setembro 30, 2019

[Segurança] Cyber Security Awareness Month

Outubro é normalmente considerado o mês para conscientização de segurança, o "Cyber Security Awareness Month" um período do ano em que muitas empresas ao redor do mundo aproveitam para realizar ações de conscientização para seus clientes e funcionários sobre segurança online e proteção contra fraude.

Essa é uma tradição muito comum nas empresas e agências de governo nos EUA e em vários países europeus. O pessoal do Department of Homeland Security, por exemplo, tem uma página sobre essa data, assim como o CERT-US, com um hotsite bem completo, com  materiais de conscientização disponíveis online, e também oferece um "toolkit" que detalha várias sugestões e dicas de como realizar ações de conscientização e temas a serem abordados durante o mês.

Nos EUA, as campanhas de conscientização deste ano estão sendo coordenadas para utilizar as hashtags #BeCyberSmart e #CyberAware.


Vamos aproveitar o embalo e fazer algumas ações de conscientização nas nossas empresas? Escolha um dia, ou uma semana de Outubro, e foque em realizar algumas ações, tais como palestras, workshops, jogos, brindes, etc.

Para saber mais e pegar várias idéias e conteúdos legais:

[Carreira] WOMCY – LATAM Women in Cybersecurity

Pela importância do tema, eu vou descaradamente copiar e colar o post escrito pelo meu amigo Raul Candido em seu site Hackerculture, sobre o primeiro encontro do capítulo brasileiro da comunidade LATAM Women in Cybersecurity (WOMCY):

A galera aqui do Hacker Culture participará do Kick-off do capítulo brasileiro da WOMCY – LATAM Women in Cybersecurity! Convidamos a todos os profissionais de cibersegurança e nossos caros leitores para saber mais sobre a WOMCY. Este evento contará com a presença de nossa CEO e fundadora, Letícia Gammil, bem como da lider do capitulo brasileiro, Andréa Thomé.
A WOMCY é a primeira organização sem fins lucrativos da América Latina, formada por profissionais de segurança cibernética e com o objetivo de aumentar a presença de mulheres na segurança cibernética em todas as organizações latino-americanas. O WOMCY promove a criação de redes, a orientação e a entrega de programas especiais para ajudar a promover a carreira e a conscientização da segurança cibernética.
Quando: Quinta, 3 de outubro de 2019 das 17:30 às 20:30
Onde: Cisco do Brasil
Avenida das Nações Unidas, 12901 – Torre Oeste – 26o andar – Brooklin São Paulo, SP
Inscrições: Online

O WOMCY promove networking, mentoria e desenvolvimento profissional para mulheres que iniciam sua carreira em segurança cibernética ou que já possuem uma carreira estabelecida. Para aqueles que estão apenas começando sua carreira ou pesquisando carreiras de segurança cibernética, o WOMCY fornece suporte e rede para ajudar suas habilidades e associar um novo membro a um líder experiente por meio de uma comunidade de suporte.
Agenda:
17:30 às 18:00 – Credenciamento e networking
18:00 às 19:00 – O que é WOMCY?
– O que é ser WOMCY?
– Programas que oferecemos para empresas, escolas, universidades, associações e profissionais do mercado
– Passos para fazer parte de WOMCY
19:00 às 20:00 – O capítulo brasileiro WOMCY
– Oficialização do 1º time de gestão e de voluntários
– Proposta de ações e plano de roll-out no mercado brasileiro
20:00 às 20:30 – Networking e encerramento Se você não puder participar deste evento fica a sugestão para que participe do VII Security Day e encontre a Andréa Thomé por lá 😉

Precisamos incentivar a participação de mais mulheres na área de segurança e, claro, em tecnologia como um todo. Além disso, é muito importante tornar cuidado para manter um ambiente de trabalho mais respeitoso e inclusivo.

Não existe a menor razão para qualquer tipo de discriminação profissional em razão do sexo, cor de pele, opção sexual, ou qualquer outro fator. Na história da ciência, tecnologia, e da computação existem diversos exemplos de mulheres que se destacaram e trouxeram grande contribuição para o conhecimento.

setembro 27, 2019

Posts que não foram escritos

Artigo bem legal: "Como obtive dados de todos os participantes da maratona IBM Behind The Code"
  • Resumindo: "Gere logs de erros para consumo interno dos desenvolvedores — Nunca exponha exceptions e stacktraces."
Artigo muito bom da The Hack: "Conhecendo um pouco mais sobre o serviço Amazon S3"

Sobre os vazamentos de dados do Banco Inter:


Análise interessante de um vazamento de dados que expos documentos internos do FBI: "Out of Commission: How the Oklahoma Department of Securities Leaked Millions of Files"

Um vazamento de dados que mostra que não podemos confiar nem nos X-9s: "Thousands of people trusted Blind, an app-based “anonymous social network,” as a safe way to reveal malfeasance, wrongdoing and improper conduct at their companies. But Blind left one of its database servers exposed without a password, making it possible (for anyone who knew where to look) to access each user’s account information and identify would-be whistleblowers."

Treta sobre várias vulnerabilidades críticas no iPhone / iOS:
A propósito, o lançamento do iPhone 11 gerou muita zoeira...





setembro 25, 2019

[Segurança] O que fazer se você foi vítima de vazamento de dados?

