julho 31, 2018

[Segurança] Custo de corrigir bugs em produção

Não há dúvidas que, quanto mais cedo um erro for descoberto no processo de criação de um produto, menor vai ser o custo para repará-lo. Um relatório clássico do Systems Sciences Institute da IBM mostrou que o custo para consertar um bug encontrado durante a implementação de im software foi cerca de 6 vezes mais caro do que um identificado durante o projeto. Consertar os bugs encontrados durante a fase de testes pode ser 15 vezes mais caro e 100x mais caro se for na fase de manutenção do software.


Segundo um estudo da empresa Tricentis, de 606 falhas de software identificadas em 2017, o impacto correspondeu a cerca de metade da população mundial (3,7 bilhões de pessoas), US$ 1,7 trilhão em ativos e 314 empresas.


Como exemplo, uma falha no sistema de gerenciamento da bateria do Samsung Note 7 custou a empresa cerca de 17 bilhões de dólares.

O custo de remediarão de um bug após o software ir para produção inclui muito mais elementos do que, apenas, as horas necessárias da equipe de desenvolvimento. A correção de um bug encontrado após a implantação de uma ferramenta (ou após ela ser lançada para o mercado) inclui custos adicionais que não são encontrado durante as fases de design, codificação e testes, tais como:
  • Custo de testes de com integrações e ambientes específicos de clientes;
  • Custo de recertificação da ferramenta (se isso se aplicar);
  • Custo de nova implantação do software (ou custos de realizar o upgrade);
  • Custos de suporte aos clientes antes e depois de implantar a nova versão da ferramenta;
  • Custos indiretos por dedicar recursos da área de desenvolvimento para identificar, pesquisar e corrigir os bugs, em vez de implementar novas funcionalidades;
  • Responsabilidade civil por danos causados pelo bug (se aplicável).
Por conta dos fatores acima, o custo direto e indireto de encontrar e corrigir um bug após a ferramenta estar pronta pode ser muito maior comparado aos custos de corrigir um bug nas fases iniciais do ciclo desenvolvimento de um software.



Esse artigo, bem interessante, mostra como o uso de desenvolvimento ágil pode reduzir o impacto a longo prazo nos custos para correção e manutenção de software. O autor argumenta que, como no método Agil os ciclos de feedback são mais curtos, esse custo a longo prazo tende a ser menor do que nas metodologias convencionais de desenvolvimento.



Nesse artigo do Louis Cremen, ele também cita a diferença de custo em identificar bugs maus cedo no processo de desenvolvimento de software, e usa o diagrama abaixo, atribuído ao Defense Systems Management College, em 1993:


Para saber mais:
Post atualizado em 20/12/2022.

julho 30, 2018

[Segurança] No aguardo da Lei de Proteção de Dados Pessoais no Brasil

No início deste mês o Senado Federal aprovou o texto do projeto de lei PLC 53/2018 que está sendo conhecido como "Lei Geral de Proteção de Dados Pessoais", nosso marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais. Desde então, o projeto de lei está aguardando a sanção presidencial, o que deve acontecer até 14 de agosto.

O PLC promove controle dos cidadãos sobre suas informações pessoais. Ele exige o consentimento explícito do usuário para a coleta e uso dos seus dados e permite que tenham acesso aos dados pessoais que estejam em posse da empresa. A lei torna obrigatória a exclusão dessas informações após encerrada a relação com a empresa ou com o órgão público. Além disso, estabelece que dados pessoais de crianças e adolescentes só poderão ser usados caso haja consentimento dos pais ou do responsável legal e também proíbe o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva, incluindo o cruzamento de informações de uma pessoa ou de um grupo para subsidiar decisões comerciais ou políticas públicas.

A Lei prevê a criação de um órgão regulador: a Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça. A proposta ainda determina punição para infrações, de advertência a multa baseada no faturamento da empresa (militado a até R$ 50 milhões).

Resumindo...



