julho 21, 2020

[Segurança] Ransomwares e Double Extortion

Uma nova ameaça surgiu recentemente no mercado recentemente e já afetou algumas centenas de empresas no mundo todo, o ataque de...

Double Extortion


Nessa nova modalidade de ciber ataque, as novas famílias de ransomwares não se limitam a sequestrar os dados, como acontece normalmente. Elas também roubam os dados e ameaçam a vazá-los caso a vítima não pague o valor exigido na extorsão. Além da vítima ter seus dados sequestrados, sem conseguir acessá-los, elas também sofrem a ameaça de terem seus dados vazados pelo ransomware, caso não paguem o sequestro.

A Tempest aponta oito famílias de ransomware com esta característica que estão mais presentes atualmente, e são utilizadas por 11 grupos criminosos diferentes: Maze, Snake, RagnarLocker, Clop, REvil (Sodinokibi), Netwalker (Mailto), DoppelPaymer e Nefilim.

O ransomware Maze, que surgiu no final de 2019, foi o pioneiro a usar essa tática de dupla extorsão, e fez escola! Ou seja, além de criptografar os dados e exigir o resgate, o Maze também exfiltra (rouba os dados) para que o criminoso possa chantagear a vítima que os dados serão vazados publicamente caso o resgate não seja pago.



Um outro golpe bizarro, que surgiu após o Maze, é que alguns fraudadores mandam mensagens falsas, ameaçando vazar dados das empresas sem que eles tenham sido roubados de verdade.

Para saber mais:

julho 20, 2020

[Segurança] Um dia é da caça, o outro é do caçador...

Me permitam fazer um post sarcástico comparando duas notícias recentes, relacionada a golpes e fraudes digitais.

No dia 17/07 o jornal Correio Brasiliense publicou uma matéria com o título "Hackers (sic) fizeram desvios do auxílio emergencial pelo aplicativo Caixa Tem", em que um trecho chamou a atenção de vários profissionais de segurança, alegando que a Caixa invadiu grupos de WhatsApp das quadrilhas:
"Ainda de acordo com o executivo (Pedro Guimarães, presidente da Caixa Econômica Federal), a Caixa já bloqueou "algumas contas usadas por esses bandidos" e também já "invadiu grupos de WhatsApp de hackers". "Já temos bastante coisas e vamos passar para a Polícia Federal", avisou."
Fast forward... Dois dias depois, uma matéria publicada no UOL no dia 19/07 destaca que o "Presidente da Caixa diz a contatos ter sido hackeado e troca número de celular". Pela reportagem, é possível entender que ele teve diversos dados pessoais vazados.

Ou seja, pelo jeito rolou alguma vingança pelo comentário do presidente da Caixa.

Vale a pena destacar que uma série de falhas na poupança digital e no aplicativo Caixa Tem permitiram que criminosos acessassem as contas dos beneficiários do auxílio emergencial e realizassem fraudes em saques e pagamentos, o que causou um prejuízo de mais de R$ 60 milhões para a Caixa.

julho 17, 2020

[Carreira] Dicas para o Curriculum

O processo de contratação de emprego, normalmente, passa por um ritual:
  1. O candidato toma conhecimento da vaga (ou alguém da empresa convida alguém a participar do processo)
  2. O candidato envia seu CV para a empresa
  3. A empresa analiza o CV dos candidatos
  4. Os candidatos com melhores CVs são convidados para uma primeira entrevista
  5. Acontecem algumas entrevistas (cada empresa tem seu processo específico)
  6. Candidato é informado se foi aceito ou não
Pelo passo-a-passo acima, fica claro a importância do Curriculum Vitae (CV) no processo de contratação. Ele é o documento que te apresenta para a empresa, e que ela vai utilizar para a primeira filtragem dos possíveis candidatos. Um CV mal feito, que não transmita as suas qualidades, reduzem drasticamente a sua chance de ser chamado para uma entrevista.

Por isso, há muito tempo se fala sobre a importância de ter um CV bem feito. Recentemente eu li um artigo interessante, aonde o autor deu algumas dicas após analizar 22 currículos de candidatos para uma vaga de desenvolvedor.

Isso me inspirou a compartilhar algumas dicas, mescladas com as dicas do artigo:
  • Antes de mais nada: lembre-se, o Curriculum deve vender a sua imagem! Deve destacar as suas qualidades e conquistas profissionais;
  • Jamais minta no currículo, não invente. As vezes as pessoas validam as informações, e aí você fica queimado;
  • A aparência é tudo! Capriche bastante no seu CV: use uma diagramação agradável, moderna, com uso cuidadoso das fontes, negritos, bullets, etc. O próprio entrevistador fica mais motivado quando lê um CV bem feito, com bom visual, claro e objetivo;
  • O CV tem que ser curto e objetivo,em geral comenta-se que ele deve ter 2 páginas, no máximo. Mas o grande desafio é manter ele curto e ao mesmo tempo destacar as suas qualidades e sua experiência;
  • Cuidado com os detalhes: erros de digitação, nomes mal escritos, etc;
  • Se você pretende se candidatar para cargos diferentes (por exemplo, pré-vendas ou consultor de segurança), vale a pena criar duas versões do seu CV, cada uma direcionada para cada vaga. Assim, você pode destacar as suas qualidades e experiências que melhor se adequa a cada perfil profissional. Se tiver apenas uma versão genérica do CV, você não conseguiria dar tanto destaque nas informações que o entrevistador quer ver;
  • O LinkedIn é seu aliado! Hoje em dia, o LinkedIn pode ser usado como substituto ao tradicional CV. É cada vez mais comum compartilhar o link para sua página do Linkedin em vez de enviar um documento com o seu CV. Ou também pode ser usado  como um complemento - o LinkedIn pode ter mais detalhes sobre a sua vida profissional, enquanto você deixa o CV mais enxuto e objetivo;
  • Destaque suas atividades públicas: voluntariados, blog, repositórios de códigos, palestras realizadas e participação em comunidades. Um entrevistador mais cuidadoso e interessado pode usar essas informações para avaliar você muito positivamente;
  • Não coloque foto no seu CV, nem dados pessoais (números de documentos);
  • Não coloque pretensão salarial. Guarde essa informação para a negociação;
  • Não coloque participação em eventos, a menos que você seja o organizador ou palestrante.
Lembre-se: o empregador tem que analisar dezenas ou centenas de currículos, por isso é fundamental para o seu futuro profissional que o seu CV se destaque no meio da multidão!

julho 08, 2020

[Segurança] Desafios de segurança no Home Office

Um estudo recente da Kaspersky trouxe algumas estatísticas que mostram como as pequenas e médias empresas estão vulneráveis no cenário de trabalho remoto imposto pela pandemia do novo Coronavírus. O estudo entrevistou 6 mil pessoas em 12 países, incluindo o Brasil.

