abril 29, 2019

[Segurança] Fraude de Identidade

No mercado de segurança falamos muito de Roubo de Identidade, que é quando alguém obtém dados pessoais de terceiros, de forma ilícita (através de um vazamento de dados, ou acesso aos documentos pessoais da vítima, por exemplo).

A Fraude de Identidade é o próximo passo, ela acontece quando dados pessoais são usados por terceiros para diversos tipos de fraude em nome da vítima, como por exemplo para uma compra ou para firmar negócios sob falsidade ideológica, ou quando o fraudador obtém crédito em nome da vítima sem a intenção de honrar os pagamentos.

De acordo com a Serasa Experian, basta perder um documento pessoal para dobrar a probabilidade de o cidadão ser vítima de um golpe. Eles tem um relatório anual, o Indicador de Tentativas de Fraude da Serasa Experian, que indica que o Brasil encerrou 2017 com 1,964 milhão de tentativas de fraude de identidade, o que significa...

Uma tentativa de fraude a cada 16 segundos!


As principais tentativas de golpe usando uma identificação falsa ou roubada, segundo o estudo da Serasa Experian são:
  • Compra de celulares com documentos falsos ou roubados;
  • Emissão de cartões de crédito: o golpista solicita um cartão de crédito, deixando a dívida em nome da vítima e o prejuízo para o banco emissor do cartão;
  • Compra e financiamento de eletrônicos no Varejo: o golpista compra um bem eletrônico (TV, aparelho de som, celular etc.) usando uma identificação falsa ou roubada, além de meios de pagamento fraudulentos. A dívida e a fraude ficam em nome da vítima;
  • Abertura de conta bancária: golpista abre conta em um banco usando uma identificação falsa ou roubada. Neste caso, toda a “cadeia” de produtos oferecidos (cartões, cheques, empréstimos pré-aprovados, etc) potencializa possível prejuízo às vítimas, aos bancos e ao comércio;
  • Compra de automóveis: golpista compra o automóvel, deixando a dívida em nome da vítima;
  • Abertura de empresas: dados roubados também podem ser usados na abertura de empresas, que serviriam de fachada para a aplicação de golpes no mercado.
Segundo os economistas da Serasa Experian, com o mercado de crédito mais aquecido, é possível que os golpistas estejam mais incentivados a aplicar fraudes, já que momentos de maior fluxo de pessoas podem ser considerado como ambiente propício pelos fraudadores.

abril 28, 2019

[Segurança] CryptoRave 2019 com várias novidades

A CryptoRave 2019 acontece no próximo final de semana prometendo trazer, durante mais de 24 horas seguidas, muitas atividades sobre segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede. Nesta, que será a sexta edição, a CryptoRave vem com várias novidades:
  • Eles conquistaram 135% da meta do financiamento coletivo, arrecadando R$ 94 mil com mais de 440 apoios. Essa é a maior arrecadação da CryptoRave até hoje! \o/
  • Esta edição acontecerá na Biblioteca Mário de Andrade, perto do metrô Anhangabaú
  • É necessário se inscrever previamente, através desse site. Apresente o ticket no seu celular ou impresso no dia da CryptoRave na banca de inscrição



A participação na CryptoRave é gratuita e todas as atividades são abertas ao público. Eles já estão com Mais de mil pessoas inscritas no evento!

Anote aí as informações principais da sexta edição da CryptoRave:
Veja mais informações no site do evento, no twitter @cryptoravebr e na página deles no Facebook.

Atualização em 03/maio:

Durante mais de 24 horas você poderá curtir e participar de mais de 130 atividades! Veja mais algumas dicas:

