janeiro 30, 2019

[Segurança] O ciber crime está contratando

Pesquisadores de segurança divulgaram recentemente um post colocado em um fórum underground que anunciava uma vaga para desenvolvedores, para trabalhar para um grupo ciber criminoso. Os requisitos da vaga são bem detalhistas:


Os requisitos de trabalho incluíam experiência mínima de 10 anos com redes e design de aplicações em Windows e Linux, testes de invasão, gestão de sistemas e banco de dados, além de programação "em qualquer linguagem útil". O emprego é "full time" e os salários são generosos: 50.000 libras (63.500 dólares) por mês e um possível aumento salarial de até 70.000 libras (89.000 dólares) por mês depois de dois anos. Além disso, para cada língua estrangeira que tiver proficiência (Chinês, Árabe, Alemão, etc), o candidato ganha um extra de 5% no salário.

O interessante, também, é que eles pedem um forte senso de ética ("Must have a strong work ethics". E completam:
"Life's too short not to be rich."
E eles não estão brincando! O salário que estão oferecendo por mês é equivalente ao salário anual de um emprego "tradicional" nos EUA !!!

O grupo, batizado de "The Dark Overlord" é famoso pois recentemente anunciou ter roubado um conjunto de documentos secretos sobre os ataques terroristas no 11 de setembro, além de terem invadido o Netflix e vazado episódios da série “Orange is the New Black” antes de irem ao ar.

A campanha de recrutamento do The Dark Overlord inicialmente tinha como objetivo preencher quatro vagas, e o grupo disse posteriormente que três cargos foram preenchidos.

Mas não se engane: anúncios em fóruns online oferecendo e procurando empregos relacionados ao ciber crime são muito comuns.

Fontes:



janeiro 29, 2019

[Segurança] Roubo de laptops

Recentemente eu vi um artigo com estatísticas sobre roubo de notebooks. Veja algumas delas:


  • Um laptop é roubado a cada 53 segundos;
  • O custo total médio de uma única perda de laptop é de US$ 47.000;
  • 86% dos profissionais de TI relatam que alguém em sua organização perdeu ou roubou um laptop. 56% deles casos resultou em violação de dados;
  • 52% dos gestores às vezes ou frequentemente deixam seu laptop com um estranho quando viajam.

As estatísticas acima me fizeram lembrar de um caso engraçado que aconteceu em uma empresa que trabalhei no passado: um colega nosso estava em viagem a trabalho e, durante a escala do seu vôo, foi numa sala VIP da companhia aérea. Ele estava com seu notebook do trabalho e decidiu ir ao banheiro, e pediu para uma senhora no sofá ao lado ficar de olho no seu computador enquanto ele ia no WC. Quando voltou, não tinha mais nenhuma senhora e nenhum computador!

Os casos de roubo de laptops com dados sensíveis são muitos, em qualquer lugar do mundo, afetando empresas, governos e até mesmo times de futebol. Nos EUA, por exemplo, funcionários de cinco departamentos do governo perderam mais de 600 laptops, telefones celulares e pen drives nos últimos quatro anos.


Para saber mais:

janeiro 24, 2019

[Segurança] O mega vazamento de 770 milhões de dados vazados

Novamente vemos um baita estardalhaço na mídia sobre a notícia de um mega vazamento de dados... desta vez foi encontrada uma base com mais de 770 milhões de usuários e senhas, e muito tem se falado sobre isso. Foi compartilhado no MEGA uma coletânea de cerca de 12.000 arquivos, totalizando mais de 87 GB de dados. Somando isso tudo, tirando os dados duplicados, noves fora, 3 pulinhos para a direita chegamos no número de 773 milhÕes de e-mails únicos e 21 milhões de senhas únicas nessa coletânea de dados.


Na semana passada, não se falava de outra coisa em vários grupos e fóruns de segurança, inclusive com muita gente pedindo os links para download dessas informações. Para fins de pesquisa, que fique claro ;)

Mas, apesar de todo bafafá, a verdade é que a maioria das informações que estavam nessa base de dados já haviam vazado anteriormente. Ou seja, isso é apenas um vazamento de uma coleção de dados que já estavam comprometidos e divulgados.

Não precisa ser gênio para descobrir isso. No primeiro anúncio que foi feito sobre essa base de dados, o Troy Hunt (mantenedor do site HaveIbeenPwned) já havia dito que esse vazamento era formado por vários vazamentos menores de diferentes fontes: “It's made up of many different individual data breaches from literally thousands of different sources”. Usando uma amostragem, ele identificou que 81% dos emails vazados já constavam em sua base de dados.


O Brian Krebs também disse a mesma coisa: “But in an interview with the apparent seller, KrebsOnSecurity learned that it is not even close to the largest gathering of stolen data, and that it is at least two to three years old”. Em conversa com a pessoa que divulgou a base de dados, Krebs foi informado que a coletânea era formada por uma mistura de bases já vazadas: "it was a mix of 'dumps and leaked bases'".

