janeiro 30, 2020

[Segurança] Eventos de Segurança no primeiro semestre de 2020


Aviso importante: devido a pandemia do Coronavírus (COVID-19), a grande maioria dos eventos programados para o primeiro semestre de 2020 foram cancelados ou adiados. Alguns foram transformados em evento online.
Verifique o site do evento que você tem interesse.
Vamos reservar a agenda para os eventos de 2020!

O leitor mais assíduo e mais acostumado a participar dos eventos da área vai perceber que neste ano nós temos uma quantidade cada vez maior de eventos no primeiro semestre, principalmente em Maio. Isso já havia acontecido no ano passado, e mostra que a grande de eventos, normalmente concentrada no 2o semestre de cada ano, está fazendo com que alguns eventos foquem no 1o semestre.

Segue abaixo a minha tradicional lista com os melhores eventos nacionais de segurança que acontecem no primeiro semestre desse ano. São os eventos que eu considero serem interessantes e/ou importantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade.

Note que, neste ano, a Campus Party (twitter @campuspartybra) deixou de ser realizada no início do ano (normalmemte em Fevereiro), e migrou para mais tarde, de 07 a 12 de Julho. O anúncio, na época, causou uma pequena insatisfação entre o público fiel ao evento.

OBS: Devido a pandemia do novo Coronavírus, o Roadsec cancelou as suas edições regionais e está realizando o "Roadsec @ Home", online e gratuito, com palestras e DJs acontecendo as quartas-feiras desde Maio de 2020.