  • Respeite o Código de Conduta da CryptoRave
  • Entrada: Entre 00h e 8h da manhã, apenas pessoas inscritas acessarão a Biblioteca Mário de Andrade. 
  • Não deixe seus pertences jogados. O espaço é público e haverá grande movimentação no dia. Você é responsável pela segurança dos seus objetos.
  • A equipe voluntária e organizadora estará vestindo uma camiseta pink da CryptoRave.
  • Baixe o App para Android com a programação! No sábado, as salas AARON SWARTZ, IAN MURDOCK, RODAS DE CONVERSA 1 E 2 acontecerão no prédio da Hemeroteca, na Rua Dr. Bráulio Gomes, 125
  • A After Party acontecerá no espaço Trackers (sábado a partir das 23h), na Rua Dom José de Barros, 337, República
  • Em caso de dúvidas, veja a FAQ


abril 16, 2019

[Segurança] Novidades do Roadsec São Paulo

O Roadsec São Paulo vai ser no dia 23 de Novembro, mas a galera já está anunciando as novidades da edição deste ano! E as duas principais novidades são bem quentes:
  • O keynote será o Peiter Zatko (conhecido como Mudge), que fez parte do 10pht, um dos grupos hackers mais importantes de todos os tempos. Ele foi o autor do software de quebra de senhas L0phtCrack. Em 2018 o Roadsec trouxe outro membro do l0pht, o Joe Grand (Kingpin).
  • A banda CPM22 fará o show de encerramento do evento!

O Roadsec é o maior "festival hacker" da América Latina, com quase 24h de duração, mais de 60 palestrantes, 40 atividades e oficinas, além de uma feira de recrutamento e da competição final do Hackaflag, o CTF oficial do Roadsec com seus vencedores das etapas regionais. Possui uma área de exposição, food trucks e lojinhas.

O Roadsec São Paulo 2019 está com o Call For Papers aberto, e os ingressos também já estão a venda, com lote promocional que dá 10% de desconto.

Anote aí:

  • Data: 23/11/2019
  • Local: Audio Clube, Av. Francisco Matarazzo, 694 Barra Funda (São Paulo/SP)

abril 15, 2019

[Segurança] DDoS: Uma imagem que vale por mil palavras

Achei no site Giphy um gif animado que podemos utilizar para representar o conceito de ataques de negação de serviço, tanto DoS quanto DDoS:


abril 11, 2019

[Segurança] As Normas ISO/IEC de Segurança da Informação

O pessoal da ISO/IEC possui uma família gigante de normas relacionadas a segurança da informação, a "Família 27000".

Para facilitar a nossa vida, podemos encontar essa lista como parte da norma "ISO/IEC 27000:2018 Information technology — Security techniques — Information security management systems — Overview and vocabulary". E, o melhor ainda, podemos visualizar a lista de normas, na seção de Bibliografia dessa norma.

No site da ISO, podemos visualizar uma pequena parte da norma 27000, que felizmente inclui as Bibliografias, e a partir dela podemos identificar todas as normas que fazem parte da família 27000:
  • ISO/IEC 27000:2018, Information technology — Security techniques — Information security management systems — Overview and vocabulary
  • ISO/IEC 20000-1:2011, Information technology — Service management — Part 1: Service management system requirements
  • ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements
  • ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls
  • ISO/IEC 27003, Information technology — Security techniques — Information security management — Guidance
  • ISO/IEC 27004:2016, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
  • ISO/IEC 27005, Information technology — Security techniques — Information security risk management
  • ISO/IEC 27006, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
  • ISO/IEC 27007, Information technology — Security techniques — Guidelines for information security management systems auditing
  • ISO/IEC TR 27008, Information technology — Security techniques — Guidelines for auditors on information security controls
  • ISO/IEC 27009, Information technology — Security techniques — Sector-specific application of ISO/IEC 27001 — Requirements
  • ISO/IEC 27010, Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
  • ISO/IEC 27011, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations
  • ISO/IEC 27013, Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000‑1
  • ISO/IEC 27014, Information technology — Security techniques — Governance of information security
  • ISO/IEC TR 27016, Information technology — Security techniques — Information security management — Organizational economics
  • ISO/IEC 27017, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
  • ISO/IEC 27019, Information technology — Security techniques — Information security controls for the energy utility industry
  • ISO/IEC 27021, Information technology — Security techniques — Competence requirements for information security management systems professionals
  • ISO 27799, Health informatics — Information security management in health using ISO/IEC 27002
  • ISO Guide 73:2009, Risk management — Vocabulary
PS: Eu mantive a nomenclatura oficial (ou seja, "burocrática") das normas.
PS/2: Eu mantive algumas normas relacionadas a segurança, mesmo não sendo parte da família 27000.

