abril 20, 2018

[Carreira] Soletrando com o Alfabeto da NATO

Quem já andou de avião já deve ter percebido que todos os funcionários e atendentes de companias aéreas soletram sempre da mesma forma, associando cada letra com palavras que soam meio gringas. Blog, por exemplo, vira "Bravo-Lima-Oscar-Golf".

Esse é um padrão para soletrar conhecido como "NATO phonetic alphabet" (alfabeto fonético da NATO/OTAN). Criado pela OTAN (Organização do Tratado do Atlântico Norte) com objetivo de unificar a comunicação entre as forças armadas de diversos países, ele foi oficializado em 1956, em parceria com a organização internacional de aviação civil e em seguida oficializado pelo International Telecommunication Union (ITU).



O alfabeto fonético da OTAN é útil para evitar erros de ortografia ou má comunicação, especialmente quando pessoas de diferentes países estão trabalhando em conjunto, misturanto sotaques e pronúncias diferentes.

Esse alfabeto fonético, na verdade, é bem útil no dia-a-dia, pois facilita o esforço de soletrar a qualquer momento. É extremamente válido principalmente quando você está viajando para outro país. Embora nós dejamos acostumados a soletrar "A" como "A de Amor", se você está em outro país você pode demorar um tempinho até se lembrar de uma palavra que comece com a letra que deseja - ou pior, escolhe uma palavra e pronuncia erroneamente.


abril 18, 2018

[Segurança] Alguns livros indispensáveis para profissionais da segurança da informação

Em agosto do ano passado, o pessoal do Blog SegInfo publicou um artigo bem interessante, indicando aqueles que eles consideram ser os "17 livros indispensáveis para profissionais da segurança da informação e entusiastas de TI". Eu achei a lista legal, mas ao mesmo tempo alguns dos livros dessa lista, na minha opinião pessoal, estãoa longe de serem considerados "essenciais".

Quando eu vi a lista, também me lembrei que há muitos anos recebo periodicamente uma lista de livros através de um aviso automatizado da velha lista de discussão CISSP-BR, e notei que essa mensagem foi atualizada pela última vez em 2005 (13 anos atrás!).

Revisando essas duas listas, e adicionando algumas pitadas de sugestões pessoais, resolvi montar qual é a minha recomendação dos livros mais importantes para os profissionais de SI, que pode ser vista logo abaixo.
Importante: Esta é minha opinião pessoal, de forma alguma tenho a intenção de ditar quais são os melhores  ou piores livros da área. Vários livros podem não valer a pena se você não tem interesse pelo assunto específico. Esta lista pode ser (e será!) revista e atualizada a qualquer momento.
Sem mais delongas, segue a linha pequena lista de livros sobre segurança, organizada por assuntos.

Pentest
Application Security
Criptografia
  • "The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography", Simon Singh (eu gosto muito da forma didática que é escrito)
  • "Applied Cryptography", Bruce Schneier (clássico!)
  • "Handbook of Applied Cryptography", A Menezes, P van Oorschot, S Vanstone (disponível online)
Investigação e Forense
Segurança em Redes
Gestão de Segurança
  • "Gestão da Segurança da Informação", Marcos Sêmola (um clássico nacional)
Vários Assuntos
Outros
Se você sentiu falta de algum livro, fique a vontade para citar isso nos comentários.

abril 16, 2018

[Segurança] Temas propostos na BSidesSP

Nesta segunda-feira, 16/04, devemos divulgar a agenda provisória da décima-quinta conferência BSides São Paulo (BSidesSP), que acontecerá nos dias 19 e 20 de Maio deste ano na PUC da Consolação.

Eu resolvi aproveitar a lista de atividades que foram propostas em nosso Call For Papers e peguei algumas estatísticas:
  • Total de atividades propostas: 66
  • Atividades avaliadas (retirando algumas repetidas ou que não se aplicavam): 62
    • Atividades relacionadas a propostas de "palestras": 42
  • Atividades aceitas: 29
  • Nota  média (de 0 a 3): 1,6
  • Nota média das atividades aprovadas (0 a 3): 2,0
Além disso, no domingo (20/5) teremos...
  • 5 villages
  • 4 trilhas de palestras
  • 2 trilhas de oficinas
  • vamos usar  17 salas na PUC;
O mais interessante: eu associei algumas palavras-chave para identificar os temas de cada proposta de atividade, e assim mapear quais foram os temas mais frequentes neste ano (um deles, AppSec, me saltou aos olhos logo de início). Eu dei uma pequena generalizada as vezes, para facilitar o mapeamento.

Os temas mais frequentes foram:
  • AppSec (e temas parecidos, como DevOps), presente em 14 atividades
  • Malware (inclui temas como vírus e Ransomware): 7 atividades
  • Redes: 4 atividades
  • Inteligência Artificial (IA), Carreira, Gestão e Privacidade: 4 atividades cada
  • Ataques, Forense e Hardware Hacking: 3 atividades cada
  • Criptografia, IoT, Legislação e Pentest foram os temas dominantes em 2 atividades
Com isso em mãos, eu usei o site WordArt para criar uma nuvem de tags para representar graficamente os temas mais mencionados no Call for Papers:

Agora, fazendo um pequeno spoiler, eu também criei uma tag cloud para os temas das palestras e atividades que foram aceitas e vão compor a grade da BSidesSP:

Curiosamente, um pessoal fez um estudo de quais foram os principais tópicos nas palestras das últimas 10 edições da RSA Conference, e podemos notar que os temas mais presentes na BSidesSP também estão em destaque por lá:


OBS (18/04): A agenda da BSidesSP já está no ar e as inscrições estão abertas!

abril 12, 2018

[Segurança] Caracteres "hacker" nas senhas

Pelo jeito o grau de paranóia de algumas pessoas está bem alto.


