agosto 31, 2018

[Segurança] SPAM de serviços criminosos

Um perfil identificado como "Prudent Hackers" tentou publicar um anuncio de serviços criminosos como comentário em um post no meu blog.

A título de curiosidade, o anúncio era assim:
"Olá amigos, você vê dificuldades no seu desempenho acadêmico em suas notas ruins? Você passa por desconfiança emocional e quer saber o status de seu cônjuge invadindo seu Facebook, e-mails, WhatsApp e outras contas de mídia social? Você quer deletar seu perfil de dívida? Você quer se infiltrar em algum site sem que o administrador saiba? Você precisa de transferências de dinheiro como Western Union, Money Gram, Bitcoin e Bank Account Hack? Isso pode ser possível entrando em contato com endereço_de_email_omitido e Desfrute de infinitas possibilidades."
É possível que este anúncio estivesse originalmente em inglês e tenha sido traduzido por alguma ferramenta automática.

agosto 30, 2018

[Segurança] Brasileiros são maiores vítimas de golpes phishing no mundo

Duas notícias recentes (essa e essa) mostram o Brasil como líder mundial em ataques de phishing. Embora contenham dados um pouco conflitantes entre si, ambas mostram informações interessantes.


Durante uma apresentação do pesquisador Fabio Assolini em um evento da empresa, ele destacou algumas estatísticas sobre ataques no mercado brasileiro:
  • Mais de 90% dos ciberataques começam por um email phishing;
  • Quase 30% dos internautas brasileiros sofreram ao menos uma tentativa de golpe no ano passado e 23% em 2018;
  • As pessoas abrem mensagens de golpe por curiosidade (14%), medo (13%) e senso de urgência (13%);
  • Quase 60% das mensagens de phishing simulam mensagens de instituições financeiras, com objetivo de roubar credenciais de acesso e dados dos usuários.
Ainda segundo a Kaspersky, os cibercriminosos tem diversificado os vetores de phishing: além dos emails, as mensagens também chegam por SMS, propaganda em redes sociais, anúncios no Google e até via WhatsApp.

O relatório "Spam and phishing in Q2 2018", por sua vez, traz dados globais sobre ciber ataques detectados pela Kaspersky no segundo trimestre de 2018. Os principais, alguns dos quais relacionados ao Brasil, são:
  • De Abril a Junho de 2018, as tecnologias antiphishing da Kaspersky Lab bloquearam mais de 107 milhões de tentativas de acesso a páginas de phishing em todo o mundo;
  • O Brasil foi o país com a maior parcela dos usuários atacados por golpes de phishing: 15,51% dos ataques totais. Em seguida, vieram China (14,44%), Geórgia (14,44%), Quirguistão (13,6%) e Rússia (13,27%);
  • 35,7% das páginas de phishing estavam relacionadas a serviços financeiros e 13,83% dos ataques foram voltados às empresas de tecnologia;
  • Dos serviços financeiros, 21,1% dos ataques foras relacionados a bancos, 8,17% a lojas virtuais e 6,43% a sistemas de pagamento;
  • Mensagens de SPAM representaram 50% do tráfego de e-mail mundial;
  • A China foi a maior fonte de spam (22,62%), seguida os EUA (14,36%) e a Alemanha (12,11%). Na América Latina, o Brasil liderou o envio de SPAM, ocupando a 7ª posição mundial, com 3,88% do tráfego mundial, seguido pelo México (18ª posição) e Colômbia (20ª posição).
Um destaque interessante nesse relatório é que eles apontaram como tendência o surgimento de novos phishings com tema inspirado na nova regulamentação de proteção de dados (GDPR).

agosto 29, 2018

[Segurança] Senhas triviais usando o teclado

Dando uma fuçada nos gifs animados do Giphy, eu encontrei um que mostra as 20 senhas mais comuns que são criadas usando a disposição de teclas nos nossos teclados:


Esse é um gif legal para ser usado em campanhas de conscientização sobre uso de senha.


agosto 28, 2018

[Humor] Regras de convivência

Quais são as Regras de convivência para garantir a paz e o sossego de todos?

Esqueça o que você sabe sobre Netiqueta. O que vale mesmo são as "regras de Regras de convivência do parquinho":


A imagem acima ficou bem popular há alguns anos atrás, e já foi divulgado pelo pessoal do portal Não Salvo.