Vale a pena lembrar que a ABNT mantém uma versão Brasileira das normas ISO, traduzindo e, quando necessário, adaptando-as a nossa realidade.

PS-3 (Atualizado em 10/05/2021): O blog Minuto de Segurança publicou um artigo em Março de 2021 com uma lista extensa de normas ISO relacionadas a SI: "ISOs Relacionadas à Segurança da Informação. Você sabe quantas existem?". A relação deles é muito mais completa e genérica, tanto é que a minha lista acima tem 22 normas, e a deles, 183 !!!

abril 10, 2019

[Segurança] A BSidesSP 2019 vem aí...

Neste ano teremos a décima sexta edição da conferência Security BSides São Paulo, a BSidesSP, um evento gratuito sobre segurança da informação e cultura hacker, com profissionais e pesquisadores de segurança, estudantes e "kackers" de todas as idades.

A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 25 países. E fomos a primeira BSides no Brasil e na América Latina.

O evento acontecerá nos dias 25 e 26 de Maio de 2019 (Sábado e Domingo), com diversas palestras, oficinas, villages, competições e mini-treinamentos. Seguiremos o mesmo formato das edições anteriores:
  • Sábado (dia 25/05): dia dedicado a mini-treinamentos no período da tarde e início da competição de CTF;
  • Domingo (dia 26/05): Evento completo, a partir das 10h da manhã, com palestras, mini-oficinas, atividades para crianças e as Villages. Show nos intervalos, com comes e bebes gratuitos.
Se você correr, ainda dá tempo de propor uma atividade para a BSidesSP, pois o "Call For Papers" vai até hoje, 10/04. Pode ser uma palestra, uma oficina, mini-curso ou Lightning talk. Pode propor também uma Village, um espaço dedicado para atividades organizadas pela comunidade, dentro de um tema específico. Veja aqui o nosso formulário de "Call for Papers" (CFP).

Se possível, aproveite e vá conhecer também a BSides Vitória, que acontece pela primeira vez nesse ano, no dia 18 de maio (veja meu post aqui).

Para saber mais:

abril 09, 2019

[Segurança] Foi dada a largada para a H2HC 2019

É isso mesmo!

Ainda estamos em Abril, mas a H2HC já está na boca do povo!

Desde ontem foi liberado o primeiro lote de inscrições para a H2HC, que rapidamente esgotaram algumas vezes, sempre com o pessoal da organização liberando um pouco mais de ingressos. O Call For Papers também já está aberto! Veja aqui!


Já podemos dizer algumas coisinhas sobre a 16ª edição da H2HC:
  • A H2HC vai acontecer nos dias 26 e 27/10/2019 (sábado e domingo)
  • Neste ano vão realizar em um novo local, maior e mais facilmente acessível via transporte público: o Novotel Center Norte (Av. Zaki Narchi, 500, na Vila Guilherme)
  • A trilha principal será em um auditório para 600 pessoas, e o H2HC University acontecerá em paralelo, emula sala com capacidade para 200 pessoas.
  • Datas importantes:
    • 17 de julho: Prazo para submissão de propostas
    • 24 e 25, 28 e 29 de outubro: Treinamentos H2HC
    • 26 e 27 de outubro: H2HC 16ª Edição
Aproveite para entrar no grupo da H2HC no Telegram.

[Segurança] Segurança em camadas e Castelos Medievais

Provavelmente não existe um conceito mais antigo na área de segurança da informação do que a "defesa em camadas", que frequentemente é ilustrado com imagens de castelos medievais. Afina, não há nada mais impressionante, nem bonito, do que as estruturas de defesas que eram construídas para proteger os castelos antigamente.

Os castelos não eram apenas uma grande muralha construída em torno de uma cidade ou da residência de um nobre. Usada como uma peça fundamental para proteção e defesa, a arquitetura dos castelos medievais evoluiu para incluir mais e diferentes tipos de proteção. De um simples muro, evoluíram para um sistema de duas paredes, e depois paredes múltiplas, chegando a empregar várias camadas de defesa e diferente mecanismos de proteção.