Afinal de contas, a forma mais fácil de evitar um ataque de SQL Injection é proibir os usuários de colocar caracteres dos hackers nas suas senhas, como "#", "%", "&"", "=", "/" e "<".

abril 11, 2018

[Segurança] Os mitos de segurança da informação que CEOs ainda acreditam

Deixa eu aproveitar a carona em um artigo da Computerworld que foi tweetado pelo Luiz Felipe Ferreira  e vamos lembrar quais são os principais mitos de segurança que cegam os executivos:
  • "É impossível deter os atacantes"
  • "Os Hackers são brilhantes"
  • "A equipe de segurança da informação sabe o que precisa ser consertado" - ou pior, quando os executivos acreditam que a área de segurança recebe o investimento necessário;
  • "Compliance é suficiente para estar segurança"
  • "Os meus sistemas estão atualizados" (indicado na Computerworld como "Patch está sob controle")
  • "O treinamento de segurança para os funcionários é adequado"
  • "Nunca fomos invadidos" - quantas empresas por aí provavelmente foram invadidas e ainda não sabem?
  • "Os meus dados estão seguros" - se fosse assim, não teríamos vazamento de dados, né?
  • "Minha empresa não é atacada pois não tem nenhum atrativo para os hackers" - eu me arrisco a dizer que este é um dos principais mitos na área. Qualquer empresa pode, e é, atacada;
  • "As outras empresas não podem saber que fui atacado": esse tipo de posicionamento, muito comum, impede a troca de informações entre as empresas, e inclusive, que você receba infomações sobre novas ameaças e que aprenda com os erros dos outros. Os criminosos, por outro lado, tem a grande vantagem de trocarem informações entre si frequentemente, e com isso estão sempre atualizados sobre os mais novos ataques e quais são as vítimas mais vulneráveis;
  • "Estamos preparados para um desastre"


O artigo na Computerworld detalha os 6 primeiros tópicos acima.

Esses mitos cegam os executivos, impedem que eles tomem as melhores decisões estratégicas que podem fazer diferença em sua postura de segurança.

abril 09, 2018

[Segurança] E assim você é raquiado no Feice

O Carlos Ruas fez uma excelente tirinha para mostrar, resumidamente, como ele teve a sua página no Facebook hackeada:


Esta charge nos lembra que devemos ter muito cuidado ao clickar em links que recebemos, e mais cuidado ainda ao fornecer nossos dados pessoais ou credenciais de acesso. Esse tipo de enganação é muito comum no mundo online, e chamamos esse golpe de "engenharia social".

abril 05, 2018

[Segurança] Mais vazamentos de dados no Brasil

A notícia de vazamento de dados da Netshoes no final do ano passado abriu as portas do inferno no Brasil. Desde então, estamos começando a ver notícias frequentes de outras empresas brasileiras que tiveram seus dados roubados e expostos.

Veja os principais incidentes de vazamento de dados que afetaram empresas no Brasil, em ordem cronológica de quando foi noticiado:
  • Dez. 2017: dados de 0,5 milhão de clientes da Netshoes;
  • Jan. 2018: dados de 10 milhões de clientes do Buscapé;
  • Fev. 2018: dados de 2 milhões de clientes do Netshoes;
  • Fev. 2018: dados de 0,5 milhão de alunos e ex-alunos da FMU;
  • Mar. 2018: dados de 2 milhões de clientes da Movida;
  • Abr. 2018: dados de 2 mil clientes e funcionários da Porto Seguro;
  • Abr. 2018: uso ilegal de dados de 73 milhões de clientes da Vivo.


No caso da FMU, em que uma falha no site expunha os dados de alunos e ex-alunos, há uma notícia interessante (e polêmica): segundo o advogado do aluno que divulgou a falha de segurança, a FMU pode expulsar esse aluno que descobriu e revelou a falha que pode causar o vazamento de dados.

Aproveitando o embalo, recentemente divulgou-se a notícia de que o Ministério Público do Distrito Federal e Territórios (MPTDF) está investigando se as grandes redes de farmácias repassam os dados privados de seus clientes para outras empresas. A suspeita é que informações como o histórico e a frequência de compra de remédios possam ser usadas sem o consentimento dos consumidores para planos de saúde e empresas de avaliação de crédito.

abril 03, 2018

[Segurança] Preço das informações pessoais no Underground

O pessoal de inteligência da RSA fez um infográfico bem legal que mostra o valor médio cobrado por dados de cartões de crédito de diversos países, que são roubados e comercializados em mercados criminosos no underground.

O gráfico mostra o preço médio nos 20 principais países, em termos de maior quantidade de cartões comercializados no underground, incluindo o Brasil.

Uma outra pesquisa, do site Top10VPN levantou quanto vale, em média, uma credencial roubada em lojas da dark web. O resultado é impressionante: com menos de US$ 1,2 mil (ou cerca de R$ 3,8 mil) é possível comprar diversas credenciais necessárias para se passar totalmente por algum indivíduo, falsificando sua identidade.


O estudo do site Top10VPN indica um custo médio dos dados de cartão de crédito bem acima do apontato pela RSA: US$ 50.

Para saber mais:


abril 02, 2018

[Cyber Cultura] Quem gosta de Emoticons?

Num domingo a noite eu estava zapeando na Internet e achei um vídeo curto e bem divertido aonde o Marcelo Tas e o gerador-de-lero-lero Mario Sergio Cortella discutem a utilidade dos Emoticons. O título do vídeo resume a opinião do Cortella: "Eu odeio Emoticons". Gravado em Campinas em maio de 2017, durante uma edição especial na CPFL do evento Café Filosófico, esse é um trecho de uma conversa divertida entre os dois, que ao todo dura cerca de 1h30. Eles falaram sobre vários assuntos incluindo o uso de redes sociais, a troca de informação na Era Digital, isentões e... Emoticons (aos 42 minutos do vídeo completo).


Os emoticons e são uma constante em nossa comunicação nas redes sociais e aplicativos de mensagem instantânea, e é comum vermos discussões se eles contribuem ou prejudicam a capacidade de comunicação online. Que nunca viu a charge abaixo?


Além de permitir agilizar a comunicação online, na minha opinião, a principal vantagem do uso dos emoticons é que eles são uma forma de transmitir alguma tipo de sentimento junto a mensagem, ou como disse o Marcelo Tas, uma forma de "humanizar a conversa". Eu, pelo menos, uso muito os emoticons com esse objetivo ;)

março 29, 2018

[Segurança] Deus Hackeado!

Recentemente ficamos sabendo que o Carlos Ruas, o cartunista autor da excelente série de quadrinhos Um Sábado Qualquer, perdeu o acesso ao seu grupo no Facebook, que ele usava para divulgar suas charges, vídeos e produtos, e tinha cerca de 2,8 milhões de seguidores.


Segundo uma reportagem do UOL, o Um Sábado Qualquer é o site de tirinhas mais acessado do Brasil. Ele publica tirinhas humorísticas em sua maioria com conteudo religioso, e não raramente mistura vários personagens em uma mesma estória: Deus, Jesus, Adão e Eva, Luci, Odin, Oxalá, Orus, Maomé, Darwin, etc. As vezes suas charges são mais críticas, mas eu acredito que em sua grande maioria elas não ofendem nem criticam ninguém.


