novembro 19, 2018

[Cyber Cultura] Truques úteis ao fazer busca no Google

Todo profissional de segurança deveria saber de cor e salteado pelo menos os truques mais simples para fazer buscas no Google. O termo "Google Hacking" surgiu para isso: as diversas formas de usar buscas no Google para encontrar sites vulneráveis ou fazer busca por informações que podem ser utilizadas para reconhecimento do alvo, ataques ou ações de engenharia social.


Na Wikipedia, por exemplo, tem uma lista com os principais comandos interessantes que podem ser utilizados no Google para buscar informações específicas sobre sites e alvos. O projeto Google Hacking Database (GHDB) mantém uma lista mais completa.

Recentemente eu vi um artigo no Medium com um infográfico bem legal e mais algumas dicas adicionais de como usar o Google de forma mais eficiente: "40+ Best Google Search Tips, Tricks & Hacks for 2018 [Infographic]". Veja o infográfico abaixo:


Para saber mais:

novembro 16, 2018

Posts que nunca foram escritos

Chega novamente aquele momento de limpar o backlog...

Paper gigante e bem interessante, do MITRE: Ten Strategies of a World-Class Cybersecurity Operations Center

Conheça o "NIST Cybersecurity Framework"


Outro material interessante do NIST, que mapeia as principais carreiras na área de segurança: "NICE Cybersecurity Workforce Framework" (paper)


Aproveitando a carona, vale a pena ver esse guia do NIST sobre como criar um programa de conscientização: "Cybersecurity is Everyone’s Job".


Já visitou o OWASP Internet of Things Project?

Paper sobre tecnologias de 2o fator de autenticação: "Security Keys: Practical Cryptographic Second Factors for the Modern Web" (PDF).

Alguns sites oferecem exemplos e templates para você criar a politica de segurança da sua organização. O SANS Institute tem um punhado de templates disponíveis online: “Information Security Policy Templates”.

Alguns checklists para desenvolvimento de aplicativos mobile:



Vídeos, vídeos e mais vídeos: The Linux Basics Course 50 vídeos



Operação Serenata de Amor: Um grupo de voluntários criou um aplicativo para analisar gastos dos nossos políticos. Eles também criaram um robô no Twitter chamado @RosieDaSerenata para notificar publicamente os gastos suspeitos da Câmara dos Deputados. (link para apoiar a iniciativa)

Se você procura uma solução de VPN que garanta a sua privacidade, a opinião dos profissionais na área é unânime: "construa a sua própria VPN", usando um servidor e os aplicativos específicos. Um caso mostra que não dá para confiar cegamente nas empresas que vendem serviço de acesso anônimo: a empresa PureVPN forneceu para o FBI os logs de acesso de um usuário que estava sob investigação.

Como se preparar para um mega ciber ataque? Veja esse artigo no blog da RSA.

So What Does A Modern Encryption Key Look Like?

Artigo sobre uma história bem interessante, de como um grupo de franceses conseguiram explorar uma rede de telecomunicação rudimentar na França, há 100 anos atrás: "Here’s How the First Cyber Attack Went Down"

Interessante: Mobile Apps Testing: Sample Test Cases & Test Scenarios


novembro 14, 2018

[Segurança] Mapas de ciber ataques

Diversos fabricantes de segurança disponibilizam online mapas visuais com dados e estatísticas de ciber ataques. São gráficos bem interessante para vermos estatísticas de forma visual e, as vezes, em tempo real.



Estes gráficos podem ser utilizados em campanhas de conscientização ou até mesmo no telão do seu NOC e SOC, como forma de ilustrar os ataques que acontecem no mundo.

Abaixo eu listei os gráficos que encontrei e destaquei meus preferidos ;)
  • Kaspersky - O meu favorito, pelo aspecto visual. O gráfico é bem impressionante. Também tem uma versão "widget", para você embutir em uma página web. (veja aqui uma demo)
  • Digital Attack Map, da Arbor - um dos mais populares, este mapa da Arbor mostra os ataques DDoS que acontecem no mundo, e tem a opção de visualizarmos dados históricos. Embora seja relativamente útil, os recursos gráficos são um pouco simples e consome muitos recursos do navegador. (veja uma demo)

  • Bitdefender - Eu gostei desse mapa, achei um dos mais simples ela o mesmo tempo, causa boa impressão visual;

  • Cybercrime Threat Map, da ThreatMetrix - mapa em tempo real com dados de tentativas de fraude online, incluindo roubo de contas, fraudes de pagamentos e tentativas de roubo de identidade.
  • Threat Map da Looking Glass - eu ahem esse mapa legal; ele plota ataques de botnets em ym mapa mundi.
  • Norse - embora seja citado por 10 entre 10 profissionais de segurança, várias vezes eu tenteia cessar esse mapa sem sucesso, obtendo um erro de Connection Refused :(
  • Akamai - Eles tem algumas páginas com mapas e estatísticas, que são bem interessantes:
    • Eles tem uma página com diversas estatísticas de ataques, que tem o link para os demais mapas (abaixo);
    • Real Time Web Monitor - Mostra um heat map estático sobre volume de tráfego ou quantidade de ataques no mundo.
    • Enterprise Threat Monitor - Bem mais interessante, este mapa mostra estatísticas de ataques de Malware, Phishing e C&C.