Enquanto eu preparava uma apresentação sobre conceitos básicos de gestão de segurança, resolvi procurar no Google por imagens de castelos, e não consegui parar de ver as imagens impressionantes que achei.


               

Anotei alguns sites para deixar na manga:
Pequeno bônus:


abril 03, 2019

[Segurança] As nossas senhas do Facebook, exposed!

OBS: Post atualizado e levemente reescrito, pois saiu uma nova notícia de vazamento de dados do Facebook logo depois que foi publicado. Era para ser um artigo desatualizado, mas os Deuses dos Vazamentos de Dados tornaram ele super atual!

Quem diria, mais de uma semana depois de explodir a notícia de que funcionários do Facebook tinham acesso a senhas dos usuários, ficamos sabendo que foram descobertas algumas bases de dados expostas na Amazon com informações dos usuários do Facebook.

Resumindo isso tudo: a história da semana passada é que haviam encontrado dados expostos de usuários em servidores internos do Facebook, dentro da rede deles. Agora, a bomba é que encontraram dados armazenados em servidores na nuvem, e nesse caso são daqueles aplicativos que ficavam pegando dados da galera em troca de falar alguma baboseira sobre você.

A história surgiu primeiro no dia 21 de março no blog KrebsOnSecurity, do excelente jornalista Brian Krebs. Em seguida ela se espalhou pela imprensa, incluindo uma reportagem da WIRED, e foi posteriormente confirmada pelo próprio Facebook. A notícia parecia bizarra demais para ser verdade, mas era verdade mesmo: funcionários do Facebook tinham acesso as senhas dos usuários, e elas eram armazenadas em aberto.

Segundo o artigo do Brian Krebs, um funcionário do Facebook lhe contou, sob condição de se manter anônimo, que a empresa estava passando por uma investigação interna pois descobriram que os funcionários criaram diversos aplicativos internos que registravam dados de acesso dos usuários do Facebook os armazenavam em servidores internos da empresa. Entre as informações coletadas por esses scripts marotos, também estavam as senhas não criptografadas dos usuários, que além de serem coletadas, eram armazenadas em texto simples!


Como resultado, as senhas de algo em torno de "centenas de milhões" (entre 200 milhões e 600 milhões) de usuários do Facebook estavam armazenadas em aberto e acessíveis por milhares de funcionários do Facebook. Em alguns casos, as senhas eram antigas, até 2012. Também foram afetados os usuários do Facebook Lite e do Instagram. Segundo Krebs, cerca de 2.000 engenheiros ou desenvolvedores do Facebook fizeram aproximadamente nove milhões de consultas nessas bases de dados.

O Facebook, em sua defesa, disse que "essas senhas nunca foram visíveis para ninguém fora do Facebook e não encontraram nenhuma evidência de que alguém interno tenha abusado ou acessado indevidamente essas senhas".


A Wired correu em sugerir que todo mundo trocasse a sua senha no Facebook imediatamente. Afinal, o fato do Facebook dizer que não detectaram abuso no acesso a essas senhas não quer dizer que o acesso e o uso indevido não aconteceu ou que não poderá acontecer algo no futuro. As informações estavam disponíveis, logo qualquer funcionário mal intencionado pode ter copiado as senhas que teve acesso. Isso impacta não apenas o nosso login do Facebook e do Instagram, mas por tabela essas senhas podem ser utilizadas em qualquer outro serviço online que use o login no Facebook para autenticação.

Sarcasmo: Pelo menos essa história serviu para aprendermos algo novo...


No dia 03 de abril, ficamos sabendo que uma empresa identificou informações de usuários do Face armazenadas em duas bases de dados na Amazon, expostas ao público na Internet, sem proteção. A maior base continha registros de mais de 540 milhões de dados de usuários, pertencentes a empresa mexicana Cultura Colectiva. Estas informações incluíam nomes de perfis, comentários e reações. A outra base de dados, bem menor, pertencia ao extinto aplicativo "At the Pool", e continha, entre outras coisas, fotos e senhas de 22 mil usuários.