E já reciclaram esse mega-vazamento. Recentemente já publicaram no Pastebin alguns conjuntos de senhas que, em vez de serem resultados de um vazamento de dados dessas entidades, simplesmente foram retirados (filtrados) da base de 770 milhões de senhas. Só fizeram um filtro e "reciclaram" o leak.

Referências:

janeiro 21, 2019

[Segurança] Os maiores vazamentos de dados da história (por enquanto)

O pessoal do CSO Online fez um infográfico muito legal, com os maiores vazamentos de dados do século. Eles compararam os dados desde 2006, quando teve o vazamento de dados da TJX, e já incluíra informações sobre o recente vazamento de dados da rede de hotéis Marriott.


Algumas observações:
  • Note que a barra do Yahoo está desproporcional, pois o volume foi tão grande (3 bilhões de credenciais vazadas) que deixaria os demais números quase imperceptíveis!
  • Eles citam alguns casos que, ao meu ver, não tem nada a ver com o assunto. Começa que eles citam o Stuxnet, um ataque as centrífugas nucleares do Irã que nada tem a ver com vazamento de dados. O roubo de dados da RSA Security também não envolveu dados de identificação pessoal ou dos usuários envolvidos, pois foi um comprometimento da base com as sementes dos tokens de autenticação. Igualmente, eles citam um ataque com provável acesso a base de domínios da Verisign, algo que também não está relacionado a acesso a informações pessoais.
Além do infográfico, eles fizeram um breve resumo de cada um dos incidentes. Vale a pena guardar esse artigo no seu bookmark ;)

Para saber mais:

janeiro 17, 2019

[Segurança] Power Rangers da InfoSec

Parece que não basta ter o Blue Team, Red Team e Purple Team... Pelo jeito, dá para criar todo um arco-íris com os times de Infosec!


Resumindo a idéia da "Roda da Infosec", criada pelo Louis Cremen, ela começa se você considerar as 3 cores primárias:
  • Blue Team: Defesa
  • Red Team: Ataque
  • Yellow Team: Desenvolvedores
Combinando essas cores e conceitos entre si, chegamos aos demais times:
  • Purple Team: Time capaz de integrar os resultados dos testes de segurança com as capacidades de defesa;
  • Green Team: Foco em automação das tarefas de segurança e incluir capacidade de defesa nos softwares desenvolvidos, além de melhorar capacidade de rastreamento (log) e monitoramento;
  • Orange Team: Educação dos times através de treinamento e ações de conscientização.
E, no centro, a soma de todas as cores nos dá o White Team! O time que tem a responsabilidade de integrar todas as disciplinas de segurança com uma visão de Gestão, Compliance, Normas e necessidades de negócio.

Essa é uma forma interessante de pensar a divisão de trabalho e conhecimento dentro das diferentes áreas e carreiras de segurança. A propósito, o artigo do Louis Cremen é um pouco longo, mas vale a leitura, pois ele faz vários comentários interessante sobre o papel dos times, e a importância de aproximar os times de desenvolvimento com o time de segurança.

Mas, cá entre nós... O nome do gráfico poderia ser rebatizado como "Power Rangers da InfoSec", ou simplesmente "Cyber Rangers", que tal?


janeiro 16, 2019

[Carreira] Chantagem dos sindicatos?

Neste ano alguns sindicatos estão informando que os empregados que não aderirem as contribuições sindicais perderão os direitos trabalhistas negociados pelo sindicato. Isto se aplica aos empregados que, através de manifestação formal, por carta assinada, estão exercendo seu direito de pedir isenção do pagamento das contribuições ao sindicato. No meio dessas cartas, cujo modelo é ditado pelos próprios sindicatos, foi incluído este ano um texto no qual o trabalhador concorda em abrir mão dos benefícios adquiridos através dos acordos coletivos.


Tal afirmação pegou muitos de surpresa e gerou muito questionamento no mercado.