Veja algumas estatísticas apontadas pela Kaspersky sobre o cenário das pequenas empresas brasileiras:
  • 58% dos funcionários estão usando seus computadores pessoais, pois não receberam equipamentos corporativos para o trabalho em casa;
  • Apenas 44% dos funcionários receberam instruções de segurança para trabalhar de casa;
  • 50% dos funcionários começaram a armazenar informações corporativas em seus dispositivos domésticos;
  • 44% dos funcionários começaram a armazenar informações corporativas em serviços de armazenamento em nuvem pessoal
O estudo também traz vários números globais que são bem interessantes:
  • 46% dos entrevistados nunca tinham trabalhado de casa antes da pandemia;
  • 32% dos funcionários dizem estão trabalhando em condições menos confortáveis ​​do que no ambiente de escritório;
  • 55% dos entrevistados receberam dispositivos específicos para trabalhar em casa, como computadores e celulares;
  • 73% ainda estão usando os mesmos dispositivos com os quais trabalhavam no escritório;
  • 52% dos entrevistados têm o parceiro trabalhando em casa, sendo que apenas 11% moram sozinhos;
  • 26% dos pesquisados ​​não têm salas separadas para familiares que precisam trabalhar em casa;
  • 84% afirmam permitir que outras pessoas em sua casa acessem seu computador pessoal usado para o trabalho;
  • 50% das empresas que permitem que os funcionários realizem trabalhos a partir de dispositivos pessoais, não possuem políticas para regulamentar como elas são usadas;
  • 73% dos trabalhadores afirmam não ter recebido nenhum treinamento adicional de conscientização de segurança depois que passaram a trabalhar em casa;
  • 53% dos trabalhadores estão usando VPN para acessar a rede de seus empregadores;
  • 42% dos trabalhadores estão usando contas de e-mail pessoais para trabalhar;
  • 53% dos entrevistados estão usando serviços pessoais de compartilhamento de arquivos.
A Kaspersky traz também alguns conselhos para proteger os funcionários trabalhando em home office:
  • Se possível, utilize apenas os equipamentos fornecidos pelo empregador;
  • Os dispositivos pessoais dos funcionários devem possuir ferramentas de segurança, atualizados;
  • Use senha em todos os dispositivos, incluindo celulares e redes sem fio. Altere as senhas de fábrica;
  • Use um gerenciador de senhas para criar e gerenciar senhas fortes;
  • As redes domésticas devem ser criptografadas, com o roteador configurado para usar o padrão WPA2;
  • O uso de uma VPN é fortemente recomendado, e deve ser obrigatório quando estiver conectado a uma rede wifi desconhecida;
  • Mantenha cópias de segurança (backups) de todos os dados corporativos;
  • Compartilhe com os funcionários uma lista de serviços online confiáveis para armazenar e transferir dados corporativos;
  • Realize treinamentos de conscientização de segurança para todos os funcionários
  • Os funcionários devem ser informados sobre quem contatar caso tenham algum problema de segurança.
Para saber mais:

julho 06, 2020

[Cidadania] Vivemos na era da pós-verdade?

Essa já virou uma das minhas TED talks favoritas!

A palestra "Vivemos na era da pós-verdade?", do TEDx da UFPR em Outubro de 2019, foi apresentada pelos fundadores e apresentadores do canal Meteoro Brasil, que fala desde cultura pop até ciência e filosofia. Os palestrantes, identificados como "Cara Mais Simples e Mulher Mais Sábia", discutem de forma criativa sobre a importância de tratarmos fontes numerosas e variadas de informação, e como diferenciar o que é verdade.


O tema da palestra, "pós-verdade", é um substantivo que "denota circunstâncias nas quais fatos objetivos têm menos influência em moldar a opinião pública do que apelos à emoção e a crenças pessoais". Ou seja, e o cenário que vemos diariamente nas redes sociais, aonde palpites e opiniões são mais valorizados do que fatos científicos e estudos estatísticos.

Esse fenômeno, recente, é alimentado pelo chamado "efeito bolha", muito explorado nas redes sociais: os algoritmos de compartilhamento de informação valorizam, para cada pessoa, o conjunto de posts e notícias que estejam em acordo com suas opiniões. Isso reforça as crenças de cada pessoa e desencoraja a discussão e análise dos fatos. Nas redes sociais, quanto mais simples, polêmico e/ou em acordo com a opinião de uma determinada pessoa, maior a chance da informação ser compartilhada e, portanto, maior a chance dela "viralizar".

Um conceito muito interessante que eles expõe é da "Esfera pública de comunicação", aquele pequeno conjunto de assuntos que podem ser discutidas simultaneamente pela sociedade. Como esse é um espaço limitado, um pequeno conjunto de Assunto que conseguimos discutir ao mesmo tempo, acaba surgindo uma priorização das mensagens que conseguem ganhar essa competição pelo interesse público. A visibilidade que os meios de comunicação de massa dão para um determinado tema dependem da capacidade desse tema de gerar debate, de causar "ressonância". O mais interessante é que essa atenção toda é fruto da legitimidade da notícia. MAs a legitimidade não quer dizer que a notícia seja verdadeira - mas sim, se a pessoa que a lê a considera válida ou não. Ou seja, a veracidade não depende da ciência nem da realidade! Por causa desse fenômeno, hoje em dia vemos a mentira ganhar cada vez mais espaço!

junho 30, 2020

[Segurança] Engenharia Social

A "Engenharia Social" é um dos ataques mais antigos, mais comuns e eficientes entre os fraudadores e criminosos em todo o mundo. Esse é o nome dado a vários tipos de ataques, fraudes e golpes em que uma pessoa mal intencionada se aproxima de uma vítima de forma a enganar de manipular seus sentimentos e emoções (como medo, ansiedade, empatia, etc.) com o objetivo de moldar o seu comportamento e forçá-la a fazer algo de interesse do criminoso. Ela representa a arte de trapacear, enganar ou ganhar a confiança das pessoas.

No jargão popular, esse é o famoso "171", uma alusão ao artigo de mesmo número no Código Penal Brasileiro, que define o crime de estelionato ("Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento").

Embora seja uma técnica antiga e muito comum entre fraudadores e criminosos tradicionais, na comunidade de segurança da informação esse tipo de ataque ficou muito popular graças as ações do hacker Kevin Mitnick nos anos 90, que escreveu alguns livros excelentes sobre o assunto.

O principal objetivo dos ataques de engenharia social é subverter o fator humano da segurança, através de técnicas de manipulação com o uso de fatores psicológicos e comportamentais. Assim, o criminoso consegue explorar as pessoas para viabilizar golpes contra indivíduos e empresas.


Várias fraudes que nós já conhecemos no nosso dia-a-dia são casos típicos de engenharia social. Por exemplo:
  • Golpe do falso sequestro: um criminoso liga para um número aleatório e, quando a pessoa atende, ele fala que sequestrou o filho da pessoa do outro lado. Ao fundo, você pode ouvir muito barulho, gritos e o choro da possível vítima. Assustada, a vítima começa a conversar com o criminoso, acaba inclusive dando o nome do possível parente sequestrado ("Você sequestrou o Joãozinho? Ele está bem?"). Isso tudo para exigir o pagamento de um resgate - de alguém que nunca foi sequestrado e provavelmente está bem e seguro em casa, assistindo novela.
  • Roubo de conta do Whatsapp: O criminoso liga para a vítima, dizendo ser de alguma empresa (ex: OLX, Mercado Livre) e diz que vai mandar um código de segurança para aprovar o anúncio, que na verdade é o código de segurança do WhatsApp. Se a vítima for convencida, o criminoso usa esse código para roubar a conta do Whstaspp e começa a pedir dinheiro emprestado para seus amigos e parentes (outro golpe de engenharia social na sequência!)
  • Golpe do falso atendente do banco: O criminoso liga para o correntista, dizendo ser do banco em que tem conta, e avisa que o cliente foi vítima de uma fraude (que não é verdade). Para estornar a suposta transação fraudulenta, o falso atendente precisa que o cliente forneça a sua senha.
  • O falso atendente nas redes sociais: Parecido com o exemplo anterior, nesse caso os criminosos criam perfis falsos em nome do banco ou da instituição, ou dizendo ser do time de suporte. Através das redes sociais, entram em contato com clientes e fazem se passar por atendentes do banco para conseguir descobrir a senha da conta da vítima.
  • A ligação do diretor: o criminoso liga para o suporte técnico da empresa, fala que é o diretor e que está em uma reunião importante, mas sua senha na rede não está funcionando. Assim, o criminoso convence o funcionário a trocar a senha do diretor por uma senha conhecida pelo criminoso. Assim, ele conseguirá invadir a rede da empresa.
  • Phishing: Os criminosos mandam mensagens por e-mail, SMS e redes sociais com alguma mensagem para que a vítima clique em um link malicioso. Pode ser uma mensagem compartilhando as fotos da festa da turma, ou com um pedido para você atualizar o token de segurança do seu banco, etc.
Normalmente o foco dos engenheiros sociais é atuar em pessoas físicas para realizar roubo de dados pessoais e bancários, fraudes financeiras e golpes, enquanto no lado empresarial eles buscam o vazamento de informações e fraudes financeiras. No mundo corporativo, qualquer funcionário pode ser alvo de um ataque de engenharia social a qualquer momento, independentemente do cargo que ocupa dentro da empresa.