Nesse caso, a culpa não é diretamente do Facebook. Até antes de estourar o escândalo da Cambridge Analytica, existiam centenas (ou milhares?) de empresas e desenvolvedores que criavam aplicativos capazes de interagir com a plataforma do Facebook e coletar grandes quantidades de dados de usuários. Apesar da coleta ser consentida pelos usuários ("usuário sendo usuário": "você troca seus dados por um gig engraçadinho?"), não havia controle sobre como esses terceiros coletavam, usavam, armazenavam e protegiam essas informações. E, pelo que acabamos de ver, muitas dessas bases estão esquecidas por aí, desprotegidas e expostas na Internet :(


Para saber mais:

abril 02, 2019

[Segurança] Vamos apoiar a CryptoRave 2019

É hora de ajudarmos a CryptoRave 2019!

Até 12/04 eles estão com uma campanha de arrecadação no Catarse para bancar os custos do evento.


A CryptoRave é um evento aberto e gratuito com praticamente 36 horas consecutivas de atividades, incluindo palestras, oficinas, debates e uma festa. É um evento voltado para que hackers, ativistas, cypherpunks, estudantes, nerds e qualquer pessoa interessada possa discutir e aprender sobre segurança online, proteção de dados pessoais e ciber ativismo. Por ser um evento muito focado na defesa das nossas liberdades online, fala-se muito sobre segurança, criptografia, hacking, software livre, anonimato e privacidade.

A edição deste ano acontecerá entre os dias 03 e 04 de maio (sexta e sábado), em São Paulo (o local exato ainda não foi divulgado). O evento começa às 19 horas da sexta-feira (dia 03/05) e deve ir noite adentro até o final do sábado.

Na minha opinião, o mais legal de tudo é que a CryptoRave é um evento organizado de forma voluntária e independente, através de uma política de doações e financiamento coletivo. É possível fazer colaborações no Catarse a partir de R$ 15, com várias recompensas legais, de acordo com o valor doado.


Não perca tempo:

[Cyber Cultura] Notícias de 1o de Abril

Esse é um dia divertido para acompanhar as notícias divulgadas pelas empresas e portais de tecnologia.


No Garoa, nós anunciamos a demolição da sede do Garoa (notícia fake, mas baseada em fatos reais, pois nossa sede precisa mesmo de uma reforma) e também colocamos uma tela de login para acessar a nossa página. A senha era garoa / 1abril.


Aqui no Blog, eu anunciei que "descobri" qual seria o show do Roadsec São Paulo, e também divulgamos quem seria o keynote da BSides São Paulo:


A primeira notícia que eu vi, na verdade, foi sobre o anúncio do ator que fará o próximo filme do Batman:


O pessoal do Google todo ano adora lançar novos produtos neste dia. Dessa vez, não foi diferente! Eles anunciaram o Google Tulip, um produto capaz de entender a linguagem das plantas, o recurso Screen Cleaner, que permite limpar a tela do seu celular usando o app Files, e incluíram no Google Maps o jogo da Serpente, da Nokia.




Temos que tomar cuidado, pois as vezes as piadas são mais divertidas do que o mundo real...


Veja algumas notícias sobre as diversas pegadinhas ao redor do mundo:
PS: Pequena atualização em 02/04.

abril 01, 2019

[Segurança] Descubra quem vai tocar no show do Roadsec São Paulo !!!

O pessoal do Roadsec divulgou recentemente um vídeo promocional da temporada 2019, aonde eles falam sobre o calendário completo de edições, contam que já tem keynotes internacionais confirmados e que os ingressos já estão disponíveis no site com preço promocioal.


Como sempre, o vídeo é bem feito e faz bem o papel de divulgar o evento!

Mas... agora vem a novidade bombástica!!! Quem olhou com cuidado esse vídeo talvez tenha conseguido perceber que, em um único frame, no momento em que o vídeo mostra o show de 2018 em São Paulo, tem um spoiler (ou easter egg, se preferir): é possível ver quem vai ser a banda (ou melhor, a dupla de cantores!) que vai fazer o mega show de encerramento na edição de São Paulo do Roadsec 2019:




Será mesmo? Sandy Júnior no Roadsec São Paulo !?!?!?!?


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.