outubro 31, 2019

[Cyber Cultura] O ódio na Internet

O pessoal do site de notícias 6 Minutos publicou há pouco tempo um artigo muito bom sobre o fenômeno do ódio na internet, baseado em um estudo de uma antropóloga da Unicamp, Adriana Abreu Magalhães Dias (ela estuda esse fenômeno desde 2002). O artigo também contou com informações da Safernet.


Segue um rápido resumo dos principais pontos do artigo:
  • As comunidades de ódio, não são um fenômenos recente nem estão restrito apenas nas "profundezas da web". Desde o início dos anos 2000 o discurso de ódio já estava presente em comunidades de sites de relacionamento como o Orkut;
  • Os grupos de ódio são um fenômeno global, arma da extrema-direita em todo mundo;
  • “O ódio é uma substância na vida do ser humano que é cultivada. Cultivada tanto no sentido de planta, que a gente cultiva e alimenta, quanto no sentido de ser cultuada”, diz.
  • “É impossível remover o ódio enquanto você não civilizar essas pessoas. A Alemanha, por exemplo, teve de se ‘desnazificar’, e isso envolveu um processo de educação.”
  • O processo da cultura do ódio é complexo porque o ódio oferece conforto e pode ser estruturado a partir de três fatores: o alimento da masculinidade (a partir da ideia da luta, de guerras, de duelos, de uma sociedade de cultura de estupro, de ódio ao gay, à mulher), a meritocracia (que define que alguns são melhores que outros) e a construção de um “outro conveniente”, que é quando as minorias (como judeus, ciganos, nordestino, índios,a mulher ou o gay, por exemplo) são associadas a entraves aos objetivos de determinados grupos privilegiados (essa minoria é acusada de causar atraso, problemas ou, por exemplo, "roubar um direito”);
  • A sociedade construiu uma ideia de "normalidade", segundo a qual o “normal” é seguir um padrão como ser branco, de classe media, falar inglês, ser hetero, casado, com filho. Dentro dessa normalidade as pessoas se sentem seguras, mas quando outra minoria destoa e tenta brigar por espaço, ela se sente ameaçada;
  • Esses grupos online não são investigados, identificados e punidos por conta de algumas dificuldades, principalmente o anonimato e porque esses grupos adotam táticas para despistar as autoridades, como escolher provedores de sites que não colaboram com as autoridades;
  • Há casos de crimes de ódio que são anunciados nos fóruns online e praticados na vida real, contra vítimas, com requintes de crueldade.
Para saber mais:

outubro 30, 2019

[Segurança] 20 mil inscritos no Papo Binário

O canal Papo Binário, mantido pelo Fernando Mercês e pelo Paulo Arruzzo, acabou de atingir a marca de 20 mil inscritos. Para comemorar, eles prepararam uma entrevista especial, muito mais do que especial: desta vez, o entrevistado é o próprio Fernando Mercês, que conta várias histórias sobre o canal e sua carreira na área.

Eu tive a honra de ser convidado para entrevistá-lo, e obviamente aceitei o convite na hora! O vídeo ficou bem legal, pois dessa vez o Mercês trocou de lugar e ele foi a pessoa entrevistada. Nós não havíamos combinado o roteiro da entrevista, então todas as perguntas e o bate papo rolou naturalmente, no improviso. As perguntas iam surgindo conforme conversávamos. Bom.... Pare de ler esse post  aqui e corra logo para ver o vídeo:


Não se esqueça de dar um Like no vídeo, coloque um comentário e parabenize o Mercês pelo excelente canal! Se você ainda não tiver se inscrito, faça isso e vamos apoiar a iniciativa!

Aproveite e se cadastre no portal Mente Binária e receba atualizações semanais , acesso ao fórum de discussão, notícias, artigos e muito mais: https://www.mentebinaria.com.br/register

Se gostou do portal e do canal, também podemos apoiar a iniciativa: http://menteb.in/apoie

outubro 28, 2019

[Segurança] Vazamentos internos

Uma reportagem relativamente recente da Isto Dinheiro trouxe algumas estatísticas sobre vazamentos de dados causados por funcionários das empresas.

O primeiro dado, baseado em uma pesquisa da empresa ICTS Protiviti, é que de cada 10 incidentes de vazamento de informação nas companhias, 7 deles tratam de dados considerados confidenciais e estratégicos ao negócio.

E a reportagem traz um infográfico legal:


outubro 25, 2019

[Segurança] O sequestro relâmpago é digital!

Eu já queria ter acabado de postar sobre a Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, mas lembrei de comentar sobre uma versão relativamente recente e preocupante de um golpe bem conhecido, o sequestro relâmpago! (caraca, existe até um verbete na Wikipedia sobre isso!!!)

O sequestro relâmpago é um crime no qual uma vítima é sequestrada por um curto espaço de tempo (frequentemente por poucas horas), aonde os criminosos utilizam os cartões de débito e crédito em poder da vítima para fazer compras e saques em dinheiro, até esgotar todos os seus limites de transação. É um golpe famoso no Brasil e muito comum em grandes cidades. Tão comum que até virou filme!


Segundo uma reportagem da Folha, de janeiro a setembro deste ano, as delegacias do estado de São Paulo registraram 278 casos de crimes do tipo (mais do que um caso por dia), embora isso represente 6% a menos do que o ano passado.


Até agora, nenhuma novidade, não é? Mas a preocupação é que atualmente o sequestro relâmpago migrou para a fraude digital!!!

Ao sequestrar uma vítima, os criminosos pedem para ela desbloquear o celular e abrir seus aplicativos bancários! Ao acessar o app, eles transferem todo o dinheiro da vítima, baixam os investimentos e limpam toda a conta! Eles não querem mais apenas os nossos cartões de crédito e débito!

Nessa nova modalidade de sequestro relâmpago, também há casos em que os bandidos carregam suas próprias maquininhas de crédito e débito, de modo que eles mesmos conseguem gastar todo o limite do cartão. Como várias empresas permitem ao comerciante resgatar o dinheiro no dia seguinte, os criminosos seguram a vítima até conseguir resgatar o dinheiro da máquina.