Anote aí na sua agenda:
  • Março/2020
    • 13/03: Dia Internacional de Segurança em Informática (DISI) (online, gravado no Rio de Janeiro) - Evento gratuito da RNP, transmitido online, com foco em levar informações sobre segurança, fraudes e prevenção para os usuários finais e profissionais de TI; 
    • 18/03: Security Leaders Brasília - O Security Leaders inicia a agenda de eventos de 2020 com a versão regional de Brasília. Segue a fórmula de focar em painéis de debate com conteúdo superficial, normalmente com muitos expositores, não necessariamente especialistas no tema, por isso o conteúdo pode ser fraco. Com uma pequena área de exposições, atrai patrocinadores interessados em encontrar executivos e gestores;
  • Abril/2020
    • 06/04: Tosconf (Campinas, SP) (@tosconf) (CFP) - Evento "tosco" (por isso o nome) do Laboratório Hacker de Campinas (LHC) (@LabHackerCps), o hackrrspace de Campinas. Um evento técnico, pequeno, bem informal e divertido. E uma ótima desculpa para conhecer a nova sede do LHC!!!
    • 15/04: Security Leaders Rio de Janeiro - versão regional do Security Leaders em terras cariocas;
    • 16 a 18/04: The Developers Conference (TDC) Belo Horizonte (@TheDevConf) (CFP) - BH recebe a primeira edição do ano do TDC, um evento tradicional e enorme sobre desenvolvimento de software. Com várias trilhas de conteúdo, algumas edições incluem uma relacionada a segurança - infelizmente, não nessa edição - o evento será realizado online;
    • 18/04: MBConf @ Home - evento criado pelo time do portal Mente Binária, como um evento online e gratuito de segurança durante a pandemia do COVID-19. Será das 10h as 16h, com seis palestrantes incríveis;
    • 25 e 26/04: BSides Vitória (ES) (CFP) - segunda edição da Security BSides em Vitória, dessa vez com 2 dias de duração. Organizada por um pessoal fera promete um conteúdo de excelente qualidade;
  • Maio/2020
    • 13/05: Security Leaders Belo Horizonte (BH) - versão regional do Security Leaders;
    • 15 e 16/05: CryptoRave (twitter @cryptoravebr) (CFP) - Excelente evento gratuito sobre ciber ativismo. Com uma abordagem mais politizada, inclui palestras e atividades sobre criptografia, direito à privacidade, cultura de segurança, noções de anonimato e sobre os perigos da vigilância na rede. Tem um público bem diversificado, incluindo usuários finais e ativistas. Acontece em 2 dias seguidos, varando a noite adentro;
    • 15 e 16/05: Vale Security Conference (São José dos Campos) - uma galera retomou o ValeSec, um evento de segurança que foi criado há alguns anos atrás. Devido a pandemia, essa edição será realizada online;
    • 19/05: MindTheSec Rio de Janeiro  (@mindthesec) - Edição do MindTheSec no Rio de Janeiro. Devido pandemia, o evento será de um único dia e será realizado online;
    • 21 e 22/05: GTER 49 e GTS 35 (local a definir)  (twitter @gtergts) (CFP) - Primeiro encontro deste ano do Grupo de Trabalho de Engenharia e Operação de Redes (GTER) e do Grupo de Trabalho de Segurança (GTS), organizado pelo Comitê Gestor da Internet no Brasil. Como manda a tradição, o 1o evento do ano acontece em algum local fora de São Paulo. Evento com palestras técnicas, que são transmitidas ao vivo, online;
    • 23 e 24/05: BSides São Paulo (BSidesSP) (Página no Facebook; twitter @bsidessp)  (CFP em breve!) - um evento gratuito com foco técnico em segurança e na cultura hacker. Mini-treinamentos no sábado a tarde e a conferência completa no domingo, com palestras, oficinas, villages e o CTF que dura 24h seguidas, além de uma trilha inteira de atividades para crianças, a BSides 4 Kids;
    • 25/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) (CFP) - O YSTS é um dos eventos de segurança corporativos mais importantes no Brasil, com palestras de excelente qualidade, mas a participação é restrita a convidados dos patrocinadores. Mas, se você quer participar, então aproveite e envie uma proposta de palestra bem legal no CFP;
    • 29 e 30/05: Security Summit Vitória (ES) - em breve eu trago mais detalhes :)
  • Junho/2020
    • 04/06: MindTheSec Summit Porto Alegre (RS) (@mindthesec) (CFP): Porto Alegre é a primeira cidade a receber o tour 2020 do "MindTheSec Summit", uma versão regional e reduzida do MindTheSec, com palestras de qualidade para o público corporativo. Devido a pandemia, o evento será realizada online;
    • 04/06: MindTheSec Summit Brasília (DF) (@mindthesec) (CFP): Versão regional do MindTheSec, que será realizada online;
    • 16 e 17/06: Congresso Security Leaders São Paulo - Já na sua 11ª edição, o Security Leaders de São Paulo é o principal evento da franquia, com 2 dias de duração. Será realizado online;
    • 18/06: MindTheSec Summit Belo Horizonte (MG) (@mindthesec) (CFP): Versão regional do MindTheSec, que será realizada online;
    • 24 a 26/04: The Developers Conference (TDC) Florianópolis (SC) (@TheDevConf) (CFP) - Edição do TDC em Floripa, que vai ser realizada online;
    • 23 a 25/06: CIAB FEBRABAN - Mega-evento de tecnologia bancária, organizado pela Febraban. Destaque para sua gigantesca feira de exposição com dezenas de fornecedores de diversas tecnologias bancárias, incluindo os maiores fabricantes de TI e de segurança. O congresso foi cancelado por causa da pandemia, mas será realizada uma versão online e gratuita para todos os participantes, com alguns painéis sendo transmitido durante os dias do evento.
OBS: O pessoal do TDC está mantendo a agenda de eventos programada para esse ano, mas na versão online. Eles criaram uma categoria de inscrição, a "basic pass", que permite acesso a um conjunto limitado de palestras, mas é gratuito :)

Se você tiver a oportunidade de participar em poucos eventos, a minha recomendação é que, aqui no Brasil, não deixe de ir na bxsec (São Vicente, SP), na BSidesSP, no YSTS (se tiver convite) e na CryptoRave.

