dezembro 31, 2018

[Segurança] 5 anos de Roadsec

O pessoal da Flipside preparou um vídeo bem legal para celebrar os 5 anos de existência do Roadsec, trazendo depoimentos de várias pessoas que participaram dessa história:


O Roadsec inovou o mercado de segurança ao surgir como um evento itinerante, que visita várias cidades brasileiras no decorrer do ano e termina sempre com um mega-evento em São Paulo. Além de permitir que pessoas de quase todo o Brasil tenham acesso a conteúdo de qualidade, o Roadsec também popularizou várias oficinas pelo Brasil afora, e principalmente, popularizou e deu muita atenção as competições de Capture the Flag (CTF). Com o campeonato "HackaFlag" do Roadsec, os CTFs se espalharam pelo país e levaram conhecimento (e novas oportunidades de emprego) para muita gente.

Parabéns a todos que tornaram o Roadsec possível!

dezembro 29, 2018

[Segurança] E faz-se a "Autoridade Nacional de Proteção de Dados"

No apagar das luzes do governo Temer, ganhamos um pequeno presente de Natal: o governo lançou uma medida provisória regulamentando a Autoridade Nacional de Proteção de Dados, a entidade responsável por regulamentar e vigias vários aspectos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, ou simplesmente "LGPD").

Ao sancionar a LGPD em agosto desse ano, o presidente Temer havia vetado os artigos referentes a criação da agência reguladora, criando uma legislação capenga, sem pé nem cabeça, aonde vários artigos faziam referência a uma entidade não existente. Caberia a agência, por exemplo, definir as multas para punir as empresas que permitissem o vazamento de dados.

A Medida Provisória Nº 869 vem tentar corrigir (ou atenuar) essa aberração jurídica.

Além da criação da ANPD, os principais pontos da MP 869 são os seguintes:
  • Passa a permitir a comunicação ou compartilhamento de dados pessoais sensíveis referentes à saúde nos casos de portabilidade de dados (mediante consentimento do titular) ou para a prestação de serviços de saúde suplementar (art. 11);
  • passa a permitir que o Poder Público transfira dados pessoais a entidades privadas nos casos previstos em leis, contratos ou convênios, ou na hipótese de prevenção de fraudes e irregularidades (art. 26);
  • a ANPD será composta por um Conselho Diretor (com 5 membros indicados pelo Presidente da República), um "Conselho Nacional de Proteção de Dados Pessoais e da Privacidade" (com 23 representantes não remunerados), além de Corregedoria e Ouvidoria;
    • "O projeto de lei original criava a ANPD ligada ao Ministério da Justiça, mas a MP 869 a deixou subordinada a Presidência;
    • a ANPD entra em vigor imediatamente (art. 65);
  • extende por mais 6 meses o período para a LGPD entrar em vigor, totalizando 2 anos desde a data de sua publicação. Assim, a LGPD só vai valer a partir de Agosto de 2020 (art. 65);
  • Deixa de existir a obrigação de informar o titular dos dados em casos de tratamento realizado pela administração pública (com a revogação dos parágrafos 1º e 2º do art. 7º).
A MP tem 4 artigos, aonde as principais alterações estão descritas no artigo primeiro. Como eu tenho feito aqui no blog toda vez que surge uma legislação pertinente, vou transcrever abaixo os trechos da MP que considero serem os mais relevantes para nós, profissionais de segurança da informação - até mesmo porque algumas alterações foram feitas para corrigir erros no texto original. Também coloquei algumas observações minhas, em itálico, para facilitar o entendimento.