Este Projeto de Lei inclui também o PL 5276 (texto), de 2016, que foi criado pelo Ministério da Justiça e passou por um processo de consulta pública, similar ao que foi realizado para o Marco Civil da Internet.

A necessidade de proteção de dados pessoais no mundo online nunca esteve tão em foco como agora. Isso acontece por 2 fatores principais, na minha opinião: a recente entrada em vigor da lei geral de proteção de dados na Europa (o famoso GPDR), aliada aos constantes vazamentos de dados. Some a isso o escândalo da manipulação de dados pessoais no Facebook pela empresa Cambridge Analytica, usava os dados pessoais de aproximadamente 50 milhões de usuários do Facebook para manipular as opiniões e influenciar, até mesmo, eleições e votações importantes.

Com tais leis, recomenda-se que as empresas criem um departamento ou uma equipe multidisciplinar (com especialistas nas áreas jurídicas e de segurança) para tratar as questões relacionadas à segurança dos dados pessoais que coletam, tratam e armazenam. Além disso, ela deve exigir similar cuidado por parte de seus fornecedores.

Para saber mais:
  • Ficha de tramitação do PLC 53/2018;
  • Integra do texto do PLC 53/2018 (aqui também)
  • Comparativo, feito em 2015, que lista as normas sobre internet e proteção de dados pessoais existentes em vários paises;
  • Em um relatório de tendências para 2016, a Intel Security incluiu um pequeno capítulo sobre a privacidade de dados, aonde destacou o crescente amadurecimento das leis de proteção de dados em todo o mundo. Segundo o relatório, "a medida em que mais e mais dados pessoais são capturados e armazenados, as tentativas de criar políticas e sanções continuarão. Os consumidores vão exigir não apenas mais privacidade, mas também melhores formas de dar o seu consentimento para serem rastreados, mais transparência sobre o que é mantido, e o direito de visualizar, editar e até mesmo apagar suas informações."
  • Em 2015 a McAffee publicou um "Heat Map" sobre a severidade das normas de proteção de dados.


\

Posts que nunca foram escritos

Com quase 70 artigos na minha lista de "rascunhos" do blog, preciso fazer uma limpada nela rapidinho.

Segue, abaixo, vários temas que por pouco não viraram artigo aqui no blog...


julho 24, 2018

[Segurança] Contagem regressiva para a Defcon

Mais um ano, mais uma Defcon se aproxima \o/

Logo logo começa a bateria de eventos:
  • Black Hat, de 04 a 09/agosto (evento nos dias 8 e 9)
  • BSides Las Vegas, dias 07 e 08/agosto (terça e quarta-feira)
  • Defcon, de 09 a 12/agosto (quinta a domingo)
Para quem vai, que tal revisar as dicas que já publiquei nesse blog sobre a Defcon?

Seguem algumas dicas de última hora...
  • Neste ano temos, pela primeira vez, um vôo direto para Las Vegas, sem escalas, pela LATAM;
  • Para quem chega no final de semana anterior, Las Vegas estará recebendo a Star Trek Convention de 01 a 05/08. Que tal aproveitar o final de semana entre "trekkers"?
  • Com a cotação do dólar nas alturas, vale a pena conferir os preços antes de sair as compras. Mas, de forma geral, qualquer coisa que comprar nos EUA vai ser mais barato e com melhor qualidade do que aqui !!!
  • Para os fãns da Hack5, vale a pena comprar os gadgets na lojinha deles logo no primeiro dia, pois eles costumam não dar conta da demanda;
  • Vale a pena conferir a lista de autores que vão autografar livros nas lojinhas. As vezes você tem a chance de pegar um autógrafo de seu ídolo;
  • No ano passado a fila para a loja oficial da Defcon estava gigantesca. Eu passei cerca de 2 ou 3 horas nela. Por isso, eu sugiro para ir na loja oficial durante o evento, sem pressa. Talvez você não encontre um item ou outro, mas pelo menos não perde metade de uma tarde na fila!
  • Lembre-se da famosa "3-2-1 rule": 3 horas de sono, 2 refeições e 1 banho por dia.
Dê uma lida nesse meu post bem completo sobre a Defcone  Las Vegas, e também nesse pequeno FAQ que