Sobre os principais eventos em todo o ano de 2020, a minha sugestão de "short list" é a seguinte:
  • Foco técnico: bxsecBSidesSP, Nullbyte, H2HC, BHack
  • Foco gerencial: YSTS, MindTheSec São Paulo, Gartner
  • Para ver área de exposição: MindTheSec São Paulo, Gartner
Aproveite também para visitar alguns eventos internacionais em 2020. Os principais e mais interessantes eventos são os seguintes:
Normalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas:
Aproveite agora para já reservar sua agenda, planejar viagens, etc.

Se eu esqueci de algum evento brasileiro importante, me avisem.

PS (adicionado em 31/01): Já que você leu até aqui, olha que curioso, todos os eventos de segurança no Brasil que eu recomendei há 15 anos atrás, em 2005, não existem mais!!!

PS/2: Cansado dos eventos de segurança? Veja essa lista com os principais eventos de tecnologia.

PS 3 (adicionado em 10/03): Por causa da epidemia de Coronavírus, vários eventos internacionais no primeiro semestre estão sendo cancelados ou adiados. Alguns viraram evento online. Fique de olho! Veja uma lista aqui e outra aqui.

OBS:
  1. Vários eventos ainda não divulgaram a data. Vou atualizar esse post assim que tiver novidades.
  2. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com
  3. Aqui tem um artigo bem legal com as principais conferências de segurança desse ano, no mundo: "The Top 19 Information Security Conferences of 2020";
  4. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2019.
  5. Post corrigido dia 30/1 para ajustar a data do Jampasec. Atualizado em 10/03.
  6. Rápida atualização em 19/03 para incluir o aviso sobre eventos cancelados por causa do Coronavírus.
  7. Post atualizado em 02/04, 14/05 e nos dias 04, 12 e 17/06. Atualizado em 06, 14 e 19/08.

janeiro 29, 2020

[Segurança] Crowdhacking e o risco de fraude em cartões sem contato

Recentemente estão se popularizando os cartões de débito e crédito que funcionam sem contato (ou “contactless”, em inglês). Ou seja, com o uso da tecnologia NFC, o cartão se comunica com a máquina de pagamento (PoS) e, assim, o cliente não precisa usar o chip nem a tarja magnética. Esse cartão tem sido amplamente adotado na indústria financeira pois considera-se que seu uso é mais fácil para os clientes.


Para aumentar a facilidade de uso, as operadoras e bancos adotaram, como padrão, que transações de pequeno valor não precisariam de senha. Aqui no Brasil, por exemplo, ao fazer uma compra de até R$ 50 você pode pagar simplesmente encostando o cartão na maquininha, sem precisar digitar a senha. Simples, fácil e rápido.

Esse valor mínimo varia de país para país. No Brasil, é de R$ 50. Nos EUA, 100 dólares. Na Europa, pode variar de 10 a 40 euros. Esse é um padrão adotado por todos os bancos e operadoras de cartão, e valores acima desse mínimo continuam exigindo a senha.



O que poderia dar errado? Muita gente se preocupa com a possibilidade de fraude, já que o cartão não pede a senha para transações de baixo valor.

Se alguém roubar o seu cartão, essa pessoa poderia fazer diversas compras pequenas em lojas que usam o terminal contactless. Mas, sinceramente, qualquer fraudador que pegasse o seu cartão vai preferir torrar ele rapidamente online, em vez de ficar fazendo várias compras pequenas e correndo o risco do cartão ser bloqueado a qualquer momento.

Já que o cartão é wireless, será que um hacker não poderia ler os dados a distância? Isso já foi especulado, e esse golpe já tem um nome: "Crowdhacking". Mas, segundo a especificação do cartão sem contato, a distância entre o cartão e o terminal é de poucos centímetros: cerca de 2 a 4 centímetros. Ainda assim, há dois padrões de uso dos cartões sem contato: "mag-stripe" e EMV. Na primeira, ao realizar uma transação o cartão, de fato, são repassados todos os dados do número do cartão via wireless, da mesma forma que acontece ao usar a tarja magnética. Nos cartões do tipo EMV, que são mais seguros e mais utilizados no mundo todo, o cartão transmite para a maquininha somente o dado de autenticação da transação, e assim não há risco e vazamento de dados.