PS: Não, isso não é um boato.

Moral da história: evite carregar muitos documentos, cartões e aplicativos bancários com você. Ande somente com o essencial!

Alguns cuidados básicos incluem:

  • Evite sair de casa com todos cartões bancários e de créditos;
  • Ao sair de casa, separe previamente o dinheiro para pequenas despesas;
  • Quando sair do banco ou do caixa eletrônico, verifique sempre se não está sendo seguido;
  • Não exponha grande quantidade de dinheiro em público;
  • Procure utilizar caixas eletrônicos em locais movimentados, tais como postos de gasolina, shopping centers, farmácias, mercados;
  • Em caso de abordagens por criminosos, nunca reaja;
  • Se possível, diminua o limite do seu cartão de crédito e os limites de saque e cheque especial na conta corrente;
  • Mantenha os investimentos em outra conta, diferente da que você usa no dia-a-dia, de preferência noutro banco. Guarde o cartão dessa conta de investimento em casa;
  • Para os mais paranóicos: tenha 2 celulares: um para o seu dia-a-dia, sem nenhum aplicativo financeiro, e outro em casa, com os apps dos seus bancos.

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

[Segurança] Phishing: falsas promoções

Não vou mentir... como estamos no final da Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, eu não consigo evitar de postar sobre os golpes mais comuns, aproveitando o material da Febraban. Eu pretendia já ter acabado de publicar sobre esse assunto no meu post anterior, sobre Privacidade, mas agora eu quero escrever esse post e mais um!!!

Afinal de contas, é impossível falar sobre ciber crime e fraudes sem falar dos phishings!!! Segundo a Kaspersky, o Brasil foi o país mais atacado por golpes de phishing no 1o semestre de 2019: 21,66% das ocorrências de phishing no mundo ocorreram no Brasil!


Os ataques de phishing podem se aproveitar de qualquer assunto que seja de interesse da vítima. Uma tática muito comum é usar datas comemorativas para enviar mensagens com falsas promoções, convidando a vítima a clicar em links maliciosos. Datas comemorativas muito comuns incluem o Dia dos Namorados, Dia dos Pais, Dias das Mães, Black Friday e o Natal.

Nessas épocas, aumentam as tentativas de golpes aplicados pelos bandidos, com propagandas enganosas enviadas através de e-mails e mensagens, para direcionar a vítima a páginas falsas, idênticas as das lojas virtuais ou de bancos. Nesses sites, o criminoso pode colocar uma tela falsa de login, para capturar os dados, ou simular a compra de um produto que a vítima nunca vai receber. Em ambos os casos, a vítima acaba cedendo seus dados de login e dados bancário para que golpistas façam diversas transações fraudulentas.



Moral da história: pense 2 vezes (ou mais) antes de clicar em um link de uma promoção que você recebeu por e-mail, WhatsApp ou SMS.

Alguns cuidados básicos incluem:
  • Desconfie de mensagens que prometem coisas muito incríveis ou mensagens com teor negativo, aquelas que pedem para você clicar em um link urgentemente;
  • Antes de clicar em um link, verifique se o endereço do site é o verdadeiro;
  • Para garantir, não clique em links: digite você mesmo o endereço do site no navegador e procure pela super promoção;
  • Prefira sempre comprar em sites conhecidos;
  • Nunca use computadores públicos para fazer compras e transações financeiras online;
  • Mantenha um antivírus atualizado em seus dispositivos;
  • Não repasse para qualquer pessoa nenhum código de segurança fornecido por SMS ou imagem de um QR code enviado para autenticar alguma operação;
  • Na dúvida, procure no site oficial da empresa o telefone da central de atendimento e ligue para eles.
Veja também a página Antifraudes da Febraban.

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

[Segurança] Privacidade!

Como estamos no final da Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, vamos fechar essa sequencia de post falando sobre um assunto sério: a nossa privacidade!

Segundo a empresa Risk Based Security, nos primeiros 6 meses de 2019 houve 54% mais incidentes de vazamento de dados do que no mesmo período em 2018, totalizando 3.800 casos. O site Have I Been Pwned já acumula mais de 8,5 bilhões de registros de usuário e senha vazados, mais do que a população da Terra!


   

O Gregorio Duvivier fez um vídeo bem legal no seu programa "Greg News" sobre privacidade. Apesar do tom político em alguns momentos (como ele sempre faz), o vídeo toca em alguns aspectos importantes e destaca a importância de nos preocuparmos com a nossa privacidade.


Moral da história: cuide muito bem das suas informações pessoais!
  • Monitore suas contas pessoais: e-mails, perfis de redes sociais, sites importantes, etc;
  • Use senhas fortes, com letras maiúsculas e minúsculas, caracteres especiais e números- e troque frequentemente;
  • Sempre que possível ative o recurso de “autenticação de dois fatores”;
  • Pense duas vezes ao compartilhar informações em redes sociais;
  • Evite fornecer seus dados pessoais, a menos que seja realmente necessário;
  • Consulte serviços que verificam se suas senhas ou contas já foram vazadas alguma vez, como o Serasa Antifraude e o site “Have I Been Pwned”.
Veja também a página Antifraudes da Febraban.

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

outubro 24, 2019

[Segurança] Golpe do Whatsapp

Como estamos na Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil de acordo com a Febraban:, vamos lembrar do golpe que hoje é uma verdadeira epidemia: o golpe do WhatsApp!

Neste golpe, os ciber criminosos "clonam" o WhatsApp da vítima. Ou seja, eles conseguem acessar o WhatsApp a partir de outro telefone e, assim, trocam mensagens com os contatos, fazendo se passar pela vítima. Os criminosos enviam mensagens pelo aplicativo para os contatos, pedindo dinheiro emprestado.

As desculpas são diversas, como por exemplo, que a pessoa precisa fazer uma transferência e o atingiu o limite diário, ou precisa comprar um carro ou remédios, ou perdeu a carteira, etc. Qualquer que seja o motivo, desconfie !!!