Recentemente eu usei essa imagem em uma campanha de conscientização, para ilustrar um slide sobre boas práticas e uso dos recursos com responsabilidade. ;)

agosto 27, 2018

[Carreira] Como motivar e reter o profissional de segurança

Em uma conversa de bar recente com alguns colegas de profissão, discutimos sobre a falta de profissionais de segurança e a dificuldade de retê-los na empresa, em um cenário em que o mercado está super aquecido.

Na minha opinião, para discutir como reter um profissional, primeiro precisamos pensar no que o motiva a trabalhar naquela empresa - ou o que não o motiva, e portanto, o faria aceitar uma proposta de emprego em outro lugar.

A motivação do funcionário é responsável diretamente pelo seu nível de disposição e seu comprometimento com a empresa e com o seu serviço. Logo, ela tem forte impacto no desempenho e na produtividade do indivíduo e, por consequência, da empresa.

O primeiro ponto que devemos ter em mente é que cada pessoa tem motivos diferentes para se sentir motivada, e há diversas teorias que tentam explicar e mapear esses fatores. Na verdade, o simples fato de haver diversas teorias diferentes sobre o tema de motivação no trabalho já mostra que o assunto é complexo e que cada pessoa tem um grupo variado e diversificado de razões motivacionais.

Algumas pessoas se motivam por um ou mais dos seguintes fatores, que podem ser externos ou internos - chamados de "motivação extrínseca" ou "intrínseca", respectivamente:
  • Dinheiro (ou seja, ele vai trabalhar na empresa que paga o melhor salário e/ou pacote de benefícios);
  • Ego e auto-estima (se o trabalho permite que ela se exponha e se destaque profissionalmente);
  • Sensação de estabilidade no emprego;
  • Desafios profissionais;
  • Oportunidade de crescimento pessoal (ex: se a empresa apoia que seus funcionários façam cursos de idiomas, pós-graduação, etc);
  • Inspiração pela liderança da empresa;
  • Identificação com os valores e cultura da empresa;
  • Ambiente de trabalho, incluindo o local (instalações, arquitetura, áreas de trabalho e descanso, etc) e a disponibilidade de ferramentas e equipamentos de trabalho adequados;
  • Reconhecimento e recompensas (como bônus, prêmios, promoções de cargo ou salário, etc)
  • Investimento no profissional (por exemplo, se a empresa permite e apoie que você participe de eventos, cursos e treinamentos);
  • Sentimento de realização e/ou propósito;

Cada pessoa tem seu conjunto de fatores que valoriza, que aceita ou que despreza. Ou seja, há fatores internos e externos que a pessoa busca ao realizar o seu trabalho, há alguns fatores que afetam muito pouco a sua motivação (para mais ou para menos) e cada um pode ter um conjunto de fatores que considera inaceitável, que não o faria trabalhar em uma determinada empresa.

Pense, por exemplo, em trabalhar em uma empresa que paga um excelente salário, te dá uma visibilidade profissional mas a empresa não tem política de investir no treinamento dos funcionários e o seu chefe é uma pessoa que não sabe gerenciar o time, não dando o menor apoio aos seus subordinados. Há pessoas que não se importariam com isso e focariam no benefício que o salário traz: engole sapo das 9h as 18h e depois disso vai curtir a vida. Há pessoas que se desmotivariam por não serem incentivadas a fazer treinamento, ir em eventos ou fazer uma pós - mas há também quem faria isso por conta própria, independente do apoio da empresa. E há quem ignoraria o péssimo chefe e faria o trabalho do jeito que desse. E há quem não teria estômago para trabalho sob um modelo de gestão desses.

Cada pessoa tem os seus valores. A verdadeira motivação vem do casamento entre a motivação, empenho e disposição do funcionário com os elementos que a companhia deve oferecer aos seus colaboradores para manter todos engajados (motivação organizacional).