Outra possibilidade é ilustrada no vídeo abaixo, criado e divulgado em julho de 2018. Alguém poderia chegar atrás de você com uma maquininha e, por proximidade, realizar uma transação sem que você perceba.


Esse vídeo mostra que é possível realizar uma transação sem que o cliente veja, usando a comunicação por proximidade (o NFC) entre o cartão e a maquininha. Aqui no Brasil, para valores até R$ 50 não é pedido senha e a transação é aprovada. Isso poderia acontecer facilmente no metrô de São Paulo, ainda mais se você estiver na estação Sé as 18h.

Graças ao uso do padrão EMV, os dados do cartão, em si, não são roubados ;) E as operadoras de cartão e bancos seguem um rígido padrão de segurança definido pela VISA e Mastercard, com vários controles para evitar que a fraude ocorra.
  • Para compras de baixo valor, sem uso de senha, as operadoras de cartão de crédito e os bancos adoram medidas complementares de monitoramento e prevenção para evitar fraudes;
  • O cartão só é reconhecido se estiver muito próximo da máquina. Essa proximidade garante que o cartão esteja sempre perto do cliente e, assim, não possa ser utilizado sem o seu conhecimento;
  • Entre os atributos de segurança dos cartões sem contato, toda comunicação wireless entre o cartão e a maquininha de pagamento é criptografada, garantindo que não possa ser interceptada;
  • Por conta do padrão EMV, os cartões não transmitem para o terminal todos os dados do cartão nem do cliente, e assim esses dados não podem ser reutilizados em outra compra. Como medida adicional, o cartão envia uma identificação da transação que não pode ser reutilizado posteriormente em outra transação.
Alguns cuidados extras podem ajudar a manter seus dados a salvo:
  • Fique sempre de olho no seu cartão e no seu extrato. Ative a notificação de transações por SMS. Comunique ao banco imediatamente se identificar alguma transação estranha;
  • Em caso de maior paranóia, você pode deixar o seu cartão bloqueado quando não estiver usando. Muitos bancos permitem que você bloqueie ou desbloqueie seu cartão quando não estiver em uso;
  • Você pode impedir que seu cartão seja lido remotamente utilizando uma carteira com proteção “anti-RFID”. Essas carteiras estão se tornando populares e podem ser achadas facilmente em lojas.

Além disso, você pode colocar a carteira no bolso da frente da calça ;)

A vantagem de utilizar o cartão contactless sem senha é melhorar a usabilidade para o cliente, mas isso traz o risco de segurança apontado aqui. O desafio de todos nós é justamente balancear o risco com a conveniência.

Para saber mais:

janeiro 28, 2020

[Segurança] Hoje é o Dia Internacional da Privacidade de Dados

Hoje, 28 de Janeiro, é comemorado em vários países o Dia Internacional da Privacidade de Dados ("Data Privacy Day"), uma data para conscientizar usuários e empresas sobre as necessidades atuais de privacidade e compartilhar boas práticas de segurança.


A melhor forma de celebrar essa data é praticar os cuidados básicos de segurança necessários para proteger nossos dados pessoais e os dados de nossa empresa.