[Segurança] O SecOps  InfoSec Army

No início do ano, o Alberto J Azevedo lançou a iniciativa do "SecOps — InfoSec Army", uma idéia para facilitar a contratação de serviços de segurança e otimizar a alocação de horas trabalhadas através de uma plataforma capaz de gerenciar um pool de profissionais atuando de maneira "free lance".
Em poucas palavras, "um Uber da área de Infosec". O post anunciando o projeto é confuso, cheio de blá blá blá, mas isso não é por mal. Quem conhece pessoalmente o Alberto percebe facilmente que ele é verborrágico e fala demais quando se empolga. Em todo o artigo do Medium apresentando a idéia, basta ler o décimo terceiro parágrafo, em que ele descreve a iniciativa:
"A SecOps — InfoSec Army é uma iniciativa global que visa unificar em um único ecossistema totalmente integrado, todos os recursos humanos disponíveis na área de segurança da informação. Profissionais liberais, empresas de segurança, empresas de TI e até mesmo empresas de desenvolvimento. Do profissional Júnior ao especialista mais renomado. Alocados em projetos de acordo com a necessidade e orçamento disponíveis, coordenados de forma centralizada, oferecendo uma solução única, 100% personalizada de acordo com as peculiaridades de cada empresa ou organização. As mais variadas competências da área de segurança da informação, alocadas sob demanda, de forma dinâmica e otimizada para clientes em todo o mundo."
Nós nos encontramos no início do ano na Campus Party, quando conversamos e ele me explicou a iniciativa (daí tirei a idéia do "uber da 'rea de segurança"). A idéia me pareceu boa, em teoria: permite que diversos profissionais atuem como free lance em um projeto, cada um alocado conforme sua especialidade e sua disponibilidade de tempo, com profissionais atuando na linha de frente e outros coordenando ou fazendo o QA do projeto. E os profissionais se auto-avaliando de acordo com a qualidade do trabalho realizado. Esse modelo permite um sistema de ranqueamento dos profissionais, igual no Uber, aonde você dá uma nota e assim todos podem escolher os melhores profissionais e evitar os piores.



Até aí tudo lindo, e relativamente poucos profissionais deram atenção a iniciativa. Fast Forward.

De repente, em Julho o Alberto lança um concurso para eleger profissionais de destaque na área de segurança, o InfoSec Competence Leader Brasil. E assim, agitando os egos inflados do pessoal, ele chamou a atenção.

O concurso tem uma primeira fase baseada em indicação popular (qualquer um podia preencher um formulário online com a sua indicação de profissional ou empresa de destaque), seguida por entrevistas e avaliações dos indicados pela equipe do Infosec Army (!?), resultando em cinco finalistas para cada competência. Ao final, esses 5 voltam para a votação popular. Um processo meio confuso, aparentemente burocrático, não é? Mas, se vale um título ou um diploma, é suficiente para movimentar a galera de segurança. Assim que anunciou os resultados parciais com os primeiros indicados, seguiu-se uma chuva de agradecimentos nas redes sociais, posts com pedidos de votos para os amigos e, claro, mensagens raivosas (ou invejosas, em alguns casos) em algumas comunidades!


Tudo isso para ganhar um "prêmio": a oportunidade de assinar um contrato com a SecOps – InfoSec Army.

No grupo do Telegram da H2HC, que tem cerca de 400 participantes, a iniciativa foi duramente criticada por algumas poucas pessoas. Em cerca de 24h, circularam aproximadamente 2 mil mensagens! Alguns dos principais críticos, na verdade, tinham tretas anteriores com o Alberto (algo do tipo "estou de mal porque você me baniu de um outro grupo no telegram") e, mesmo com o Alberto tentando explicar a iniciativa, as críticas se extendiam indefinidamente e, invariavelmente, começaram a aparecer os memes! E surgiu até um suposto leak.