O portal UOL publicou um artigo bem interessante sobre o assunto. Com o título de "Sindicatos querem tirar reajuste salarial de quem não pagar contribuição", o artigo trás algumas informações interessantes, indicando que os sindicatos possam estar agindo de má fé para confundir os empregados e garantir a arrecadação. Veja alguns trechos desse artigo:
  • Essa conduta dos sindicatos é ilegal, segundo Juliano Alexandre Ferreira, procurador e coordenador da área de Promoção da Liberdade Sindical do MPT (Ministério Público do Trabalho). "Nenhum direito decorrente de lei ou norma coletiva está condicionado a contribuir com sindicatos" (...).
  • (...) os sindicatos não podem selecionar quais trabalhadores terão acesso aos direitos negociados com o empregador. "Vejo isso como uma manobra dos sindicatos para aumentar a arrecadação, que caiu bastante depois da reforma trabalhista" (...).
  • (...) todos os trabalhadores da categoria devem ser representados pelo sindicato, sejam filiados ou não e mesmo que não contribuam. Ainda que a categoria tenha decidido em assembleia pelo desconto das contribuições, quem não é sindicalizado pode se recusar a pagar. "O sindicato não pode excluir o trabalhador por exercer seu direito de oposição" (...)
Segundo uma das advogadas entrevistadas pela reportagem, "Vejo isso como uma manobra dos sindicatos para aumentar a arrecadação, que caiu bastante depois da reforma trabalhista".

Para saber mais:

janeiro 15, 2019

[Segurança] Preços e serviços do ciber crime

O pessoal de inteligência da Watchguard andou pesquisando os fóruns na Dark Web e escreveu um artigo mostrando os tipos de serviços oferecidos, quanto custavam e criaram uma média comparando os serviços de vários fornecedores.

Eu coloquei abaixo as tabelas que eles criaram com os valores de diversos serviços criminosos anunciados nos fóruns underground, incluindo serviços relacionados a fraudes financeiras, roubo de identidade, e ciber ataques. Os preços, originalmente em Bitcoin, foram convertidos para dólar pelos pesquisadores da Watchguard para facilitar a comparação.





janeiro 14, 2019

[Segurança] Como (não) evitar ataque hacker

Recebi a imagem abaixo de um colega de profissão, em um grupo do WhatsApp:


Será que a melhor forma de evitar uma "invasão de hackers" é desligar seu link Internet a noite, e fazer o backup em um Pen-drive e retirá-lo em seguida?

Provavelmente não, isso não garante nada. Mas isso pode parecer razoável do ponto de vista de uma pequena empresa, que tem pouco (ou nenhum) recurso para se proteger de ciber ataques.

Na verdade, até as grandes empresas tem dificuldade de se proteger, e não tem uma receita de bolo infalível para que uma empresa proteja a sua infra-estrutura.

Boas práticas bem básicas e simples já ajudam bastante a tornar a empresa menos vulnerável. Temos que lembrar que pequenas e médias empresas raramente tem profissionais de segurança e recursos para investir em muitas tecnologias, logo, elas tem que focar nas práticas mais simples e eficazes. Tais práticas incluem, mas não se limitam, a:
  1. Mantenha sempre os computadores e equipamentos atualizados;
  2. Use ferramenta de anti-vírus e a mantenha atualizada;
  3. Use senhas fortes e, sempre que possível, um 2o fator de autenticação. Troque as senhas periodicamente;
  4. Troque as senhas administrativas (admin, root, etc) e use senhas fortes também. Use uma ferramenta de gestão e senhas (ou cofre de senhas) para armazená-las;
  5. Tenha um equipamento de Firewall ou, pelo menos, ative esse recurso em seu roteador de borda;
  6. Treine seus usuários sobre os cuidados com mensagens de Phishing;
  7. Treine seus usuarios sobre segurança periodicamente;
  8. Monitore o seu ambiente de rede e a navegação Internet dos usuários;
  9. Faça backups periodicamente;
  10. Adote tecnologias baseadas em nuvem, assim a pelo menos parte da responsabilidade em manter o sistema seguro fica sob gestão do provedor de serviços.
Isso, por si só, já ajuda bastante a ficar minimamente seguro.