Cuidados pessoais:
  • Que tal começar visitando o site Have I Been Powned para ver se seus dados de usuário e senha já vazaram alguma vez? Eles já identificaram mais de 9 bilhões de dados vazados!
  • Aproveite e use senhas fortes e, sempre que possível, use um mecanismo de segundo fator de autenticação;
  • Cuidado com as mensagens de phishing. Na dúvida, não clique;
  • Evite expor suas informações desnecessariamente nas redes sociais;
  • Apague aplicativos e softwares que não utiliza mais;
  • Periodicamente revise a sua lista de amigos e contatos nas redes sociais. Preferencialmente, só aceite solicitações amizade de pessoas que você conhece;
  • Revise periodicamente as configurações de privacidade dos sites e redes sociais que você costuma usar. O Stay Safe Online tem uma página com vários guias de como configurar a privacidade nas principais sites, serviços e redes sociais: "Update Your Privacy Settings";
  • Revise também os controles de privacidade de seus aplicativos no celular. Limite o acesso as fotos, lista de contatos e dados de geolocalização somente para os aplicativos que realmente necessitam.
Cuidados no trabalho:
  • Tu te tornas eternamente responsável pelos dados que coletas. Proteja os dados que coleta, seguindo as medidas de segurança necessárias para proteger as informações contra acesso inadequado e não autorizado;
  • Garanta que todos os funcionários tem acesso somente as informações necessárias para a execução das suas funções, seguindo os princípios de "need to know" e "least privilegie" (em um tweet: "os funcionários devem ter a permissão de acesso minimamente necessária para executar suas funções de trabalho");
  • Caso você acesse uma informação confidencial que não deveria, comunique imediatamente o time de segurança da sua empresa;
  • Comunique de forma transparente e honesta sobre as práticas de coleta, uso e compartilhamento de informações pessoais. Tenha uma política de uso e de privacidade clara e ofereça recursos para que os clientes e usuários possam gerenciar sua privacidade;
  • Promova ações de conscientização para os funcionários, usuários e inclusive para os clientes. 
  • Mantenha os funcionários conscientes de seu papel na proteção das informações pessoais de colegas e clientes. Comunique as práticas e controles de privacidade que sua organização adota para garantir a privacidade e a segurança do consumidor;
  • Eduque os funcionários sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), prevista para entrar em vigor em Agosto de 2020.


#DataPrivacyDay #DataProtectionDay

janeiro 23, 2020

[Segurança] Novo golpe do Whatsapp: "Golpe da festa"

Uma reportagem do The Hack nos alertou sobre uma nova tática dos criminosos para conseguir sequestrar o WhatsApp da galera. Batizado de “golpe da festa”, os criminosos enviam uma mensagem com um falso convite para alguma festa, reunião, evento de negócios ou um jantar cortesia em um restaurante badalado, e pedem seu código do WhatsApp como se fosse a confirmação do convite.

Segundo a The Hack, o fraudador liga para a vítima e informa que foi enviado um convite especial para uma certa celebração, mas para confirmar a presença é necessário informar um código de confirmação que foi enviado no mesmo instante via SMS. Na verdade, esse código é o PIN de verificação do WhatsApp, pois neste momento o criminoso está solicitando o acesso a conta da vítima. Distraída, a vítima passa o código e imediatamente perde acesso a sua conta do WhatsApp.

Ao conseguir acessar a conta da vítima, o criminoso parte para o golpe: começa a buscar os contatos de amigos e parentes próximos para pedir dinheiro emprestado em nome da vítima.

Ainda assim, o golpe mais comum hoje em dia continua sendo obter o código de ativação do Whatsapp fazendo se passar por um atendente de site de anúncios online.


A melhor forma de prevenção é habilitar a funcionalidade de "Confirmação em duas etapas" do WhatsApp, que nada mais é do que uma senha de segurança simples, de 6 números (6 dígitos não é grande coisa em termos de segurança, mas é melhor do que nada). Ao tentar ativar o WhatsApp em outro aparelho, ele pede essa senha, e assim dá mais trabalho para o fraudador.

PS: Vale a pena ler essa reportagem do portal 6 minutos: "Golpe do WhatsApp: Saiba como se prevenir e o que fazer se acontecer com você"

janeiro 22, 2020

[Segurança] Causos de Guerra Cibernética ("for real")

Já que a galera está especulando sobre uma iminente guerra cibernética ente os EUA e o Irã, vale a pena fazermos uma rápida visita na história e relembrarmos os casos em que ciber ataques foram utilizados como tática de guerra e de conflito entre países. Nessa lista eu não vou incluir os frequentes casos e acusações de ciber espionagem, também não incluí ciber ataques relacionados a conflitos políticos, mas que não estavam associados a um clima de guerra entre as partes.

O foco mesmo deste post é em ciber guerra, aonde ciber ataques foram empregados como parte de conflitos (potenciais ou reais) entre governos. True. Sem FUD, sem bullshitagem.