Segundo um vídeo divulgado pelo próprio Ruas no dia em que o incidente aconteceu, ele conta que foi procurado por um suposto candidato a anunciante, utilisando um perfil fake e que o convenceu a assinar um serviço falso de "Facebook Instant Articles", supostamente uma nova tecnologia para anunciantes em páginas. Mesmo tomando vários cuidados (como verificar o perfil da pessoa, entrar em contato com conhecidos dela e verificar que o suposto site do facebook "tinha cadeado"), ele foi convencido a acessar essa página para assinar o serviço. No mesmo instante em que forneceu seus dados na página falsa, a pessoa o bloqueou no Facebook, teve acesso a sua página, deletou todo o conteúdo e apagou o perfil.


A única forma que ele teve para tentar recuperar a página foi notificar o Facebook e enfrentar as exigências burocráticas deles, um processo que já se extende por quase uma semana (o incidente aconteceu no dia 25/3 e até 29/3 a página ainda estava fora do ar.


Há vários aspectos preocupantes nessa história:
  • O nível de esforço e sofisticação que alguém tem para conseguir roubar o acesso a uma página no Facebook;
  • A dificuldade de acesso ao Facebook para suporte e atendimento de emergências, mesmo você sendo dono de uma página com milhões de seguidores (e que, portanto, gera conteúdo e tráfego para o próprio Facebook);
  • A burocracia e a demora para conseguir recuperar acesso ao seu próprio conteúdo no Facebook;
  • O atacante simplesmente apagou a página, sendo que na verdade ele poderia ter roubado o controle da página para fazer vários outros golpes, como chantagear o Ruas, postar mensagens com código malicioso ou propaganda aproveitando a audiência de quase 3 milhões de pessoas, ou renomear a página, aproveitando a audiência.
O último ponto que eu citei acima, da página ter sido apagada, leva a crer que o ataque foi algum tipo de vingança, talvez realizada por algum grupo de intolerância religiosa que ficou ofendido com o conteúdo das charges.

O episódio também serve para refletirmos o quanto os produtores e consumidores de coteúdo estão dependentes do Facebook. Ele é, muito provavelmente, a principal forma de divulgação e compartilhamento de conteúdo hoje em dia.

Resta agora torcer para que o Ruas recupere a sua página com o s eu conteúdo, e volte a nos divertir com suas tirinhas.

Atualização (03/04): Após mais de uma semana de sofrimento, na segunda-feira 02/04 a tarde a página do USQ no Facebook foi recuperada!



março 27, 2018

[Segurança] Quer dinheiro rápido?

O principal desafio dos ciber criminosos não é criar um site de phishing convincente nem um malware super sofisticado. O "calcanhar de aquiles" nas fraudes online reside na dificuldade de materializar o ganho financeiro em algo palpável, como dinheiro ou mercadorias. Essa é, normalmente, a forma mais fácil de um criminoso ser identificado e pego.

Por isso, é comum encontrarmos gangs bem organizadas aonde algumas pessoas tratam especificamente da retirada de dinheiro, ou "cash out", que é o termo que normalmente usamos em inglês para designar essa fase do ciber crime.

Normalmente os criminosos usam contas criadas com identidades falsas ou em nome de outras pessoas, os famosos "laranjas" (em inglês, o termo normalmente usado é "mule", de "mula"mesmo).

Uma das formas mais comuns de consequir sacar o dinheiro desviado via Internet de uma conta corrente é através de laranjas que, em troca de um ganho financeiro, fazem o trabalho de interceptação de mercadorias ou receber as transferências de valores, e assim eles repassam isso para o criminoso. Isso pode ser feito, por exemplo, transferindo dinheiro para a conta corrente do laranja a partir de uma conta invadida, e então o laranja recebe esse dinheiro e repassa uma parte dele ao criminoso, ficando com uma "comissão".

É um bom negócio para os dois: o laranja ganha dinheiro fácil e o criminoso arranja algu''em para ser rastreado e preso no lugar dele.

No país dos "espertos" e do "jeitinho", os ciber criminosos não tem dificuldade em recrutar laranjas.

Para exemplificar isso, recentemente alguém tentou publicar um anúncio em meu blog que foi barrado pelo controle anti-spam. O anúncio está em espanhol:
"¿NECESITA UN DINERO RÁPIDO? Acabo de recibir una tarjeta de cajero automático vacía de los Estados Unidos ahora y está programado para retirar hasta 1,000 dólares por día y 18,000 en dos meses ... Estoy muy feliz, mi familia está viviendo muy bien ahora. Lo obtuve de un pirata informático en los Estados Unidos y su nombre es OMITIDO. Su número de whatsapp es +1 NNN-NNN-NNNN .. condición [Mi porcentaje es 70 y le envío 30 por ciento]"
Ou seja, os ciber criminosos enviam um cartão de crédito ou débito para a pessoa, que ela utiliza para sacar dinheiro de um caixa automático - até 1.000 dólares por dia. Isso pode ser um cartão do tipo pré-pago ou de uma conta corrente, tanto faz. O laranja fica com 70% do dinheiro que sacou e envia apenas 30% para o criminoso. Os dois ficam no lucro.

E olha que esse criminoso é bem bonzinho!



março 26, 2018

[Segurança] Segurança para Cloud Computing no governo Federal

O Departamento de Segurança da Informação e Comunicações (DSIC), o órgão de segurança do governo Brasileiro subordinado ao Gabinete de Segurança Institucional (GSI) da Presidência da República, publicou recentemente uma revisão da norma complementar sobre os requisitos de segurança para a contratação de serviços de Cloud Computing.

A Norma Complementar nº 14/IN01/DSIC/GSIPR1, divulgada pelo GSI em 19/03/2018, foi publicada originalmente em 30 de janeiro de 2012. Ela estabelece quais são os princípios, diretrizes e responsabilidades de Segurança da Informação que os órgãos e entidades do governo federal devem considerar na contratação e no tratamento da informação em ambientes de Computação em Nuvem. A norma vale para todos os órgãos da Administração Pública Federal (APF), direta e indireta.

Esta norma tem como objetivo orientar a Alta Administração de cada órgão ou entidade da APF sobre como considerar os riscos dos ambientes de Cloud Computing na Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) existente, de modo a salvaguardar dados, informações e serviços sob sua responsabilidade, de acordo com os interesses de entidade, da sociedade e do Estado.