Art. 1º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
(...)
"Art. 5º
(...)
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei."
(...)
"Art. 11. (nota: sobre o Do Tratamento de Dados Pessoais Sensíveis)
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de:
I - portabilidade de dados quando consentido pelo titular; ou
II - necessidade de comunicação para a adequada prestação de serviços de saúde suplementar."
(...)
"Art. 26. (nota: sobre o "O uso compartilhado de dados pessoais pelo Poder Público")
§ 1º (nota: este parágrafo veda ao Poder Público transferir dados pessoais a entidades privadas, exceto nos casos abaixo)
III - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39;
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
V - na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; ou
(...)
"Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados - ANPD, órgão da administração pública federal, integrante da Presidência da República." (Nota: aqui começa o capítulo sobre a ANPD, que havia sido vetado integralmente)
"Art. 55-B. É assegurada autonomia técnica à ANPD."
"Art. 55-C. ANPD é composta por:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - órgão de assessoramento jurídico próprio; e
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei."
"Art. 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior - DAS de nível 5."
(...)
§ 3º O mandato dos membros do Conselho Diretor será de quatro anos.
(...)
"Art.55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
Parágrafo único. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades."
(...)
"Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais;
II - editar normas e procedimentos sobre a proteção de dados pessoais;
III - deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;
IV - requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
V - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
VI - fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
VII - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
VIII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;
IX - difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
X - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
XI - elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
XII - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
XIII - realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
XIV - realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
XV - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XVI - elaborar relatórios de gestão anuais acerca de suas atividades.
§ 1º A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.
§ 2º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.
§ 3º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.
§ 4º No exercício das competências de que trata o caput, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.
§ 5º As reclamações colhidas conforme o disposto no inciso V do caput poderão ser analisadas de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada."
"Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação."
"Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:
I - seis do Poder Executivo federal;
II - um do Senado Federal;
III - um da Câmara dos Deputados;
IV - um do Conselho Nacional de Justiça;
V - um do Conselho Nacional do Ministério Público;
VI - um do Comitê Gestor da Internet no Brasil;
VII - quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII - quatro de instituições científicas, tecnológicas e de inovação; e
IX - quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
§ 1º Os representantes serão designados pelo Presidente da República.
§ 2º Os representantes de que tratam os incisos I a VI do caput e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.
§ 3º Os representantes de que tratam os incisos VII, VIII e IX do caput e seus suplentes:
I - serão indicados na forma de regulamento;
II - terão mandato de dois anos, permitida uma recondução; e
III - não poderão ser membros do Comitê Gestor da Internet no Brasil.
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada."
"Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III - sugerir ações a serem realizadas pela ANPD;
IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral."
"Art. 65. Esta Lei entra em vigor:
I - quanto aos art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G, art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B, no dia 28 de dezembro de 2018; e
II - vinte e quatro meses após a data de sua publicação quanto aos demais artigos."

Art. 2º A Lei nº 13.502, de 1º de novembro de 2017, passa a vigorar com as seguintes alterações:
"Art. 2º
(...)
"SEÇÃO VI - A
DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 12-A. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018."

Art. 3º Ficam revogados os seguintes dispositivos da Lei nº 13.709, de 2018:
I - o § 4º do art. 4º;
II - os § 1º e § 2º do art. 7º; e
III - o art. 62.

Art. 4º Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 27 de dezembro de 2018; 197º da Independência e 130º da República.

Atualização (03/01/19): O governo Bolsonaro manteve a ANPD. Na Medida Provisória Nº 870, que define a organização básica dos Ministérios e dos órgãos subordinados a nova Presidência da República, ele cita, rapidamente, a existência da ANPD:
Autoridade Nacional de Proteção de Dados Pessoais
Art. 12. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018.

Para saber mais:



dezembro 27, 2018

[Segurança] Retrospectiva 2018

2018 foi o ano da privacidade (para o bem e para o mal).

No Brasil e no mundo, o cenário de segurança da informação em 2018 foi dominado pelas notícias incessantes de vazamentos de dados. Nos Estados Unidos o ano acabou com um mega-vazamento de dados de 500 milhões de clientes da rede de hotéis Marriott, e já tem quem estime que o prejuízo pode alcançar 600 milhões de dólares. No Brasil, onde raramente víamos notícias de vazamentos de dados, neste ano fomos surpreendidos com uma avalanche, que incluiu bancos, lojas de e-commerce, etc. Vítimas incluiram a Boa Vista SCPC, Banco Inter, Stone Pagamentos, Movida, Netshoes, C&A, etc.