Enquanto a treta rolava solta, eu descobri que estava fazendo parte formalmente do "Advisory Board" do InfoSec Army, e uma das pessoas trollando a iniciativa no grupo da H2HC estava me criticando gratuitamente como forma de desmerecer o projeto do Alberto. Como até então a minha participação no projeto era nula (limitou-se aquela conversa durante a Campus Party) e eu não tenho disponibilidade de tempo para colaborar, eu pedi ao Alberto que me retirasse do board. Isso não significa que eu não acredite na iniciativa, apenas não tenho disponibilidade para colaborar.

Em minha opinião, por trás das críticas estava uma pitada de inveja (afinal, como foi possível indicar um monte de "engravatado" e nenhum "hackudão do underground"?) alinhado a um problema sério que temos: a grande dificuldade de medir e comparar o conhecimento na área de segurança. Diplomas, certificações, curriculos no Linkedin, CVEs publicados - são várias métricas possíveis, mas nenhuma delas consegue representar precisamente os profissionais de nossa área.

Isso não impede que surjam iniciativas para premiar os profissionais da área. Os profissionas mais antigos devem se lembrar do prêmio "A Nata dos Profissionais de Segurança da Informação" (sim, o nome do prêmio já era piada na época) e o SecMaster2005, oferecido pelo falecido evento Security Week. Até hoje temos o Prêmio Security Leaders, a única premiação nacional que resiste ao tempo.




julho 13, 2018

[Segurança] Dicas de segurança para usuários finais

Resolvi compilar uma rápida lista de dicas de segurança para os usuários finais ao acessarem a Internet e realizarem transações online.
  • Cuidados Básicos
    • Nunca use Wi-Fi público para acessar o Internet Banking nem ao fazer compras online;
    • Sempre mantenha atualizados o sistema operacional e softwares do seu computador e do celular;
    • Garanta o download de aplicativos legítimos de fontes conhecidas e confiáveis em seus dispositivos;
    • Use antivírus e mantenha ele sempre atualizado;
    • Use senhas fortes, ou seja, difíceis de serem adivinhadas, e não use a mesma senha em sites diferentes;
    • Nunca compartilhe seus nomes de usuário, senhas ou outras informações pessoais com outras pessoas, e muito menos online;
    • Não deixe senhas, dados bancários e dados de cartão de crédito armazenados no celular;
    • Use um app ou ferramenta gerenciadora de senhas que permita armazenar e gerenciar com segurança todas as credenciais de um único local;
    • Troque todas as suas senhas em caso de suspeita de que elas vazaram ou você sobre alguma invasão;
  • Cuidados com mensagens e promoções falsas
    • Nunca abra e-mails, clique em links ou abra anexos de fontes desconhecidas;
    • Sempre desconfie de mensagens com descontos mirabolantes. Se quiser arriscar, vá direto no site da loja em vez de clicar no link que veio na mensagem da promoção;
  • Cuidados com transações online
    • Fique atento ao histórico de transações do seu cartão de crédito usando notificações por SMS. Se notar gastos suspeitos, ligue para o banco o mais rápido possível e bloqueie o cartão;
    • Cheque seus extratos bancários com frequência e imediatamente relate cobranças não autorizadas ou suspeitas ao seu banco;
    • Cuidado se a senha do cartão de crédito for solicitada no momento de uma compra online. Este pode ser um sinal de fraude, uma vez que normalmente basta informar o número do cartão, data de validade e código de segurança;
    • Informe ao banco todos os seus dados de contato e viagens programadas. Isso facilita que ele identifique o uso indevido por clonagem;
    • Mantenha o número da central de atendimento do seu banco e seu cartão na agenda do seu celular. Em caso de emergência, você precisa ter esse número em mãos!
    • O AndroidPay e o ApplePay são métodos de pagamento mais seguros, pois não revelam os dados do seu cartão para o POS;
    • Use um cartão de crédito separado apenas para compras pela Internet, com um limite de gastos pequeno.
Para saber mais:



julho 12, 2018

[Segurança] Perfil da senha do brasileiro

O pessoal da Axur publicou um infográfico bem legal com o Perfil da senha do brasileiro, que mostra as características das senhas mais usadas por usuários brasileiros.