O "engenheiro social" geralmente é uma pessoa com habilidades de comunicação, bom papo e empatia, e bom domínio das técnicas de persuasão. Normalmente a vítima nem percebe que foi enganada.

Muitos criminosos são especializados nessa arte de convencer e enganar as suas vítimas, e existem várias técnicas para manipulá-las. Veja, por exemplo, a lista abaixo com os ataques de engenharia social mais comuns:
  • "Pretexting" (personificação): O fraudador se passa por pessoas ou empresas de confiança da vítima, ​​para esconder o verdadeiro propósito ou lógica por trás de suas ações. Esse ataque é muito usado pois, quando a vítima, acredita que está em contato com alguém de confiança, ela fornece mais facilmente os dados para o engenheiro social, sem perceber que se trata de um golpe;
  • Intimidação: O criminoso se faz passar por uma figura de autoridade para coagir suas vítimas;

  • Empatia: Ao contrário da intimidação, muitas vezes o fraudador pode ganhar a confiança da vítima tentando se aproximar dela de forma amigável, apelando ara o lado sentimental, elogiando para fomentar o ego da vítima, ou oferecendo ajuda para ganhar sua confiança;

  • "Baiting" (ou isca): Usado para seduzir a vitima com promessas de oferecer algo de valor, ou oferecendo um presente para conquistar a sua confiança. O criminoso pode, também, deixar em um local do escritório um pen-drive (ou um brinde com interface USB) com um malware pré-implantado, com objetivo de infectar o computador da vítima;
  • "Quid Pro Quo": Prometendo algo à vitima em troca de sua ajuda. É o "toma lá, dá cá";
  • "Blackmailing" (ou chantagem): O criminoso pede algo e ameaça revelar alguma coisa que a vítima deseja manter em segredo, ou que causaria dano a ela;
  • "Shoulder surfing": Aproveitando a distração, o criminoso olha o que a vítima faz no computador, "por cima dos ombros", como acessar informações ou enquanto digita uma senha;
  • "Dumpster diving": O invasor meche no lixo da sua empresa, buscando informações que podem ter sido descartadas, como documentos, anotações em papel ou post-its, etc;
  • "Tailgating": Técnica de conseguir acesso físico ao escritório da empresa, quando indivíduos não autorizados seguem algum funcionário e "pega carona" no seu acesso, como quando a pessoa segura a porta para a suposta colega de trabalho;
  • Roubo de identidade: Nesse processo, após roubar as informações pessoais da vítima, em seguida o engenheiro social utiliza essas informações para fazer se passar por outra pessoa e cometer fraudes e atos ilícitos;
  • Phishing: Um exemplo clássico de engenharia social por meios tecnológicos. Um cibercriminoso cria uma mensagem (e-mail, SMS ou redes sociais) com conteúdo atrativo para a vítima, que acredita estar diante de um e-mail legítimo e, assim, clica no link malicioso ou baixa o arquivo anexo a mensagem;
  • Vishing: É o nome dado ao ataque de "phishing" realizado por ligação telefônica. O criminoso liga para a vítima se fazendo passar pela central de atendimento do banco, da empresa de telefonia ou qualquer outra empresa já utilizada pela vítima, com objetivo de enganá-la e aplicar golpes. É o caso do golpe da "falsa central de atendimento". Golpes mais sofisticados incluem o uso de ferramentas que simulam o atendimento automatizado de centrais telefônicas, com mensagens pré-gravadas e opção do cliente fornecer a sua senha digitando no teclado do telefone;
  • Spoofing: quando o criminoso consegue esconder a real origem de seu acesso, seja mascarando o seu endereço IP ou trocando a identificação de seu número telefônico em uma chamada ou mensagem de SMS.
Os engenheiros sociais tentam explorar os sentimentos e as emoções da vítima para forçar que ela se distraia e seja convencida a ajudar o criminoso. Alguns exemplos de emoções que podem ser exploradas inclui o ego, a empatia, a curiosidade, preguiça, medo, ansiedade, a intimidação ou a boa intenção de ajudar o próximo.


Alguns fatores psicológicos favorecem o criminoso especializado em engenharia social, tais como:
  • Falta de atenção
  • Medo de punição ou dano
  • Sentimento de empatia com o criminoso
  • Vontade de ajudar ao próximo
  • Possibilidade ganhos
Para evitar os golpes de engenharia social, as empresas devem ter uma política de segurança adequada e treinamentos constantes, educando seus usuários sobre alguns cuidados básicos a serem tomados, tais como:
  • Sempre desconfie e seja vigilante;
  • Sempre siga os processos existentes, mesmo que pareçam burocráticos;
  • Verifique a identidade da pessoa, se ela é quem ela reivindica ser, se é um funcionário atual e se a pessoa está autorizada a fazer uma solicitação;
  • Desconfie quando seu interlocutor te pede muitas informações;
  • Não compartilhe informações pessoais e corporativas com outras pessoas e tenha cuidado dobrado quando pedirem informações confidenciais;
  • Mantenha sempre a calma e evite distrações;
  • Resista a pressão (por exemplo, "a sua conte será encerrada" ou "vou avisar o seu chefe que você não colaborou");
  • Questione as solicitações que receber, independente do cargo, importância ou urgência que a outra pessoa alega ter;
  • Não dê acesso ao escritório para pessoas não identificadas, e denuncie quando encontrar alguém estranho no ambiente;
  • Mantenha documentos em gavetas e armários trancados, além de exercer uma política de "mesa limpa";
  • Sempre tenha cuidado com o manuseio e o descarte de documentos, e nunca deixe expostos documentos com informações confidenciais;.
  • Quando não estiver usando, minimize as janelas dos aplicativos e browsers em seu computador., para que não vejam as suas telas;
  • Ao sair da mesa, sempre bloqueie o acesso ao equipamento.
Para saber mais:

PS: Post atualizado em 03/07.

junho 26, 2020

15 anos de Blog!

Juro que a data quase passou desapercebida! Mas há 15 anos atrás, mais precisamente em 08 de junho de 2005, eu escrevia o primeiro artigo desse blog!

Após 15 anos e mais de 1.700 artigos publicados, esse blog continua sendo um hobby para mim, uma forma que eu encontrei para compartilhar livremente o conhecimento e minhas opiniões sobre segurança, tecnologia, o universo e tudo mais.