É interessante notar que a norma estabelece a obrigatoriedade de armazenamento dos dados em território nacional (item 5.3), limitando assim a contratação de Cloud Computing a empresas que tenham infraestrutura baseada no Brasil, e também estabelece que é vedado o armazenamento de dados sigilosos em ambiente na Nuvem (item 5.2.2).

Na minha opinião, dentre as diversas diretrizes listadas nessa norma, os pontos mais importantes são os seguintes:
5 PRINCÍPIOS E DIRETRIZES

5.1 O órgão ou entidade da APF deve observar, no mínimo, ao adotar o tratamento da informação em ambiente de Computação em Nuvem:
5.1.4 As informações tratadas em ambiente de computação em nuvem devem passar por um processo de GRSIC;
5.1.9 A prevalência da legislação brasileira sobre qualquer outra.
5.2 Sobre o tratamento da informação:
5.2.1 Informação sem restrição de acesso: pode ser tratada, a critério do órgão ou entidade da APF, em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC;
5.2.2 Informação sigilosa: como regra geral, deve ser evitado o tratamento em ambiente de computação em nuvem, conforme disposições a seguir:
5.2.2.1. Informação classificada: é vedado o tratamento em ambiente de computação em nuvem;
5.2.2.2. Conhecimento e informação contida em material de acesso restrito: é vedado o tratamento em ambiente de computação em nuvem;
5.2.2.3. Informação com restrição de acesso prevista em legislação vigente: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a disponibilidade, integridade, confidencialidade e autenticidade (DICA);
5.2.2.4. Documento Preparatório: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA;
5.2.2.5. Documento preparatório que possa originar informação classificada deve ser tratado conforme o item 5.2.2.1; e
5.2.2.6. Informação pessoal relativa à intimidade, vida privada e imagem: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA.
5.3 Deve ser assegurado que dados, metadados, informações e conhecimento, produzidos ou custodiados por órgão ou entidade da APF, bem como suas cópias de segurança, residam em território brasileiro;
Esta norma tem um objetivo claro de alinhar a contratação de serviços em nuvem com as normas, políticas e procedimentos existentes (incluindo gestão de risco e tratamento de incdentes), além de explicitar a proibição de armazenamento de informações fora do território brasileiro e a preocupação com o sigilo dos dados.

março 22, 2018

Posts que nunca foram escritos

Chegou a hora de limpar novamente um pouco do meu backlog de posts pendentes. Algumas notícias são velhas, mas valem a pena serem relembradas.

Novos vazamentos de dados:

No ano passado, o ISC2 lançou a versão em Português do programa para educação de segurança infantil “Safe and Secure Online”, para conscientização de  jovens usando cartoons do Garfield.

Que feio! Os storages da Western Digital vem com um usuário e senha hardcoded! Qualquer um pode acessar o seu storage! "Critical Unpatched Flaws Disclosed In Western Digital 'My Cloud' Storage Devices"

Artigo bem legal sobre como os Russos influenciaram as eleições presidenciais americanas: "Anatomy of a Russian Information Warfare Campaign"

Para pensar: "Por que a comunidade de SI, precisa parar os "especialistas" da Globo."

Sobre a epidemia de notícias falsas:


março 20, 2018

[Segurança] Os 7 hábitos das pessoas altamente “inhackeáveis”

O Alberto J Azevedo escreveu um artigo com uma proposta bem legal, de indicar "Os 7 hábitos das pessoas altamente “inhackeáveis”", ou seja, alguns hábitos "para se tornar uma pessoa altamente proficiente e eficaz em segurança da informação e, com isso, diminuir sensivelmente as chances" de ser hackeado ou ter sua identidade roubada.

Resumindo o artigo, o Alberto recomenda alguns cuidados relacionados ao uso de nossas senhas e identidades online, que ele traduziu em alguns hábitos que devemos adotar. Os dois primeiros foram os seguintes:
  1. Tenha uma política sólida de senhas: O Alberto indica que a melhor forma de resolver o problema de gestão de senhas fortes e não reutilizar senhas de maneira alguma é usando um gerenciador de senhas e criando uma senha diferente para cada site ou serviço, usando senhas randômicas que misturem letras maiúsculas e minúsculas, números e caracteres especiais e letras maiúsculas. Outros cuidados incluem não usar o recurso de autocompletar os campos no browser, prestar atenção em alertas de tentativas de uso de suas senhas, ao registrar perguntas secretas, use respostas falsas;
  2. Use um segundo fator de autenticação sempre que possível: Os principais serviços online de e-mail, redes sociais e alguns serviços online fornecem opção de usar uma senha extra enviada por SMS ou calculada no celular. Nesses casos, tenha o cuidado extra de desabilitar o recurso de pré-visualização de mensagens SMS no seu celular (mesmo com a tela bloqueada)

março 19, 2018

[Segurança] Comunicando incidentes de Vazamento de Dados

Lendo uma notícia recente sobre o vazamento de dados da NetShoes, fiquei sabendo que o Ministério Público do Distrito Federal e Territórios (MPDFT) tem, desde novembro de 2017, uma Comissão de Proteção dos Dados Pessoais, a primeira iniciativa nacional dedicada exclusivamente à promover a proteção dos dados pessoais e da privacidade dos brasileiros.


Entre outras iniciativas, eles mantém um formulário online para Comunicação de Incidentes de Segurança, aonde as empresas poderão registrar ocorrências de vazamento de dados que impactem seus clientes.

março 16, 2018

março 14, 2018

[Segurança] Evitando dados pessoais em formulários online

Uma pesquisa recente realizada pela RSA mostrou um dado interessante: 41% dos consumidores em todo o mundo falsificam suas informações ao preencher dados em formulários on-line.

Além disso, cerca de 78% limitam a quantidade de dados pessoais que disponibilizam online ou compartilham com empresas.

O estudo da RSA, chamado "RSA Data Privacy and Security Survey", entrevistou 7.500 consumidores nos EUA, França, Alemanha, Itália e Inglaterra, e também identificou que...
  • 59% dos respondentes fazem isso para evitar receber mensagens não solicitadas (SPAMs) ou mensagens de marketing (55%);
  • 55% evitam repassar seus dados para que empresas os revenda ou use esses dados sem consentimento;
  • 35% dos consumidores mentem ou omitem seus dados por preocupação com a privacidade e segurança de seus dados.


março 12, 2018

[Segurança] Ataque do momento: Memcached DDoS

Nos últimos dias vimos um aumento significativo no poder de fogo dos ataques de negação de serviço distribuídos (Distributed Deny of Service, ou DDoS, em inglês). Isso aconteceu por causa da incorporação de uma nova técnica de ataque no ferramental existente, o que deu origem ao temido...