  • Threatbutt Internet Hacking Attack Attribution Map - apesar do nome pomposo, esse mapa é totalmente fake, pura zoeira... além do visual tosco, simples, ele mostra alguns dados bem falsos, como ataques do Morris Worm, Stuxnet, Slammer, etc. A cada ataque, ele faz um barulho, para aumentar o grau de tosquice ;)



Segundo um artigo da CSO Online, a maioria dos mapas disponíveis não trabalham com dados reais, ao vivo, mas sim com um conjunto de dados pré-gravados e dados de captura sanitizados. Segundo eles, o valor desses mapas não está na informação que apresentam, mas sim na possibilidade deles iniciarem uma conversa ou discussão sobre o assunto.

Para saber mais:

novembro 13, 2018

[Segurança] O golpe de R$ 400 milhões

Algumas reportagens, como essa da revista Época e essa do Yahoo! detalham o funcionamento do esquema criminoso milionário que foi desmascarado recentemente pela polícia, que permitiu a uma quadrilha ganhar milhões de reais através de fraudes online. O caso chamou muito a atenção por causa dos gastos mega-extravagantes dos criminosos presos, que incluíram a compra de diversos carros importados, mansões, viagens para a Europa, passeios frequentes de helicóptero, etc.


O grupo, preso em outubro pela Polícia Civil de São Paulo e pelo Ministério Público, foi acusado de arrecadar cerca de 400 milhões de reais em 18 meses, através de transações fraudulentas pela Internet. Estima-se que pelo menos 23 mil contas correntes foram lesadas em 23 estados.

Apesar do valor total arrecadado pelo grupo criminoso ser absurdamente alto, eles cometiam golpes simples pela Internet, que nada mais são do que o "arroz com feijão' do ciber crime.

Segundo a reportagem, o esquema criminoso funcionava da seguinte forma:
  • O grupo desenvolveu um sistema de roubo de logins e senhas, que deu origem a um banco de dados utilizado pela quadrilha. O sistema foi criado por um autodidata, Leandro Xavier Magalhães Fernandes, morador de Goiânia, que estudou só até completar o ensino médio;
  • Eles aperfeiçoaram o sistema usado para fazer as fraudes, que passou a ser rodado 24 horas por dia, sete dias por semana, capturando logins e senhas de quem entra em sites de bancos;
  • Para executar a fraude e extraviar dinheiro das contas correntes invadidas (as vítimas), a quadrilha oferecia, via WhatsApp e Facebook, o pagamento de qualquer tipo de boleto com “50% de desconto”. Assim, quem tivesse uma conta para pagar dava metade do valor da dívida para a quadrilha, e o boleto era pago pelos criminosos a partir das contas das vítimas. O grupo aceitava boletos de contas de ISS, IPVA, celular ou de TV a cabo;
  • Se o cliente do banco tinha pouco ou nenhum dinheiro na conta, a quadrilha tomava um empréstimo pré-aprovado e, assim que o valor caía na conta, era imediatamente usado para pagamento de boletos ou transferido para contas em nome de laranjas;
  • O dinheiro arrecadado pelo grupo era dividido em cinco empresas diferentes, criadas com a única finalidade de cobrir os atos ilícitos. O grupo possuía um escritório de fachada localizado em um prédio empresarial de alto padrão no bairro do Itaim Bibi, em São Paulo. As empresas eram usadas para dar lastro aos títulos de investidor do mercado financeiro, e para lavagem de dinheiro por meio de bitcoins.
A quadrilha tinha integrantes em Tocantins, Goiás e São Paulo O líder da quadrilha, Pablo Henrique Borges, era morador da periferia de Francisco Morato, em São Paulo, que até 2012 apenas instalava computadores e só em 2015 tirou sua carteira de identidade. Pablo já era conhecido da polícia por pequenos golpes via internet, como venda enganosa de milhagens de companhias aéreas e venda de passagens por valores muito abaixo do mercado, além de compras com senhas roubadas de cartões de crédito.

O uso de pagamento de boletos para desviar dinheiro é um golpe muito comum no Brasil, e é muito fácil achar anúncios desse tipo de "serviço" nas redes sociais. No vídeo abaixo, por exemplo, um fraudador oferece esse serviço através do Youtube.


Veja o texto do anúncio:
"Pagamento de boleto online com desconto de 50% do valor
*Você está endividado ? não aguenta mais cobradores na sua porta te enchendo o saco? CHEGOU A HORA DE MUDAR !!1
PAGO BOLETOS COM PELA METADE DO PREÇO ,COM 50 % DE DESCONTO
FUNCIONA Assim: você envia a foto ou o documento do boleto ,vou te passar um prazo para que o boleto seja pago e envio o comprovante de pagamento, o comprovante é fornecido pelo próprio site do BANCO,após o envio do comprovante você tem 30 minutos para efetuar o pagamento dos 50 % do valor do boleto via depósito ou transferência BANCARIA.
Caso o pagamento não seja feito estornamos o pagamento e seu débito volta a existir,temos várias referencias ,você só fara o pagamento após comprovante ,pago boletos a partir de 600 reais pois cobro caro por meus conhecimentos ,pagamos"

Ou seja, a pessoa endividada passa os dados do boleto para o criminoso, paga para ele 50% do valor da dívida, e o ciber criminoso invade a conta de uma vítima e usa essa conta para pagar o valor integral do boleto. O criminoso ganha o dinheiro e a vítima fica no prejuízo.

novembro 09, 2018

[Segurança] As senhas mais usadas de todos os tempos

O pessoal do Techmundo fez um artigo em 2011 sobre "as senhas mais usadas de todos os tempos", um erro muito comum entre os usuários finais, e que os tornam alvos fáceis de ataques baseados em adivinhação de senha - os ataques mais básicos para tentar acessar a conta de uma vítima.