Embora eu tenha a sensação de que hoje em dia os blogs estão fora de moda, eu continuo aqui firme e forte, tentando manter uma frequência de publicação de artigos. A minha meta, que tento seguir há alguns anos, é de ter uma média de 10 artigos publicados por mês (alguns mais curtos, outros mais longos). E assunto não falta: atualmente tenho 90 artigos como "rascunho", que comecei a escrever e ainda não terminei.

junho 25, 2020

[Segurança] Uma fraude de 35 milhões de reais

Hoje saiu uma notícia de que o Ministério Público do Rio Grande do Sul (MP-RS) está investigando um esquema de fraude suspeito de conseguir desviar R$ 30 milhões da Gerdau e 5 milhões de outra empresa, de seus recursos na Bolsa de Valores. Essas fraudes foram possíveis pois o grupo descobriu uma falha que permitiu burlar a segurança do Internet Banking do banco Santander.

A operação, batizada de Operação Criptoshow, ocorreu na manhã desta quinta-feira, 25 de junho.


Segundo as poucas informações disponíveis sobre a investigação, o grupo criminoso conseguiu desviar R$ 30 milhões da conta bancária da Gerdau através de 11 TEDs feitas para seis empresas localizadas em Porto Alegre, São Paulo, Porto Velho e Cachoeirinha (RS). Outros R$ 5 milhões foram movimentados da conta de outra empresa na Bolsa de Valores. Parte desse dinheiro, pelo menos R$ 18 milhões, foi transferido para exchanges e convertido em Bitcoins, para lavar e ocultar o dinheiro roubado. Na cotação atual, isso é equivalente a pouco mais de 700 BTC.

Para conseguir desviar o dinheiro através do Internet Banking do Santander, as notícias são um pouco vagas, descrevendo que os fraudadores inicialmente programaram as TEDs em uma conta corrente de propriedade deles (ligados em uma conta PJ em nome de uma empresa em Cachoeirinha) e, depois que as TEDs estavam agendadas, de alguma forma eles conseguiram adulterar o sistema do internet banking do Santander, de forma fraudulenta, de modo que a conta de origem das TEDs foi manipulada para ser a conta da vítima, da Gerdau, e o dinheiro acabou sendo debitado deles.

Esse vídeo, criado pelo pessoal do MP,  descreve um pouquinho como foi realizada a fraude:


Vale a pena lembrar que, normalmente, a plataforma de Internet Banking dos bancos para pessoa jurídica (empresas) é diferente da plataforma para pessoas físicas. Logo, essa falha que os criminosos identificaram não necessariamente poderia ser explorada para as contas de pessoas físicas.

Para saber mais:
PS (adicionado em 26/06): As informações publicadas pelo MPRS sobre a Operação Criptoshow não identificam qual foi empresa e o banco explorados por essa fraude, mas a reportagem do UOL sobre esse caso indicou que se tratava de uma conta da Gerdau no Santander.

junho 24, 2020

[Segurança] O maior ataque DDoS de todos os tempos bate nas nuvens!

Eu um relatório recente da Amazon Web Services (AWS), dentre vários assuntos interessantes destaca-se que no inicio deste ano a AWS foi atingida por um ataque DDoS que atingiu o volume recorde (até agora), de...

2,3 Tbps


O ataque durou 3 dias em Fevereiro deste ano. Segundo a AWS, foi realizado um ataque de reflexão e amplificação explorando o protocolo Connection-less Lightweight Directory Access Protocol (CLDAP), que representou um ataque 44% maior do que qualquer ataque recebido anteriormente pela empresa. Desde o segunto trimestre de 2018 até então, o maior ataque DDoS não tinha ultrapassado a marca de 1 Tbps.


O relatório da AWS destaca que o tipo mais comum de ataque DDoS que eles observaram são os ataques de reflexão baseado em UDP, seguido pelos ataques de SYN Flood.

Esse incidente também representa o maior ataque de DDoS conhecido até o momento, uma vez que o recorde anterior era de um ataque de 1,7 Tbps registrado pela Arbor. Isso sem considerar o suposto mega-ataque de 45 Tbps reportado pelo banco russo Sherbank.

Para saber mais:
Atualização em 17/07: A Akamai e a Cloudflare também divulgaram algumas estatísticas sobre ataques de DDoS que sofreram recentemente:
  • Em 21 de Junho, a Cloudflare sofreu um ataque DDoS que atingiu a marca recorde de 754 milhões de pacotes por segundo, embora tenha representado uma volumetria de "apenas" 250 Gbps. Esse ataque durou 4 dias e partiu de mais de 316 mil endereços IP diferentes (notícia);
  • No mesmo dia, 21 de Junho a Akamai mitigou um ataque de 809 milhões de pacotes por segundo, que também foi o volume recorde observado por eles. O ataque, contra um banco europeu, durou 10 minutos e atingiu um volume de 418 Gbps (notícia).

junho 22, 2020

[Segurança] Regulamentações sobre Conscientização e Treinamento em Segurança

Várias normas e regulamentações sobre gestão de segurança da informação prevêem a realização de ações de conscientização e treinamento dos usuários, devido a importância do fator humano na segurança.

Vale a pena relembrar quais são essas normas, caso algum dia você precise "dar uma carteirada" naquele funcionário ou gestor que insiste em faltar nos treinamentos.

OBS: As normas ISO/IEC 27001 e 27002 estão listadas, nesse post, nas versões nacionais (mas o mesmo controle também vale para a norma internacional).

Padrões e Regulamentações Internacionais

NIST Cybersecurity Framework Version 1.1 (PDF)
Awareness and Training (PR.AT): The organization’s personnel and partners are provided cybersecurity awareness education and are trained to perform their cybersecurity-related duties and responsibilities consistent with related policies, procedures, and agreements.
PR.AT-1: All users are informed and trained
PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
PR.AT-4: Senior executives understand their roles and responsibilities
PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities

Center for Internet Security (CIS) Controls
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams and impersonation calls.
17.1 Perform a Skills Gap Analysis: Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
17.2 Deliver Training to Fill the Skills Gap: Deliver training to address the skills gap identified to positively impact workforce members' security behavior.
17.3 Implement a Security Awareness Program: Create a security awareness program for all workforce members to complete on a regular basis to ensure they understand and exhibit the necessary behaviors and skills to help ensure the security of the organization. The organization's security awareness program should be communicated in a continuous and engaging manner.
17.4 Update Awareness Content Frequently: Ensure that the organization's security awareness program is updated frequently (at least annually) to address new technologies, threats, standards, and business requirements.
17.5 Train Workforce on Secure Authentication: Train workforce members on the importance of enabling and utilizing secure authentication.
17.6 Train Workforce on Identifying Social Engineering Attacks: Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams, and impersonation calls.
17.7 Train Workforce on Sensitive Data Handling: Train workforce members on how to identify and properly store, transfer, archive, and destroy sensitive information.
17.8 Train Workforce on Causes of Unintentional Data Exposure: Train workforce members to be aware of causes for unintentional data exposures, such as losing their mobile devices or emailing the wrong person due to autocomplete in email.
17.9 Train Workforce Members on Identifying and Reporting Incidents: Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.

Payment Card Industry Data Security Standard (PCI DSS)
  • Requerimento 12.6
12.6 Implement a formal security awareness program to make all personnel aware of the importance of cardholder data security.
12.6.1 Educate personnel upon hire and at least annually. Note: Methods can vary depending on the role of the personnel and their level of access to the cardholder data
12.6.2 Require personnel to acknowledge at least annually that they have read and understood the security policy and procedures.