Ataque Memcached DDoS


Essa nova técnica de amplificação de ataques usando servidores Memcached vulneráveis na Internet (CVE-2018-1000115) já trouxe novos volumes record de ataques DDoS, atingindo recentemente 1,7 Tbps de tráfego em um ataque identificado contra um cliente da Arbor nos EUA. E a tendência obvia é que o tamanho dos ataques deve aumentar ainda mais, para a alegria dos ciber criminosos especializados em fazer extorsão (eles exigem uma certa quantia para não derrubar o seu site).

Estima-se que existam 95 mil servidores Memcached expostos na Internet, e que portanto podem ser utilizados em ataques DDoS.


Segundo uma empresa chinesa especializada em mitigação de ataques DDoS, os ciber criminosos já lançaram quase 15.000 ataques com a técnica Memcached contra 7.113 sites nos últimos dez dias, com alvo sites nos Estados Unidos, China, Hong Kong, Coréia do Sul, Brasil, França, Alemanha, Reino Unido, Canadá e Holanda. Segundo eles, no máximo 20.612 servidores Memcached vulneráveis participaram de um mesmo ataque.

A Cloudfare estima que a maioria dos servidores utilizados para amplificar os ataques estão localizados nos EUA, Alemanha e Hong Kong.



Como disse a Arbor muito bem, "O rápido aumento da frequência desses ataques indica que este vetor de ataque relativamente novo foi automatizado e começou a sero amplamente utilizado por atacantes dentro de um intervalo relativamente curto". O exploit dessa vulnerabilidade já está disponível online.

Segundo uma noticia recente, usando informações da NETSCOUT, esse ataque já está chegando ao Brasil. A NETSCOUT e a Arbor afirmam que desde o dia 16 de fevereiro elas tem observado um aumento do tráfego Memcached no Brasil, com tendência de alta para março. Elas especulam que isso indica a criação e crescimento de botnets que usam memcached para amplificação, possivelmente usando hosts zumbi comprometidos no Brasil.

A boa notícia é que descobriram uma forma de interromper um ataque DDoS usando essa técnica, aonde a vítima pode enviar um comando de "shutdown" ou "flush" volta para cada um dos servidores Mencached que estejam amplificando o ataque.

Para saber mais:

março 08, 2018

[Cyber Cultura] Grace Hopper: Legends and Lies

Aproveitando o Dia Internacional da Mulher, nada melhor do que olhar um pouco as grandes mulheres que marcaram a história da computação em todo o mundo. E uma das principais figuras históricas, sempre  lembrada por todos, é a Grace Hopper (1906-1992), uma das pioneiras na área de informática.

Através do Barata Elétrica eu vi um vídeo bem legal, de meia-hora, com uma palestra sobre a vida da Grace Hopper. Nesse vídeo, ficamos sabendo de muitas coisas sobre a sua vida, que entrou na Marinha americana em 1937 e imediatamente teve a oportunidade de trabalhar no Mark I, um dos primeiros computadores da história.


A Melissa Pierce, quem apresenta a palestra, é produtora e diretora do documentário "Born with Curiosity: The Story of Grace Murray Hopper", e por isso colecionou muitas histórias sobre ela. Veja o pequeno trailer sobre o documentário:


Há várias curiosidades sobre a vida da Grace Hopper, tais como...
  • Quando ela tirou seu PHD em Matemática em Yale, no ano de 1934, apenas cerca de 30 mulheres já tinham se formado em PhD nos EUA;
  • Durante a Segunda Guerra Mundial ela desejou entrar para a Marinha. Ela tentou 3 vezes antes de ser aceita, aos 37 anos;
  • Na Marinha, Grace trabalhou no Mark I e Mark II, dois dos primeiros computadores da história da computação. Ela não conhecia nada sobre computadores quando a Marinha lhe designou para trabalhar no Mark I. Assim, Grace aprendeu a programar quando tinha 37 anos;
  • Como ela constantemente contava a história de como encontrou um inseto que interrompeu o funcionamento do Mark II, ela ficou conhecida por popularizar a expressão "bug de computador";
  • Ela é considerada a "avó do COBOL", pois Grace criou um programa chamado FLOW-MATIC, que serviu de base para a equipe que construiu o COBOL;
  • Um navio da Marinha Americana foi batizado em homenagem a ela, o destroier USS Hopper.
Também vale a pena assistir uma entrevista curta e divertida que ela deu no programa David Letterman há um tempão atrás, quando ela tinha 79 anos de idade:


Para finalizar esse post, que tal um vídeo bem curtinho sobre "Quem Foi Grace Hopper"?


março 07, 2018

[Segurança] Ciber Cyber Ciber

De vez em quando surgem alguns eventos no mercado de segurança que tentam pegar carona em alguma buzzword da moda.

Claro que já surgiu um evento para falar de "ciber security", como notaram alguns amigos em um grupo do Whatsapp:


A menos que você tenha interesse bem específico em um assunto específico, a minha recomendação geral é que sempre avalie muito bem o evento que você vai participar (seja como patrocinador, palestrante ou simples participante na platéia). Evite eventos que falam muitas buzzwords, tanto na descrição do evento quanto nos títulos das palestras, e avalie principalmente o conteúdo da agenda e a qualidade dos palestrantes.

março 06, 2018

[Segurança] DDoS record... de novo!

Não durou nem 1 semana o record batido pelo ataque DDoS ao GitHub anunciado na sexta-feira passada, que atingiu 1,35 Tbps de tráfego. De acordo com a Arbor, um cliente deles nos EUA recebeu um ataque DDoS que atingiu...

1,7 Tbps


Um novo record! Novamente, a causa deste volume record de DDoS é apontada para a nova técnica de amplificação usando servidores memcached.

Eles também publicaram um gráfico que mostra o crescimento do tamanho dos ataques DDoS nos últimos 10 anos. O maior ataque registrado pela Arbor, até então, era de 650 Gbps.