Eu achei um artigo no blog da Avast que, ao falar sobre o vazamento de dados da Netshoes, ele cita algumas dicas sobre o que fazer se você foi vítima de vazamento de dados. Eu gostei da iniciativa e resolvi escrever esse artigo baseado nessas dicas.

Se você desconfia que suas informações pessoais foram roubadas ou vazadas de algum site, prepare-se para uma potencial dor de cabeça, caso comecem a usar seus dados para fraudes. 

Na prática, infelizmente, há pouco o que possa ser feito para prevenir que seus dados sejam usados para fraudes. Mesmo assim, veja abaixo uma lista de dicas, baseado no artigo do pessoal da Avast, com alguns comentários extras que eu coloquei:
  1. Descubra que seus dados foram vazados: Talvez você só descubra isso da pior forma: quando chegar uma cobrança para você, de uma compra ou financiamento que nunca fez. Mas existem alguns serviços gratuitos e pagos que podem te ajudar a descobrir se seus dados vazaram, como por exemplo:
    • Monitore suas transações de cartão de crédito e seu extrato bancário com frequência - acompanhe o seu saldo e verifique seus extratos e, melhor ainda, alguns bancos permitem que você receba SMS toda vez que realizar uma transação. Fique atento  e procure por cobranças, compras ou saques estranhos;
    • Have I Been Pwned: esse site, gratuito, te avisa se o seu e-mail e senha constam em algum vazamento de dados;
    • Registrato: este serviço do Banco Central permite consultar relatório de dívidas, operações de câmbio e informações sobre contas em bancos, inclusive dados sobre chaves do Pix. É útil para identificar se fraudadores criaram contas de laranja em seu nome;
    • Cadastro Pré: nesse site é possível verificar se as operadoras de celular tem alguma linha telefônica pré-paga ativa em nome do seu CPF (veja mais informações nessa página da Anatel);
    • Serasa: eles possuem alguns serviços para pesquisar sobre seus dados:
      • o "Limpa Nome" (gratuito, mas precisa de cadastro) permite consulta se tem alguma dívida associada ao seu CPF;
      • AntiFraude (pago), que promete monitorar o seu CPF, e-mail, celular e passaporte em sites da Dark Web.
  2. Determine quais informações foram comprometidas: O segredo é saber de onde seus dados foram roubados e exatamente o que aconteceu com a empresa que sofreu o vazamento. Se você souber qual empresa ou serviço foi a origem do vazamento de dados, o próximo passo é avaliar o seu potencial risco, baseado nas informações que vazaram (ex: CPF, telefone, endereço, dados de familiares, etc) - mas se esses detalhes não forem fornecidos, faça sua própria avaliação de tudo que você compartilhou com essa empresa e, por segurança, suponha que todos os seus dados naquela empresa ou site foram comprometidos. Se a origem do vazamento não for conhecido, tente identificar pelo menos quais informações foram expostas;
  3. Revise e proteja todas as senhas: Aproveite a oportunidade e o susto para revisar as suas senhas. Veja algumas dicas importantes: 
    1. Crie senhas novas e fortes e evite reutilizar qualquer uma delas;
    2. Use uma frase única para cada login de conta e faça com que ela seja a mais inviolável possível;
    3. Use um aplicativo gerenciador de senhas para automatizar o gerenciamento das mesmas: ele permite criar senhas complexas e armazenar de forma segura as senhas dos sites que utiliza;
    4. Nunca use dados pessoais como senhas ou como parte de suas senhas. Não use datas de nascimento nem datas comemorativas, nem nomes e apelidos, e nem informações sobre seus hobbies e gostos pessoais;
    5. O mais importante: use autenticação de 2 fatores sempre que possível;
    6. Lembre-se de ativar a senha do seu Whatsapp (a "Verificação em Duas Etapas") - veja aqui como fazer (veja o vídeo);


  4. Cuidado com links em emails ou mensagens de texto. Os cibercriminosos usam mensagens de phishing direcionados, inclusive, a quem teve seus dados roubados recentemente. Tome cuidado se você receber algum email ou mensagem de texto que diz estar relacionado a um vazamento, e tome cuidado redobrado se fornecer um link para clicar! Ou melhor: Não clique! Entre em contato direto com a empresa, por telefone ou e-mail, para obter informações sobre o vazamento de seus dados;
  5. Em caso de roubo de dados de cartão de crédito ou débito, entre em contato imediatamente com o banco: Se há a suspeita de que seus números de cartão de crédito ou débito foram vazados, entre em contato com seu banco imediatamente para cancelar o cartão e receber um novo. Alguns aplicativos bancários permitem que você bloqueie temporariamente o seu cartão, então faça isso antes mesmo de ligar para o banco! Está sem sinal telefônico, ou sem celular? Vá até um caixa eletrônico e veja se consegue bloquear seu cartão, pois muitos caixas permitem fazer isso mesmo sem a posse do cartão do banco. Aproveite e troque também a senha do seu cartão;
  6. Em caso de roubo de dados relacionados ao seu documento de identidade ou carteira de habilitação, faça um boletim de ocorrência: Caso o ataque tenha atingido um banco de dados em que você registrou algum documento pessoal, faça imediatamente um boletim de ocorrência na delegacia mais próxima. Em alguns Estados podemos fazer o B.O. pela Internet;
  7. Acompanhe o saldo e seu extrato bancário com frequência, e entre em contato com o banco imediatamente se perceber alguma transação suspeita;
  8. Desconfie sempre e seja paranóico. Como seus dados pessoais foram vazados, fraudadores podem tentar entrar em contato com você por telefone ou redes sociais para obter mais informações ou acesso a sua conta no WhatsApp ou em bancos. Por isso, sempre desconfie se receber ligações de pessoas pedindo seus dados ou informações sobre suas contas e senhas, mesmo que elas se identifiquem como funcionários de seu banco ou empresa que você conheça. Nunca informe seu CPF, nome completo ou senhas por telefone. Se tiver dúvidas, desligue o telefone e ligue diretamente para a central de atendimento da empresa que supostamente está solicitando suas informações.
Para saber mais:
PS: Post atualizado em 02 e 04/02/2021. Pequenos ajustes no texto em 05/02.