Regulamentações Brasileiras

ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
7.3 Conscientização

ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação
7.2.2 Conscientização, educação e treinamento em segurança da informação

Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709 de 14 de Agosto de 2018)
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Gabinete de Segurança Institucional da Presidência da República - Estratégia Nacional de Segurança Cibernética (E-Ciber) (Decreto Nº 10.222, de 5 de Fevereiro de 2020)
2.4. Educação
(...)
Dessa forma, recomenda-se desenvolver uma cultura de segurança cibernética, por meio da educação, que alcance todos os setores da sociedade e níveis de ensino, a fim de prevenir incidentes e proporcionar o uso responsável das tecnologias, por ser um dos fatores chaves para o desenvolvimento do País.
A educação em segurança cibernética é concebida em três formas de atuação, em grau crescente de especialização de conteúdo, e em grau decrescente de abrangência da sociedade, conforme o que segue:
  • Capacitação - profissionais da área ou com funções que requerem competências na área;
  • Formação - parcela da sociedade que se encontra nos bancos escolares; e
  • Conscientização - sociedade e seus setores.
      A conscientização é obtida por meio de ações direcionadas a sensibilizar setores específicos da sociedade, ou esta como um todo. Num foco mais restrito, a formação abrange o ensino de segurança cibernética direcionado à parcela da sociedade que se encontra na educação infantil, no ensino fundamental, no ensino médio e no ensino superior. Por fim, a capacitação engloba a educação, na modalidade profissional e tecnológica, destinada ao ensino continuado para profissionais da área, ou para aqueles cujo cargo ou função requeira conhecimentos técnicos mais profundos e especializados de segurança cibernética. A capacitação é a forma de atuação mais especializada e pode ser realizada por intermédio de treinamentos de curta duração, certificações de segurança, dentre outros meios.
      No que diz respeito à implementação dessas três vertentes de educação em segurança cibernética, a responsabilidade deve ser compartilhada entre órgãos de Estado, setor educacional, serviços sociais do comércio e da indústria, e sistemas nacionais de aprendizagem. Cabe ressaltar que, para isso, há uma série de recursos educacionais disponíveis, conforme vê-se a seguir:
      • Capacitação - os Planos de Capacitação para professores, gestores e especialistas e os Bancos de Talentos;
      • Formação - a Criação de cursos e a Inserção do tema nos currículos escolares;
      • Conscientização - os Planos de Conscientização nas escolas e instituições, os Portais de boas práticas e as Campanhas educativas.
      No contexto da conscientização, incentiva-se a concepção de políticas públicas, que levem à consciência situacional ante o atual cenário de ameaças cibernéticas, e estimulem o comportamento responsável e seguro por parte dos usuários da internet.
      As ações de conscientização tornaram-se ferramenta essencial para mudanças de comportamento relativas ao ambiente cibernético, e são relevantes, à medida que levam os indivíduos a perceber, em sua rotina pessoal ou profissional, quais atitudes precisam ser corrigidas no mundo digital.
      Como exemplo, tem-se a realização, em todo mês de outubro, do National Cybersecurity Awareness Month - Mês Nacional de Conscientização em Segurança Cibernética, que é um esforço colaborativo entre o Governo dos Estados Unidos da América e a indústria para aumentar a conscientização sobre a importância da segurança cibernética e garantir que todos os norte-americanos tenham os recursos necessários para estarem mais seguros online.
      A conscientização deve atingir amplas audiências, dentre usuários individuais e corporativos, de crianças a idosos. Deve ainda ser contínua, criativa e motivadora, a fim de concentrar a atenção do público-alvo, para mudança de comportamento favorável ao ambiente cibernético, sendo importante a promoção de ações periódicas, junto à sociedade, com o objetivo do uso seguro e responsável dos recursos de tecnologia da informação e comunicação, e à proteção contra riscos típicos no espaço cibernético.
      Um programa de conscientização pode incluir as seguintes tarefas:
      • definir o alvo da campanha de conscientização;
      • desenvolver mecanismos para alcançar esse público-alvo;
      • identificar problemas comportamentais comuns que afetam o público-alvo ou que ele deve conhecer;
      • aprimorar o conteúdo de sites governamentais, principalmente os mais acessados, com material relacionado à segurança cibernética; e
      • considerar a tradução do material para outros idiomas.
      Orienta-se fortalecer programas de treinamento e de educação em segurança cibernética. Tal sugestão constitui uma demanda atual por parte de organizações públicas e privadas. (...).

Setor Financeiro

Circular nº 3.909, de 16/8/2018 (BACEN / BCB)

Art. 3o A política de segurança cibernética deve contemplar, no mínimo:
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Resolução nº 4.658, de 26/4/2018 (BACEN / BCB)
Art. 3o A política de segurança cibernética deve contemplar, no mínimo:
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Brasil Bolsa Balcão (B3) - Roteiro básico de conformidade do Programa de Qualificação Operacional (PQO) (pdf)
Item 130. (...) Para manter a Segurança Cibernética, o Participante deve, no mínimo, manter controles para:
130.1.2. programas de conscientização e treinamento aos colaboradores e Prepostos sobre segurança das informações;

Instrução CVM 505, de 27/09/2011 - mega atualizada pela Instrução CVM 612, de 21/08/2019

Art. 35-D. O intermediário deve desenvolver política de segurança da informação abrangendo:
§ 2o A política de segurança da informação deve:
III – prever a periodicidade com que funcionários, prepostos e prestadores de serviços serão treinados quanto aos procedimentos previstos nos arts. 35-E e 35-F e quanto ao programa de segurança cibernética.
§ 3o O intermediário pode:
I – restringir o treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F apenas aos funcionários, prepostos e prestadores de serviços que tenham acesso a dados e informações sensíveis; e
II – deixar de aplicar treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F aos prestadores de serviço que tenham acesso a dados e informações sensíveis, caso conclua que o prestador de serviço possui procedimentos de segurança da informação e de treinamento adequados e compatíveis com suas políticas.
Art. 35-G. O intermediário deve manter em sua página na rede mundial de computadores orientações para seus clientes sobre suas principais práticas de segurança das informações, abordando, no mínimo:
I – práticas adotadas pelo intermediário quanto: a) aos controles de acesso lógico aplicados aos clientes; e b) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e
II – cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.
Parágrafo único. A divulgação de que trata o caput deve ser feita de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações.

Instrução CVM 558, de 26/03/2015
Art. 21. O administrador de carteiras de valores mobiliários, pessoa jurídica, deve estabelecer mecanismos para:
III – implantar e manter programa de treinamento de administradores, empregados e colaboradores que tenham acesso a informações confidenciais, participem de processo de decisão de investimento ou participem de processo de distribuição de cotas de fundos de investimento.