As senhas mais comuns (sem ordem de preferência), segundo o Techmundo, são:
  • 1234567
  • 123456
  • 12345
  • 123123
  • 000000
  • password
  • qwerty
  • asdfgh
  • zxcvbnm
  • qazwsx
  • abc123
  • blink182
  • lol123
  • 7777777
  • 666666
  • jesus
  • brasil/brazil
  • letmein
  • iloveyou
  • hello123
  • matrix
  • admin
  • hotmail
  • babygirl
Dá para perceber, na lista acima, que ela mistura vários termos em inglês (como "letmein") com um em português: "brasil". Obviamente, as senhas mais utilizadas variam de acordo com o idioma da vítima - a chance de encontrar um usuário brasileiro usando uma senha "hello123" é bem baixa.

Além disso, o artigo mostrou quais temas são os mais escolhidos na hora de cadastrar uma senha:

  • O nome ou sobrenome do próprio usuário ou de membros da família;
  • O nome do clube de futebol favorito;
  • A data de nascimento do usuário ou de pessoas próximas;
  • O número do seu telefone ou do cônjuge;
  • O nome do próprio site do cadastro (como “facebook” ou “twitter”);
  • Teclas que estejam lado a lado no teclado (como em “qwerty” ou “123456”);
  • O mesmo nome de usuário utilizado no login.

O artigo tem algumas dicas interessantes e, apesar de ter sido escrito há 7 anos atrás, continua bem atual.

novembro 07, 2018

[Segurança] Você é um alvo!

O pessoal do SANS Institute, em conjunto com o Brian Krebs, criaram um poster de conscientização para os usuários finais que destaca porque os usuários devem se preocupar com segurança.

Batizado de "You Are A Target", o pôster lista brevemente os principais riscos em termos de senhas, e-mails, informações financeiras, extorsão, roubo de identidade, fraudes em e-commerce, ameaças de botnets e de hospedar conteúdos no computador da vítima.


O poster é um bom material de conscientização, pena que eles disponibilizaram o material feito com cores muito claras, que deixam o material de difícil leitura.

novembro 05, 2018

[Segurança] Leis para Proteção de Dados Pessoais e a origem da LGPD

Diversos países em todo o mundo já possuem ou estão elaborando leis específicas para a proteção de dadospessoais. A popularização da Internet, do e-commerce e das redes sociais trouxe o hábito de compartilharmos online fotos, opiniões e dados pessoais, que estão em mãos de diversas empresas. Em contra partida, isso trouxe o grande risco de roubo e vazamento de dados, além do mal uso por terceiros (como, por exemplo, empresas que vendem dados cadastrais de seus usuários para outras).

Esse cenário tem fomentado o surgimento de leis específicas em todo o mundo. A União Européia, por exemplo, possui uma lei de proteção de dados desde 1995 e, neste ano, entrou em vigor a famosa GDPR, a General Data Protection Regulation.

No Brasil, temos a Lei Geral de Proteção de Dados (LGPD). Antes dela, o Marco Civil já possuía diversos artigos que abordam a necessidade de proteção de dados pessoais e da privacidade dos usuários online. Também existe o Projeto de Lei 3558/2012, que dispõe sobre a proteção de dados pessoais e sobre a utilização de sistemas biométricos. O problema é que este projeot de lei trata a proteção de dados de forma superficial.

A LGPD juntou alguns projetos existentes no Congresso. O principal deles foi criado pelo Ministério da Justiça, que criou um projeto de legislação específica sobre a proteção de dados pessoais através de um esforço público, batizado de Anteprojeto de Lei de Proteção de Dados Pessoais, Tal trabalho foi similar ao processo de criação do Marco Civil da Internet, e iniciou em 2011 por meio da Secretaria Nacional do Consumidor (Senacon) em conjunto com a Secretaria de Assuntos Legislativos do Ministério da Justiça. O projeto foi criado de uma forma colaborativa através de discussões online e presenciais com a sociedade, através de diversas discussões e colaborações recebidas (veja alguns detalhes aquiaqui). No total foram recebidas mais de 2.000 contribuições. Também colaboraram o Comitê Gestor da Internet no Brasil (CGI.br) e a Universidade Federal de Minas Gerais (UFMG). A última versão do anteprojeto está disponível aqui.


A tramitação do projeto de lei na Câmara dos Deputados começou em 13 de maio de 2016, e recebeu o nome de Projeto de Lei 5276/2016.




Este projeto foi juntado ao PL 4060/2012, do deputado Milton Monti (PR-SP), que já tramitava no congresso, dando origem a nossa LGPD.

novembro 02, 2018

[Segurança] Os cinco principais desafios para os líderes de segurança

O pessoal da Fortinet preparou um pequeno infográfico com alguns dados sobre o que eles consideram serem os cinco principais fatores que estão gerando as mudanças no cenário das ciberameaças.

Segundo eles, os principais desafios são relacionados a proliferação de dispositivos IoT, a dificuldade de proteger ambientes na Nuvem, os ataques dos Ransomwares, os ataques que passam desapercebidos por utilizarem comunicação criptografada e a falta de profissionais de segurança.


outubro 31, 2018

[Cidadania] A eleição das redes sociais (com memes)

Ufa! Bem ou mal, finalmente acabaram as eleições de 2018! Não sentiremos saudades desse período eleitoral, em particular!