PS/2: Criei duas versões desse post em forma de artigo: (adicionado em 19/02/2021)

setembro 23, 2019

[Segurança] Drones terroristas!

Durante a semana passada, o mundo acompanhou com atenção os desdobramentos de um ataque de drones a duas instalações da empresa Saudi Aramco, maior produtora de petróleo do mundo. O ataque reduziu pela metade a capacidade de produção de petróleo do país!



O atentado ocorreu no sábado dia 14 de setembro, nas instalações da empresa Saudi Aramco em Abqaiq e Khurais, no leste da Arábia Saudita. Detalhe: a usina de Abqaiq  é a maior do mundo, capaz de processar 7 milhões de barris de óleo por dia! O ataque foi reivindicado pelos rebeldes Houthis no Iêmen (que tm suporte do Irã). Não é a toa que os Estados Unidos, diversos países europeus e a Arábia Saudita argumentam que o Irã por trás do incidente - mas o país rejeita categoricamente seu envolvimento.

As primeiras notícias diziam que o ataque foi realizado por 10 drones, mas segundo o Ministério da Defesa da Arábia Saudita, 18 drones e sete mísseis foram disparados contra o país. De uma coisa não se tem dúvida: foi um ataque cirúrgico, com os alvos atingidos de forma precisa.

Segundo investigadores da ONU, o drone utilizado, modelo UAV-X, tem autonomia de vôo de até 1.500 Km e capacidade de voar a uma velocidade de até 250 km/h, carregando até 18 kilos de explosivos. Os drones conseguem voar a baixas alturas e são praticamente indetectáveis por radar. Enquanto um drone desse pode custar algumas dezenas de milhares de dólares, um único míssel Patriot, que poderia ser utilizado pelos EUA para derrubá-lo, custa cerca de 1 milhão de dólares!


O ataque na Saudi Aramco traz duas lições: as tecnologias atuais de defesa não estão preparadas para essa nova ameaça, e podemos estar vivenciando o surgimento de uma nova estratégia de ataque: os "drones suicidas", ou "kamikazes".


Aqui no Brasil, nossas autoridades policiais já tiveram que lidar com a ameaça dos drones, usados para entregar drogas, celulares e outras mercadorias nos presídios. E agora, será que as empresas também devem que se preocupar com ataques terroristas de drones?


PS (Adicionado em 27/09): Não só terroristas podem usar drones. Nos EUA, um homem foi preso pelo FBI após usoar um drone para jogar explosivos sobre a casa da ex-namorada. Há poucos meses atrás, aqui no Brasil, viralizou nas redes sociais um vídeo em que uma pessoa usou um drone, com fogos de artifício amarrados nele, para dispersar o pessoal em um churrasco perto de sua casa.



Para saber mais:

setembro 20, 2019

[Carreira] Setembro Amarelo também vale para os profissionais de TI e Segurança!

O Setembro Amarelo é uma campanha de conscientização sobre a prevenção ao suicídio, organizado pelo Centro de Valorização da Vida (CVV), o Conselho Federal de Medicina (CFM) e a Associação Brasileira de Psiquiatria (ABP). Esse é um problema que deve ser tratado por toda a sociedade e, principalmente, de forma a evitar o preconceito com as pessoas que sofrem problemas de depressão ou distúrbios psicológicos que podem levar ao suicídio. O tabu que cerca esse assunto é um dos principais dificultadores para a prevenção e tratamento. Poucas pessoas entendem que a depressão é uma doença, e por isso eve ser tratada seriamente por profissionais.


Só no Brasil, foram cerca de 12 mil suicídios registrados em 2016, principalmente entre os jovens. É uma das principais causas de morte entre os jovens. A maior parte deles está relacionada a doenças, como depressão e transtorno bipolar.

Caso você conheça alguém que precisa de ajuda, lembre-se que saber escutar com empatia é importante. Além disso, o apoio de um profissional da saúde é essencial. O CVV também está disponível 24 horas por dia para ajudar qualquer pessoa que precisar através do número 188. A ligação é gratuita e anônima.

O que não podemos esquecer é que depressão e distúrbios que levam ao suicídio podem acontecer também com profissionais de TI e de Segurança da Informação. Afinal, além de sermos humanos, trabalhamos em uma área aonde o stress e pressão profissional é constante.


Muitos profissionais de TI e SI sofrem com rotinas de trabalho acima de 8h por dia, trabalhar em esquema de plantão, viagens constantes, além de pressão por resultado, dificuldade em se manter atualizado e os problemas normais do dia-a-dia. Isso se você tiver a sorte de trabalhar em uma empresa aonde seu gestor não tenha comportamento abusivo. A falta de mão de obra no mercado tecnologia também acaba trazendo mais pressão para os profissionais, que muitas vezes são obrigados a acumular muitas tarefas e responsabilidades pois as empresas tem dificuldade de contratar novos colaboradores e expandir seus times.