BSM - Roteiro de Testes da Auditoria Operacional de 2020 - Tecnologia da Informação
1.3) Divulgação da PSI
Por meio da relação de colaboradores (itens 1 e 3) e tendo como base o processo de divulgação da PSI definido pelo Participante, obter evidência da difusão da PSI entre os colaboradores e prepostos. Caso seja aplicável, selecionar amostra e avaliar se os funcionários, estagiários e prepostos estão aderentes ao controle que garante a ciência e cumprimento da PSI (item 18).
1.4) Programa de Conscientização
O Participante deve elaborar programa de conscientização e/ou capacitação com treinamentos que envolvam aspectos de segurança das informações aos colaboradores e prestadores de serviços. Fazem parte desse programa de conscientização os mecanismos para disseminação da cultura de segurança das informações no Participante, mencionados no item 1.2 desse roteiro de testes.
1.5.1) Avaliação do Programa de Conscientização
Obter do Participante o Programa de Conscientização de Segurança das informações (Políticas e Procedimentos – item 80) e avaliar:
a) Abrangência: Avaliar se o programa abrange colaboradores, prepostos e prestadores de serviços;
b) Frequência: Avaliar se o programa possui frequência mínima anual.
c) Aplicação: Avaliar se o programa contempla treinamentos e/ou testes sobre o cumprimento da política de segurança das informações, de que são exemplos: palestras, workshop, teste de phishing, quiz.
d) A aplicação de treinamentos por meio phishing (tentativa de adquirir informações disfarçando-se de uma fonte confiável em uma comunicação eletrônica), spam (envio de mensagens não solicitadas em massa) e e-mails fraudulentos (mensagens solicitando informações pessoais ou de responsabilidade do Participante) são exemplos de testes para determinar o nível de conscientização, no entanto, devem ser aplicados e geridos de forma controlada pelo Participante para não causar problemas de privacidade em caso de gestão inadequada.
e) Medição da aderência: Avaliar se o programa possui processo para avaliação dos resultados sobre a aderência ao programa aplicado aos colaboradores, prepostos e prestadores de serviços, contendo planos de ação para os resultados obtidos. São exemplos dessa medição: Resultado das provas ou questionários aplicados para medir a conscientização ao final dos treinamentos e plano de ação para colaboradores/prepostos que não atingiram o nível de conscientização mínima esperada.

Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (ANBIMA) - Guia de Cibersegurança (06/12/2017) (versão em inglês)
5 – Reciclagem e revisão
3. As instituições devem promover e disseminar a cultura de segurança com a criação de canais de comunicação internos que sejam eficientes para divulgar o programa de segurança cibernética, assim como conscientizar sobre os riscos e as práticas de segurança, dar treinamentos e repassar novas orientações.
4. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e dos demais órgãos da instituição.
5. Como parte dos mecanismos para conscientização sobre o assunto, é importante a criação de uma política de uso adequado da estrutura tecnológica da instituição, de forma independente ou como parte de um documento mais abrangente.
Deve-se orientar usuários a ter atenção especial antes de clicar em links recebidos, mesmo vindos de pessoas conhecidas. Este é um dos principais vetores atuais de invasão.
Eu esqueci de alguma regulamentação relevante? Comente aí.

PS: Post atualizado em 23/06.

junho 18, 2020

[Cidadania] Diversidade na tecnologia

Junho é o mês da diversidade, e por isso, é importante lembrarmos que a cultura e a comunidade hacker deveriam ser, pelo menos em teoria, inclusivas.


Um dos principais pilares da cultura hacker é o conhecimento, não importando quem você seja: homem ou mulher, branco ou negro, gordo ou magro, jovem ou velho, etc. Por tabela, outro pilar fundamental é a sua capacidade e disponibilidade de compartilhar o conhecimento.

Por ser uma comunidade meritocrática, ou seja, a pessoa é mais valorizada pelo seu conhecimento, fatores como cor, sexo, raça não deveriam ser considerados relevantes na aceitação e respeito aos participantes da comunidade.

De fato, o famoso Manifesto Hacker publicado pelo The Mentor na Phrack em 1986, e que é um documento tão fundamental na história e na construção da identidade da nossa comunidade, diz que...
We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals.
(...)
My crime is that of judging people by what they say and think, not what they look like.
Sim, na comunidade hacker, o conhecimento é o que importa!


Infelizmente, a teoria não é suficiente para sobrepujar a realidade de uma sociedade machista em que vivemos, e é comum ouvirmos relatos de pessoas sendo desrespeitadas e não se sentindo acolhidas na comunidade. Uma estimativa do ISC2, que eu pessoalmente considero muito otimista, aponta que as mulheres representam apenas 1/4 (24%) dos profissionais de segurança, e certamente são a grande minoria nos eventos da área.

Basta olhar para os seus colegas de profissão, e facilmente você notará que a maioria é formada por homens brancos.

Já passou da hora de tirar os ideais de meritocracia do papel e praticarmos a diversidade no mundo real, acolhendo e respeitando todas pessoas independente de quem sejam. Mulheres, negros, gays, trans e pessoas de todas as classes merecem o seu lugar na comunidade.

É importante que todos nós apoiemos as diversas iniciativas e comunidades que fomentam a inclusão e a diversidade no mercado de tecnologia.

junho 12, 2020

[Cidadania] Dia da Empatia

Hoje, 12 de junho, é o Dia da Empatia, ou seja, um dia para refletirmos como ter relações melhores com as pessoas à nossa volta. Mas, na prática, o que precisamos fazer para ser mais empáticos?

A empatia é uma habilidade emocional (soft skill) que nos exercita sobre a capacidade de nos colocarmos no lugar do outro e compreendê-lo. É muito importante destacar seus benefícios e como exercitá-la, ainda mais porque a empatia é o sentimento contrário ao individualismo, um comportamento tão comum atualmente.

A habilidade de entender o ponto de vista da outra pessoa pressupõe que existem diferentes visões válidas sobre o mesmo ponto. Antes de tentar impor nossa visão, precisamos refletir que ele não é uma “verdade absoluta” e, assim, conseguimos chegar mais facilmente ao concenso e numa posição de respeito com o próximo.

Alguns cuidados são essenciais, porém, no desenvolvimento da empatia. Veja alguns passos para praticar a empatia:
  1. Lembre-se de que cada pessoa é única;
  2. Aceite que aquilo que é verdade para você não necessariamente é para o outro, e. pessoas podem ter opiniões diferentes;
  3. Tenha em mente o sentimento, a realidade e os valores da outra pessoa;
  4. Pratique a escuta ativa, prestando atenção no que o outro está falando e sem julgamento prévio;
  5. É importante dar a atenção plena a outra pessoa, prestando atenção no que ela diz, sem distrações e sem interrupções;
  6. Aceite que nem sempre você terá o que falar, precisará falar ou que, as vezes, a pessoa não quer escutar;
  7. Não julgue ninguém pelas ações e procure enxergar as necessidades e as intenções positivas por trás do comportamento do outro;
  8. Preste atenção à linguagem corporal;
  9. Mesmo que você discorde da outra pessoa, busque algo que ambos concordem. E respeite o direito de discordar;
  10. Cuide de você antes de cuidar de alguém;
  11. Pratique a empatia;
  12. Pratique a empatia com todos, até mesmo com quem te irrita!
Essa palestra da Anita Nowak no TEDxUWCT é interessante para ver como /e importante levar em conta a empatia no desenvolvimento de novas tecnologias e da inteligência artificial.



Veja também:


PS: Hoje também é o dia dos namorados, então aproveito para desejar muito amor a todos <3

junho 08, 2020

[Segurança] Relatório de Impacto a Proteção de Dados Pessoais

Uma das exigências da LGPD é que as empresas forneçam um relatório de impacto de dados, o "Relatório de Impacto à Proteção de Dados Pessoais". Conforme definido no Art. 5º, essa é uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar riscos, além das medidas, salvaguardas e mecanismos de mitigação de risco estabelecidos pela empresa.

Segundo o §3º do Art. 10, a Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar o relatório de impacto à proteção de dados pessoais e de dados sensíveis. O Parágrafo único do Art. 38 menciona que o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Entretanto, muita gente tá com a pulga atrás da orelha pois não existe um modelo ou detalhamento de que informação deve constar nesse relatório, uma vez que esse modelo deveria ser informado pela ANPD - que ainda não está em operação.

Para nossa sorte, a GDPR possui uma exigência semelhante, o "Data Protection Impact Assessment" (DPIA), definido no artigo 35, como parte do princípio de  “protection by design”:
Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.