1982: Durante a Guerra Fria, a CIA descobriu que os soviéticos estavam frequentemente roubando segredos industriais americanos. Para causar descrédito nesse esquema de espionagem, eles conseguiram plantar um cavalo de tróia em um software que foi roubado pelos russos. Ao utilizarem esse software em um oleoduto na Sibéria, o trojan provocou alteração na pressão do oleoduto, o que causou uma grande explosão na região de Tobolsk - considerada a maior explosão não nuclear ocorrida até hoje. Veja o excelente artigo da Wired sobre essa história.

2007: Os ciber ataques contra a Estônia são considerados o primeiro caso de emprego de guerra cibernética entre países. Em Abril deste ano, grupos de hackers russos realizaram um grande ciber ataque de DDoS, que tirou do ar diversos serviços públicos do país por alguns dias, em represália porque o governo local havia mudado de lugar um memorial russo da Segunda Guerra, conhecido como "Bronze Soldier of Tallinn". Desde então, a Estônia se tornou referência em proteção contra ameaças de governos extrangeiros e guerra cibernética.


2007: Israel realiza um ataque surpresa contra uma suposta usina nuclear secreta da Síria. Batizada de "Operation Orchard", os ataques foram precedidos por ações de guerra eletrônica contra o sistema de defesa, para garantir que os caças israelenses pudessem cruzar o território Sírio sem ser detectados.

2008: A Guerra da Geórgia é um excelente exemplo do emprego de guerra cibernética junto com um conflito tradicional. Nas semanas que antecederam essa guerra em que a Rússia invadiu a Georgia, foram realizados ciber ataques de DDoS contra a infraestrutura de Internet, sites governamentais e de notícias da Georgia para manter a população desinformada sobre a guerra. Segundo dados do governo, 90% dos sites do governo da Georgia sofreram ataques de DDoS. Além disso, um ciber ataque causou uma grande explosão no oleoduto Baku-Tbilisi-Ceyhan, que atravessa a Turquia, na região da Geórgia - alguns dias antes da Rússia iniciar a invasão. Uma vulnerabilidade no software de comunicação das câmeras de vigilância permitiu o acesso a rede da empresa e a infecção de um malware no servidor Windows que gerenciava a rede de alarmes. Os alarmes e comunicações foram desativados e os atacantes aumentaram a pressão de óleo para provocar a explosão.


2010:Stuxnet, criado em conjunto pelo governo americano e israelense, conseguiu pela primeira vez, fazer um ciber ataque destruir uma instalação física de outro governo. O vírus, criado em uma ação conjunta entre Estados Unidos e Israel, foi infiltrado na usina de enriquecimento de urânio de Natanz, no Irã. Preparado para invadir os computadores específicos da usina, o vírus alterava aleatoriamente os parâmetros de rotação das centrífugas nucleares, e assim conseguiu destruir mais de mil centrífugas - e, assim, atrasar os planos nucleares do Irã. São esses equipamentos que aparecem na foto abaixo, ao lado do Presidente do Irã, Mahmoud Ahmadinejad.



2015: A Turquia sofreu um grande apagão durante 12 horas, supostamente causado por um ataque cibernético comandado pelo governo do Irã. Segundo a especulação da imprensa, o grupo iraniano "Ashiyane Digital Security Team" invadiu a rede de distribuição de energia da Turquia, e assim conseguiu causar a queda de energia no país.

2015 e 2016: A mãe Rússia novamente usou ciber ataques quando suas tropas anexaram a península da Crimeia, na Ucrânia. Inicialmente foram utilizados ataques de malware contra empresas de mídia e infraestrutura ucranianas, incluindo sua ferrovia nacional e o aeroporto de Kiev. Posteriormente, os hackers russos realizaram um ataque a três concessionárias regionais de energia, causando um apagão que afetou cerca de 225.000 civis por cerca de seis horas, dois dias antes do Natal.