Essa foi uma eleição marcada pela polaridade e discursos exaltados, brigas e discussões infindáveis. Em minha opinião, essa polarização foi fruto do discurso de ódio e medo que dominou o período eleitoral, alimentadas por um volume jamais visto de notícias falsas fake news espalhadas pelas reses sociais e aplicativos de comunicação.


Passado o pesadelo das eleições presidenciais de 2018, não há como negar que o grande destaque foi a importância que tiveram as redes sociais e os aplicativos de comunicação instantânea (ou seja, Facebook e WhatsApp). Eles foram usados massivamente como meio de propaganda e contra-propaganda, para beneficiar candidatos e prejudicar os adversários.


Na minha opinião, há dois aspectos bem interessantes a analisarmos:
  • O sucesso das redes sociais como forma de campanha: já tínhamos visto isso em eleições anteriores (a Marina Silva, por exemplo, investiu muito nas redes sociais nas eleições de 2014), mas neste ano dois candidatos foram os que melhor se beneficiaram das redes sociais: o Jair Bolsonaro e o Amoedo, do partido NOVO. Afastados da mídia tradicional, aonde tinham direitos a tempos irrisórios nos horários de campanha eleitoral, os dois investiram massivamente no marketing boca-a-boca através das redes sociais. Mesmo hospitalizado após o atentado, o Bolsonaro continuou ativo na campanha graças as redes sociais, aonde constantemente publicou mensagens e vídeos direcionados a seus eleitores;
  • A predominância das "fake news": elas foram uma presença constante durante o período de campanha eleitoral, e muito utilizadas nas campanhas dos dois candidatos que lideraram o pleito: Haddad e Bolsonaro. Fake News não são novidade e acontecem nas campanhas antes mesmo da popularização da Internet, mas neste ano o volume de notícias falsas e caluniosas foi excessivo! Todos nós fomos bombardeados frequentemente por notícias falsas através do Facebook e dos grupos nos WhatsApp. Tais notícias traziam diversos tipos de acusações contra cada um dos candidatos, variando desde denúncia de pedofilia, falsas provas de enriquecimento ou pagamento de propina ao Roger Waters, por se manifestar durante sua turnê no Brasil.

As fake news, em particular, alimentaram o clima de polarização entre o eleitorado, que acabou se dividindo entre dois grupos radicais: os eleitores do Bolsonaro (apoiadores dele ou contrários ao PT) e os eleitores do Haddad (formado por apoiadores tradicionais do PT ou contrários a figura do Bolsonaro). Como os dois candidatos eram os que possuíam maior rejeição, a polarização dos eleitores foi muito baseada no discurso de ódio e repulsa ao candidato concorrente.

Eu acredito que um dia conseguiremos mapear que essa polarização, que já era muito forte no 1o turno, foi plantada artificialmente para beneficiar os dois candidatos. Ou seja, a única chance de um dos dois (Bolsonaro ou Haddad) vencer era se fosse com o outro candidato, pois todos os demais tinham menor rejeição. E, acredito, os dois partidos apostaram nessa possibilidade, e assim fomentaram indiretamente essa polarização. Isso não é difícil de ser feito, basta lembrarmos o bombardeio de notícias sobre pesquisas apontando que nenhum outro candidato venceria esses dois nos segundos turnos. Adicione a isso os discursos de ódio anti-PT e a repulsa contra o Bolsonaro, e esses dois candidatos acabaram ganhando preferência dentre os demais.

Além de tudo que foi dito acima, teve outra trocada master da galera do ciber crime: ciber criminosos colocaram um aplicativo na Google Play chamado "Mitos17", que roubava dados bancários de eleitores do Bolsonaro.

Para acabar esse post, não custa lembrarmos alguns memes que circularam durante o período eleitoral...











Resumindo...


Aproveitando o tema das "fake news" nas eleições, vale a pena ver o excelente vídeo do pessoal do Porta dos Fundos sobre o assunto:


Para saber mais...
OBS: Post atualizado em 01/11 para incluir mais um meme e o vídeo do porta dos fundos.

outubro 30, 2018

[Carreira] O perfil dos profissionais de Segurança

O (ISC)², International Information System Security Certification Consortium Inc., divulgou recentemente um estudo sobre o perfil dos profissionais de segurança em todo o mundo, o "(ISC² Cybersecurity Workforce Study". O estudo entrevistou cerca de 1.500 profissionais de segurança em todo o mundo.

O relatório é extenso e tem várias informações legais sobre o mercado de trabalho e os desafios na carreira. Algumas estatísticas são bem interessantes e também descrevem algumas características do perfil médio dos profissionais de segurança em todo o mundo:
  • As três principais qualificações para os profissionais de segurança são:
    • Experiência relevante em segurança cibernética (49%);
    • Conhecimento de conceitos avançados de cibersegurança (47%);
    • Possuir certificações de segurança cibernética (43%);
  • 35% dos profissionais de segurança pesquisados ​se ​identificaram como millennials; enquanto 49% se identificam como baby boomers e geração X;
  • As mulheres representaram 24% dos profissionais de segurança;
  • Em média, os profissionais de segurança trabalham há 13 anos na área de TI, com 7 anos dedicados à segurança;
  • O salário anual dos profissionais de segurança pesquisados é, em média, de US$ 85.000.
    • Os profissionais de segurança com certificações ganham um pouco acima da média, US$ 88.000, enquanto o salário médio anual dos profissionais sem certificação é de US$ 67.000;
  • 63% dos entrevistados relatam que suas organizações têm uma escassez de funcionários dedicados a segurança cibernética;
  • Aproximadamente 48% das empresas representadas na pesquisa pretendem aumentar o time de segurança cibernética nos próximos 12 meses.