Para quem trabalha com segurança, sofremos também com a pressão de novos ataques acontecendo a todo momento e com o risco de ser vítima de um ataque desses - na sua vida pessoal ou na empresa.

É muita pressão. Não é a toa que stress é muito comum na área de tecnologia, e "burn out" é uma palavra que já está no dicionário do profissional de segurança há alguns anos.

As minhas sugestões:
  • Mantenha-se saudável: Saiba reservar um tipo para você descansar e desligar do trabalho. Faça exercícios, tente manter um número razoável de horas de sono por dia. Respeite o seu corpo;
  • Não leve a pressão do trabalho para casa;
  • Valorize a sua vida pessoal mais do que a profissional. Se você não fizer isso, ninguém fará por você - muito menos a sua empresa e seu chefe. Sempre que possível, priorize seus compromissos com família e amigos. Você pode mudar de emprego, mas não muda de família. Várias vezes eu deixei de ir em um compromisso pessoal por conta do trabalho, e. me arrependo. Certa vez eu deixei de ir no casamento de um grande amigo porque tinha uma viagem de trabalho marcada. Eu não lembro qual viagem era, para onde nem por qual motivo, mas até hoje lembro que não fui no seu casamento - então, quem você acha que foi o mais importante no longo prazo?
  • Mantenha um horário de trabalho adequado: Eu gosto de trabalhar até tarde, ma sem compensação eu chego tarde. Cada pessoa tem seu ritmo de trabalho, logo não vejo problema em segui-lo. O problema é quando você não respeita o seu ritmo e trabalha acima do que deveria. Eu tento manter uma regra, mesmo quando estou sobrecarregado de trabalho: só entro no trabalho 12h depois de ter saído - tenho que ter pelo menos 12h de descanso;
  • Saiba dizer "não". Você está sobrecarregado de trabalho e surge uma nova demanda? Nós temos a tendência de aceitar esse trabalho extra, nos sobrecarregarmos e no final, não fazemos direito nem esse trabalho nem o trabalho do dia-a-dia. Quando chegar um trabalho extra, negocie prazos e prioridades. Se você precisa de 3 dias para terminar a tarefa atual, avise que só vai atender a nova tarefa daqui a 3 dias, ou negocie a prioridade - "eu faço isso, mas vou atrasar aquilo". Por já ter trabalhado em empresas americanas, eu vejo que isso é um problema cultural: nós sempre damos um jeito de encaixar a nova tarefa no dia-a-dia. O trabalhador americano não, ele simplesmente responde que vai fazer essa tarefa dentro de "x dias", num prazo determinado. Resultado? Nós fazemos as coisas mais "nas coxas", estamos sempre sobrecarregados, estressados e com as entregas atrasadas;
  • Mantenha o bom humor. Divirta-se. Tente sempre encarar o copo como "meio cheio". Pensamentos negativos atraem energias negativas, que atraem stress e te levam para o lado escuro da Força;
  • Goste do seu trabalho: passamos muito tempo no escritório e trabalhando fora dele. Passamos mais tempo com os colegas de trabalho do que com a família. Por isso, temos que gostar do que fazemos;
  • Apoie seus colegas: se você perceber que seu colega de trabalho está com problemas ou dificuldades, apoie, ajude. Ou, pelo menos, não atrapalhe nem piore a situação. Somos homens, não máquinas.

Para saber mais:

setembro 18, 2019

[Segurança] Vazaram os dados de toda população! Do Chile e Equador!

É assustador... Em poucos dias, soubemos de dois vazamentos massivos de dados pessoais, aonde cada um deles afetou o equivalente a toda a população do país inteiro:
  • Chile: Há cerca de 2 meses, foi encontrado um servidor desprotegido na Elasticsearch, com uma base de dados aberta ao público, sem autenticação, contendo 3 GB de arquivos com  informações pessoais de 14 milhões de chilenos, com idade superior a 17 anos. Isso representa praticamente toda a população adulta do país e cerca de 80% do total de habitantes (a população total do país é de 18 milhões). Os dados comprometidos incluem informações como nome completo, gênero, endereço residencial, idade e número do documento de identificação;
  • Equador: Há poucas semanas atrás, pesquisadores de segurança identificaram um servidor Elasticsearch em Miami que estava disponibilizando, sem autenticação, um total de aproximadamente 20,8 milhões de registros de usuários, incluindo dados de 6,7 milhões de crianças - totalizando 16 GB de dados. Os conjunto de dados incluíam detalhes como nomes, informações sobre membros da família, dados de registro civil, informações financeiras e de trabalho, e até mesmo dados sobre a propriedade de carros. A quantidade de dados vazados é maior do que a população do país, que possui 16,6 milhões de cidadãos. A fonte dos dados é uma empresa local chamada Novaestrat, que fornece serviços de análise financeira para o mercadolocal. Seu diretor foi preso pelas autoridades equatorianas.


Em comum, vemos uma prática que está se tornando frequente, de forma assustadora: repositórios de dados na nuvem, armazenados sem uma proteção básica de segurança (sequer tinham controle de acesso!).