OBS (adicionada em 27/12): Nos EUA, até a NASA sofreu vazamento de dados!!!

Quem diria, a revista Veja criou uma página só para centralizar as Notícias sobre Vazamento de Dados!!!

Aqui no Brasil, o Ministério Público do Distrito Federal e Territórios (MPDFT) tomou as dores e começou a investigar e punir tais vazamentos (por exemplo, no caso da FIESP, da Stone, da C&A, e até mesmo da Marriott!). A propósito, recentemente soubemos que o Banco Inter fechou um acordo com o MPDFT para encerrar uma ação civil pública por vazamento de dados de clientes, e aceitou pagar 1,5 milhão de reais em indenização.  O comprometimento dos dados cadastrais foi anunciado em agosto desse ano e atingiu de 19.961 correntistas, dos quais 13.207 eram de dados bancários, como número da conta, senha, endereço, CPF e telefone. Cá entre nós, a conta saiu muito barato, não é?

Do outro lado dessa moeda, a preocupação com privacidade nunca esteve tão em voga, graças a legislações específicas que vimos neste ano: a entrada em vigor da GDPR na Europa e a aprovação da LGPD aqui no Brasil.

Eu me arrisco a dizer que em 2018 os demais tipos de ataques seguiram um ritmo "suave", sem grandes destaques nem grandes sustos. O ano começou muito mal, com o anúncio das vulnerabilidades Meltdown e Spectre, que prometiam causar o caos em toda a indústria de tecnologia. #SQN. O ano seguiu sem grandes notícias de infecção por ransomware, nem botnets formadas por dispositivos IoT causando tanta dor de cabeçaa quanto tivemos em 2017. Surpreendentemente, também falamos pouco sobre os ataques de negação de serviço (DDoS), que vinham em uma marcha crescente nos últimos anos. Essesataques continuam existindo, claro, e os ciber criminosos continuam ganhando muito dinheiro aqui e mundo afora, mas não tivemos um cenário de ameaças tão volumoso quanto nos anos anteriores.

Muito se falou sobre o surgimento de malwares especializados em mineração de moedas virtuais, mas provavelmente a grande queda constante da cotação do bitcoin durante 2018 deve ter desanimado essa galera e fez essa tendência não se concretizar.


Do ponto de vista do mercado corporativo de segurança, se falou como nunca de Blockchain e Machine Learning, mas na minha opinião, neste ano tivemos uma grande preocupação em como garantir uma melhor autenticação dos usuários. Os bancos parecem estar apostando em tecnologias de biometria facial, embora elas ainda precisem amadurecer um pouco bastante. Mas a busca por novas tecnologias de autenticação é o caminho que eu vejo os bancos seguirem atualmente para tentar reduzir o volume de fraudes e, ao mesmo tempo, fornecer uma solução que seja de fácil uso ou transparente para os clientes. No mundo corporativo, os Tokens FIDO estão ganhando espaço, e os tokens Yubikey viraram objeto de desejo dos profissionais mais antenados.

No mercado brasileiro, não podemos esquecer algumas coisinhas a mais:
  • As "fake news" foram um assunto que tiveram muito destaque em 2018, e bombaram durante as eleições presidenciais. Tá aí algo que veio para ficar :(
  • As "tretas" continuaram a todo o vapor! Muito ainda se zoou com a discussão sobre quem foi o fundador da H2HC e com o concurso "Competente Leaders" promovido pelo SecOps Infosec Army. Até a coincidência de data da Nullbyte e do Roadsec SP foi usado por alguns para tentar criar uma polarização entre os "profissionais rootz" e os mais lammers.

Para saber mais:

dezembro 26, 2018

[Segurança] SPAM nos comentários do Blog

Sim, há spammers que aproveitam a seção de comentários dos blogs para colocar anúncios (as vezes mais ou menos explícitos). Por exemplo, nos últimos 2 meses, eu recebi algumas tentativas de publicar spam:


A melhor forma para evitar ter seu blog usado para divulgar anúncios indesejados é colocar a moderação nos comentários. Ao receber um comentário no blog, temos a opção de publicar, apagar ou denunciar esse comentário como spam.