A imprensa destacou que essa pesquisa deixa claro a grande escassez de profissionais de segurança no mercado de trabalho, totalizando cerca de 2,93 milhões vagas em aberto globalmente. Surpreendentemente, a Ásia é a região com maior falta de profissionais: 2,14 milhões de vagas em aberto! A América do Norte é a segunda região mais crítica, com uma escassez aonde a demanda supera a oferta em 498.000 profissionais. Em seguida vem a Europa, Oriente Médio e África, com uma estimativa de 142.000 posições abertas, e a América Latina, com falta de 136.000 profissionais.

Notas adicionadas em 31/10:

outubro 26, 2018

[Cidadania] Abrindo a urna eletrônica

O canal Manual do Mundo fez um vídeo bem interessante e bem feito, em conjunto com o TSA, mostrando como funciona a Urna Eletrônica brasileira.

Eles fizeram o unboxing da urna, desmontaram ela e deram uma visão rápida de seus principais componentes. Além disso, eles deram uma visão geral de seu funcionamento no dia da eleição: como a urna ligada, o boot dela (e nessa hora mostra que ela roda um Linux customizado, o que pode ser uma novidade para quem não acompanha as discussões sobre o funcionamento e segurança da urna), o processo de "zerésima", a votação e a impressão do resultado final.


outubro 22, 2018

[Segurança] Ciber criminosos presos

Nos últimos meses vimos algumas notícias de quadrilhas de ciber criminosos que foram presos pela polícia. Os lucros obtidos com a fraude são impressionantes!
  • Em setembro, a Polícia Civil do Tocantins informou que conseguiu recuperar cerca de R$ 710 mil, frutos de fraude online, que estavam armazenados em moedas digitais. A investigação faz parte da Operação Ostentação, iniciada em maio deste ano, contra uma quadrilha baseada em Tocantins e Goiás. Durante a investigação, a polícia conseguiu encontrar dados de 394 mil clientes, possíveis vítimas de crimes. Espalhados por 23 estados do país, esses clientes tiveram suas contas bancárias invadidas e dinheiro furtado através de transferências e pagamentos de boletos de impostos (ICMS, IPVA, etc). Há indícios de que os investigados movimentavam cerca de R$ 10 milhões, principalmente investindo em bitcoins. Uma instituição bancária teria tido um prejuízo de aproximadamente R$ 1 milhão;
  • Ainda em setembro desse ano, a Polícia Civil e o MP-RJ prenderamm 29 suspeitos de integrar quadrilha que fraudava contas bancárias de pessoas físicas e grandes empresas. Entre os criminosos, havia um cantor sertanejo no interior do Paraná acusado de ser um dos "hackers" do grupo e que usaria o dinheiro das fraudes para financiar seus clipes. A quadrilha, organizada em 7 funções diferentes, furtou mais de R$ 30 milhões de contas bancárias em um ano, usando engenharia social para obter acesso a conta das vítimas. O dinheiro era transferido para contas de laranjas e sacado em seguida. A "Operação Open Doors" envolveu sete estados do país e 237 suspeitos denunciados;
  • Em outubro, a Polícia Civil de São Paulo prendeu três integrantes de uma quadrilha que arrecadou cerca de R$ 400 milhões em 18 meses, através da invasão de contas bancárias e desvio de dinheiro para contas fantasmas e de laranjas. Segundo a investigação, eles criaram 5 empresas para lavar o dinheiro obtido no esquema, incluindo um escritório de fachada, com 600 m², no último andar de um centro empresarial no Itaim Bibi. A policia apreendeu carros que valem mais de R$ 1 milhão, como Ferraris, Lamborghinis, Porsches, Maseratis, além de joias e dinheiro. Tamanho era o lucro obtido com as fraudes, que o líder da quadrilha, Paulo Borges,  usou o dinheiro roubado para alugar um iate e assistir a corrida da Fórmula 1 em Mônaco. Ele foi chamado de "Pablo Escobar" do ciber crime, na newsletter The Hack.


OBS: Pequena atualização em 29/10.




outubro 19, 2018

[Carreira] Dicas de viagem de um viajante frequente

No mundo profissional, é muito comum encontrar empregos aonde as viagens de negócio são rotina. Isso acontece principalmente com quem trabalha em empresas multinacionais e que são responsáveis por atender clientes (ou sites da sua empresa) espalhados pelo país ou por vários países. Essa rotina também é comum para quem trabalha na área comercial e quem trabalha na área técnica, com consultoria ou implementação de projetos.

Embora pareça glamuroso você viajar por vários países em uma mesma semana, a verdade é que a rotina de trabalho e o tempo gasto em trânsito (isto é, dentro de taxis, em salas de espera no aeroporto e dentro de aviões) são muito cansativos.