Os dois países latinoamericanos se juntam a Bulgária, que em Julho teve um vazamento de dados financeiros de aproximadamente 70% de sua população :(

Para saber mais:


setembro 16, 2019

[Segurança] Eventos de Segurança no segundo semestre de 2019

Já estamos em Setembro e, antes tarde do que nunca. vamos dar uma olhada na agenda dos eventos de segurança que aconteceram e vão acontecer nesse segundo semestre de 2019!

Disclaimer: Seguindo a tradição destes meus posts sobre os eventos do semestre, aqui eu listo apenas os eventos na área de segurança que eu considero serem os mais relevantes para o nosso mercado e que merecem uma visita.

Normalmente o segundo semestre é bem intenso, lotado de eventos aqui no Brasil. Acompanhe quais são os mais importantes na lista abaixo:
  • Julho/2019
    • 06/07: Roadsec Para (twitter @roadsec) - Belém (PA) foi a última cidade a receber o tour de edições regionais do Roadsec em 2019, com suas palestras, oficinas e competições;
  • Agosto/2019
    • 13 e 14/08: Gartner Security & Risk Management Summit - Evento anual de segurança do Gartner, com um mix de palestras de analistas do Gartner, patrocinadores e de convidados. Este é "o evento" topzeira para os CSOs, CISOs e diretores;
  • Setembro/2019
    • 02 a 05/09: XIX Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) (São Paulo, SP) - Esse é o principal evento científico e acadêmico sobre Segurança no Brasil, organizado pela Sociedade Brasileira de Computação (SBC). A cada ano ele ocorre em uma cidade diferente, e desta vez será na USP, em São Paulo. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais
    • 09 e 10/09: 8º Fórum Brasileiro de CSIRTs - Organizado pelo Cert.br, o Fórum Brasileiro de CSIRTs é um evento dedicado à discussão de assuntos relacionados com tratamento de incidentes de segurança. É um evento fundamental para quem trabalha com tratamento e resposta a incidentes, em SOCs e Grupos de Tratamento de Incidentes de Segurança (CSIRTs) e com Blue Team;
    • 11/09: Global Risk Meeting (GRM) (twitter @grmeeting) - Evento focado principalmente em gestão de riscos para o público gerencial, realizado pela Daryus desde 2005, sempre próximo a emblemática data de 11/setembro;
    • 17 e 18/09: Mind The Sec São Paulo (twitter @MindTheSec) - Mega-evento corporativo organizado pela Flipside atendendo o público técnico e, principalmente, o gerencial (leia-se, média gerência e alguns CSOs). É o principal evento brasileiro para o público corporativo. Neste ano eles vem com 8 (oito!!!) trilhas de palestras simultâneas e traz como principais keynotes o Chris "Weldpond" Wysopal, da L0pht, e o Fernando Nery, o grande pioneiro do mercado de segurança brasileiro;
    • 21/09: Hackaflag São Paulo (twitter @hackaflag) - O campeonato HackaFlag (#HFBR19), organizado pela Flipside, aterrisa em São Paulo após passar por 10 cidades brasileiras, junto com o Roadsec. Nessa etapa classificatória, o #HFBR19 irá contar com palestras focadas em Segurança da Informação e o que promete ser a maior etapa dessa edição do campeonato. Os vencedores de todas as etapas regionais disputam a final no Roadsec São Paulo;
    • 21/09: Jampasec (João Pessoa, PB) (twitter @jampasec) - Ótimo evento técnico em João Pessoa, que atrai vários pesquisadores da comunidade brasileira de segurança;
    • 26/09: Security Leaders Porto Alegre - Mini edição regional do Security Leaders, com um dia de debates xoxos em um palco lotado de painelistas. Atrai o público corporativo e patrocinadores, que se encontram em sua área de exposição;
  • Outubro/2019
    • 01 e 02/10: Code{4}Sec - evento da Flipside focado no tema de Application Security e todas as buzzwords relacionadas (AppSec, DevSecOps, etc);
    • 25/10: Sacicon - Pequeno evento de segurança que antecede a H2HC, somente para convidados, que tem como objetivo oferecer um fórum aberto para palestrantes internacionais que vieram para a H2HC. O evento começa com uma festa na noite anterior e continua no dia seguinte com palestras após um "hangover brunch". A língua oficial do evento é o Inglês;
    • 26 e 27/10: Hackers to Hackers Conference (H2HC) (twitter @h2hconference) - A H2HC é o mais importante e mais tradicional evento brasileiro sobre hacking e pesquisa em segurança, com excelentes palestras técnicas. Nesse ano eles mudaram de hotel, e vão para o Novotel Center Norte, que promete uma área muito maior para o evento;
    • 29 e 30/10: Congresso Security Leaders São Paulo - Edição comemorativa de 10 anos do evento! Evento corporativo, formado principalmente por painéis de debates (com conteúdo fraco e que são transmitidos ao vivo) e que também possui uma área de exposição. Evento que atrai gestores de segurança (gerentes, diretores, CSOs etc) atraídos principalmente pela oportunidade de auto-promoção, com um prêmio entregue no final do evento. Apesar da baixa qualidade do conteúdo, é um evento que atrai muitos patrocinadores;
  • Novembro/2019
    • 09/11: NullByte (Salvador, BA) (twitter @nullbytecon) - excelente evento técnico em Salvador, que atrai vários dos pesquisadores da comunidade brasileira. Salvador é uma cidade com uma comunidade de segurança forte, que merece a visita;
    • 12/11: Security Leaders Recife - o "mini-Security Leaders" em Pernambuco;
    • 23/11: Roadsec São Paulo (twitter @roadsec) - O mega-evento de encerramento do RoadSec no Audio Clube, com várias trilhas de palestras, diversas oficinas, final do Hackflag, food trucks, stands dos patrocinadores, lojas, etc. O Keynote será o "Mudge", do L0pht, e o show de encerramento será com o CPM 22;
    • 27 a 29/11: Latinoware (Foz do Iguaçu, RS) (twitter: @latinoware): O 16º Congresso Latino-americano de Software Livre e Tecnologias Abertas deu um susto na galera: de repente eles cancelaram a data original do evento, que normalmente acontece no mês de Outubro. Passado o susto, estamos prontos para embarcar! A Latinoware é um evento enorme, com foco técnico, realizado no Parque Tecnológico Itaipu.. Embora seja voltado para o universo do Software Livre e Tecnologias Abertas, o evento está cada vez mais atraindo os profissionais de segurança;
    • 28/11: Security Leaders Fortaleza;
    • 30/11 e 01/12: BHack (Belo Horizonte, MG) - Evento de segurança com foco técnico, o mais antigo no circuito de eventos de alta qualidade fora de São Paulo;
  • Dezembro/2019
    • 12/12: Security Leaders Salvador - versão mini do Security Leaders em sua passagem pela Bahia, encerrando o tour deles neste ano;
    • 12 e 13/12: GTER 48 e GTS 34 (twitter @gtergts) - Eventos gratuitos organizados pelo NIC.br e que acontecem sempre em parzinho: no primeiro dia tem o GTER (Grupo de Trabalho de Engenharia e Operação de Redes), seguido pelo GTS (Grupo de Trabalho em Segurança de Redes) no dia seguinte. As palestras, de conteúdo técnico, são transmitidas ao vivo.
Além dos eventos brasileiros citados acima, existem vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro. Os mais importantes são:
  • 03 a 11 de Agosto, em Las Vegas/EUA: Black Hat USA (03 a 08/08), BSidesLV (06 e 07/08) e a Defcon (08 a 11/08);
    • Para saber mais dicas sobre a Defcon, Black Hat e BSidesLV, veja este post;
  • 25 a 27 de Setembro: Ekoparty (Buenos Aires, Argentina): A "Eko" (twitter @ekoparty) é um excelente evento de segurança, um dos mais importantes da América Latina. Evento técnico com foco em pesquisa em segurança com excelentes palestras;
  • 25 e 26 de Outubro: 8.8 (Santiago, Chile) (twitter @8dot8): Principal evento de segurança no Chile, com organização caprichada e excelentes palestras que atendem o público técnico e gerencial. Eles tem algumas edições em outros países da América Latina, o que os torna o principal evento itinerante da região. Infelizmente, nesse ano coincidiu a data com a H2HC :(
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site infosec-conferences.com.