É muito comum encontrarmos na Internet diversas listas de senhas mais usadas, que facilitam a vida dos atacantes ao realizar brute force ou password guessing.  Mas a grande maioria das listas que encontramos são baseadas em palavras em Inglês. E é aí que entra a parte legal da pesquisa da Axur!!!

Para fazer este estudo, eles pegaram dados de vários vazamentos recentes e separaram todas credenciais de e-mail com final “.br”, ficando com aproximadamente 5,8 milhões de credenciais brasileiras para análise. O infográfico que eles criaram dá um raio X nas senhas mais usadas e traz algumas informações interessantes, tais como:
  • 60% do total das credenciais mais usadas são compostas apenas números, enquanto as senhas que têm apenas nomes próprios representam 20% do total;
  • Apenas 9,5% das 100 senhas mais usadas são alfanuméricas;
  • A maioria das senhas tem entre 6 e 8 caracteres;
  • Encontraram também várias senhas atreladas a nomes de times de futebol, tais como flamengo, tricolor, palmeiras e grêmio. 


O estudo mostra que as senhas com complexidade super baixa são muito populares, infelizmente, o que acaba diminuindo o seu de segurança dos usuários. São senhas facilmente adivinháveis com uso de técnicas básicas de engenharia social ou com dicionários simples em ataques de força bruta (tentativa e erro).

E é muito fácil achar listas de palavras para testar senhas, basta uma busca rápida no google. Se você estiver com preguiça de usar o Google, este site tem várias listas de senhas ;)

julho 06, 2018

[Segurança] Ciber crime Brasileiro

Recentemente surgiu a notícia de que a polícia civil prendeu uma quadrilha de ciber criminosos que conseguiram roubar cerca de R$ 3 milhões apenas neste ano! Outra quadrilha, presa em Maio deste ano, faturou cerca de R$ 1 milhão e usava ferramentas desenvolvidas no Leste Europeu.


Aproveitando o embalo, que tal dar uma olhada nas principais características e algumas estatísticas do ciber crime brasileiro?