janeiro 09, 2019

[Segurança] Como foram os eventos de Segurança em 2018

Oba!!! Finalmente chegou a hora de comentar como foram os eventos de Segurança em 2018, uma análise sincera e divertida que eu faço todo o ano sobre nosso mercado. Também aproveito para dar o meu reconhecimento público aos eventos e pessoas que, na minha opinião, se destacaram durante o ano. Eu espero, com esses posts, ajudar na discussão sobre como podemos melhorar cada vez mais o nosso mercado e nossos eventos de infosec.
Importante: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
Antes de mais nada, devo confessar algumas frustrações em 2018:
  • Infelizmente, mais uma vez não fui na Nullbyte. Em 2018 a Nullbyte coincidiu com o dia do Roadsec São Paulo, e muitos de nós fomos obrigados a escolher entre um ou outro evento. A Nullbyte é um evento com excelentes palestras técnicas e que acontece na maravilhosa Salvador, lar do Raul Hacker Clube;
  • Outros eventos que eu gostaria muito de ter ido mas não fui foram o Security Day em Natal, o JampaSec, e a Latinoware. O pior dos casos foi na Latinoware: eu estava agendado para palestrar mas, devido a compromissos no trabalho, não pude viajar na semana da Latinoware :(
Indo ao que interessa, começo esse post compartilhando minhas principais observações sobre alguns dos eventos nacionais em 2018:
  • Os grandes destaques e novidades de 2018
    • O debate sobre segurança na urna eletrônica no MindTheSec: A melhor ação do ano! Os participantes do MindTheSec São Paulo tiveram a oportunidade de assistir, pela primeiraa vez, um debate sobre as urnas eletrônicas com a presença de um representante do TSE, que respondeu perguntas da platéia! Participaram do debate o Chefe da Seção de Voto Informatizado do TSE, Rodrigo Coimbra, e o Prof. Diego Aranha, mediados pelo Anderson Ramos. A democracia agradece!
    • Garotas palestrando: O Roadsec SP conseguiu atrair várias palestrantes mulheres! O esforço fez com que 40% da grade do evento fosse ocupada por garotas! Isso foi algo sensacional, em um mercado dominado por homens e pelo machismo;
    • O CTF está evoluindo: As competições de CTF já estão presentes na grande maioria dos eventos da área, e os nossos times estão se tornando bem fortes!!! Além disso, neste ano a Flipside deu mais uma bola dentro, e transformou o Hackaflag em uma "universidade online", fornecendo uma plataforma gratuita de aprendizagem e treinamento, além de aproveitaram para lançar a primeira plataforma nacional de Bug Bounty;
    • DevSecOps no radar: O tema dominou uma trilha da BSidesSP, além de uma Village inteira e, no final do ano, ganhou um evento independente, organizado pela Flipside com o apoio da Conviso: o code{4}sec. Para ajudar, o OWASP Capítulo São Paulo fez vários Meetups :) 
    • O público gerencial tem gostado muito dos encontros "Mind The Sec Club", eventos fechados organizados pela Flipside. Com pouco merchant e sempre em um local interessante, é uma ótima oportunidade de networking e mais um evento com organização caprichada da Flipside!
    • Os patrocinadores "ponta firme": Novamente, faço questão de agradecer e parabenizar, em nome da comunidade e do mercado brasileiro, as empresas que apoiam os eventos técnicos e de comunidade. Em 2018 eu destaco a presença frequente da Trend Micro Brasil, Conviso e Cipher. Um dos maiores desafios para quem organiza eventos é conseguir bons patrocinadores, que topam apoiar financeiramente e, principalmente, que entendem e respeitam o espírito de cada evento;
    • Os Palestrantes do ano: Mesmo mudando de país, o Diego Aranha foi bem requisitado e esteve presente na maioria dos principais eventos de infosec em 2018! NA minha opnião, também merecem destaque o Spooker (Rodrigo Montoro) e o Felipe Proteus, que participaram de vários eventos (inclusive da BSides Las Vegas) educando o mercado sobre a importância dos Blue Teams;
  • Os melhores eventos de 2018
    • Acredito que tivemos vários eventos excelentes, por isso a escolha de melhor evento é bem difícil. Mas vamos lá...
    • Pela primeira vez, quero destacar o MindTheSec São Paulo no lugar do YSTS na importância para o mercado corporativo. O You Sh0t the Sheriff continua excelente, com ótima grade de palestras e seus ingressos disputadíssimos. Mas o MindTheSec se tornou o principal evento corporativo, com diversas palestras relevantes para esse público, e uma área de exposição com várias empresas relevantes. Eles trouxeram o mitológico Marcus Ranun e, pela segunda vez, o Mikko Hypponen. Merece destaque o surgimento das edições regionais (MindTheSec Summit), em algumas cidades espalhadas pelo Brasil, aproveitando carona com o Roadsec;
    • O Roadsec São Paulo continua gigante! Parabéns e obrigado por trazer o Joe Grand (Kingpin, do L0pht). O evento recebeu 6 mil pessoas, 60 palestrantes divididos em 8 eixos de conteúdo, 40 comunidades, além de 5 shows ao vivo e 22 DJs, em seu 5o ano de sucesso;


    • Security BSides São Paulo (BSidesSP) - Neste ano a BSidesSP pulou de 770 para 1.245 pessoas presentes! Mesmo com esse aumento expressivo de público, o evento correu tranquilamente na PUC-SP, graças a um planejamento cuidadoso e um exército bem organizado de voluntários! Um evento com muito conteúdo, e gratuito. Na minha opinião, mereceram destaque as Villages, que nos permitiram trazer mais conteúdo temático, produzido por comunidades, e também o show dos intervalos: com uma melhor infra-estrutura na quadra de jogos, ele se tornou um verdadeiro show de rock. Salas lotadas e a longa fila do almoço continuam a mostrar que precisamos de um espaço maior. O CTF de 24 horas initerruptas teve alguns contratempos infelizes, durante a madrugada, mas vários times disputaram até o final! Também tivemos dinossauros, um Batman e um Homem Aranha com borda recheada de catupiry, para lembrar que evento nerd pode ser descontraído e divertido!
  • Os bons eventos de 2018
    • Hackers to Hackers Conference (H2HC) - Foi o ano do aniversário da H2HC!!! Ficamos o ano inteiro esperando por ela, aguardando suas excelentes palestras e nos preparando para as tretas! Não decepcionou nas palestras, mas, convenhamos, tivemos poucas tretas e poucos leaks no banheiro nesse ano. Eles tentaram lançar uma área de atividades para crianças, mas como a novidade não foi bem divulgada, acabou atraindo pouca atenção. Espero que continuem com essa iniciativa nesse ano! As duas camisetas da H2HC foram um show a parte! O staff estava com uma camiseta linda, com a famosa frase "Hacker Hackeia". Parabéns!!!