Os criminosos tem algumas técnicas para conseguir roubar o acesso ao WhatsApp da vítima:
  • Clonam a linha telefônica, com o golpe chamado de "SIM Swap": o criminoso transfere a linha celular para um chip em seu poder, e assim ativam a linha em um celular em poder do criminoso. E, com o aceso a linha, ganham acesso ao Whatz também!
  • Sequestram a conta do WhatsApp, transferindo ela para um novo número, nas mãos do fraudador. Os criminosos identificam um número telefônico em sites de anúncios online, ligam para o anunciante e dizem que vão enviar um código de segurança para ativar o anúncio. Esse código, na verdade, é envido pelo WhatsApp pois o criminoso está tentando associar a conta em outro número telefônico. A vítima é enganada, passa o código e perde acesso a sua conta no Whatz.
Moral da história: tome muito cuidado com o seu WhatsApp!
  • Antes de mais nada: habilite no seu WhatsApp a opção de “Verificação em duas etapas” (Configurações/Ajustes / Conta / Verificação em duas etapas). É uma senha de 6 dígitos que será solicitada periodicamente pelo aplicativo ou quando alguém tentar ativas a conta em outro aparelho;
  • Aproveite e cadastre seu e-mail de contato (Configurações/Ajustes / Conta);
  • Desconfie do uso de gírias, frases informais demais ou erros de ortografia em mensagens de amigos e parentes que não costumam ter esses comportamentos;
  • Sempre desconfiar de pedidos inesperados de empréstimos enviados por mensagens, principalmente se o titular da conta utilizada para depósito é diferente de quem está solicitando;
  • Se alguém pedir dinheiro emprestado pra você, ligue para confirmar se é realmente a pessoa que você conhece;
  • Periodicamente limpe o histórico de conversas antigas e de contatos com quem você não tem mais falado recentemente;
  • Não custa lembrar: jamais clique em links enviados por pessoas desconhecidas.
Veja também essa reportagem do UOL: "Entenda o golpe que rouba conta de WhatsApp sem usar vírus".

#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

PS: Post revisado em 09/01/2020 para incluir mais algumas dicas.

outubro 23, 2019

[Segurança] Golpe da Falsa Central Telefônica

Como estamos na Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, vale a pena destacar uma fraude super comum, de acordo com a Febraban: o golpe da Falsa Central Telefônica!!!

Os bandidos ligam, e normalmente se identificam com se fossem da central antifraude do seu banco, para em seguida pedir seus dado. Eles podem até usar recursos tecnológicos, como simular o número de telefone do banco, utilizar gravações e menus para simular o atendimento da central telefônica do banco e, assim, ganhar a sua confiança. Com suas informações e senha, os bandidos podem contornar os bloqueios de segurança até limpar sua conta bancária.


Outro golpe que é muito comum é quando o fraudador liga para o telefone fixo da vítima (esse detalhe é muito importante!).Ele se identifica como se fosse do banco e pede para o cliente ligar para o número no verso do seu cartão. O fraudador finge que desliga o telefone, e quando a vítima tenta ligar para a central, na verdade o fraudador continua na ilha e captura os dados. Esse golpe só é possível pois, ao ligar para um número fixo, a ligação só é encerrada se o originador desconectar (o fraudador, no caso). Se a pessoa que recebeu a ligação desligar mas a origem não, a linha continua ativa. E os criminosos se aproveitam disso!

Moral da história: desconfie quando receber uma ligação dizendo ser do seu banco!
  • O banco nunca liga pedindo seus dados pessoais;
  • Não dê sua senha ou os números do seu cartão de crédito (número, validade e CVV) por telefone;
  • Na dúvida, desligue a ligação e ligue você mesmo para o seu banco ou seu gerente.
#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

outubro 22, 2019

[Segurança] Golpes com cartão

Como estamos na Semana de Segurança Digital, com ações de conscientização sobre as principais fraudes que acontecem no Brasil, resolvi destacar nesse post 3 tipos de fraudes relacionadas ao uso de cartões de crédito e débito, e que estão em destaque de acordo com a Febraban:
  • Golpe da Troca de Cartões: Esse golpe acontece quando você vai fazer um pagamento com seu cartão de débito ou crédito. O fraudador fica de olho na hora em que você vai digitar a sua senha e, após você usar a maquininha, devolve um cartão parecido com o seu, mas de outra pessoa. Ou então, ele aproveita a sua distração para pedir que você digite a senha no campo de valor, e assim ele descobre sua senha. De posse do seu cartão e sua senha, o fraudador faz a festa :(
  • Dupla Operação: Uma fraude comum é o golpe da compra repetida. Nele, bandidos se aproveitam a sua distração para passar a mesma compra duas vezes dizendo que a primeira tentativa deu erro;
  • Falso Motoboy: Os criminosos ligam para o cliente dizendo que são do seu banco e que o cartão foi fraudado. O falso atendente, então, diz que seu cartão foi bloqueado e oferece um serviço exclusivo de retirada do cartão, via motoboy. Além do mais, para fazer isso, pede para o cliente digitar a senha e transfere para uma falsa central telefônica, que captura a senha. Aí o criminoso vai até a casa do cliente e retira o cartão. Simples assim!

Moral da história: sempre preste muita atenção ao utilizar o seu cartão, pois a criatividade dos criminosos é infinita!
  • Ao usar o cartão, verifique o valor cobrado antes de digitar a senha;
  • Verifique se está digitando a senha no campo correto;
  • Habilite a notificação por SMS ou via app das suas transações, e sempre confira quando receber o alerta;
  • Sempre peça o comprovante das transações e, na dúvida, peça o extrato da maquininha;
  • Fique o tempo todo de olho no seu cartão e não deixe que o lojista ou garçom saia de sua vista com o seu cartão;
  • Confira o cartão na devolução;
  • Ao inutilizar e descartar um cartão, certifique-se de cortar a tarja magnética e danificar o chip.
#SemanaDaSegurançaDigital #CompartilheSegurançaDigital #SegurançaDigital

outubro 20, 2019

[Segurança] Semana da Segurança Digital

Os bancos brasileiros e a Febraban estão fazendo uma iniciativa conjunta de conscientização para a sociedade, promovendo o uso consciente dos seus dados pessoais e dos serviços digitais.