Baseado em várias dicas que achei em alguns artigos sobre como as empresas devem manter um ambiente que valorize o funcionário (esse, esse e esse), eu sugiro as seguintes ações:

  • Oferecer um ambiente de trabalho agradável (inclui o escritório físico, equipamentos de qualidade e clima organizacional);
  • Ter valores claros e segui-los;
  • Respeitar e empoderar os funcionários, dando-os autonomia para realizar seu trabalho;
  • Colocar as pessoas certas para desempenhar as funções;
  • Receber e dar feedbacks (incluindo feedbacks do funcionário para o seu gestor);
  • Investir em capacitação profissional;
  • Promover desafios constantemente;
  • Estabelecer metas claras e alcançáveis;
  • Oferecer reconhecimento por conquistas e desempenho;
  • Cultivar bons relacionamentos entre as pessoas e manter um ambiente de trabalho que aceite, promova e respeite as diferenças;
  • Estimular a criatividade;
  • Tenha um canal de reclamações e sugestões;
  • Crie um ambiente que estimule a aprendizagem, a experimentação e aceite os erros - pois errar faz parte do processo de aprendizagem.

agosto 24, 2018

[Carreira] A falta de profissionais de segurança

No Brasil e no mundo há uma falta generalizada de profissionais de segurança. Dentre as diversas estatísticas existentes sobre esse fenômeno, uma estimativa do NIST aponta que em 2017 os EUA possuía 780 mil profissionais de segurança e cerca de 350 mil vagas em aberto. Estima-se que em 2021 haverá uma demanda não atendida de 3,5 milhões de profissionais nos EUA e 350 mil na Europa (em 2022).

Para piorar, a complexidade das ameaças e o nível de exposição das empresas está crescendo, aumentando a demanda por profissionais, e o mercado não tem capacidade de produzir novos profissionais na quantidade suficiente para suprir essas demandas.

O que vemos hoje, no Brasil, é uma verdadeira dança de cadeiras: devido a escassez de profissionais, quando um profissional troca de emprego começa um efeito cascata entre as empresas, que vão buscar o replacement na empresa ao lado. O pool de profissionais capacitados é limitado, e aqui no Brasil estamos vendo os melhores profissionais de segurança saindo do país para trabalhar fora. Afinal de contas, com o mercado global aquecido, há muitas possibilidades de trabalho para o profissional experiente e que domine outros idiomas.

O que as empresas podem fazer nesse cenário de falta de mãos e obra?
  • Nos EUA, há várias empresas que estão motivando a migração de profissionais de outras áreas para a área de infosec, promovendo treinamentos específicos e posicionando-os nos postos iniciais da carreira. Por exemplo, aquele atendente de help desk que tem interesse or tecnologia, a assistente administrativo, etc;
  • Terceirização e Cloud: várias empresas estão terceirizando suas necessidades de segurança para provedores de serviços gerenciados (MSS, a sigla em inglês para "Managed Security Services"). Estas empresas já possuem um SOC e profissionais com capacidade de atender diversas empresas simultaneamente. A adoção de Cloud Computing também, de certa forma, acaba repassando algumas responsabilidades de segurança para o provedor de Cloud, diminuindo a demanda da empresa por contratar profissionais específicos;
  • Automação: Uma das tendências mais recentes é buscar a automação das tarefas como forma de reduzir a demanda por profissionais e permitir que a sua equipe foque menos em ações banais e mais em ações estratégicas ou prioritárias. Aí entra a capacidade de monitoramento, filtragem e identificação de incidentes, além da capacidade de automação de tarefas mais simples. A Inteligência Artificial e Machine Learning prometem ajudar nesse esforço de automação.


agosto 22, 2018

[Cyber Cultura] Trolls nos Grupos no Telegram

Porque será que é tão difícil manter um grupo no Telegram?


Na verdade eu não sei a resposta, e este post é um convite a reflexão.

Eu já vi esse fenômeno acontecer algumas vezes. A ideia original é simples: usar uma plataforma de comunicação instantânea para facilitar a interação entre pessoas de uma mesma comunidade. Hoje em dia o Telegram é a primeira opção, uma vez que ele tem diversas facilidades para o gerenciamento de grupos. Afinal de contas, hoje em dia os aplicativos de comunicação instantânea (WhatsApp, Telegram, Slack, etc) estão muito popularizados e seu uso é mais comum do que as "antigas" mensagens via e-mail, ou aqueles fóruns baseados em web - isso sem falar nos paleozóicos grupos de IRC, que eram tão comuns nos primórdios da Internet, mas que hoje só são utilizados uma pequena parcela desse público saudosista.