Feliz Natal! (Com charges)

Acho que todos os anos eu repito o quanto gosto dessa época, em que aproveitamos para celebrar as conquistas e renovar nossos sonhos e objetivos. Para mim, esse período de confraternização com a família e amigos é muito energizante!


Mas, nesse ano, o Natal teve um tempero geek a mais: há exatos 50 anos atrás, no Natal de 1968, os 3 astronautas da Apollo 8 estavam voando ao redor da Lua e tiveram a oportunidade de ver a Terra nascer no horizonte dela, e nessa hora o astronauta Bill Anders tirou uma foto que ficou para a história da humanidade!


A NASA batizou esse fenômeno de "Earthrise" ("nascer da Terra").

No final de 1968 a NASA fez a sua primeira missão com objetivo de colocar os astronautas em órbita ao redor da Lua, que abriu o caminho para o pouso na Lua. A Apollo 8 coincidiu com a época de Natal e foi o primeiro vôo a sair da órbita da Terra: eles foram até a Lua e lá permaneceram por 20 horas.Veja um pouco mais sobre essa história no site da NASA e no pequeno vídeo abaixo:


“A vasta solidão aqui da Lua é inspiradora e faz você perceber exatamente o que você tem lá na Terra. A Terra daqui é um grande oásis para a grande vastidão do espaço.” - Jim Lovell, astronauta da Apolo 8
Mas não precisa ser apaixonado por astronomia para curtir o Natal. Neste ano, a galera de TI aproveitou para celebrar essa data com algumas decorações bem especiais...




Tivemos até foto do Maddog vestido de Papai Noel:


E, nesse ano, ser Papai Noel não deve ter sido fácil...



Afinal, como comemorar o Natal em uma época em que o comportamento do Papai Noel pode ser facilmente comparado ao de um stalker, um hacker, uma agência de espionagem (como a NSA) e até mesmo o Facebook? Quem, desses personagens será que conhece melhor tudo o que fazemos?


É provável que o Papai Noel tenha problema com a GDPR no ano que vem...


O jeito mesmo é respirar fundo...


... e curtir a ceia de Natal com a família (e a eterna piada do Pavê).



PS/1: (adicionado em 26/12) Cuidado na hora de pedir os presentes de Natal...


PS/2: Lembre-se: se beber, não dirija!



dezembro 21, 2018

[Segurança] As piores senhas de 2018

A empresa SplashData divulga periodicamente uma lista com as piores senhas de 2018, baseado nos dados de senha contidos nos vazamentos de dados que aconteceram neste ano.

A lista é formada principalmente por senhas de usuários norte-americanos, por isso não estranha que entre as 25 primeiras encontram-se palavras e expressões em inglês, tais como "password" (2a senha mais usada), "iloveyou" (décima senha mais usada), "princess" (11a), "welcome" (13a) e até mesmo "donald" (23a colocada)  - talvez em referência ao presidente americano Donald Trump.

A lista com as 100 senhas mais fracas identificadas em 2018 é encabeçada pelas senhas abaixo:
  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 1234
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123


Em uma rápida olhada na lista completa, fica evidente que os usuários ainda utilizam senhas baseadas em palavras simples e combinações triviais de letras e números.

Para exemplificar, eu peguei uma pequena amostra aleatória em uma lista de senhas com de dados de brasileiros que foi divulgada recentemente no Pastebin:


Nesse pequeno exemplo do mundo real podemos ver senhas triviais como "123456", "alterarsenha", "namorado" e "jesuscristo" :(

Para saber mais:

dezembro 19, 2018

[Carreira] Site Reliability Engineering

Preocupados em como garantir a correta gestão de seus sites, há poucos anos atrás o pessoal do Google teve a idéia de criar um grupo multidisciplinar responsável por isso. Enquanto a maioria das empresas deixam essas tarefas sob responsabilidade do time de Arquitetura e Operação dos sistemas, o Google criou o conceito de...