De 20 a 26 de Outubro teremos a Semana da Segurança Digital da Febraban e bancos afiliados. Durante essa semana, os bancos vão realizar diversas campanhas de conscientização sobre as fraudes mais comuns no nosso mercado e como evitá-las.


Fique de olho nas redes sociais, pois serão usadas as hashtags #SemanaDaSegurançaDigital, #CompartilheSegurançaDigital e #SegurançaDigital para promover a campanha.

A Febraban tem um hotsite especial com dicas de prevenção as fraudes financeiras mais comuns aqui no Brasil, que vale a visita: https://antifraudes.febraban.org.br

Veja também o vídeo da campanha:


Por último, vale a pena conferir também a página de Dicas de Segurança da Febraban.

Atualizado em 22/10: Veja também:

outubro 18, 2019

[Segurança] Falem mal, mas falem de mim :)

Não acredito muito nesse ditado, para ser sincero. Mas achei que deveria comentar aqui que o meu blog foi citado no Call for Papers da Alligator, evento que aconteceu na semana passada em Recife. rs...

Conheço algumas pessoas que participam da organização do evento, algumas que costumam palestrar e algumas que costumam ir, e acredito que a Alligator tem a sua importância no cenário brasileiro de segurança, pois além da zoação, eles tem a reputação de sempre ter palestras tecnicamente excelentes.


Os textos sarcásticos do CFP da Alligator já estão virando uma tradição no mercado, destilando veneno direcionado a alguns profissionais de segurança (e os CISSPs em especial) e, em algumas vezes, destacando as tretas da área (e já me rendeu um processinho, por ter divulgado aqui no blog o texto do CFP e uma pessoa citada resolveu descontar em mim). Divertido, e triste ao mesmo tempo.

Segue abaixo a transcrição do CFP deste ano, publicado no site do evento, a edição batizada de "Le Cirque Edition" (*):
Respeitável público, senhoras e senhores, meninos e meninas, para quem achou que o jacaré mais abusado do Brasil não daria seu espetáculo este ano, em parceria com Beto Carrero World, Le Cirque e Palhaço Chocolate, a Na Moral e a Casa do Caralho Produções Artísticas tem o prazer de anunciar a IX Edição da Alligator Conference: Le Grand Piccadilly Disaster!

(música de circo)
pá pá pá pá
pá pá pá pááááááááá...
pá pá pá pá
pá pá pá pááááááááááááá

Durante dois dias de muita alegria, serão apresentadas as mais renomadas atrações "CISSPenses" do Brasil. A seguir uma singela amostra do que será nosso freak show:

Nossa jumentinha perna de p0wn (Teeevyt), realizará o seu renomado número de malabares, tentando se explicar como ser ownada duas vezes seguidas - em menos de um ano - de forma vexatória. A apoteose contará com a participação de toda a trupe de asnos e jericos cagando senhas de usuários e leaks de clientes por todo o picadeiro. Imperdível!

Ainda na vertente escatológica, BuzzLightYearezzi subirá ao palco para “bostejar” o seu precioso review sobre o [NOME DO EVENTO AQUI], mostrando "como é preciso ir AO INFINITO E além das tecnologias e threats landscape e nao somente se isolando no contexto hiper-técnico” [sic]. Como se já não bastasse a quantidade de eventos imbecis no Brasil, nosso Sun Tzu tupiniquim vem direto da terra da rainha, com um discurso neocolonizador, tentando sacanear a todos como se índio ainda comprasse espelho.

Como em todo circo de respeito, teremos nossos acrobatas “adevogados”, enrolando a todos na corda bamba do LGPD e desenrolando grana nas costas dos otários. Em seu número, nossos sugar babies corporativos demonstrarão como “seduzir figurões” utilizando os mais inescrupulosos artifícios, tais como infográficos, cybersecurity buzzwords e elevator pitches. O grand finale contará ainda com a participação dos palhaços "JuridiCÚs", arrancando gargalhadas do público enquanto explicam como a lei geral de proteção de dados está sendo usada pra tirar dinheiro das empresas e jogar na mão de burocratas.

No circo tem palhaço, tem, tem todo dia!!!!!
No circo tem palhaço, tem, tem todo dia!!!!!

Este ano contaremos também com a encenação do drama satírico que faz jus às melhores tragédias Dionisíacas. Teremos uma representação da expulsão do Tenente-do-Bordel, Hendrick Van Ramos, retratando os quase 30 anos de domínio holandês e a Insurreição Pernambucana. O espetáculo traça um paralelo à modernidade, onde um pseudo evento de hacking não mais ocorre em terras onde se plantando NEM tudo dá hahahahaha... Recife tem encantos mil, vai pra puta que te pariu!

Para os amantes da adrenalina e de fortes emoções, teremos o temido globo da morte! Em um desafio à propria vida, numa aventura que beira a insanidade, nossos artistas pilotam uma "firma" cujo "negócio" envolve divulgar leaks de outras empresas. Simultâneamente, nossos audaciosos protagonistas tentam se "ESKIVar" do inevitável! O vazamento dos relatórios dos próprios clientes através de buckets S3 desprotegidos. Uma loucura em 360 graus de arrepiar!! #ChupaCirqueduSoleil

Não iremos negligenciar o público apreciador de espetáculos da verve exótica. Nós amamos vocês S2!

Para confrontar os cuspidores de fogo dos circos tradicionais, teremos nosso exclusivo cuspidor de bosta, Jair “a.k.a o messias” Bostanaro. Ele demonstrará sua incrível capacidade de defecar pela boca, inundando a plateia com frases imbecis, chorumes verbais e pensamentos idiotas. Um verdadeiro gênio das frivolidades, chegando ao ponto de ser tão inútil quanto o blog do Anchises.

Não podemos esquecer nosso mestre ilusionista pernambucano, que após transformar seu Shell Script em um negócio milionário, conseguiu renovar seu feito, ludibriando ninguém mais ninguém menos que o mago Merlin KitSCHnick na mais brilhante engenharia social de todos os tempos. Transformou 2000 linhas de NodeJS em um unicórnio. #MITO

O mestre de cerimônias será nosso Jô Soares do undergound, [NOME OMITIDO]!