Quem vive esta rotina de viagem pode se beneficiar de algumas dicas básicas que podem facilitar a sua vida e diminuir o stress.
  • Acumule milhas. Isso só traz vantagens a médio e longo prazo: comprar passagens sem gastar nada, fazer upgrades de cabine e acesso a salas VIPs nos aeroportos!
  • Escolha os melhores assentos nos aviões, de acordo com o seu gosto e preferência. No momento da emissão da passagem, vá no site da compania aérea e, com o seu código de reserva, acesse as informações de seu vôo e marque os assentos o mais rápido possível, para pegar os melhores lugares. Você provavelmente gosta de sentar na janela ou no corredor, mas com certeza ninguém gosta de ficar na poltrona do meio! Gosta de ficar na frente do avião, mais perto da entrada e saída?
  • Se você tem status na compania aérea, aproveite para pegar lugares com mais espaço ou pleitear um upgrade;
  • Faça o check-in on-line Isso pode poupar bastante tempo, especialmente se o viajante não for despachar a bagagem;
  • Aproveite e salve uma imagem do cartão de embarque em seu celular, é mais prático. Além disso, algumas companhias aéreas low-cost cobram para imprimir o cartão de embarque, então de quebra o viajante também economiza dinheiro;
  • Tenha os principais documentos de viagem sempre guardados em um único lugar: passaporte, cartões de milhagem de companias aéreas, etc;
  • Tenha uma balança de viagem, para evitar as taxas de excesso de bagagem exorbitantes. Pese as suas malas assim que acabar de fazê-las e, se necessário, reorganize suas coisas para distribuir melhor o peso;
  • Coloque objetos de valor na mala de mão. As malas despachadas podem ser extraviadas;
  • Leve uma muda de roupa na mala de mão, você vai precisar se, por azar, a companhia aérea adiar seu vôo (ou conexão) ou se eles perderem a sua mala (nesses casos, em geral pode demorar um ou dois dias para a mala chegar);
  • Ao passar no raio-x do aeroporto, coloque todos os seus acessórios metálicos (celulares, relógios, moedas, óculos escuros, chaves) no bolso do casaco e coloque o casaco na esteira do Raio-X. É mais rápido, fácil e prático, e diminui o risco de você esquecer algo no raio-X.

Veja mais algumas dicas no vídeo abaixo:


Para saber mais:

outubro 17, 2018

[Segurança] Estatísticas de segurança

Eu fiz uma rápida coletânea de relatórios e estatisticas recentes sobre ciber ataques no Brasil e no mundo, e segue abaixo alguns dados interessantes:
  • O artigo "Top 10 Malware April 2018" lista os principais malwares mais ativos no mundo e mostra que a forma mais comum de infecção é através do envio de mensagens de SPAM;
  • Segundo a Proofpoint, os Trojans Bancários representaram a maioria dos malwares no primeiro trimestre de 2018 (59%);


  • Os dados do primeiro trimestre de 2018 divulgados pela Kaspersky no relatório "IT threat evolution Q1 2018. Statistics" são astronômicos:
    • As soluções da Kaspersky Lab bloquearam 796.806.112 ataques lançados a partir de 194 países em todo o mundo;
    • 282.807.433 URLs únicas foram reconhecidas como maliciosos.
  • Dados do Phishing Activity Trends Report, 4th Quarter 2017 (Publicado em Maio, 2018):
    • Quase 20% de todos os sites de phishing identificados em 2017 usavam domínios protegidos por HTTPS;
    • Quase 60% das organizações usadas como tema de phishing eram instituições financeiras;
    • Alguns dados sobre os ataques no Brasil:
      • Aumento de 379% nos ataques de phishing do terceiro para o quarto trimestre de 2017;
      • Aumento de 245% nos sites falsos e aumento de 247% nas fraudes usando mídias sociais;
      • Em média, cada malware bancário brasileiro teve como alvo 10 empresas.



Para saber mais:


outubro 16, 2018

[Cyber Cultura] Vício em se manter conectado

Todos nós já passamos por isso em algum momento... imagine uma situação aonde você fica um tempinho, digamos 1 ou 2 horas, sem usar o seu celular. A bateria acabou, ou você está em algum lugar sem sinal, por exemplo. Imediatamente vem aquela angústia, aquela preocupação, de que alguém pode estar tentando te ligar ou te mandar uma mensagem, e você não tem como responder.

E se a sua esposa (marido) precisa falar algo urgente? E se você perdeu uma mensagem da sua gerente?

O nosso excesso de conectividade aos smartphones e, mais precisamente, às redes sociais, nos traz a necessidade de estarmos conectados e disponíveis 100% do tempo.

E esse fenômeno tem um nome:

FOMO (Fear of Missing Out)


O FOMO não surgiu agora, e pode ter várias outras origens além de ficar desconectado da Internet, mas o mundo atual potencializou esse vício e o tornou algo comum nos dias de hoje. Pior: pode causar angústia, mau humor e até mesmo depressão!

Essa necessidade de ficar o tempo todo nas redes sociais causa um outro transtorno de comportamento, batizado de...

Phubbing


O phubbing é uma invenção dos tempos modernos, quando ficamos conectados online e ignoramos as pessoas a nossa volta. Isso acontece frequentemente no ambiente de trabalho, nos encontros com família e amigos, e até entre casais. As pessoas a sua volta se sentem ignoradas e hoje em dia é muito comum vermos situações em que quase todos, em uma roda de conhecidos, estão com o rosto colado no celular sem interagir com quem está ao lado.