Site Reliability Engineering (SRE)


O Site Reliability Engineering (SRE), ou "Engenheiro de Confiabilidade de Sites" (em uma tradução livre), é um profissional com background em engenharia de software responsável por apoiar a resolução de problemas de operações de TI. Ou seja, eles atuam, de forma multidisciplinar na gestão e na automação do ambiente de tecnologia. Isso inclui participar de decisões de arquitetura, de desenvolvimento, de segurança - entre outras - interagindo com diversos times e garantindo que todos os times trabalhem de forma coesa.

O conceito de Site Reliability Engineering foi criado no Google em 2003, quando Ben Treynor foi contratado para liderar uma equipe de sete engenheiros de software responsáveis por um ambiente de produção.

Com o foco na confiabilidade do sistema, o objetivo do SRE está em encontrar formas para aprimorar o design e a operação dos sistemas para fazê-los mais escaláveis, confiáveis e mais eficientes. Em geral, uma equipe SRE é responsável pela disponibilidade, latência, desempenho, eficiência, gerenciamento de mudanças, monitoramento, resposta a emergências e planejamento de capacidade dos serviços sob sua supervisão.

São algumas das vantagens do SRE:
  • Reduzir os silos dentro da organização;
  • Compartilhar a responsabilidade com os desenvolvedores,;
  • Incentivar os desenvolvedores e gestores de produtos a se movimentarem rapidamente, reduzindo o impacto e custo de falhas;
  • Alavancar o uso de ferramentas e automação e gerar métricas.
Para saber mais:

dezembro 17, 2018

[Segurança] Governos contra a criptografia

Um grupo de pesquisadores do Centro de Ensino e Pesquisa em Inovação (CEPI) da faculdade FGV Direito SP elaborou uma excelente pesquisa científica sobre como diversos governos tem tratado a questão da privacidade dos cidadãos versus a necessidade de proteção e vigilância governamental, e como esse debate tem influenciado a adoção de técnicas de criptografia.

Por exemplo, quando um governo ou uma força policial tem a necessidade de acessar comunicações online que são criptografadas, como eles podem fazer para evitar esse controle, e como fazê-lo sem afetar o direito a privacidade de todos os demais usuários desse serviço?

O estudo “Criptografia e Direito: uma perspectiva comparada” foi desenvolvido nos anos de 2017 e 2018 pelo pessoal do CEPI, com objetivo de mapear o debate internacional sobre acesso a dados criptografados por autoridades de investigação e seu impacto an discussão sobre o direito a privacidade. Nessa pesquisa, eles identificaram que alguns países mais "radicais" chegaram a proibir ou regulamentar severamente o uso de criptografia (por exemplo, tentando forçar limites nos algoritmos ou exigir a implementação de "backdoors"), mas certos países estão optando pela regulação de mecanismos alternativos de investigação para conseguir obter o conteúdo de dados criptografados, uma forma de evitar o enfraquecimento de sistemas de criptografia. A mais comum dessas alternativas é a exploração de vulnerabilidades de sistemas por autoridades de investigação, uma técnica conhecida como "government hacking". Além disso, o debate sobre o impacto dessas alternativas à regulação da criptografia tem sido negligenciado, principalmente no que tange aos seus potenciais riscos aos direitos fundamentais.

Como fruto desse extenso e detalhado trabalho acadêmico, foram criados dois "produtos" da pesquisa: a Criptopédia e o CryptoMap, um site e um mapa interativo que compilam de forma prática os resultados encontrados sobre os 40 países estudados.


Os resultados dessa pesquisa foram apresentados em um evento no dia 05 de Dezembro de 2018 ("Criptografia e Direito: uma perspectiva comparada"), que foi filmado e está disponível online.



O resultado desse trabalho é sensacional, tanto pelo mapa interativo quanto pelo mapeamento detalhado que foi feito em 40 países. Mas não é um trabalho fácil de ser mantido (e esse vai ser maior desafio do pessoal), pois todos os dias estão surgindo novos problemas, iniciativas e novas regulamentações. O debate sobre privacidade está acontecendo e é um tema muito quente no mundo inteiro, principalmente neste ano que tivemos a General Data Protection Regulation (GDPR) na Europa. Na sua carona, novas regulamentações e leia surgem a todo momento.

