
  • Para identificar um username:  /^[a-z0-9_-]{3,16}$/
  • Para uma senha com 6 a 18 caracteres: /^[a-z0-9_-]{6,18}$/
  • Para identificar um e-mail:  /^([a-z0-9_\.-]+)@([\da-z\.-]+)\.([a-z\.]{2,6})$/
  • Para uma URL: /^(https?:\/\/)?([\da-z\.-]+)\.([a-z\.]{2,6})([\/\w \.-]*)*\/?$/
  • Para um endereço IP:
    /^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$/
O site Regexpal dá outra dica para identificar endereços IPv4:
^([0-9]{1,3}\.){3}[0-9]{1,3}(\/([0-9]|[1-2][0-9]|3[0-2]))?$

Além das expressões acima, outra que pode ser bastante utilizada no dia-a-dia é para identificar nomes de pessoas. Sem considerar caracteres acentuados, uma exressão simples sugerida pelo site Regexpal é:
^[a-zA-Z]+(([',. -][a-zA-Z ])?[a-zA-Z]*)*$
Eu, recentemente, me baseei nesse para criar um Regex bem mais simples, aonde o "\s" permite identificar nomes compostos:
[A-Za-z\s]+

Há vários sites que ajudam a criar e testar expressões regulares, basta uma busca rápida no Google. Três sites muito bons são o regexr.com e o regexpal.com, e o regex101.com. Neles é possível colar o texto aonde você quer achar um determinado padrão e testar sua expressão regular, na medida que a escreve. ambos os sites também tem algumas referências e exemplos.

A O'Reilly tem dois livros sobre o assunto:

Para saber mais:

dezembro 25, 2017

[Humor] Um Natal nerd

Resolvi fazer uma pequena coletânea das principais charges com temática nerd que eu recebi neste Natal.

Que tal começar com essa tirinha do XKCD? (veja aqui a original) Como dizem os gringos, "old but gold"...

E como seria se o nascimento de Jesus acontecesse nos dias de hoje?


Ou se fosse uma menina?


Duas versões da mesma charge com o mestre Yoda:




E as versões nerd do Natal?







E o pessoal da Flipside misturou o Papai Noel com a F-Society...


Mais algumas engraçadas...



Para acabar, desejo a todos...

dezembro 24, 2017

Boas Festas !!!

Para todos nós esta é uma época de celebração e renovação. Independente da religião de cada um, todos nós nos juntamos em torno de um grande sentimento de confraternização.


Neste ano eu recebi uma mensagem de um colega do trabalho que me fez pensar. Ela começava com a frase abaixo:
"As the year wanes and the many different celebrations of the season begin around the world, one element continues to connect us all... It is an element as old as time and one that we use every single day as we fight for, and defend, the digital universe… Light!"

Ou seja, há um elemento comum a todas as celebrações que vivenciamos nessa época: a luz. A luz representa alegria, amor, vida, renascimento, energia, etc. Também representa a presença divina (ou espiritual, se você preferir assim). Junte a isso o aspecto prático, de iluminar as noites no período do ano em que ela é mais longa, na época do Solstício de Inverno no hemisfério Norte. Assim, surgiu a tradição de iluminarmos a noite de Natal, e hoje decorarmos nossas casas e cidades com um mar de luzes.


O oposto da luz é a escuridão. A escuridão também representa o mal que nos cerca, nos persegue, e que está presente no mundo real e no ciber espaço. Nós, que trabalhamos na área de segurança da informação, somos responsáveis por combater esse mal que está prestes a causar dano para qualquer usuário desavisado na Internet. Quantas pessoas não tiveram suas economias roubadas no piscar de um led de seu modem, ou sua vida pessoal devastada com suas fotos íntimas expostas? Não podemos nos calar frente as ameaças e nós, que temos o conhecimento técnico na área, temos que ajudar os usuários menos capacitados a se conectarem com segurança.

Quantas vezes você não se pegou conversando com seus amigos sobre como esse mundo está ficando chato, poluído, cercado de corrupção? Eu perdi a conta.

Cada um de nös tem que ser aquela pequena fagulha de luz que ajuda a iluminar a noite. Temos que ser parte da mudança para o mundo melhor que desejamos. Afinal, a luz consegue expulsar a escuridão, mas a escuridão não consegue apagar a luz.

Boas festas a todos, e um feliz 2018.


OBS: Post atualizado um pouco depois de publicado, para adicionar as imagens do presépio e da nossa "Árvore de Natal".

dezembro 22, 2017

[Seguranca] Quanto vale o seu cartão de crédito?

A RSA fez um infográfico mostrando como o preço médio de um cartão de crédito comercializado no underground pode variar de país para país.


Estes são os valores médios que os ciber criminosos pagam por dados de cartões roubados. Na verdade a variação é bem grande, e o preço de um cartão de crédito varia de acordo com o tipo de cartão, da bandeira, do país de localização, e as vezes até do limite que o cartão tem.

O infográfico acima é interessante para mostrar como esses valores podem variar dependendo do país, desde US$ 6,05 nos EUA até US$ 13,90 na Nova Zelândia.

dezembro 21, 2017

[Segurança] Dicas para um bom pentester

O pessoal do SANS Institute acabou de lançar um poster bem legal, que apresenta as principais dicas para ser um bom pentester.