O happy hour será patrocinado pelo ilustríssimo Palhaço Bozo e apesar de estarmos no nordeste, ele promete que vai nevar!!! Anões hermafroditas, animais selvagens, sacrifícios a belzebu e "farinha" não faltarão. Como tudo no Brasil termina em pizza, teremos orégano do bom (aquele do polígono)!

Ainda temos vagas para patrocinadores "Platinum" e caso exista interesse, entre em contato com nosso VP de marketing [NOME OMITIDO].

[--- Avaliação --- ]

O comitê de avaliação de palestras da AlligatorCon está interessado em tópicos extremamente técnicos sobre hacking, pentesting, exploitation, pwnage, 0days, phreaking, rootkits, rádio, satélites, carros, aviões, rifles, ou qualquer outro tema relacionado e minimamente apresentável.

PS1: Antes que você se anime com o seu bônus, informamos que palestras patrocinadas por empresas serão retiradas do púlpito com violência.

PS2: Qualquer palestra contendo as expressões "Cyber", "APT", "THREAT INTELLIGENCE" e "IOT" de maneira não irônica, será automaticamente descartada.

Apresentações com demonstrações ao vivo e a cores tem nossa preferência, apoio e S2

Avisamos que não possuímos aviões, carros, rifles ou bombas de gasolina para seu demo, portanto traga o material do seu PoC.

Envie sua proposta para alligatorbr@protonmail.ch

[--- Local --- ]

O local provisório do evento é o Complexo Penitenciário Professor Aníbal Bruno.

[--- Comite organizador ---]

* Alligator "Because I got high" Council
* (...)
Do meu lado, valeu pela zoeira! Não me sinto ofendido, muito pelo contrário, levo na esportiva. O meu blog representa um hobby para mim, que aproveito para compartilhar de vez em quando algumas idéias ou coisas que aprendo ou estudo no dia-a-dia.

(*) PS: Eu omiti algumas referências explícitas, para evitar mais problemas judiciais para o meu lado.

[Segurança] Norma ABNT sobre gestão da privacidade da informação em consulta nacional

A ABNT disponibilizou, para Consulta Nacional até dia 07 de novembro, o Projeto "ABNT NBR ISO/IEC 27701 Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e diretrizes, referente ao ABNT/CB-021 Computadores e Processamento de Dados."

Ou seja, essa norma ABNT, traduzida da norma ISO equivalente, adiciona recomendações de controles e gestão de privacidade para as normas 27001 e 27002, de gestão de segurança.

A Consulta Nacional é um passo obrigatório antes da norma ser adotada e publicada pela ABNT. Qualquer pessoa interessada pode acessar o texto final (ou melhor, "semi-final") da norma e enviar comentários, críticas e sugestões.

Para acessar o projeto, basta acessar a página sobre Consulta Nacional no site da ABNT, pesquisar por 27701 - ou pelo Comitê "ABNT/CB-021 Computadores e Processamento de Dados" para ver todas as normas desse comitê que estão sob consulta. É necessário fazer login para acessar o texto da norma (caso não possua, o cadastro é gratuito).


outubro 16, 2019

[Segurança] MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics Techniques and Common Knowledge) é um framework disponibilizado pelo MITRE que consiste em uma base de conhecimento de ciber ataques, aonde eles são classificados em 12 táticas. Assim, ele categoriza e descreve centenas de técnicas que os cyber atacantes podem utilizar para comprometer as empresas.

No framework ATT&CK, as técnicas de ciber ataque estão categorizadas e divididas nas seguintes categorias, chamadas de "táticas", e que tem a ver com o passo-a-passo da realização de um cyber ataque:
  1. Initial Access
  2. Execution
  3. Persistence
  4. Privilege Escalation
  5. Defense Evasion
  6. Credential Access
  7. Discovery
  8. Lateral Movement
  9. Collection
  10. Command and Control
  11. Exfiltration
  12. Impact
Me permitam fazer um exercício rápido.. me arrisco a mapear as 12 táticas acima com o "Cyber Kill Chain", da Lockheed Martin:


Cyber Kill Chain MITRE ATT&CK
Reconnaissance N/A
Weaponization N/A
Delivery Initial Access
Exploitation Execution
Installation Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Collection
Command and Control Command and Control
Actions on Objective Exfiltration
Impact

A matriz que lista todas as táticas e técnicas do MITRE ATT&CK é bem gigante, fica muito difícil criar uma imagem que caiba aqui no blog ilustrando ela na sua totalidade. Veja um screenshot tirado do site:


O framework ATT&CK também é muito legal pois descreve, para cada técnica de ataque conhecida, as principais recomendações de mitigação e detecção que podem ser utilizadas, quando for aplicável. Veja abaixo, por exemplo, a página que descreve a técnica de "Exploit Public-Facing Application" (ID T1190):


Veja uma rápida explicação do MITRE ATT&CK nesse vídeo de 2 minutos do pessoal da Tripwire:


Para saber mais:
PS (adicionado em 19/05/2020): A Microsoft, por exemplo, começou a urilizar o framework do Mitre Att&ck nas notificações dela: "MITRE ATT&CK technique info in Microsoft Defender ATP alerts".