2017: Ainda no conflito entre Rússia e Ucrânia, o clímax aconteceu com o ataque do vírus NotPetya, que devastou várias empresas ucranianas. O vírus saiu um pouquinho de controle e acabou infectando também algumas multinacionais... ops...

2019: Ao identificar um ataque cibernético em andamento, realizado pelo grupo terrorista Hamas, a resposta do exército israelense foi bombardear o prédio aonde funcionava o centro de operações, origem do ciber ataque.


PS: Vale a pena destacar também que 2017 foi o ano em que os países ocidentais (EUA, Alemanha e França, principalmente) perceberam que uma nação adversária poderia influenciar o resultado de suas eleições internas.

Para saber mais:
OBS: Pequena atualização em 14/02/2020, para incluir alguns detalhes adicionais sobre o ataque contra a Estônia, em 2007. Pequenas correções no texto em 09/04/21.

PS 2 (Adicionado em 09/04/21): Essa tese do Mohan B. Gazula M.S. em  Computer Science da Boston University, apresentada em 2017 no MIT, traz uma visão dos principais conflitos de guerra cibernética que já aconteceram: "Cyber Warfare Conflict Analysis and Case Studies".

janeiro 20, 2020

[Segurança] Vem aí o Data Privacy Day

Reserve a sua agenda: No dia 28 de Janeiro (terça-feira) será comemorado o Dia Internacional da Privacidade de Dados ("Data Privacy Day"), uma data escolhida para lembrar usuários e empresas sobre a necessidade de proteger nossa privacidade online, os perigos associados, compartilhar boas práticas de segurança e reforçar a necessidade de atender as legislações existentes sobre proteção de dados.

A data de 28 de janeiro surgiu na Europa e foi celebrado pela primeira vez 2007, batizada de “Data Protection Day” (Dia da Proteção de Dados) - nome usado até hoje na Europa. O evento foi criado pelo Conselho da Europa por ser o aniversário da assinatura da “Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data” (ou, simplesmente, “Convention 108”), que aconteceu em 28 de janeiro de 1981, que representa o primeiro tratado jurídico internacional sobre a privacidade e proteção de dados. Em 2008 a data começou a ser celebrada nos Estados Unidos com o nome de “Data Privacy Day” (Dia da Privacidade de Dados), e passou a ser considerado um evento internacional.

Os frequentes vazamentos de dados pessoais por empresas de todo o mundo tem trazido a tona a discussão sobre necessidade de privacidade online. No Brasil, a iminência do início da Lei Geral de Proteção de Dados Pessoais (LGPD), previsto para agosto de 2020, tem forçado as empresas a adequarem seus processos de negócio e tecnologias para respeitar o direito a privacidade e proteção das informações.

O Data Privacy Day é uma ótima oportunidade para as empresas realizarem ações de conscientização sobre privacidade e segurança para seus clientes e funcionários. #ficaadica

Mais informações:



janeiro 15, 2020

[Carreira] Tentando explicar as contribuições ao sindicato e sua obrigatoriedade

O que é a contribuição assistencial do sindicato? Ela é obrigatória?

Essas dúvidas sempre voltam a tona toda vez que devemos entregar a carta de oposição a contribuição assistencial do SINDPD, e eu havia discutido isso em 2018. Mas vou aproveitar aquele texto para escrever esse post aqui no blog, e tentar esclarecer melhor esse assunto.