Sem perceber, o ambiente de trabalho ou pessoal fica jogado a segundo plano, causando um desconforto nos demais. Um esforço simples para ficar desconectado por alguns minutos já resolveria isso, mas a necessidade de permanecer conectado nos deixa cegos, e raramente percebemos estes excessos.

outubro 11, 2018

[Carreira] Seu QR code no Linkedin

Há alguns meses atrás o Linkedin criou uma nova funcionalidade para facilitar a conexão entre seus usuários: você pode criar um QR Code dentro do aplicativo e outra pessoa, através do aplicativo dela, consegue se conectar a você lendo esse QR Code. Um recurso muito fácil e prático de usar!


Para escanear o QR code de alguém e se conectar a essa pessoa é muito simples: na barra de busca por perfis, tem um indicador pequeno e discreto com o símbolo de um QR Code. Ao clicar nele, o app acessa a câmera do celular para escanear o código do coleguinha.

Para saber mais:

outubro 10, 2018

[Segurança] Whaling

Phishing, todo mundo faz. Se você prepara um phishing direcionado para uma empresa específica, ou um grupo de usuários específicos, já estamos acostumados a chamar isso de "spear-phishing". Mas, se você faz um phishing direcionado apenas para altos executivos de uma empresa, aí temos uma buzzword para isso...

Whaling


O "whaling" é o phishing direcionado especificamente para os "peixes grandes", as nossas "baleias" corporativas. Ele pode ter uma grande efetividade pois normalmente os alto executivos são tão vulneráveis quanto os usuários normais, mas não estão sujeitos a regras tão rígidas de segurança quanto os demais usuários das empresas: eles tem equipamentos diferenciados, muitas vezes com mais opções de acesso (pelo computador, celular e tablet), e não é raro os alto executivos faltarem nas sessões de treinamento de segurança.

É muito comum as áreas de tecnologia serem obrigadas a flexibilizar as regras de acesso e os controles de segurança para não causar inconveniente aos executivos. A área de TI cria um novo bloqueio? Tem que liberar para eles. Instala uma ferramenta nova? Desabilita para eles. Dá um treinamento? Eles não vão.

Isso tudo faz dos executivos um grupo de usuários mais vulnerável a ataques, mesmo os mais básicos. São intocáveis pela equipe de TI e segurança, mas estão na mira doa atacantes!

outubro 08, 2018

[Segurança] Como as urnas brasileiras foram provadas vulneráveis

Aproveitando o debate que sempre acontece nas vésperas das eleições, eu achei um vídeo com uma entrevista muito legal sobre como foi possível burlar a segurança das urnas nos últimos testes públicos realizados pelo TSE.

O André Noel, do site Vida de Programador, publicou em seu canal de vídeos uma conversa informal com o Dr. Pedro Barbosa sobre as vulnerabilidades técnicas encontradas no último teste público nas urnas eletrônicas brasileiras, que foi realizado pelo TSE.

O Pedro é Doutor em Ciência da Computação pela UFCG, e participou de uma equipe interdisciplinar que foi montada para os testes públicos das urnas eletrônicas, juntando o Prof. Dr. Diego Aranha com alguns especialistas em testes de invasão, que participam de competições de CTF.

Nessa conversa, eles falaram um pouco sobre o funcionamento das urnas eletrônicas e, em seguida, o Pedro detalhou um pouco mais tecnicamente os problemas de segurança durante os testes realizados, e qual foi a posição do TSE. O vídeo é bem interessante pois ele descreve alguns aspectos técnicos dos testes, além de deixar claro que os times tiveram que enfrentar várias restrições para realizar estes testes. Ao contrário de possíveis atacantes, os pesquisadores tiveram acesso limitado ao código e as urnas, e foram obrigados a trabalhar em um horário reduzido: apenas 5 dias, somente no horário comercial (com pausa para almoço).



O mais interessante no trabalho da equipe do Diego Aranha e do Pedro, é que eles conseguiram inserir e rodar qualquer código nas urnas eletrônicas, incluindo com a capacidade de evitar que um voto fosse contabilizado pela urna. Infelizmente, eles não tiveram tempo suficiente para rodar um último teste, que permitiria inserir um código para alterar a contabilidade de um voto.

Em vários momentos o Dr. Pedro reforçou que o nosso sistema eleitoral baseia-se na premissa de que o TSE controla totalmente o processo eleitoral e, por algum motivo inquestionável, o TSE deve ser considerado imune a falhas. Mas, no cenário apresentado pelos testes acima, alguém que tivesse acesso ao código fonte, poderia inserir uma rotina maliciosa sem ser percebida. Isso poderia acontecer de forma intencional (alguém que tenha sido convencido ou corrompido), ou não intencional, no caso hipotético de um computador do TSE ter sido invadido, permitindo o acesso remoto de um atacante que tenha interesse em adulterar o processo eleitoral. Nesse cenário, tal agente malicioso com acesso ao código, poderia alterar a forma que a urna contabiliza os votos dos eleitores.

Para saber mais:

outubro 01, 2018

[Cidadania] As urnas eletrônicas são seguras?

Após o debate no Mind The Sec São Paulo, e com a proximidade das eleições, a eterna discussão sobre a (in)segurança da urna eletrônica brasileira voltou a chamar a atenção.