O melhor de tudo é que podemos encontrar um template para o DPIA!!! No site GDPR.EU, tem um artigo que fala sobre o assunto e oferece um template em PDF para o documento.

Para saber mais:


junho 04, 2020

[Segurança] A responsabilidade compartilhada na nuvem

Um aspecto muito importante, quando discutimos a segurança em ambientes de computação em nuvem, é que os cuidados de gestão, conformidade e de segurança são compartilhados entre o cliente e o provedor de serviços em nuvem. Mas esse compartilhamento de responsabilidades varia dependendo do tipo de serviço em nuvem contratado: quanto mais recursos você tem no ambiente, maior a sua responsabilidade.

Como diz a AWS, "normalmente essa diferenciação da responsabilidade é mencionada como segurança da nuvem vs. segurança na nuvem."

De uma forma geral, o provedor de serviços em nuvem é responsável pela proteção da infraestrutura que oferece suporte à nuvem e os serviços prestados, enquanto os clientes são responsáveis por tudo aquilo que colocam na nuvem ou conectam ao seu ambiente em nuvem. 

Um documento da NSA, sobre mitigação de vulnerabilidades na nuvem, tem um diagrama que representa muito bem como funciona a responsabilidade compartilhada entre o cliente e o provedor de serviços em Nuvem:


Ou seja, quanto maior a abstração do serviço, ou seja, quanto mais recursos o provedor de nuvem oferece, maior é a sua responsabilidade. Ao mesmo tempo, quanto mais abstrato, menor a possibilidade do cliente customizar a segurança do seu serviço em nuvem.

Esse modelo compartilhado pode ajudar a reduzir a carga operacional do cliente, uma vez que tira dele parte da responsabilidade por cuidar da segurança - algo muito importante se o cliente não tem essa expertise internamente (ou se não tem condições de manter profissionais dedicados ao tema).

Para saber mais:


PS: Última atualização em 15/06.

junho 03, 2020

[Segurança] Na dúvida, não compartilhe!

O Tribunal Superior Eleitoral (TSE) e a Justiça Eleitoral criaram uma campanha muito legal para combater as Fake News, com alguns vídeos educativos que tem sido divulgados nos canais de televisão. Você provavelmente já viu alguns desses vídeos!

Os sete vídeos da campanha "Minuto da Checagem" também estão disponíveis no Youtube. São vídeos curtos, em geral com 1 minuto de duração.


Veja também:
  • A página "Fato ou Boato?" tem várias dicas e informações sobre fake news, além de vídeos e imagens para conscientização.



  • A Justiça Eleitoral tem diversos vídeos curtos sobre fake news e desinformação em seu canal no YouTube. Veja alguns exemplos abaixo.




maio 29, 2020

[Segurança] Spams no Blog

Os comentários do meu blog são moderados, mas não faço isso por ser chato. Acontece que é extremamente comum spammers utilizarem as seções de comentários de blogs para publicar anúncios e mensagens (eu já comentei sobre isso em 2018). As vezes, eles até se parecem inicialmente com um comentário "normal", de alguém elogiando a publicação, mas vem com algum link de propaganda.

Veja, por exemplo, alguns comentários que tenho pendente em meu blog:


O curioso são os dois últimos, em árabe, que se traduzem como algo estranho (obrigado ao tradutor do Google):
Fateh Sewer Company in Jubail Fateh Sewer Company 
Detection Company for Baths in Al-Khobar News Detecting Company for Baths in Al-Jubail Detecting Company Dammam Dammam Fateh Sewer Company Qatif

Muitos administradores de blogs e de sites sofrem com o transtorno causado por esses spammers, que normalmente utilizam robôs para publicar suas mensagens de forma passiva. Por exemplo, na Wiki do Garoa, o hackrrspace que eu faço parte, já tivemos casos de spammers que criaram usuários só para criar páginas ou editar as páginas existentes para incluir propaganda. Isso também acontece com frequência em grupos no Telegram.

maio 27, 2020

[Cidadania] App Todos Unidos para ajudar na luta contra o COVID-19

Um grupo de voluntários criou o aplicativo Todos Unidos, um app que tem como objetivo conectar pessoas nesta época de pandemia do novo coronavírus. Segundo o artigo publicado no blog do C6 Bank, o app já tem 145 projetos listados.


Desde instituições que assistem comunidades em situação de vulnerabilidade até pequenos negócios que buscam novas formas de seguir com as atividades, como vendedores de legumes, verduras e carnes, já cadastraram seu projeto em busca de ajuda para realizá-lo durante a crise. É possível também oferecer ajuda aos projetos por meio de doações, ou outro tipo de auxílio.

O dono do projeto pode descrever sua necessidade, e há planos do app passar a fazer uma conexão entre a demanda e a oferta de ajuda, o que seria um mecanismo semelhante a um match de aplicativo de relacionamento.


O app Todos Unidos está disponível para Android, e em breve será lançado para iPhone.

O grupo de voluntários é formado por funcionários do C6 Bank, mas a empresa destaca que não tem participação na iniciativa do Todos Unidos. Esse é um trabalho independente, um projeto pessoal de voluntariado.

Veja também a notícia no portal Mente Binária: "Aplicativo Todos Unidos conecta projetos em meio à pandemia"

maio 25, 2020

[Geek] Dia do Orgulho Nerd

Hoje, 25 de Maio, é celebrado o Dia do Orgulho Nerd, também chamado de Dia do Orgulho Geek, ou Dia da Toalha.

Esse é um dia para celebrarmos (e nos divertirmos) com a cultura nerd / geek, que ficou tão popular nos últimos anos. Hoje podemos comemorar o direito de toda pessoa ser um pouquinho nerd ou geek.

Essa data, 25 de maio, é bem legal pois faz referência a duas coisas bem populares no universo nerd. Nesse dia aconteceu a première do primeiro filme da série Star Wars, o "Episódio IV: Uma Nova Esperança", em 25 de maio de 1977,  mas também coincide com o "Dia da Toalha", que foi criado para homenagear o escritor Douglas Adams, autor da excelente "trilogia de cinco livros" de ficção/humor "O Guia do Mochileiro das Galáxias".

As vezes usados como sinônimos, Geeks e Nerds são termos diferentes aplicados para tipos de pessoas diferentes. Enquanto os geeks podem ser descritos como entusiastas e obcecados por coisas "legais" e modernas, os nerds, por outro lado, são mais associados aos intelectuais e pessoas que se concentram em adquirir conhecimento profundo em um tema ou área específica, normalmente relacionado ao mundo de exatas.

Mas nós nos acostumamos a usar os termos como sinônimos (embora o "nerd" seja mais pejorativo). Na minha opinião, existem inúmeros tipos de personificações e estereótipos, e essa data também serve para celebrar esses diversos tipos de nerds: o nerd de tecnologia, o cinéfilo, o amante de quadrinhos, HQs ou mangás, o nerd de astronomia, ou de história, o apaixonado por livros ou por contos ou séries, o jogador de D&D, jogos de tabuleiro ou jogos online. Uma pessoa pode ser, ao mesmo tempo, fã de Jornada nas Estrelas e de Game of Thrones, e isso hoje em dia é normal.


Eu acredito que a cultura geek se popularizou por causa da massificação da Internet, da TV a cabo e da tecnologia em geral. De repente as tecnologias ficaram acessíveis para todo mundo, e a TV a cabo popularizou o acesso a seriados e filmes. Outra coisa importante foi a recente tendência do cinema de fazer filmes de heróis, popularizando o universo Marvel e DC. Isso tudo, ao meu ver, fez que a cultura Nerd deixasse de ser mal vista. O seriado "The Big Bang Theory" também serviu para mostrar, para o público, o lado divertido e cômico do universo nerd.