Notas:
  • Quando não houver indicação em contrário, o evento acontecerá em São Paulo.
  • Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.
  • Veja quais foram os eventos no primeiro semestre de 2019;
  • Lembre-se: a lista acima é baseada na minha opinião pessoal;
  • O Latinoware (Foz do Iguaçu), agendado inicialmente para 16 a 18/10, foi adiado. Assim que tiver notícias eu atualizo esse post;
  • Alguns eventos sumiram do calendário: o CNASI (que aconteceu pela última vez em 2017, na sua 26a edição) e o DISI (Dia Internacional de Segurança em Informática), da RNP e que costumava acontecer em Outubro. #RIP
PS: Post atualizado em 18/09 e 04/10.


setembro 13, 2019

[Segurança] Normas ISO e ABNT sobre Privacidade

A ISO (International Organization for Standardization), em conjunto com a ABNT (Associação Brasileira de Normas Técnicas) possui várias normas relacionadas a privacidade de dados, que ajudam muito as empresas que estão se esforçando para se adaptarem a GDPR e a LGPD.

As normas mais relevantes são as seguintes:
  • ABNT NBR 16167:2013 - Segurança da Informação — Diretrizes para classificação, rotulação e tratamento da informação
    • Norma Brasileira que descreve como deve ser uma política de classificação da informação;
    • Publicada em 04/04/2013, essa Norma Brasileira, criada pela ABNT, está em processo de revisão;
    • Objetivo: "Esta Norma estabelece as diretrizes básicas para classificação, rotulação e tratamento das informações de acordo com sua sensibilidade e criticidade para a Organização, visando o estabelecimento de níveis adequados de proteção."
  • ISO/IEC 27018:2019 - Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
    • Publicada no início deste ano, em 15/01/2019, essa Norma está em processo de adoção pela ABNT. A versão anterior da norma está traduzida para o Português, disponível pela ABNT como ABNT NBR ISO/IEC 27018:2018 (Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII);
    • Objetivo: "This document establishes commonly accepted control objectives, controls and guidelines for implementing measures to protect Personally Identifiable Information (PII) in line with the privacy principles in ISO/IEC 29100 for the public cloud computing environment. In particular, this document specifies guidelines based on ISO/IEC 27002, taking into consideration the regulatory requirements for the protection of PII which can be applicable within the context of the information security risk environment(s) of a provider of public cloud services. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which provide information processing services as PII processors via cloud computing under contract to other organizations. The guidelines in this document can also be relevant to organizations acting as PII controllers. However, PII controllers can be subject to additional PII protection legislation, regulations and obligations, not applying to PII processors. This document is not intended to cover such additional obligations."
  • ISO/IEC 27701:2019 - Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines
    • Versão Brasileira: ABNT NBR ISO/IEC 27701:2019 - Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes (Publicada em 25/11/2019)
    • Norma novinha, sua versão original em Inglês foi publicada em 05/08/2019. Com 66 páginas, ela mapeia os requisitos e controles da 27001 e 27002 e identifica os cuidados adicionais de privacidade que devem ser tomados;
    • Objetivo:: "This document specifies requirements and provides guidance for establishing, implementing, maintaining and continually improving a Privacy Information Management System (PIMS) in the form of an extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management within the context of the organization. This document specifies PIMS-related requirements and provides guidance for PII controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which are PII controllers and/or PII processors processing PII within an ISMS."
  • ISO/IEC 29100:2011 - Information technology - Security techniques - Privacy framework
    • Essa norma fornece uma estrutura de privacidade, as terminologias comuns relativas à privacidade, define os atores e seus papéis quanto ao tratamento dos dados pessoais e descreve orientações sobre a salvaguarda da privacidade;
    • Embora seja de 2011 (publicada em 05/12/2011), essa Norma está em processo de adoção pela ABNT;
    • Objetivo: "ISO/IEC 29100:2011 provides a privacy framework which specifies a common privacy terminology; defines the actors and their roles in processing personally identifiable information (PII); describes privacy safeguarding considerations; and provides references to known privacy principles for information technology. ISO/IEC 29100:2011 is applicable to natural persons and organizations involved in specifying, procuring, architecting, designing, developing, testing, maintaining, administering, and operating information and communication technology systems or services where privacy controls are required for the processing of PII."
  • ISO/IEC 29134:Information technology-Security techniques: Guidelines for privacy impact assessment