    • Roadsec Regional - As edições regionais cumprem muito bem o papel de levar bom conteúdo para o Brasil afora. É uma pena que neste ano eles diminuíram a quantidade de cidades visitadas, para apenas 10, mas deram uma melhorada nos eventos. A edição de Fortaleza em 2018 atingiu 700 pessoas, batendo todos os Records de público dos Roadsecs regionais!
    • Cryptorave - Continua um evento excelente, na minha opinião, com uma ótima energia e atraindo muita discussão sobre segurança, privacidade e ativismo online. Novamente eles organizaram o evento com financiamento coletivo, e neste ano eles foram para a Cinemateca Brasileira, um espaço muito bonito na Vila Mariana, embora relativamente pequeno para o porte do evento. E, melhor ainda: fizeram vários eventos menores em várias cidades, batizadas de criptofestas, difundindo ainda mais o conhecimento e a preocupação com o vigilantismo online;
    • Não podemos nos esquecer dos bons eventos regionais, como a Nullbyte, o Jampasec, a BWCon e o Security Day em Natal.
  • As ótimas surpresas em 2018
    • Villages na BSidesSP, um espaço dedicado e organizado por comunidades independentes. Tivemos vilas sobre hardware hacking, biohacking, forense e AppSec;
    • Muitas garotas palestrando no RoadSecSP;
    • Novos eventos:code{4}sec e o evento do Bxsec, a comunidade de segurança da Baixada Santista;
    • AppSec e DevSecOps ganhando destaque no mercado de eventos, começando a levar conteúdo direcionado para o time de segurança e para os profissionais de desenvolvimento. Precisamos (muito!) preencher esse gap!!!
  • Sentimos saudades
    • Duas edições da BSidesSP - desde 2017 o evento passou a acontecer uma vez por ano, mas neste ano novamente nos perguntavam frequentemente se haveria uma BSides junto com a H2HC;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, com transmissão online. Mas, apesar da longevidade, tenho o sentimento de que a cada ano ele chama menos atenção da comunidade de infosec;
    • Security Leaders - Na minha opinião este é um evento com conteúdo fraco, com debates superficiais. Mas sempre atrai patrocinadores, que aproveitam a premiação e sua área de exposição para contato com clientes;
  • Não vi mas vou opinar assim mesmo
    • BHack (em Belo Horizonte, MG) - Com palestras de excelente qualidade técnica, espero que recupere o brilho e a importância das primeiras edições;
    • Alligator - Continua sendo o melhor evento da comunidade underground, fechado a 4 chaves, com palestras de grande qualidade técnica restritas a poucos, bem poucos, selecionados;
    • CNASI São Paulo - Sumiu? Não vi, não achei, não lembro.


  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • O show do Roadsec São Paulo: eles abriram o show no final do evento para o público em geral. De repente, o espaço ficou lotado com gente estranha, e acabou aquele clima de confraternização durante e depois do show;
    • As pulseiras do Roadsec São Paulo continuam surpreendendo. São tantas pulseiras VIP diferentes que daqui a pouco eles acabam com todas as cores possíveis. Mas o ridículo mesmo foi ter pulseiras iguais com acessos diferentes! Haviam 2 camarotes da Flipside durante o show, ambas com a pulseira dourada, mas o acesso era limitado a somente um deles, aí você corria o risco passar pelo ridículo de ficar em um camarote e seus amigos no outro;
    • Na categoria "mico", houve quem torceu o nariz para a participação do Youtuber Gabriel Pato no Roadsec São Paulo. Mas a palestra dele estava lotada. Outro mico foi colocar o Professor Nelson Brito num palco minúsculo, de canto, com poucos lugares. A galera se amontoou em volta para tentar assistir a palestra do mito.
Segue então um resumo e minha "premiação" para os destaques dos eventos brasileiros no ano de 2018...