PS/2 (adicionado em 03/07/2023): Vale a pena ler esse artigo: The Holy Bible of Threat Intelligence: Learn the art of Actionable Intelligence.


outubro 14, 2019

[Segurança] Cyber Kill Chain

O "Cyber Kill Chain" é uma modelagem de ataques criada em 2011 pela empresa Lockheed Martin que descreve de forma simples e em alto nível, quais são os passos que um atacante deve seguir para ter sucesso em uma invasão. O Cyber Kill Chain ajuda no processo de tomada de decisão para melhor prevenção, detecção e resposta a ciber ataques

O modelo da Lockheed Martin considera que um atacante passa por 7 estágios para se infiltrar com sucesso durante um ciber ataque:
  1. Reconnaissance: Pesquisa sobre o alvo, incluindo a identificação e escolha de quais serão os alvos. Por exemplo: busca em sites web e redes sociais, busca em listas de e-mail, investigação sobre quais são as tecnologias utilizadas e fornecedores da empresa, dumpster diving, etc;
  2. Weaponization: Criar a ferramenta que vai permitir o ciber ataque, como juntar um trojan e um exploit específico em um payload a ser enviado para a empresa, através de um spear phishing;
  3. Delivery: Execução do ciber ataque, que pode ser feito através de um envio de um phishing com o artefato malicioso, ou realizando um ataque contra a infra-estrutura do alvo, ou, por exemplo, deixando um pen drive malicioso no escritório da vítima;
  4. Exploitation: Após enviar o artefato malicioso, a exploração acontece quando o código malicioso é acionado - ou é executado pelo usuário (inadvertidamente), ou, por exemplo, é explorada uma vulnerabilidade que vai executar o código malicioso;
  5. Installation: Uma vez executado o ataque, partimos para a instalação de algum mecanismo que garanta a persistência, como um Trojan de acesso remoto ou um backdoor;
  6. Command and Control (C2): Estabelecer uma comunicação entre o atacante e o ambiente atacado. Normalmente um malware vai entrar em contato com sua central de controle, a partir da qual o atacante envia os comandos a serem executados no ambiente invadido;
  7. Actions on Objectives: Ufa, finalmente estamos com o pé dentro do ambiente e a partir de agora o atacante começa a executar as ações desejadas, como movimentar-se lateralmente, buscar informações e extraí-las.


O nome "Cyber Kill Chain" surgiu porque uma vez que um elo da corrente é quebrado (um dos 7 passos acima), é possível interrompet toda a cadeia de ações para concretizar o ataque.

A proposta é que esse modelo ajude os profissionais de segurança a entender quais são todos os passos necessários para executar um ciber ataque, e, assim, eles conseguem identificar e detalhar como ocorreu um ataque contra a sua empresa, e podem focar em quais são as características e os detalhes mais relevantes que devem ser investigados. Com isso, é possível ter um processo de resposta a incidentes mais efetivo.

Segundo o whitepaper "Seven Ways to Apply the Cyber Kill Chain® with a Threat Intelligence Platform", a modelagem de uma cadeia de ataques ajuda a melhorar um modelo de inteligência pois permite priorizar os alertas que a empresa recebe de suas ferramentas de segurança, priorizar a escalação dos incidentes e ajuda a medir sua capacidade de responder a ciber ataques.

O video abaixo, também da Lockheed Martin, é interessante para mostrar a importância de aplicar inteligência na detecção e resposta a ataques:


Para saber mais:

outubro 11, 2019

[Segurança] O vazamento de dados da Capital One

Um dos vazamentos de dados mais comentados neste ano aconteceu com o banco americano Capital One, anunciado publicamente em julho deste ano. Através de um ataque realizado por uma pessoa com conhecimento de sua infra-estrutura, a empresa sofreu um roubo de informações que afetou 106 milhões de clientes (100 milhões dos EUA e 6 milhões do Canadá).

Esse caso é bem interessante pois há várias informações sobre o caso, uma vez que a investigação do FBI e seu relatório de acusação está disponível online. Junte a isso um post no blog da empresa ClousSploit e um artigo do Brian Krebs, e conseguimos identificar vários detalhes de como ocorreu o ataque.

O incidente, fruto de uma invasão criminosa, ocorreu nos dias 22 e 23 de março; porém, a instituição só percebeu o ataque no dia 19 de julho. O comprometimento dos dados só foi descoberto porque um pesquisador de segurança identificou a informação vazada e notificou a Capital One, via e-mail, através de seu programa de Vulnerability Disclosure.

Assim, a empresa identificou que seus dados e o script utilizado estavam disponíveis online em uma conta no GitHub. Pior ainda: o FBI identificou a suspeita da invasão pois ela publicou tudo em sua própria conta do serviço GitHub. E, ainda mais, conseguiu validar a identidade da pessoa cruzando seus perfis e comentários sobre o incidente em redes sociais. De nada adiantou usar VPN e TOR...

A acusada, chamada Paige Thompson, já trabalhou como engenheira de software para a Amazon Web Services (AWS) e  prestou serviços para a Capital One entre 2015 e 2016.

Para acessar e roubar os dados, a atacante se aproveitou de uma falha de configuração no Web Application Firewall (WAF) ModSecurity utilizado pela CapitalOne para proteger o seu servidor hospedado na AWS, e realizou um ataque de Server-Side Request Forgery (SSRF) para executar remotamente alguns comandos no servidor e, assim, acessar mais de 700 diretórios com dados de clientes.

Segundo a investigação do FBI, o script encontrado no GitHub possuía os comandos utilizados para obter o acesso ao ambiente da Capital One na AWS, listar seus repositórios de dados e copiar as informações.


Com base no material do FBI, no blog da CloudSploit e no artigo do Krebs, podemos reconstruir os principais passos realizados pelo atacante:
  • O ataque SSRF permitiu enganar o servidor para executar comandos em nome de um usuário remoto, permitindo que o usuário obtenha acesso a serviços no ambiente privado, não públicos;
  • A configuração incorreta do WAF permitiu ao invasor induzir o firewall a encaminhar os comandos para um recurso padrão no back-end na plataforma da AWS, conhecido como "serviço de metadados" (acessado através do endereço http://169.254.169.254);
  • Combinando o ataque SSRF com o acesso ao serviço de metadados contendo credenciais temporárias do ambiente, a invasora conseguiu induzir o servidor a fazer uma solicitação para obter as credenciais de acesso. Ao usar a URL http://169.254.169.254/iam/security-credentials, a atacante teve como retorno informações de AccessKeyId e SecretAccessKey. Tais credenciais permitiram executar comandos no ambiente AWS via API, CLI ou algum SDK;
  • Com essas credenciais, a invasora executou várias vezes o comando "ls" (para listar os Buckets da AWS S3), que retornou uma lista completa de todos os buckets do AWS S3 na conta comprometida da Capital One ("$ aws s3 ls");
  • Ao final, a atacante utilizou o comando "sync" da AWS para copiar os dados desses buckets para sua máquina local da invasora ("$ aws s3 sync s3://bucketone ."). Esse comando permitiu ao atacante o acesso a mais de 700 buckets, de acordo com a acusação.
É interessante notar também que todos os acessos acima foram realizados através de TOR e VPN, para ocultar a origem do ataque.