  • ISO/IEC 29151:Information Technology – Security Techniques – Code of Practice for Personally Identifiable Information Protection
Essas normas ISO 29100, 27701 e 27018, junto com a norma ABNT 16167 fornecem subsídios para apoiar as empresas que estão se adequando a LGPD, garantindo padrões internacionais a serem seguidos nessa jornada.

Para saber mais:
Post atualizado em 27/11/2019.

setembro 09, 2019

[Segurança] Estatísticas sobre Segurança em Computação em Nuvem

Recentemente a Checkpoint e a Symantec disponibilizaram relatórios interessantes sobre Segurança da Nuvem, com várias estatísticas recolhidas do mercado. São relatórios que abordam questões de segurança na adoção de cloud computing, incluindo quais sÃo os maiores riscos, desafios e dificuldades - não é a toa, ambos os relatórios destacam a dificuldade em identificar mão de obra qualificada nesse assunto.

As pesquisas trazem vários dados muito interessantes, e elas se complementam em vários pontos. Entre os dados apresentados nesses relatórios, eu destaco os seguintes:
  • Segundo a Checkpoint...
    • O SaaS (Software como Serviço) é o modelo de nuvem mais implementado (51%), seguido por IaaS (Infraestrutura como Serviço) (39%) e PaaS (Plataforma como Serviço) (22%);
    • Os cinco aplicativos SaaS mais populares são o Microsoft Office 365 (66%), o Microsoft Exchange (37%), Salesforce (32%), o Google G Suite (29%) e o Dropbox (26%);
    • O e-mail é a informação mais comum armazenada na nuvem (63%), seguido por dados de clientes (45%) e dados de funcionários (incluindo RH e folha de pagamento com 42%);
    • A segurança dos dados e os riscos de segurança em geral (um total de 57%) figuraram no topo da lista de obstáculos para a adoção mais rápida da nuvem, seguidos pela falta de orçamento (26%), desafios de conformidade (26%) e falta de equipe qualificada (26%);
    • 66% dos entrevistados afirmam que soluções de segurança tradicionais não funcionam ou apresentam funcionalidade limitada em ambientes de nuvem;
    • As maiores dores de cabeça em relação à segurança na nuvem se referem à conformidade (34%) e à falta de visibilidade na segurança da infraestrutura (33% no total). A definição de políticas de segurança consistentes na nuvem e localmente e a falta contínua de equipes de segurança qualificadas estão empatadas em terceiro lugar (com 31% cada);
    • O acesso não autorizado e interfaces inseguras empatam em primeiro lugar como as maiores vulnerabilidades da segurança na nuvem (42% cada). Eles são seguidos pelos erros de configuração da plataforma da nuvem (40%) e sequestro de contas (39%);
    • Os maiores obstáculos são a falta de conhecimento especializado e de treinamento das equipes (41%), seguido por desafios orçamentários (40%), preocupações com a privacidade de dados (38%) e falta de integração com as plataformas locais (34%);
    • A criptografia de dados em repouso (38%), a automação da conformidade (37%) e APIs para denúncia, auditoria e alerta sobre eventos de segurança (34%) são os três controles de segurança mencionados com mais frequência;
  • Segundo o Relatório da Symantec, realizada em parceria com a Cloud Security Alliance (CSA)...
    • 53% das organizações já estão avançandas na implementação da nuvem em seu ambiente de TI;
    • A maioria das organizações está subestimando o volume de uso de aplicações na nuvem: enquanto uma organização acredita que seus funcionários estão usando em média 452 aplicativos na nuvem, na verdade, de acordo com os dados da própria Symantec, o número real de aplicativos de TI em uso por organização é de 1.807 (quase 4 vezes a mais do que eles estimam);
    • 73% das empresas pesquisadas acreditam que os incidentes na nuvem aconteceram devido à práticas de segurança imaturas - incluindo o uso de contas pessoais, falta de serviços de Autenticação Multifator (MFA) ou Prevenção de Perda de Dados (DLP);
    • 54% dos entrevistados dizem que a segurança na nuvem de sua organização não conseguiu acompanhar a expansão do uso de novos aplicativos;
    • Segundo dados da Symantec, o acesso não autorizado a contas é responsável pela maior parte dos incidentes de segurança na nuvem (64%);
    • 85% das empresas não estão usando as práticas recomendadas de segurança na nuvem
      • Por exemplo, 65% das organizações não implementaram Autenticação Multifator (MFA) na configuração de IaaS e 80% não usam criptografia;
    • A maioria (92%) disse que precisa melhorar as habilidades de segurança na nuvem, enquanto 84% confirmaram que precisavam adicionar pessoas na equipe para eliminar a deficiência.
O relatório da Symantec também fala muito da Nuvem como sendo o "novo shadow IT" (eu gosto e chamar isso de "Shadow Coud"), ou seja, quando a empresa cria recursos e serviços de tecnologia sem conhecimento, nem participação e aprovação, da área de TI. Assim, os dados da empresa se propagam nos serviços de nuvem SaaS autorizados e não autorizados. Mais da metade dos entrevistados (52%) consideram problemático o aumento do uso de aplicativos na nuvem para armazenar e compartilhar dados corporativos confidenciais. A grande maioria (93%) informou que seus usuários compartilham arquivos na nuvem contendo dados confidenciais e relacionados à conformidade