Batizado de "Building a Better Pen Tester", o poster que está disponível em PDF traz dicas de como trabalhar em cada uma das fazes do teste de invasão: planejamento ("pre-engagement"), varredura ("reconnaissance"), análise de vulnerabilidades, ataques contra senhas ("password attacks"), invasão ("exploitation"), pós invasão ("post-exploitation"), e criação do relatório ("reporting").


O poster também traz dicas de comandos a serem executados nessas fases e, no verso, tem uma lista de principais comandos para algumas ferramentas: nmap, powershell, scapy e metasploit.


dezembro 19, 2017

[Segurança] Retrospectiva 2017 (com memes)

Fim de ano é época de assistirmos o show do Roberto Carlos e recapitularmos quais foram as coisas mais relevantes que nos aconteceram nessa nossa última volta ao redor do Sol.


É comum assistir as retrospectivas em vários canais de televisão, e no nosso mercdo, alguns fabricantes também publicam um resumo do ano. Mas ninguém faz uma retrospectiva... com memes!!!

Este ano foi bem intenso para quem trabalha na área de segurança, com várias vulnerabilidades sérias surgindo, novos ataques globais e vazamentos de dados constantes, atingindo diversas empresas. Na minha opinião, os eventos que mais marcaram o mercado de segurança em 2017 foram os seguintes:
  • Um dos principais destaques do ano foi o ataque do ransomworm WannaCry, que foi uma infestação global como não víamos há cerca de 10 anos. Junto com o Petya, eles serviram para fazer o Brasil despertar para o velho problema dos ransomwares;
  • Continuamos com a tendência de grandes vazamentos de dados. Acredito que os destaques desse ano, entre tantos, vão para o Yahoo!, que divulgou que os dados de 3 bilhões de clientes foram acessados, a Equifax que deu frio na espinha de 143 milhões de americanos, e até mesmo o Uber anunciou no final do ano que em 2016 foi vítima de um roubo de dados de 57 milhões de usuários em 2016;
    • Descobriram que a CSO da Equifax era formada em Música! Isso gerou muita crítica, provavelmente vinda inclusive do pessoal que defende que não precisa de diploma para trabalhar na nossa área!
    • A HBO viveu um incidente aonde um grupo invadiu sua rede e chantageou a empresa com a ameaça de divulgar episódios da série Game of Thrones antes deles irem para o ar;
    • No Brasil, a Netshoes foi destaque no final do ano, com uma base gigantesca de clientes vazada na Internet!

  • Presenciamos uma onda de novos ataques e vulnerabilidades em protocolos e ferramentas de criptografia. O ataque eu considero o mais grave de todos, contra o WPA2, foi rapidamente esquecido;
  • A Kaspersky foi pega de bode espiatório: acusada de ajudar o governo russo de roubar informações da NSA, ela está vendo suas vendas sendo restingidas para órgãos de governo nos EUA e na Europa;
  • O Bitcoin foi a notícia do ano! Quanto mais seu preço sobre, mais se especula quando a bolha vai estourar!
  • Nunca antes a segurança do voto eletrônico foi tão discutido! Tivemos escândalos da Rússia manipulando a eleição nos EUA e na Europa, uma atividade bem sucedida na Defcon de "Voting Machine Hacking Village", aonde os pesquisadores invadiram modelos reais de urnas eletrônicas em cerca de 90 minutos, e até no Brasil, no final do ano, os testes públicos e controlados da nossa "urna impenetrável" encontráram vários problemas de segurança;

  • Os ciber criminosos brasileiros marcaram 2017 com uma grande onda de golpes enviados por SMS e Whatsapp, aproveitando que os usuários podem ser mais descuidados quando navegam em seus Smartphones. Vimos muitas mensagens de phishing sendo enviadas por SMS, para os clientes caírem em páginas que pedem suas informações bancárias, elém de mensagens trocadadas via redes sociais com falsas promoções;

  • Muito se falou no Brasil sobre a Baleia Azul e notícias falsas disseminadas em redes sociais;
  • Na comunidade de segurança, um pesquisador rapidamente foi do Olimpo para a cadeia: o Malwaretech, que ficou famoso ao descobrir acidentalmente uma URL que servia de "kill switch" para o WannaCry, foi preso pelo FBI ao ir para os EUA participar da Defcon, acusado de desenvolver malware bancário;
  • Uma celebridade da área teve um ano ruim: poucos dias antes de vir ao Brasil palestrar no Roadsec, torna-se público que o Capitão Crunch tem o hábito de convidar garotos em eventos de segurança para fazer uma "massagem energizante";
  • A comunidade brasileira assiste a "mãe de todas as tretas", uma discussão online sobre quem foram os fundadores da H2HC, o que gerou várias piadas e memes;
  • Nos eventos brasileiros, tivemos a felicidade de ver um maior destaque para o público jovem e para as mulheres: duas garotas foram finalistas de etapas regionais do HackaFlag e o Jonatas Fil, de 16 anos, foi o vencedor da etapa em São Paulo. Também tivemos jovens de 18 anos ou menos palestrando em alguns eventos!
  • Por falar em jovens, o Chkrootkit fez 20 anos!!!

  • A imprensa Brasileira deu muito destaque a segurança da informação (ou muitas vezes, aos "ataques dos hackers"), infelizmente. Assistimos a Ana Maria Braga discutindo o assunto e especialistas na área dando dicas furadas.




Talvez eu tenha esquecido alguns acontecimentos importantes, por isso fique a vontade para comentar esse post!

OBS: Pequena atualização no texto do post em 19/01.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.