Resumão 2018
Melhores Eventos Brasileiros YSTS, MindTheSecSP, RoadsecSP, H2HC e BSidesSP
Melhor Novidade Mulheres palestrando no RoadsecSP
Maior Surpresa CTF super concorrido da H2HC, premiando com uma viagem para Tokio
Maior Roubada Abrir o show do RoadSecSP para o público em geral
New kids on the block code{4}secBxsec
Festa estranha com gente esquisita O show do RoadsecSP
Maior Mico Colocar o Professor Nelson Brito num palco minúsculo do RoadsecSP
Maior WTF? Cadê os leaks do banheiro da H2HC?
Maior Polêmica Qual é o maior evento de segurança?
Os Patrocinadores Pira Security Leaders e MindTheSec SP
Alternativo BSidesSP e Cryptorave
Visual e Infra Caprichados MindTheSec
Organização Caprichada YSTS e Flipside (MindTheSecs e Roadsecs)
Sumiu? CNASI
Saudades AndSec (Argentina)
Melhor Camiseta H2HC ("Hacker Hackeia")
Melhor Local A charmosa Cinemateca Brasileira (Cryptorave)
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo NullByte, BHack e RoadSec
Não Pode Faltar no seu Evento Uma competição de CTF
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico BSidesSP
Para o Público Ninja H2HC, BHack e Nullbyte
Para o Público Underground Alligator
Para o Público Gerencial MindTheSec e Security Leaders
Para a Baixa Gerencia Security Leaders
Para o CSO Gartner Security & Risk Management Summit; MindTheSec Club
Para Ciber ativistas Cryptorave
Para o Usuário Final DISI e CryptoRave
Para o Povão Roadsec SP
Para quem está começando BSidesSP, Roadsec
Para Crianças BSidesSP (com a BSides 4 Kidz)
Para Competir no CTF H2HC, RoadSec, CTF 24H da BSidesSP
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para comer comida vegana Cryptorave
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP, com quase uma dezena de pulseiras VIPs diferentes
Para ver palestrante gringo e não entender nada H2HC e SaciCon
Para ir de Graça BSidesSP e GTS
Para pagar caro Security Leaders e MindTheSec SP
Para pagar caro em evento ruim Security Leaders
Para Assistir de Casa GTS, DISI
Evento Hostil H2HC e Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Nullbyte, Jampasec, Security Day (Natal), Latinoware
Palestrante gringo mais Pica Grossa Marcus Ranun (MindTheSec SP) e Kingpin (RoadsecSP)
Melhor Palestrante do ano Rodrigo Montoro (Spooker) e Felipe Proteus
Melhores Palestrantes de todos os tempos Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
Palestrante para dar IBOPE no seu evento Diego Aranha
Palestrante arroz-de-festa Diego Aranha ;)
Em 2019 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, AndSec, Ekoparty, 8.8, CCCamp
Em 2019 eu quero ir na... Nullbyte
Em 2019 eu quero viajar para... Defcon (US), CCCamp (Alemanha), 8.8 (Chile), Ekoparty e AndSec (Argentina), BSides Lisboa
Patrocinadores "ponta firme" Conviso, Cipher e Trend Micro

Para saber mais:
  • Veja quais foram os principais eventos de segurança no primeiro e segundo semestres de 2018;
  • Veja meus posts sobre os eventos de segurança nos anos anteriores: 2011, 2013, 2014, 2015, 2016, 2017.

Importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

PS: Pequena atualização em 09/01 para incluir a imagem da camiseta branca da H2HC.

PS (11/01): Um amigo me comentou que a escolha da melhor camisa do H2HC foi injusta. Mas, para corrigir isso, eu vou registrar aqui que a "2a melhor camiseta de evento" vai para a NullByte (Salvador)! Veja abaixo... rs...



janeiro 08, 2019

[Carreira] Carta de Oposição ao SINDPD 2019

Os panetones ainda nem entraram em promoção no supermercado e já chegou a hora de se opor a contribuição mensal ao SINDPD!

Todos os trabalhadores filiados ao SINDPD, ou cuja empresa é filiada (confira isso na sua carteira de trabalho / CTPS), tem o prazo de dez dias úteis, de 07/01 a 16/01, para entregar pessoalmente a carta de oposição a Contribuição Assistencial e a Contribuição Sindical em 2019:
  • Contribuição Assistencial: desconto mensal em folha de 1% do salário, limitado a R$ 40 por mês;
  • Contribuição Sindical em 2019: desconto do equivalente a 1 dia de salário, ocorrido em março do ano vigente.
Atenção: Neste ano, o SINDPD alterou o texto usado no modelo da carta de oposição que usava nos anos anteriores. Veja como ficou a nova redação:


Eu disponibilizei uma cópia desse modelo no meu Dropbox, assim é possível copiar e colar o texto, sem precisar redigitá-lo.