Ao final, o relatório da Symantec aponta algumas das melhores práticas para desenvolver a maturidade da segurança na Nuvem:
  • Desenvolver uma estratégia de governança;
  • Adotar um modelo de Zero Trust (Confiança Zero);
  • Promover a responsabilidade compartilhada;
  • Aproveitar automação e inteligência artificial sempre que possível;
  • Abrir caminho para DevSecOps.
Ambas pesquisas revelam que o maior desafio que as organizações estão enfrentando não é apenas na tecnologia, mas também nas pessoas e nos processos. Elas dão uma boa visibilidade de como as organizações estão se adaptando a evolução das ameaças na nuvem, examinando questões como visibilidade de seu ambiente, perda de controle de dados e práticas de segurança imaturas, com uso insuficiente de tecnologias, processos inadequados e pessoal sem a devida capacitação.

Para saber mais:

OBS: Post atualizado em 11/09/2019.

setembro 06, 2019

[Segurança] Sobre vazamento de dados

Eu li um artigo interessante, que analisou algumas características e estatísticas dos últimos vazamentos de dados, um problema constante no dia-a-dia.

Os pesquisadores identificaram que nenhuma empresa está imune à possibilidade de violação de dados. Eles analisaram as principais violações de dados de 2014 até 2018 e identificaram que houve uma grande variedade de ataques empregando estratégias diferentes, o que torna mais complexo a tarefa de garantir a segurança dos dados. Este estudo inclui 182 organizações diferentes, incluindo empresas públicas e privadas, agências governamentais e instituições de ensino.

O que me chamou a atenção nesse artigo foi que os pesquisadores identificaram que as violações de dados parecem acontecer em ciclos, em relação a forma como ocorrem (tipos de empresas atacadas e técnicas de ataques). Ou seja, de tempos em tempos, alguns setores são mais visados do que outros.

Veja algumas tendências que o artigo aponta em termos de ataques e tipos de negócios envolvidos em violações de dados:
  • Em 2014 as violações de dados pareciam ter como alvo principalmente os sistemas de ponto de venda (POS) na loja (79% dos casos). Não é de se espantar, portanto, que 75% das instituições-alvo foram empresas de varejo;
  • Em 2015 houve um aumento nos ataques a sistemas online para obter informações (90% dos casos). 2015 viu 24% de violações em empresas de tecnologia, 19% em organizações médicas e 14% em entretenimento, mas apenas 10% das organizações afetadas estavam no ramo de varejo; 
  • O ano de 2016 teve o hacking on-line como a ocorrência mais comum (72% das vezes). O ano de 2016 trouxe violações em organizações de tecnologia (21%), do setor médico (17%), social (8%) e governamental (8%);
  • Em 2017 e 2018 ocorreu um aumento no número de vazamentos ocorridos em função de erros das empresas - embora os ataques online ainda fossem comuns. Igualmente, nesses anos manteve-se uma tendência de atacar empresas do setor de tecnologia, médica, social e governamental.
  • Em 2018 as empresas de criptomoedas também tornaram-se alvos de ataques, com 2 hacks que totalizaram uma perda de mais de US$ 69 milhões de dólares em moeda online sendo roubada.


Recentemente estamos vendo com mais frequência casos de ataques e vazamento de dados relacionados ao setor Financeiro (vaja, no Brasil, os casos do Banco Inter e Panamericano, além do recente ataque ao banco americano Capital One). Também está se tornando comum os casos de vazamento de dados causados por armazenamento desprotegido em servidores em Nuvem (os famosos "buckets").

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.