Me parece que o tamanho dos ataques DDoS ainda vão crescer muito com essa nova técnica de amplificação, já que ela consegue multiplicar um ataque por cerca de 50 mil vezes. Novos records devem ser vatidos nos próximos dias :(

Para saber mais:

março 05, 2018

[Segurança] Mais um DDoS monstrão

Há pouco mais de um ano atrás, em novembro de 2016, estávamos assustados com um ataque distribuído de negação de serviço contra o provedor Dyn, causado pela botnet Mirai, que atingiu 1,2 Terabit de dados por segundo.

Agora, de repente, o GitHub (aquele site bonzinho de repositório de projetos de software, em especial código open source, com um gatinho como logo e mais de 28 milhões de usuários) bate o record e sofre o maior ataque DDoS registrado até agora: 1,35 Tbps.


Segundo o time de engenharia do GitHub, o site ficou indisponível por 5 minutos, entre 17:21 UTC e 17:26 UTC do dia 28/2, e intermitente nos 4 minutos seguintes. Assim que identificaram o início do ataque, que atingiu 1,35 Tbps e 126,9 milhões de pacotes por segundo, a equipe do GitHub redirecionou o tráfego  para o seu site para a Akamai, que foi responsável por mitigar o ataque.

Esse ataque DDoS alcançou nível record pois utilizou uma técnica de amplificação de ataques via UDP que explora servidores expostos na Internet rodando Memcached, um software open-source de cache usado para melhorar a performance de sites. Essa nova técnica consegue amplificar  um ataque na ordem de 51.000 vezes.

A propósito, o pessoal da Imperva fez um infográfico bem legal explicando os principais conceitos sobre ataques DDoS, apesar de usar algumas estatísticas velhas (de 2014 e 2015) junto com um post no Blog deles que explica o infográfico:


março 02, 2018

[Segurança] Olympic Destroyer

Durante as olimpíadas de inverno em PyeongChang, na Coréia do Sul, o comitê olímpico sofreu alguns ciber ataques, batizados de "Olympic Destroyer".


Logo no início dos jogos, eles receberam a primeira leva de ataques antes e durante a abertura dos jogos. Os ataques incluiram a derrubada do site oficial dos Jogos de Inverno por 12 horas, o colapso da rede Wi-Fi no estádio Olímpico de PyeongChang e problemas nas comunicações de televisão e Internet no principal centro de imprensa.

Os problemas aconteceram porque a rede oficial dos jogos de inverno sofreu um ataque por um malware do tipo "wiper", batizado de "Olympic Destroyer". Esse malware usava password stealers para obter credenciais do sistema e do browser da máquina infectada, em seguida tenta se espalhar pelos computadores próximos usando essas credenciais roubadas e, depois, deleta vários arquivos do sistema para deixar o equipamento fora de uso.

De acordo com o blog da Cisco que dissecou o malware responsável pelo ataque, "o autor do malware sabia muitos detalhes técnicos da infra-estrutura dos Jogos Olímpicos, como nomes de usuários, nomes de domínio, nomes de servidores e, obviamente, senhas".

Desde o início dos ciber ataques já se especulava que a origem poderia ser a Rússia, uma hipótese que a inteligência americana considera verdadeira, em resposta ao banimento que o comitê olímpico impôs a delegação russa por causa de denúncias de doping patrocinado pelo governo. Mesmo antes das olimpíadas de inverno começarem, grupos russos já estavam atacando o comitê olímpico  e a organização dos jogos de PyeongChang como forma de vingança.


Mas, na verdade, atribuição de um ciber ataque a alguém não é algo fácil, e especula-se também que os criadores do malware deliberadamente plantaram pistas falsas ("false flags") para fazer os pesquisadores acreditarem que a origem poderia ser na China ou Coréia do Norte. O código do malware "Olympic Destroyer" continha partes de outros malwares russos, chineses e norte-coreanos, e os atacantes aparentemente utilizavam endereços IP da Coréia do Norte.

Para saber mais:
PS: Mas o legal mesmo é ver uma competição de ski com robôs durante a olimpíada de inverno!!!

PS/2: Post atualizado em 13/03 para incluir mais uma reportagem sobre as suspeitas de que a atribuição do ataque à Coreia do Norte está equivocada.

fevereiro 28, 2018

[Segurança] Quem é a sua referência mais antiga na área de segurança?

Eu estava jantando há um tempo atrás com o Fábio Assolini e, conversa vai conversa vem, surgiu um assunto aonde nós começamos a nos questionar quem são os profissionais mais antigos da área de segurança aqui no Brasil que conhecemos. Fazendo um rápido parênteses, foi um jantar bem legal, aonde passamos o tempo todo trocando figurinhas sobre o ciber crime, tipos de fraude, ataques a bancos, etc. Até mesmo sobre explosão de caixas eletrônicos nós falamos.

Garimpando o fundo da minha memória, eu lembro que quando eu comecei a me interessar por segurança, aproximadamente em 1996, quando eu era um administrador de sistemas Unix (Sun/Solaris, para ser mais preciso) em um dos primeiros provedores de Internet do Brasil. Esse já era meu segundo emprego em TI e, até então, eu desconhecia o mundo da segurança. Ao contrário de alguns colegas na nossa área, eu não comecei nos canais IRCs nem conhecia os grupos de hackers da época que discutiam invasões e defacements.

Em meus estudos sobre como melhorar a configuração dos servidores que eu administrava, eu descobri o site do Nelson Murilo, chamado Pangeia, que na época talvez fosse a única referência sobre segurança aqui no Brasil. No site havia um check-list de configuração de segurança que eu baixei e utilizei fascinadamente, revisando as as configurações de todos os meus servidores.


Ou seja, o Nelson Murilo já era uma importante referência na área antes mesmo de eu começar a trabalhar com segurança !!!

Eu já acompanhava algumas listas de discussão sobre tecnologia e administração de sistemas, e mais ou menos nessa época, eu assinei uma lista de discussão por e-mail chamada BOS-BR (sigla de "Best of Security - Brasil"), que era gerenciada pelo Thiago Zaninotti, entre outros. A lista era o principal canal de discussão sobre segurança na época e lá eu comecei a conhecer os nomes de algumas outras pessoas que interagiam bastante na lista e hoje também são gurus na nossa área: o Rubens Kuhl, o Fernando Cima (antes dele ir trabalhar na Microsoft, de onde nunca mais saiu), o Alberto Fabiano (se bem me lembro, lá ele usava o pseudônimo "techberto"), o Professor Nelson Brito, e algumas dezenas de outros colegas que agora realmente eu não tenho como lembrar o nome.