De repente o Garoa apagou o seu grupo no Telegram, que estava com 800 participantes, mas o mesmo também aconteceu com um grupo do Roadsec há alguns meses atrás (com mais de mil pessoas) e com o Mente Binária no ano passado.


Infelizmente a fórmula tem se repetido: após criado o grupo e depois de alguns discussões e interações entre os participantes, surgem os Trolls - e a partir deste momento eles dominam o canal de comunicação. As trocas de ideias e as discussões produtivas dão lugar a provocações, ofensas e discussões off-topic. Este momento, só resta ao grupo partir para uma intensa ação de monitoramento e moderação da comunidade, tentando acalmar as discussões, eventualmente banindo participantes e apagando mensagens ofensivas, com objetivo de manter um nível civilizado de interação. Isso gera muito trabalho para os administradores do grupo.

E, no final das contas, quem sai perdendo é o coletivo, a partir do momento que o grupo de comunicação deixa de representar os interesses entre os participantes.

Para piorar: poucas pessoas realmente tem paciência de ficar moderando um grupo com centenas de participantes e centenas de mensagens por dia. Quando surge uma treta, as mensagens pode facilmente exceder a casa dos milhares em um intervalo de poucas horas.

A principal dúvida é porque o telegram se tornou um ambiente que atrai tantos Trolls e facilita tanto a difusão do seu discurso de ódio? É bizarro como eles conseguem rapidamente dominar um grupo.

Há várias tentativas de explicar esse fenômeno. Em uma pesquisa recente das universidades de Stanford e Cornell, os pesquisadores concluíram que os dois principais motivos que levam as pessoas a ter um comportamento tóxico online são o humor da pessoa naquele momento e, principalmente, o tom dos demais comentários. Ou seja, é muito comum que as pessoas sejam influenciadas por comentários negativos e respondam de forma negativa (a favor ou contra o comentário anterior), gerando uma espiral de trollagem. Além disso, segundo um professor da universidade Nottingham Trent, as pessoas se sentem desinibidas e protegidas pelo anonimato online.

Para piorar, uma decisão recente da justiça brasileira torna os administradores destes grupos co-responsáveis pelo conteúdo ofensivo., mesmo que publicado por outro participante do grupo.

agosto 01, 2018

[Segurança] Eventos de Segurança no segundo semestre de 2018

Já estamos em pleno segundo semestre de 2018 e os principais eventos de segurança já estão batendo na porta!

Disclaimer: Seguindo a tradição destes meus posts, aqui estou listando apenas os eventos na área de segurança que eu considero serem mais relevantes para o nosso mercado e que merecem uma visita.