Um exercício legal é mapear todos os passos do ataque de acordo com o framework ATT&CK do MITRE, como na imagem abaixo, criada pela empresa exabea:


A propósito, eu senti que no framework ATT&CK falta nomear uma técnica relacionada a exploração de falha de configuração em dispositivo de segurança existente (o WAF da Capital One, nesse caso), que na minha opinião poderia ser incluída na categoria de "Defense Evasion". Ao menos temos algo similar na lista de técnicas "PRE-ATT&CK", como "Analyze architecture and configuration posture".

Como esse ataque poderia ter sido evitado? O próprio framework ATT&CK nos dá algumas dicas, pois ele também descreve, para cada técnica de ataque conhecida, as principais recomendações de mitigação e detecção que podem ser utilizadas, quando for aplicável. Alguns controles são relativamente óbvios na primeira leitura do caso, como por exemplo:
  • Falha de controle de acesso, permitindo o acesso a infra-estrutura a partir de endereços IP da rede TOR e de serviços de VPN;
  • Falha na gestão da solução WAF. Faltou também auditoria de configuração e auditoria de vulberabilidades que poderiam ter identificado essa falha;
  • Monitoramento insuficiente do ambiente de Cloud Computing. O ambiente AWS possui o recurso CloudTrail, um serviço de auditoria que registra e monitora as ações executadas na infraestrutura, inclusive ações executadas via Console de Gerenciamento da AWS, dos SDKs e das ferramentas da linha de comando;
  • Monitoramento insuficiente do tráfego de saída do ambiente na AWS, permitindo a exfiltração de grande volume de dados sensíveis.
Após resultado do julgamento em junho de 2022, em setembro a Paige Thompson recebeu sua sentença de prisão e cinco anos de liberdade condicional após sua condenação em junho nos tribunais federais dos EUA por cinco acusações de crimes e duas contravenções. Thompson deverá prestar 50 horas de serviço comunitário a cada ano durante o período de liberdade condicional, ficando sujeita a monitoramento por três anos restrita a ficar em sua casa, e seu uso de computadores e internet estará sujeito a monitoramento federal.

Para saber mais:
PS: Post atualizado em 05 e 06/10/2022.

outubro 10, 2019

[Segurança] O maior vazamento de dados dos últimos tempos da última semana

Baseado em uma conversa real:
- Você viu o vazamento de dados do Mc Donnald's? Que absurdo!
- Ih, que nada. Teve o roubo de 90 milhões de dados do governo!
- Ah, você está desatualizado! Isso foi na semana passada! Agora teve o vazamento dos dados médicos de uma galera!
- Vocês três estão falando de notícia velha! Hoje vazaram os dados do Detran, com informações de todos os brasileiros que tem carteiras de motorista!
É isso mesmo! Nos últimos dias, literalmente, vimos uma sequência absurda de vazamento de dados aqui no Brasil:
  • No dia 01/10 a The Hack divulgou que havia uma falha em um sistema do Instituto Mix, maior franquia de escolas de cursos profissionalizantes do Brasil, permitindo o acesso completo a uma série de dados sensíveis sobre alunos, funcionários e franqueados. Um banco de dados poderia ser acessado facilmente, permitindo o acesso a dados cadastrais de qualquer aluno ou ex-aluno do Instituto Mix (podendo chegar a 700 mil alunos), além de informações sobre os franqueados e funcionários;
  • No dia 04/10 a The Hack apurou que uma prestadora de serviços do McDonald's Brasil, a DoxTI, deixou exposto em um ambiente desprotegido na Elasticsearch mais de 2,3 milhões de dados sensíveis (mais precisamente, 2.354.933), incluindo dados pessoais de funcionários e informações de fornecedores;
  • No mesmo dia 04/10, a BleepingComputer relatou que um ciber criminoso estava anunciando em fóruns underground a venda de dados de 92 milhões de Brasileiros., leiloado pela bagatela de 15 mil Trumps. Aparentemente, essa massa de dados foi obtida de algum órgão governamental;
  • No dia 07/10 a The Hack reportou que uma empresa prestadora de serviços de saúde no trabalho, a BCcorp, deixou vazar dados pessoais e exames médicos de 33 mil funcionários de algumas empresas - incluindo a Vale e Prosegur. Os arquivos estavam armazenados em um servidor desprotegido do serviço Amazon Simple Storage Service (S3), da AWS.


  • No dia 08/10, o Olhar Digital noticiou que o site do Detran-RN estava expondo os dados pessoais de todos brasileiros que possuem CNH, devido a uma falha que permitia a enumeração e consulta dos dados pessoais de aproximadamente 70 milhões de pessoas. Era possível obter, apenas com o número de CPF, dados pessoais como endereço residencial completo, telefone, dados da CNH (categoria, validade, emissão, restrição, registro), foto, RG, CPF, data de nascimento, sexo e idade.
Esses vazamentos não estão sozinhos. Recentemente a The Hack reportou a existência de um ambiente Elasticsearch público com informações pessoais de 200 mil brasileiros (sem conseguir identificar a empresa responsável pelo servidor em questão). Em setembro a Atitude Grupo, empresa de terceirização de mão-de-obra, deixou vazar uma série de documentos sigilosos hospedados em um bucket S3 público. por conta da má-configuração de um servidor. Lá estavam disponíveis documentos como licitações, contratos, relatórios, folhas de ponto e documentos diversos de funcionários, incluindo RGs, CPFs e holerites, de clientes como Banco Central do Brasil, Banco do Nordeste (BNB) Receita Federal, Polícia Rodoviária Federal (PRF) e Tribunais Regionais Eleitorais (TREs). Em Agosto a The Hack também noticiou que uma clínica cardíaca carioca, a Cirurgiões Cardíacos Associados (CCA), deixou escapar pelo menos 3 mil relatórios pós-cirúrgicos de seus pacientes.