Pouco tempo depois, em Março de 2001, o Thiago organizou um evento de segurança em São Paulo, também com o nome de BOS-BR, que até onde eu sei foi o primeiro evento brasileiro de hacking. E eu tive a sorte de estar lá na platéia! Quase 15 anos depois, quando eu e o Alberto Fabiano participamos da criação do Garoa Hacker Clube, ele certa vez me contou que também estava nesse evento!

   

Abrindo um pequeno parênteses, provavelmente o segundo evento de SI que eu conheci foi o CNASI, e depois o SSI no ITA (Simpósio de Segurança em Informática), um evento acadêmico que existiu por alguns anos de 1999 a 2006. Eu achei a agenda da edição de 2003 e o CFP de 2006 ainda disponíveis online!


Nessa época, início dos anos 2000, eu já trabalhava na área de Segurança, tinha passado pela Compugraf aonde conheci vários profissinais (parceiros, clientes e concorretes) que estão aqui até hoje. Eu fui em algumas edições do SSI (provavelmente 3 ou 4 delas) e assisti várias palestras excelentes por lá, inclusive do Marco Kiko Carnut, um dinossauro da Tempest. No SSI de 2004 eu assisti uma palestra bem legal do Dr. Wietse Venema, pai do TCPWrapper e um dos criadores do Satan, e fui dar uma de tiete para tirar foto dele. O TCPWrapper já tinha salvo a minha pele várias vezes!!!


Mais ou menos nessa época, certa vez eu fui em um evento da SUCESU-SP em São Paulo aonde teve uma palestra sobre o mercado de antivírus do André Pitkovisk. Eu lembro que ele falou muitas coisas interessantes e, assim, ele foi minha primeira referência sobre a indústria de antivirus e malwares. Minto, ele foi a minha segunda referência, porque vários anos antes quando começaram a surgir os vírus de computador no Brasil um professor da USP com quem eu tive aula, o Marcos Gubitoso, escreveu um softwarezinho de antivírus que, na época, apagava um ou dois vírus de computador!

No final dos anos 90 e início dos anos 2000, a Módulo era a empresa de segurança mais conhecida, graças a solução de antivirus que eles tinham chamada Curió. A propósito, sem dúvida nenhuma a Módulo foi escola pra uma quantidade enorme de profissionais de segurança que temos hoje e que trabalharam lá (este não é o meu caso, pois fui cliente do serviços de consultoria deles em duas empresas que trabalhei).

Entre os anos 2000 e 2010 a galera que trabalhava na área de segurança se falava muito pela lista de discussão CISSP-BR, sendo ou não CISSP. A lista tinha muitas discussões técnicas e sobre vários aspectos profissionais, e um dos tópicos mais comuns era o ROI (retorno do investimento) na área de segurança. Ali se formaram várias amizades e era comum marcarmos happy hour frequentemente para juntar a galera, como o Happy Hour da foto abaixo, em 2005, com o Fernando Fonseca, Rafael Hashimoto, Francisco Milagres, Anderson Ramos, a Larissa e o Reginaldo Sarraf, no Hooters que ficava perto da Verbo Divino.


Em 2005 eu e vários amigos criamos um grupo de estudos para a certificação CISSP, que desde então ajudou muitos profissionais a estudadem de forma gratuita e organizada. Estava lá o Sergio Dias, Fernando Fonseca, a Lucimara Desidera e o Wagner Elias, entre outros.



Em 2006 eu fui na minha primeira Defcon, nos EUA, e em 2007 foi minha primeira RSA Conference. Desde então eu fiquei apaixonado pela Defcon e tento ir lá quase todos os anos, mesmo que seja tirando férias e pagando do próprio bolso. Em 2006 éramos poucos brasileiros lá, mas a cada ano a quantidade de Brasileiros que vai na Defcon só aumenta, e já somos tantos que é impossível encontrar todos durante o evento.


Também em 2006 comecei a fazer parte da diretoria da ISSA, aonde por alguns anos nos esforçamos em realizar diversos eventos e atividades gartuitas para o público de segurança. Criamos os ISSA Days, um encontro quase mensal com 2 palestras (uma do patrocinador e uma de um profissional convidado) e por um curto período de tempo (mais ou menos um ano) chegamos a ter uma revista mensal online, batizada de Antebellum. Eu achei aqui a primeira edição dela!

É lógico que, estando há tanto tempo no mercado de segurança, eu tenho uma quantidade gigante de colegas que eu conheço há bastante tempo, que fica até difícil dizer quantos são e há quanto tempo conheço cada um. Eles me ensinaram muita coisa, influenciaram muito a minha carreira. E isso acontece até hoje: estamos constantemente aprendendo.

Este post é uma forma de homenagear a todos os demais colegas e profissionais da área, pois muito do que eu já fiz e aprendi eu devo a essas dezenas de profissionais que tive e tenho como inspiração.

fevereiro 26, 2018

[Segurança] Ataque do momento: Criptomoedas.

Caso você ainda nao tenha percebido, nos últimos meses temos sofrido uma nova onda de ciber ataques contra empresas e usuários finais, direcionados ao...

Roubo de criptomoedas


Podemos considerar vários tipos de ataques que acontecem hoje em dia com bastante frequencia e estão relacionados com a intenção de obter algum tipo de ganho financeiro com criptomoedas, tais como:
  • Ciber criminosos invadirem os computadores dos usuários para acessarem as suas carteiras digitais;
  • Softwares maliciosos que usam o computados das vítimas para minerar moedas criptográficas ("Cryptojacking"). Hoje em dia há uma grande quantidade de sites que, inadivertidaemnte, estão com um aplicativo malicioso para transformar os computadores dos seus visitantes em mineradores de moedas digitais, explorando maliciosamente a funcionalidade criada pelo Coinhive, um JavaScript que permite com que sites façam seus visitantes minerarem Monero;
  • Ciber ataques contra empresas de negociação ("exchange") de criptomoedas.
Na minha opinião o mais preocupante é essa nova onda de ciber ataques aonde os ciber criminosos estão invadindo empresas de compra e venda de moedas digitais, assim eles conseguem ter acesso a uma grande quantidade de moedas em um único ataque, e os prejuísos são da ordem de milhões de dólares! Esses ataques podem minar a confiança no sistema ao mesmo tempo que estão impactando a operação de diversas empresas na área.