Não se esqueça:

Neste ano, para assustar a galera, o SINDPD publicou uma nota avisando que "[o] trabalhador que assinar e entregar o documento de oposição ao pagamento das contribuições sindical e assistencial ao Sindicato renunciará aos direitos previstos nas negociações coletivas". Esse texto foi incluído no modelo da carta de oposição!

Ou seja, quem apresentar a carta de oposição automaticamente declara também que renuncia aos direitos negociados pelo SINDPD, o que inclui negociações sobre dissídio de salário, direitos a PLR, hora extra, auxílio-creche, etc. Será que isso é ruim ou é FUD? O que isso significa na prática?

Na minha opinião pessoal (posso estar errado!), acredito que essa "renúncia aos direitos conquistados em negociações coletivas" não faça tanta diferença na prática. Isso porque, quando uma empresa cria um pacote de benefícios, ela o faz para todos os funcionários, independente de ser sindicalizado ou não. Ou seja, ou a empresa adere aos "direitos conquistados pelo Sindpd" para todo mundo ou para ninguém. Se você se opôs mas seu colega ao lado não o fez, os benefícios e direitos dentro da empresa são iguais para ambos. Além do mais, na prática, eu até hoje eu só tinha visto vantagem de contar com o sindicato na hora da homologação, pois eles validavam os cálculos da rescisão feitos pela empresa. Entretanto, após a aprovação da Reforma Trabalhista, a rescisão passou a ser feita na própria empresa, no máximo com a presença de advogados do patrão ou do trabalhador. Ou seja, os profissionais nem podem contar com a assistência do Sindicato nessas horas, para validar se os valores rescisórios estejam corretos.

Nota (adicionada em 16/01/19): Sobre esse assunto, vale muito a pena ler esse artigo que saiu no UOL: "Sindicatos querem tirar reajuste salarial de quem não pagar contribuição"

Para saber mais sobre os pagamentos de contribuições no sindicato, como isso foi afetado pela reforma trabalhista e mais algumas dicas, leia esse meu post sobre o assunto.

Informações adicionais:

janeiro 07, 2019

[Segurança] Cybersecurity Culture Maturity Model

O pessoal do MIT criou um modelo para identificar o nível de maturidade do programa de conscientização em segurança das empresas. Batizado de "Cybersecurity Culture Maturity Model"


Eles consideram que a cultura de segurança de uma organização passa por 4 níveis de maturidade:
  1. "Not My Job" - ninguém da organização se preocupa com segurança;
  2. "IT will take care it" - Considera a segurança cibernética como uma responsabilidade da área de tecnologia (TI);
  3. "Managers will make the business secure" - Avalia os riscos de segurança cibernética durante a tomada de decisões de negócios;
  4. "Cybersecurity is everyone’s job" - Os processos e políticas relacionados à segurança cibernética estão integrados a todos os aspectos da organização.
O SANS Institute, por sua vez, considera 5 estágios de maturidade para o programa de conscientização: não existente, focado em atender necessidades de compliance, programas que promovem uma mudança no comportamento, aqueles que promovem uma mudança cultural na empresa, e por último, aqueles maduros o suficiente a ponto de possuir métricas. Me parece que estes 2 últimos estágios de maturidade do SANS correspondem ao último estágio de maturidade na visão do MIT.

Para saber mais:

janeiro 04, 2019

[Cyber Cultura] Fortran no Mainframe

O pessoal do Computer History Museum, nos EUA, recuperou um mainframe IBM 1401 fe 1959 e resolveu testar se ele ainda funciona.

Essa experiência foi gravada em um vídeo bem legal que está disponível no canal deles. Inicialmente a eles tiveram que carregar o compilador Fortran estava armazenado em uma fita magnética. O código fonte do programa foi lido através de cartões perfurados, aonde cada cartão continha uma linha do código-fonte. Tudo isso comandado a partir do painel mecânico do IBM 1401. Todas as informações sobre execução do programa (código fonte, os dados de entrada e o resultado) eram vistos através de uma impressora.


O vídeo é uma pequena viagem no tempo! Ele tem aproximadamente 25 minutos, onde nos primeiros 15 minutos eles mostram como foi a execução do programa, e no final eles mostram alguns detalhes de como toda experiência foi feita.

janeiro 02, 2019

[Segurança] Previsões e Tendências para 2019

Fim de ano, hora de fazer as promessas para o ano novo e, porque não, aproveitar e discutir sobre quais são as principais tendências no mercado de segurança que vão ser relevantes para 2019.