Esse debate é muito importante pois de um lado temos o direito fundamental a privacidade do cidadão (e das empresas), que muitas vezes se contrapõe a necessidade de vigilantismo, de espionagem e de controle governamental. Muitas vezes esse debate é travestido pela discussão sobre necessidade de combater o crime online - e nessa hora, muitas vezes o problema da pedofilia na Internet é usado para sensibilizar a população em prol do controle governamental das comunicações.

No meu ponto de vista, esse debate todo tem 2 problemas principais:

  • A necessidade de combater a grande desinformação sobre o assunto (por exemplo, o falso argumento do “não tenho nada a esconder”)
  • O assunto é muito técnico, que envolve o entendimento de algoritmos de criptografia que são complexos e com detalhes específicos, e isso atrapalha o debate. Dessa forma, essa discussão dificilmente é entendida pelo público leigo e demanda um grande esforço de apoio e envolvimento por parte da comunidade técnica;

A criptografia é fundamental para garantir o bom uso da Internet, através do sigilo das transações bancárias e comerciais, além de garantir a nossa privacidade online. A criptografia permite evitar a interceptação e vazamento de dados pessoais. Quando os governos optam por restringir o uso de ferramentas criptográficas, automaticamente enfraquecem toda a nossa segurança e privacidade online. Além disso, as mesmas restrições que favorecem a investigação dos governos (por exemplo, o uso de "backdoors"), também favorece a espionagem e o crime organizado, que podem usar essas restrições para ter acesso não autorizado as comunicações.

O "government hacking" talvez seja o menor dos males - melhor do que diminuir o nível de segurança ou implementar backdoors. Ele pode ser autorizado somente em casos pontuais e específicos, através de mandatos, controles e regulamentos específicos. Ele pode também ser implantado como um processo similar ao de uma escuta telefônica legal - só muda a tecnologia e o meio. Do ponto de vista técnico, normalmente ele envolve alterações no dispositivo final, do suspeito. O ponto negativo é que essa técnica, ao interferir no computador ou smartphone do investigado, ele pode prejudicar a qualidade da prova.

No final das contas, esse debate ainda precisa ser amadurecido devido aos diversos aspectos técnicos e impactos nas nossas liberdades fundamentais. E a comunidade técnica tem que, obrigatoriamente, se posicionar.

Para saber mais:

dezembro 14, 2018

[Segurança] Another day, another leak

Esses últimos dias foram marcados por alguns vazamentos de dados aqui mesmo, no Brasil, que chamaram bastante a atenção. Vale a pena relembrar...

Não só isso, mas também...
  • O Ministério Público entrou nessa parada e começou a investigar esses casos de vazamento de dados, como por exemplo no caso da FIESPno caso da Sky Brasil e da Tivit;
  • A Polícia Federal deflagrou a Operação Data Leak, que apura os crimes de vazamento e receptação ilícita de dados sigilosos por servidores públicos federais. Foram cumpridos sete mandados de prisão temporária e nove mandados de busca e apreensão nos estados de Mato Grosso, Paraná, Rio Grande do Sul, Rio de Janeiro e Espírito Santo.
As informações não estão mais disponíveis nos links originais, mas correram pela comunidade de segurança!

Em tempo: A Google anunciou que vai antecipar o fim do seu serviço Google+ após uma falha expor dados de 52 milhões de pessoas. Além disso, um bug no Facebook permitiu que aplicativos pudessem ter acesso não autorizado a fotos de 6,8 milhões de usuários :(

dezembro 05, 2018

[Segurança] Ransomware Timeline

No relatório "State of Cyber Security 2017", a F-Secure publicou u gráfico bem legal que mostra a enorme evolução das famílias de Ransomwares e suas variações desde 2010:



É possível baixar a imagem em alta resolução desse "Ransomware Timeline: 2010 – 2017".

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.