Em Janeiro de 2018, por exemplo, a empresa japonesa Coincheck foi atacada e os ciber criminosos conseguirem roubar cerca de 530 milhões de dólares de sua carteira virtual. Um dos casos mais conhecidos aconteceu no longínquo ano de 2014, quando a empresa Mt.Gox entrou em falência após roubarem 850 mil bitcoins.

Para saber mais:
OBS: Post atualizado em 13/3 para incluir nocos exemplos na lista de "casos interessantes".

fevereiro 23, 2018

[Segurança] Phishing no Whatsapp

Segundo um relatório de uma tal de DFNDR Lab, da PSafe, o WhatsApp é o meio preferido dos ciber criminosos para espalhar ataques de phishing, correspondendo a 66% do total de registros feitos pela empresa, refletindo uma tendência bem conhecida do ciber crime que é a de usar os smartphones para disseminar golpes online.


Segundo a pesquisa, o  número de mensagens de phishing compartilhadas pelo Whatsapp atingiu o número de 44,1 milhões de mensagens no quarto trimestre do ano passado, o que representou um crescimento de 107% entre o terceiro e quarto trimestres de 2017.


A reportagem aonde achei essas estatísticas é bem superficial e não traz mais detalhes, mas de qualquer forma esses dados são intteressantes por refletir uma tendência conhecida do ciber crime.

fevereiro 21, 2018

[Segurança] Malwares em caixas eletrônicos

Pesquisando sobre ataques físicos a caixas eletrônicos no México, eu deparei com muitas notícias mostrando que desde 2013 o país sofre com códigos maliciosos para roubar dinheiro dos ATMs. Em 2014 a Kaspersky já tinha relatado outro malware, Tyupkin, atuando na Rússia.


No final de 2017 os primeiros ciber ataques desse tipo apareceram nos EUA, e logo a polícia prendeu um grupo de Venezuelanos que estavam realizando esse crime. Os bancos americanos estão sofrendo com uma variante do código malicioso usado no México, o "Ploutus", que pode ser implantado em caixas eletrônicos. Originalmente surgido no México e atacando alguns modelos específicos de ATMs da Diebold, a versão atual Ploutus.D explora outros componentes de software que o tornam capaz de atacar caixas eletrônicos de diversos fabricantes.

O uso de ciber ataques contra caixas eletrônicos ganhou destaque na grande mídia e na comunidade de segurança em 2010, quando o pesquisador rockstar Barnaby Jack apresentou uma palestra na BlackHat e Defcon daquele ano sobre esse assunto, e batizou esse golpe de "ATM Jackpotting". Barnaby Jack demonstrou como seria possível criar um malware que controlasse o caixa eletrônico e, assim, poderia comandar o dispenser de notas para cuspir todo o dinheiro armazenado no cofre do ATM.

Há várias famílias de malwares especializadas em atacar caixas eletrôncos, como o Ploutus (que já comentei), e outros que foram mencionados em um blog da Diebold: o Ripper, Alice, Tyupkin e o Green Dispenser (que passou pelo Mexico em 2015).

Alguns malwares para caixas eletrônicos podem funcionar como keylogger e, com isso, capturar os dados dos clientes (como no caso desse malware descoberto pela Trustwave em 2009), mas já que tem o controle da máquina, o ganho financeiro mais fácil ocorre ao comandar o ATM para expelir todo o dinheiro do cofre. Normalmente o malware é inserido através de um CD ou um USB bootável, que o criminoso consegue inserir no caixa eletrônico, reiniciar o equipamento e assim executar os comandos necessários para controlar a dispensadora de notas.

A Symantec tem um vídeo legal sobre como os criminosos conseguem usar o Ploutus:


Recentemente, pesquisadores da Kaspersky descobriram um forum underground aonde um malware para ATM, chamado CUTLET MAKER, estava sendo vendido por 5 mil dólares.


A Diebold dá algumas dicas para os bancos mitigarem os ataques de malwares para ATMs, que podemos resumir em garantir a segurança física do equipamento (para evitar a inserção do malware), atualização de software e uso das boas práticas de segurança.

Para saber mais:

  • Para se divertir: um criminoso brasileiro colocou um vídeo no YouTube com um funk de fundo enquanto mostra o funcionamento de um malware para caixa eletrônico. Mas não se preocupe, o brasileiro não gravou o uso do malware, ele apenas reaproveitou algum vídeo antigo de outra pessoa (você pode encontrar um vídeo idêntico do Tyupkin publicado 2 anos antes).

fevereiro 20, 2018

[Segurança] O bug do caracter indiano

Um bug bizarro descoberto recentemente, um "text bomb", deu muita dor de cabeça para os usuários da Apple nos últimos dias.

Ao receber um caracter específico, na língua telugo, o iPhone simplesmente trava e bloqueia o acesso a apps como Mensagens, Twitter, WhatsApp, Facebook Messenger, Outlook e GMail, dependendo de qual app você recebeu a mensagem com esse caracter.


O problema acontece quando esse caracter é recebido em algum aplicativo, pois o sistema trava ao tentar carregar a visualização do caracter. Dependendo do caso, o aplicativo não abre, ou o sistema trava, retorna para a tela de bloqueio e impede que você acesse o app que recebeu a letra. No Whatsapp, por exemplo, você pode não conseguir mais abrir a conversa (ou grupo), pois o aplicativo fica tentando carregar o tal caractere sem sucesso. Para recuperar o aceso a conversa, ou você apaga todo o histórico ou tenta pedir para alguém enviar alguma outra mensagem e clica nela, para o app ir direto na mensagem mais recente, ignorando as antigas.

Se, por azar, você receber essa mensagem quando o celular estiver bloqueado, o iOS tentará mostrar uma pré-visualização no notification center (na tela bloqueada) e, desgraçeira, o aparelho entrará em looping de boot ("boot loop") e não mais ligará. Eu ouvi relatos de usuários que caíram nesse caso: não conseguiam acessar seu iPhone, só recuperaram o acesso ao celular após colocar o aparelho em modo DFU (Device Firmware Update) ou fazer um hard reset com update de versão.

O bug afeta os iPhones com iOS até 11.2.5 e o macOS High Sierra 10.13.3 mas já foi corrigido na ultima versão beta do macOS 10.13.4. O bug foi corrigido na versão 11.2.6 do iOS (disponibilizado em 19/2) e na versão beta do iOS 11.3.

Não é a primeira vez nem será a última que temos problemas com tratamento de palavras em idiomas "diferentes", que exigem manipulação de unicode. O iOS mesmo já teve problemas até mesmo em tratar algumas sequências de emojis.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.