Primeiro, vou começar com as previsões óbvias, aquelas que qualquer criança poderia fazer, mas provavelmente encontraremos em vários artigos de fabricantes e fornecedores de segurança. Cada vez que você ver alguém citando essas previsões, um panda morre.
  • Os ataques DDoS vão aumentar (sempre aumentam!);
  • Ataques de ransomware continuarão em alta (os criminosos ganham muito dinheiro com isso, e existem muitas máquinas vulneráveis por aí!);
  • Aumento das fraudes online - nada demais, sempre aumenta! Só merece destaque mesmo se surgiralgum novo tipo de golpe que possa, realmente, mudar o cenário de ataques. Em 2017 e 2018, por exemplo, tivemos as mega-fraudes baseadas em transferências através da rede SWIFT, exploradas por grupos extremamente sofisticados;
  • Dispositivos IoT continuarão vulneráveis, alimentando grandes botnets (deve demorar muito ainda para a indústria produzir dispositivos IoT minimamente seguros);
  • Duvide de quem falar sobre os malwares do tipo "cripto mineres". Eles ganharam muito destaque em 2018, mas a queda das moedas virtuais tirou a graça dessa praga.
Eu aposto as minhas fichas nas seguintes tendências:
  • Continuaremos com frequentes vazamentos de dados e começaremos a ver uma maior reação do mercado, frente as primeiras punições baseadas na GDPR;
    • Lembre-se: no Brasil  a LGPD só vai entrar em vigor em Agosto/2020, logo as primeiras punições aos vazamentos de dados vão surgir a partir das iniciativas do Ministério Público de investigar tais fatos;
    • A preocupação com privacidade deve dominar as empresas (por conta dos vazamentos e legislações)
    • Os seguros contra ciber ataques devem continuar numa crescente demanda, principalmente como forma das empresas tentarem minimizar os prejuízos com vazamentos de dados;
    • Vazamento de dados como chantagem: Uma possibilidade é que ciber criminosos, ao acessar dados de enpresas, optem por chantageá-las, pedindo dinheiro em troca de não divulgar a invasão. Assim, a empresa pagaria ao ciber criminoso em vez de arcar com as multas relacionadas ao vazamento - valor que, de acordo com a GDPR, pode valer 4% do faturamento anual da empresa!
  • A falta crônica de profissionais de segurança está causando vários impactos a curto e médio prazo no mercado:
    • Estimular cada vez mais a automação de tarefas (através de projetos e ferramentas específicas), para que os profissionais sejam deslocados para funções mais prioritárias;
    • Favorecer o mercado de terceirização e serviços gerenciados (MSS), além da adoção de Cloud Computing, desta forma a prestadora de serviços pode racionalizar e compartilhar os recursos humanos, e a empresa economiza head counts;
    • Aquecimento do mercado, com aumento médio dos salários, trocas de emprego mais frequentes. Um sintoma negativo disso é que facilmente encontramos profissionais com pouca experiência de mercado mas que rapidamente alcançam nível Sênior na carreira ou posição de gestão. Assim, temos profissionais pouco preparados e sem maturidade o suficiente para atuar em suas funções;
    • Maior esforço para captação de novos profissionais, através de ações para atrair pessoas para a área de segurança, incluindo a realocação de profissionais de outras áreas da empresa para a área de infosec.
  • O mercado vai continuar apostando nas seguintes tecnologias, que devem amadurecer em 2019: reconhecimento facial, Inteligência Artificial e Machine Learning;
    • O mercado também está focando muito em melhorar as tecnologias de autenticação (2FA, MFA e biometria facial) e de proteção de Endpoint;
    • Eu acredito que a segurança no desenvolvimento de software está em alta, então vamos ver a valorização de profissionais relacionados a AppSec e DevSecOps;
    • Aqui no Brasil, esse vai ser o ano do Bug Bounty: nós vamos entrar (atrasados) no mercado de remuneração por descoberta de vulnerabilidades, com as primeiras empresas nacionais entrando de cabeça nesse mercado através de parcerias com a Hackerone, Bugcrowd e, claro, graças a iniciativa corajosa da Flipside em criar o Hackaflag BugBounty;
  • Vai aumentar o debate sobre as regulamentações e legislações relacionadas ao mundo online, privacidade, ciber crime e uso de tecnologias. Isso vai acontecer por conta do mercado sentir o impacto da GDPR e pelo surgimento de legislações exdrúxulas, como a lei australiana que exige o acesso a comunicações criptografadas;
  • Esqueça Blockchain: não vai dar em nada, de novo. Blockchain vai continuar como uma das buzzwords favoritas da indústria, gurus e startups, mas duvido que surgirá alguma aplicação real, em larga escala, e realmente útil.

Observação (adicionado em 07/01/19): Em 2019 devemos ver um grande crescimento nos casos de fraude em pagamentos com cartões de crédito sem contato. No tipo de frade mais simples, criminosos podem aproveitar que esses cartões não pedem autorização com senha para pagamentos de baixo valor (até R$ 50, aqui no Brasil). Com isso, um criminoso pode fazer várias transações pequenas com um cartão roubado antes dele ser bloqueado pela vítima.



Artigos relacionados:


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.