Quando não houver indicação em contrário, o evento acontecerá em São Paulo.
  • Julho/2018
    • 21/07: Classificatória do Hackaflag São Paulo (twitter @roadsec) - Etapa paulista da competição de CTF do Roadsec;
  • Agosto/2018
  • Setembro/2018
    • 12/09: Global Risk Meeting (GRM) - Evento focado principalmente em gestão de riscos para o público gerencial, realizado pela Daryus desde 2005, sempre próximo a emblemática data de 11/setembro;
    • 13 e 14: 7º Fórum Brasileiro de CSIRTs - evento técnico para profissionais de resposta a incidentes, organizado pelo CERT.br e NIC.br;
    • 18 e 19/09: Mind The Sec São Paulo (twitter @MindTheSec) - Mega-evento corporativo organizado pela Flipside atendendo o público técnico e, principalmente, o gerencial. É um dos principais eventos brasileiros para o público corporativo, que neste ano traz o lendário Marcus Ranun e o pop Mikko Hypponen;
    • 27/09: Security Leaders Curitiba - Mini edição regional do Security Leaders, com um dia de debates xoxos em um palco lotado de painelistas. Atrai o público corporativo e patrocinadores, que se encontram em sua área de exposição;
    • 25 e 26/09: CNASI - Congresso de Segurança da Informação, Auditoria e Governança de TIC (CNASI), com palestras e painéis de debates sobre gestão, auditoria, governança e segurança, com conteúdo voltado para o público gerencial. O evento também conta com uma área de expositores e, neste ano, saiu do Shopping Frei Caneca e mudou-se para o hotel Pullman;
  • Outubro/2018
    • 16 a 18/10: Latinoware (Foz do Iguaçu) - 15ª edição do Latinoware (Congresso Latino-americano de Software Livre e Tecnologias Abertas), um evento enorme, com foco técnico, voltado para o universo do Software Livre e Tecnologias Abertas na América Latina. O evento é realizado no Parque Tecnológico Itaipu. Embora não seja um evento de segurança, está cada vez mais atraindo profissionais de infosec;
    • 18/10: Security Leaders Salvador - versão mini do Security Leaders em sua passagem pela Bahia;
    • 19/10: Sacicon - Evento de segurança que antecede a H2HC. O evento começa com uma festa na noite de 18/10 e continua no dia seguinte com palestras após um "hangover brunch". A língua oficial do evento é o Inglês;
    • 20 e 21/10: H2HC (twitter @h2hconference) - A H2HC é o mais importante e mais tradicional evento brasileiro sobre hacking, pesquisa em segurança, vulnerabilidades e novos ataques;
    • 22 a 25/10: XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) (Natal, RN) - Principal evento científico e acadêmico sobre Segurança no Brasil, organizado pela Sociedade Brasileira de Computação (SBC), a cada ano em uma cidade distinta. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais;
    • 25/10: Security Leaders Recife;
    • 29 e 30/10: Congresso Security Leaders São Paulo - Evento formado principalmente por painéis de debates (de conteúdo fraco e que são transmitidos ao vivo) e que também possui uma área de exposição. Evento que atrai gestores de segurança (gerentes, diretores, CSOs, etc) atraídos pelo prêmio entregue no final do evento. Apesar da baixa qualidade do conteúdo, é um evento que atrai muitos patrocinadores;
  • Novembro/2018
    • 03/11: JampaSec (João Pessoa, PB) - Evento de segurança com foco técnico, na bela João Pessoa;
    • 08/11: Security Leaders Fortaleza;
    • 10/11: Roadsec São Paulo - O já "tradicional" mega-evento de encerramento do RoadSec no Audio Clube com várias trilhas de palestras, diversas oficinas, food trucks, stands patrocinados, lojas, com a final do campeonato de CTF (Hackflag) e o super show de encerramento noite a dentro, que neste ano promete trazer o Marcelo D2 e o Gabriel Pensador;
    • 10/11: NullByte (Salvador, BA) - Excelente evento destinado a movimentar a cena do hacking na capital Baiana, com palestras de grande qualidade técnica;
    • 24 e 25/11: BHack (Belo Horizonte, MG) - Evento de segurança com foco técnico;
    • 25/10: Security Leaders Recife;
    • 21 e 22/11: CNASI Rio de Janeiro - Mini versão do CNASI, com palestras e painéis sobre gestão, auditoria, governança e segurança da informação. Possui uma pequena área de expositores;
  • Dezembro/2018
    • 13 e 14/12: GTS (Grupo de Trabalho em Segurança de Redes) - Evento gratuito organizados pelo NIC.br e que acontece junto com o GTER (Grupo de Trabalho de Engenharia e Operação de Redes). As palestras, de conteúdo técnico, são transmitidas ao vivo.
Além dos eventos brasileiros citados acima, existem vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro. Os mais importantes são:
  • 30/07 a 12 de Agosto, em Las Vegas/EUA: Black Hat USA (30/07 a 04/08), BSidesLV (07 e 08/08) e a Defcon (9 a 12/08);
    • Para saber mais dicas sobre a Defcon, Black Hat e BSidesLV, veja este post;
  • 26 a 28 de Setembro: Ekoparty (Buenos Aires, Argentina): A "Eko" é um excelente evento de segurança, um dos mais importantes da América Latina. Evento com foco em pesquisa em segurança com excelentes palestras técnicas;
  • 26 e 27 de Outubro: 8.8 (Santiago, Chile): Principal evento de segurança no Chile, com organização caprichada e excelentes palestras que atendem o público técnico e gerencial;
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site nacional Agenda de TI e no gringo concise-courses.com.

Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.

Notas:







Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.