Eu gostaria de destacar dois artigos recentes:
A Exame fez uma pequena reportagem, curtinha, que aborda principalmente o painel que teve no Roadsec, e traz alguns pontos de vistas divergentes para enriquecer o artigo. A favor da urna eletrônica, ela sumarizou alguns pontos apresentados pelo representante do TSE e incluiu um depoimento do Fernando Amate e do Mikko Hyppönen:
  • "Desde que foi implementada, não existem mais fraudes. Existem suspeitas, mas fraude, em si, não existe." - Rodrigo Coimbra, chefe da Seção de Voto Informatizado do TSE;
  • "O código-fonte das urnas eletrônicas será aberto o mais breve possível" - Rodrigo Coimbra, TSE;
  • Os partidos podem participar dos processos de auditoria;
  • Quando são produzidas, as urnas têm responsividade apenas nas teclas anula e confirma, para evitar quaisquer tentativas de adulteração ou influência nos resultados. Todas as demais teclas só passam a funcionar depois que estão dentro do TSE;
  • "Se a gente roubasse uma urna, o TSE cancelaria a assinatura eletrônica dela e os votos que nela constavam não seria incluídos na contagem" - Fernando Amatte, diretor de inteligência cibernética da Cipher;
  • "Em todas as pontas do processo que eu conheço, o sistema de votação brasileiro é seguro" - Fernando Amatte, Cipher.
Do outro lado, questionando a segurança da urna, a Exame apresentou as opiniões do Diego Aranha, professor-assistente da Universidade de Aarhus, na Dinamarca:
  • "Os principais problemas são o fato de o código-fonte não ser público, não haver nenhum registro em papel para uma auditoria com recontagem de um modo que não seja digital e o processo atual de auditoria existente, que pode dar margem à fraude interna." - Diego Aranha
  • "Um ponto de crítica por ser o fato de que ele está sob uma entidade única que faz tudo, o TSE" - Fernando Amatte, Cipher.
  • "A urna eletrônica ser como uma “caixa-preta” à qual poucas pessoas têm acesso" - Mikko Hyppönen, diretor de pesquisa da F-Secure;
  • "O sistema de votação tradicional, em papel, funciona bem. Você pode recontar os votos, se quiser. Se você deixa isso com um computador, não há como checar duas vezes o número encontrado como no voto em papel" - Mikko Hyppönen, F-Secure.
No artigo do Adilson, ele deu uma visão rápida de alguns poucos cenários específicos de vulnerabilidades que poderiam afetar as urnas brasileiras: Acesso Físico (conectar algum pendrive ou dispositivo fisicamente na urna eletrônica), ataques via Eletricidade (alterar registros ou fazer um "wipe" dos dados através da rede elétrica?) e uso de Ondas Magnéticas para acessar a urna (via wireless, Bluetooth, IR) ou identificar as teclas pressionadas pelo eleitor para quebrar a sigilo do voto.

Dentro dessa análise superficial nesses cenários bem limitados, o Adilson concluiu que "fraudar uma eleição como um todo seria uma tarefa muito complicada", além de muito caro e perigoso.

Mas, em seu artigo, o Adilson não abordou o cenário de injeção no código da urna, seja por um agente interno do TSE (algum funcionário ou terceiro que tenha acesso ao código fonte) ou por alguma outra forma maliciosa. Afinal, essa uma das principais críticas do Diego Aranha: não há auditoria pública do código-fonte da urna e os controles de integridade do código são falhos. Lembro também de ter visto uma discussão, há algum tempo atrás, da possibilidade de alguém trocar os cartões de memória com o programa executável da urna, colocando uma versão adulterada código.


O risco, nesses cenários, é de que haja uma rotina maliciosa na urna que altere a contagem dos votos. Imagina se a urna trocar os votos de uma parcela dos eleitores: alguns dos eleitores que votarem no candidato "A"terão seu voto computado para o candidato "B". Faça isso para, por exemplo, 20% dos votos, para chamar menos a atenção. Além de não termos auditoria do programa que roda nas urnas, também não temos como auditar os votos, pois não é possível "recontar" os votos realizados.

Outros cenários de ataque, ignorados no artigo do Adilson, dizem respeito ao sistema de totalização dos votos: como garantir que os votos de cada urna foram transmitidos e calculados sem chance de adulteração.

Outro ponto a discutir é que, ao contrário do que diz o TSE, a identificação biométrica traz pouca segurança ao processo eleitoral. Um dos maiores problemas é o caso de pessoas que votam no lugar de outros eleitores - ou alguém que se identifique com um documento falso, ou o caso de mesários mal intencionados, que votam em nome dos eleitores que tenham faltado no dia da eleição. É comum ouvir histórias de pessoas que não foram votar mas tiveram a sua presença identificada pelo TSE. Google it! A identificação biométrica do eleitor poderia resolver isso, se não fosse por um detalhe: em caso de falha na identificação biométrica, o presidente da seção eleitoral pode liberar o voto do eleitor!


Ou seja, qualquer pessoa pode votar sem a necessidade de identificação biométrica, incluindo um mesário mal intencionado ou outra pessoa que se passe pelo eleitor original.

Recentemente, eu participei de um debate aonde, no final, questionaram sobre a segurança das urnas brasileiras. A minha resposta foi que me preocupa o fato do TSE conduzir os "testes públicos" de forma rígida, limitando os tipos de testes que podem ser realizados. E, nesse cenário, me preocupa saber que, mesmo assim, em ambiente controlado, em todos os testes foram encontradas falhas e vulnerabilidades.

Nós, Brasileiros, trocamos a garantia do voto (ou seja, a possibilidade de auditar o processo de votação), pela velocidade de apuração dos resultados.

setembro 28, 2018

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.