Eu gosto do universo Geek e Nerd pois, na minha opinião, ele é voltado em torno do conhecimento (estudo) e da imaginação, e muitas vezes as duas coisas andam juntas. É possível se divertir muito e sonhar por um mundo melhor sendo nerd. Na minha opinião, o mais importante é que cada pessoa seja o que ela quer, tenha seus gostos pessoais e não sofra preconceito por isso. O dia do orgulho nerd ajuda a diminuir o preconceito que ainda existe contra essa galera.

O Dia do Orgulho Nerd é uma data bem legal pois ajuda a desmistificar a figura caricata do nerd, e ajuda a mostrar que todos nós podemos ser um pouco nerds.

Que tal aproveitar esse dia para fazer alguns quizz divertidos? Tem centenas deles online, e eu gostei desses aqui:
Veja também...

maio 20, 2020

[Segurança] Deputados sofrem com o golpe do Whatsapp

Recentemente, saiu a notícia de que 12 deputados da Assembleia de São Paulo sofreram um ataque ao seu WhatsApp, com o criminoso pedindo dinheiro para as vítimas. Deputados de diversos partidos form vítimas do ataque, que aparentemente incluiu a clonagem de linhas telefônicas.  Os golpistas enviaram mensagens aos deputados se passando pelos colegas de plenário, pedindo código de SMS para roubar a conta do WhatsApp do colega ou pedindo ajuda financeira.


"Tudo bem? Gostaria de te solicitar um favor. Você usa Banco do Brasil ou Itaú pelo aplicativo do celular ou computador?"

Em alguns casos, os criminosos ligaram para a operadora de celular, em nome da vítima, pedindo mudança de plano e instalando o número em um novo chip, o que deixou o telefone da vítima inoperante e deu acesso ao WhatsApp para o criminoso.

Um trecho da reportagem lembra de outro risco de segurança relacionado ao golpe: ao ter acesso ao WhatsApp de uma vítima, o criminoso também visualiza seus grupos, e assim, acabam tendo acesso também a uma lista completa de contatos telefônicos.

Como esse golpe é extremamente comum no Brasil, quero aproveitar essa notícia para relembrar sobre a importância de tomarmos cuidado com a nossa conta no WhatsApp. O cuidado mais básico, que infelizmente muitos usuários não tomam, é cadastrar a senha para acessar sua conta do WhatsApp.

Se você caiu no golpe, essa reportagem traz algumas dicas de como recuperar a sua conta, que são as seguintes:
  • Via redes sociais e SMS, avise os seus contatos que o seu WhatsApp foi invadido e que as pessoas não devem fazer nenhum tipo de depósito e nem fornecer dados para a sua conta de WhatsApp. Peça para que seja removido dos grupos, onde mais pessoas podem ser contatadas;
  • Desinstale o aplicativo do WhatsApp em seu smartphone, faça o download novamente e tente entrar com o seu número normalmente, como se fosse a primeira vez. Será enviado uma confirmação por SMS com o código de ativação. Assim que você conectar em seu aparelho, quem estiver logado com seu número será desconectado automaticamente;
  • Se for solicitado um segundo código, o Código de Confirmação em Duas Etapas, e se você não o souber, significa que o criminoso ativou a autenticação na sua conta!!! Isso pode acontecer, pois o criminoso também quer evitar que você recupere o seu acesso. Nesse caso, será necessário fazer o pedido de bloqueio do número diretamente para o WhatsApp. Será necessário enviar um email para support@whatsapp.com com a seguinte frase: "Perdido/Roubado: Por favor, desative minha conta" no corpo do email. É necessário incluir o seu número de telefone em formato internacional completo, ou seja: +55 (XX) XXXXX-XXXX.

Veja também...

Post atualizado em 21/05.

maio 19, 2020

[Segurança] Golpe da falsa central de atendimento

Existe um golpe que é extremamente comum, e eu já comentei um pouco aqui no blog, que é o golpe da falsa central telefônica. Nesse golpe, os ciber criminosos entram em contato com a vítima fazendo se passar pela central de atendimento do seu banco, e usam engenharia social para conseguir obter informações de acesso a conta bancária, ou até mesmo, o cartão da vítima (quando enviam um falso motoboy para  retirar o cartão).

Um golpe muito comum acontece quando o fraudador obtém alguns dados pessoais da vítima, que ajudam a convencer a vítima de que o atendimento é do banco (como nome completo, data de nascimento, CPF). Ao entrar em contato com a vítima, os fraudadores geralmente fazem se passar pela central de proteção do banco, alegando que o cliente sofreu uma tentativa de fraude (que não ocorreu!). Isso é importante pois deixa a vítima desconcertada, preocupada e mais suscetível ao golpe. Assim, o fraudador tenta obter a senha so cliente: ou perguntando diretaemente, ou transferindo a ligação para uma falsa central telefônica, que imita a central do banco. Ao digitar a senha, o criminoso consegue acessar a conta da vítima.

Veja esse caso de fraude, descrito no Reclame Aqui:
Em 16/04/2020 aproximadamente às 11:50 horas, recebi uma ligação do número de telefone 31 3003-6040 no qual a mulher se apresentava como funcionária do Banco Inter. A mesma já sabia de alguns dados pessoais meus e informou que estavam tentando acessar minha conta, e questionou se eu estava tentando acessar de algum dispositivo diferente do habitual que é meu celular, eu respondi que não e já entrei em desespero. A mesma solicitou que eu alterasse minha senha do cartão, para que pudéssemos impedir uma nova tentativa de acesso a minha conta. Ainda em linha, acessei minha conta via aplicativo do Inter e alterei minha senha, a mulher pediu que eu aguardasse em linha para fazer verificações. Como a ligação começou a ficar muito demorada, eu acessei minha conta ainda em linha com ela, e notei que haviam invadido minha conta e resgataram dinheiro da minha poupança, realizaram duas transferências totalizando o valor de R$ 3.178,48 e compras de GIFT CARD totalizando R$ 375,00 e ainda com o Crédito Cashback, realizaram uma recarga de R$ 15,00 para um celular TIM que não consegui encontrar o número. Imediatamente entrei contato com o Inter do telefone da empresa onde trabalho (...) e informei o ocorrido para três atendentes.
Com uma simples busca no Reclame Aqui, é possível ver que esse número de telefone (031) 3003-6040 já foi utilizado várias vezes para aplicar golpes similares, em clientes de diversos bancos.

A dica para prevenir esse golpe é simples: nenhum banco pede a senha do cliente, nenhum banco envia motoboy para retirar um cartão seu que teria sido, supostamente, clonado. Se receber uma ligação assim, desconfie! Ligue você mesmo para o seu banco e pergunte para eles,

Veja também:

maio 18, 2020

[Cidadania] Busque sobre elas!

"Só podia ser mulher!"

Sim, é verdade! Existem muitas mulheres fantásticas, e muitas coisas a nossa volta foram criadas por elas.

Em Março deste ano, o Google fez uma campanha muito bonita em homenagem ao mês das mulheres, com um vídeo em que uma menina descobre exemplos de mulheres incríveis e reescreve o significado da expressão “só podia ser mulher” (veja também essa versão curta do vídeo).

O dia das mulheres já passou, mas vale muito a pena ver o vídeo de novo - ou assistir pela primeira vez, se você ainda não viu.


Com a hashtag #BusqueSobreElas, o Google celebrou os avanços tecnológicos feitos por mulheres que inspiram e impactam o mundo todo.

Veja também:


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.