E poderíamos escrever mais alguns parágrafos sobre casos recentes só aqui no Brasil, como o vazamento de dados do SUS (2,4 milhões de pessoas!), da prestadora de serviços de alguns bancos (incluindo o Banco Pan e o Safra), do detergente Ypê (peraí, existe um site do detergente Ypê? E alguém se cadastrou nele!?), etc.



A LGPD só vai entrar em vigor em Agosto de 2020, logo essas empresas ainda não podem ser punidas de acordo com a Lei. Resta apenas torcer para que o MPDFT continue entrando com ações públicas contra essas empresas, assim como já fez no caso da Netshoes e Banco Inter, por exemplo.


outubro 09, 2019

[Segurança] O que deveríamos ter aprendido com o vazamento do McDonnald's?

O pessoal da The Hack reportou, com exclusividade. um vazamento de dados de uma prestadora de serviços que deixou exposto mais de 2,3 milhões de registros sensíveis da rede McDonald's Brasil, incluindo informações pessoais de funcionários e dados de fornecedores.


Segundo The Hack apurou junto a Arcos Dorados (responsável pela marca McDonald’s na América Latina), o ambiente vulnerável era de propriedade de um prestador de serviços chamado DoxTI, que foi contratado para desenvolver um sistema de indicadores de Mc performance. Pois, mas esta empresa colocou os dados dos funcionários do Mc em um ambiente Elasticsearch desprotegido, com livre acesso para usuários não-autenticados - uma falha que tem se tornado uma verdadeira epidemia nos últimos meses.

Conforme explica a reportagem da The Hack, o Elasticsearch é uma ferramenta popular utilizada em ambientes em Cloud Computing para facilitar a consulta de grande volumes de dados. Porém, por padrão, ao ser instalada, ela é configurada com acesso público — o que significa que qualquer pessoa com a URL certa é capaz de acessar as informações indexadas pela plataforma. Já noticiamos outros casos similares, como este app de relacionamento e servidores contendo dados cadastrais de quase toda a população equatoriana e chilena.

Lições que deveriam ser aprendidas:

  • Exigir e atirar a segurança de prestadores de serviço e fábricas de software. Um vazamento num prestador de serviço pode causar grande dor de cabeça para a empresa, mesmo que seja um terceiro contratada para fazer um sistema bobinho, simples ou baratinho;
  • Testar e auditar sempre. Principalmente ao colocar algum ambiente na nuvem (independente de ser um ambiente para desenvolvimento, homologação ou produção). Nunca suba um ambiente exposto na Internet sem fazer todos os testes de segurança possívels - nem mesmo sem fazer os testes mais básicos (como tentar acessar sem autenticação).


outubro 07, 2019

[Cyber Cultura] Ada Lovelace Day 2019

Nesta terça-feira, 08/10, vamos celebrar mais um Ada Lovelace Day, um dia para comemorarmos e incentivarmos a participação de mulheres no campo das ciências, tecnologia, engenharia e matemática (que, em inglês, fica a sigla "STEM").

O Dia da Ada Lovelace é realizada internacionalmente na segunda terça-feira de outubro de cada ano, desde 2009. Pessoas de todo o mundo contribuem escrevendo sobre mulheres cujo trabalho elas admiram em blogs, jornais, etc, ou organizando eventos locais.

Essa data é importante para destacar as realizações, descobertas e invenções de mulheres na área de Exatas e para encorajar meninas e mulheres a iniciarem ou permanecerem nessa área.

O site oficial do evento, Findingada.com, possui uma página com dicas e materiais que você pode utilizar para organizar um evento na sua comunidade ou cidade.

outubro 04, 2019

[Segurança] E quando te pedem informações pessoais em uma compra?

Todo mundo já deve ter passado pela situação em que o caixa da loja, do supermercado ou da farmácia pede o seu CPF ao realizar uma compra, não é?

Pensando na necessidade de conscientizar as pessoas sobre o risco de oferecer seus dados pessoais, o InternetLab fez uma experiência com uma câmera escondida para saber o quanto as pessoas estão acostumadas a entregar suas informações pessoais sem se perguntar o porquê.

O vídeo dessa experiência ficou vídeo muito legal:


Nenhuma compra depende de cadastro, por isso, pense duas vezes antes de fornecer suas informações pessoais. Da próxima vez que pedirem seus dados, resista.

outubro 02, 2019

[Segurança] Estatísticas de vazamento de dados (2019)

Os vazamentos de dados viraram uma epidemia! Toda semana ouvimos notícias de alguma base de dados exposta ou roubada, impactando na privacidade de milhares, milhões ou bilhões de indivíduos!

O Identity Theft Resource Center (IDRC) é uma das principais entidades que mantém um rastreio dos principais vazamentos de dados desde 2005, e as estatísticas deles para este ano são assustadoras:
  • De Janeiro/2005 até Agosto/2019, tivemos um total acumulado de 10.818 vazamentos, representando a exposição de 1.612.530.601 registros;
  • Até 12 de setembro de 2019, o ITRC havia identificado 1.300 vazamentos neste ano (mais do que o total de 2018!!!), expondo 146.906.993 registros;
  • O setor mais afetado, em quantidade de vazamentos, foi o de Negócios, com 446 incidentes (43.3% do total de 2019), mas a quantidade de registros expostos foi relativamente pequena: 4.624.967 (3.1% do total);
  • O setor Médico/Healthcare foi o segundo mais afetado neste ano. Eles representaram 35.2% dos incidentes (363 vazamentos) e 24.5% dos registros (36.020.489);
  • O setor financeiro tem uma estatística interessante: tiveram poucos incidentes em 2019 (63 vazamentos, ou 6.1% do total), mas foi o setor que representou a maior quantidade de dados vazados: 100.436.121 de registros, ou absurdos 68.4% do total do ano!



Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.