O relatório "CYBER THREAT SCAPE REPORT" da iDefense/Accenture possui um capítulo dedicado a dar um overview do ciber crime brasileiro, e ele aponta algumas características locais:
  • Os principais fóruns de hackers brasileiros são facilmente acessíveis e abertos ao público, aonde são usados frequentemente para disseminar conhecimento, ferramentas e produtos relacionados a ciber ataques e fraudes. Em alguns fóruns os administradores se esforçam para eliminar o comércio de dados criminosos;
    • Nota: É muito fácil encontrar diversos grupos públicos de carding no Facebook, dedicados ao ciber crime, aonde o pessoal troca abertamente informações sobre dados roubados, compra e venda de serviços criminosos, etc.
  • Há um amplo uso de plataformas de mensagens móveis, como o Telegram e o WhatsApp, para facilitar a comunicação entre os ciber criminosos no Brasil, com troca de informações sobre fraudes ligadas a informações pessoais e fraudes financeiras mais simples. Os ciber criminosos brasileiros estão se afastando dos fóruns e mercados online, optando pela comunicação e comércio através de plataformas de mensagens instantâneas e canais de bate-papo;
  • Há uma tendência de que os Malwares brasileiros sejam versões modificadas de malwares anunciados anteriormente em mercados internacionais. Embora os malwares nacionais tenham sido, historicamente, pouco sofisticados, eles estão amadurecendo à medida que o crime cibernético se torna mais próximo do crime organizado;
  • A comunidade brasileira de ciber criminosos tem um perfil comportamental único em comparação com as comunidades de língua inglesa e russa: nosss criminosos cibernéticos usam abertamente redes sociais como Facebook, Twitter e YouTube para anunciar suas ferramentas e produtos;
  • Diversos fatores fazem com que o ciber crime brasileiro concentre-se fortemente no mercado doméstico (local), tais como as barreiras de língua portuguesa, amplas oportunidades de fraude no mercado local, a ideologia de “Robin Hood” (acreditam que estão roubando do bancos, e não da população) e a alta impunidade e ineficiência da repressão legal.
A Kaspersky, nesse artigo de 2016, já tinha mostrado vários detalhes técnicos sobre os malwares bancários no Brasil. Entre as principais características que eles apontaram, eu destaquei os seguintes trechos:
  • Há algum tempo atrás, os malwares brasileiros tinham pouca sofisticação, como a falta de ofuscação do código, nenhuma técnica de anti-depuração, nenhuma criptografia, comunicação em texto puro, etc. O código costumava ser escrito em Delphi e Visual Básico 6, com muitas imagens embutidas, fazendo com que o arquivo do malware fosse enorme. Hoje em dia os ciber criminosos estão investindo tempo e dinheiro para desenvolver soluções melhores, ocultando o código sob muita ofuscação e técnicas de proteção de código, uso de outras linguagens como .NET e melhora na a qualidade do código;
  • Como a maioria dos bancos brasileiros usa a identificação de máquinas para evitar tentativas não autorizadas de transações, os ciber criminosos realizam suas operações mal-intencionadas a partir da máquina infectada, usando os mecanismos de automação nativos do Internet Explorer para manipular e injetar transações (como automação OLE e o Browser Helper Objects - BHOs). Outra técnica comum é acessar o computador da vítima remotamente para tomar controle do computador enquanto a vítima está logada no Internet Banking, e realizar transações maliciosas (ataque conhecido como "RAT", sigla de "Remote Access Tool");
  • Há evidências de que os criminosos brasileiros estão cooperando com as gangues do leste europeu envolvidas com os malwares ZeuS e SpyEye, entre outros. Essa colaboração melhora a qualidade e o nível do malware brasileiro, pois seus autores estão adicionando novas técnicas e melhorando a qualidade de seu código, e também usando a infraestrutura de ciber crime no exterior.
No relatório "Phishing Activity Trends Report, 4th Quarter 2018" do APWG publicado em 15 de maio deste ano, há uma seção que destaca os ataques de phishing no Brasil, baseado em dados da Axur. Embora estas estatísticas me pareçam meio "pobres" (por ex, eles apontaram "apenas" 526 ataques de phishing em dez/2017), mesmo assim eles indicam um constante crescimento dos ciber ataques no Brasil nos últimos três meses:
  • Um aumento de 379% nos casos de phishing detectados (430 em Q3 versus 1.631 em Q4/2017);
  • Aumento de 245% nos Web sites falsos (2.562 em Q3 e 6.293 em Q4);
  • Aumento de 247% em phishing baseados em redes sociais (1.909 em Q3 versus 4.724 em Q4);
  • No 4o trimestre de 2017, foram detectados 410 malwares e 320 rogue DNS severs;
  • Em média, cada malware é direcionado a 10 empress e cada servidor DNS falso (rogue DNS) é direcionado a 3 empresas;
  • Os ataques de phishing são direcionados principalmente a empresas do setor financeiro, como bancos e empresas de cartões de crédito.
Quando se trata de acompanhar as notícias sérias sobre o ciber crime brasileiro, eu gosto muito de acompanhar os pesquisadores da Kaspersky (o Assolini, o Thiago e o Dmitry), o Mercês da Trend Micro e o Altieres Rohr, da Linha Defensiva.

Para saber mais:

julho 03, 2018

[Cyber Cultura] Vídeo sobre os Hackerspaces Brasileiros

O pessoal da FAPESP fez uma reportagem e um vídeo muito bons sobre os hackerspaces brasileiros, os locais que reúnem presencialmente diversos aficionados por tecnologia. Eles visitaram o Garoa Hacker Clube e o Hackerspace do Instituto de Física da USP, ambos em São Paulo.

O vídeo, de aproximadamente 10 minutos, explica o que são os hackerspaces e apresenta o espaço do Garoa.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.