Todos os trabalhadores devem lembrar que a CLT estabelece que os sindicatos tem a prerrogativa de "impor contribuições a todos aqueles que participam das categorias econômicas ou profissionais ou das profissões liberais representadas." (art. 513, alinea "e"). Essas contribuições são de 4 tipos:
  • A contribuição sindical (antes da Reforma Trabalhista de 2017 era chamada de "imposto sindical"), que era aquele valor recolhido obrigatoriamente uma vez por ano e que corresponde ao desconto de um dia de trabalho;
  • A contribuição confederativa, que é uma contribuição acordada em âmbito sindical e responsável pela manutenção dos sindicatos e outras entidades de classe. Ela é descontada em folha dos filiados à entidade, e seu valor depende do acordo coletivo ou convenção coletiva de trabalho, ficando também em torno de um dia de trabalho, cobrado geralmente no reajuste anual dado à categoria;
  • A contribuição associativa, que é voluntária, cobrada das pessoas afiliadas ao sindicato. Seu valor é determinado pelo sindicato;
  • A contribuição assistencial, que é estabelecida por acordo ou convenção coletiva de trabalho e seu valor, cobrado em folha, varia conforme os acordos trabalhistas. Mas essa cobrança é opcional e o trabalhador pode pedir o fim do desconto, apresentando uma carta de oposição ao sindicato. No caso do SINDPD, o desconto é mensal, no valor de 1% do salário do empregado, limitado ao máximo de R$ 50,00 por mês.
Entre outras coisas, a famosa Reforma Trabalhista de 2017 (Lei 13.467/2017) extinguiu a obrigatoriedade da contribuição aos sindicatos.

Mas, a primeira coisa a notarmos, é que a única forma de recolhimento do sindicato que sofreu mudanças com a Reforma Trabalhista foi a contribuição sindical (antigamente chamada de "imposto sindical"), como explicado nessa reportagem no portal Administradores. Como eu disse acima, esse que era aquele valor descontado uma vez por ano, correspondente a um dia de trabalho. A Reforma Trabalhista alterou os artigos 578 e 579 da CLT mudando o nome do "imposto sindical" para "contribuição sindical" e tornando-o não obrigatório, sujeito a concordância do empregado. Se o funcionário quiser optar por pagar, seria necessário que ele autorize a cobrança da contribuição sindical na folha de pagamento.

Ou seja, a contribuição sindical ficou opcional e o recolhimento da contribuição confederativa, da associativa e da contribuição assistencial continuam valendo, mesmo após a Reforma Trabalhista.

No caso da contribuição assistencial, cujo recolhimento continua válido, ainda existe a possibilidade do trabalhador não autorizar o desconto, o que é feito através de uma carta formal de oposição que deve ser entregue ao sindicato.

Mas a novela não acabou ainda !!!! Infelizmente, o texto apresentado na Reforma Trabalhista sobre a não obrigatoriedade da contribuição sindical ficou meio confuso, o que permitiu que os sindicatos tenham tentado dar jeitinho para manter a cobrança. Essa redação havia sido corrigido na Medida Provisória 873/2019, que estipulava explicitamente a necessidade de "autorização prévia e voluntária do empregado" (nos artigos 578 e 579 da CLT), mas ela perdeu a validade em 28 de junho do ano passado e não surgiu nenhuma lei no lugar da MP para corrigir isso. Com isso, voltou a valer o texto da Reforma Trabalhista de 2017, que apesar de acabar com a obrigatoriedade da contribuição sindical (aquela equivalente a um dia de trabalho descontada do salário no mês de março), o novo texto indicado pela lei não deixa claro quem deve fornecer a autorização prévia e expressa do desconto.

Veja, por exemplo, como fica o texto do artigo 578 da CLT na versão atual, dada pela Reforma Trabalhista, e na versão sugerida pela MP:
  • Atualmente: "As contribuições devidas aos sindicatos (...) serão (...) pagas, recolhidas e aplicadas (...), desde que prévia e expressamente autorizadas."
  • Redação sugerida pela MP, que não é mais válida: "As contribuições devidas aos sindicatos (...) serão recolhidas, pagas e aplicadas (...), desde que prévia, voluntária, individual e expressamente autorizado pelo empregado."
Deu para perceber como está confuso o texto atual, sem indicar quem deve dar o consentimento? Por isso, sem a MP e com o texto atual da CLT, alguns sindicatos tem forçado uma interpretação do texto dos artigos 578 e 579 na qual o consentimento poderia ser dado pela assembléia do sindicato, e não pelo empregado. Assim, eles entram na justiça para aproveitar essa brecha e manter a cobrança da contribuição sindical. Felizmente, em 2019 o Supremo Tribunal Federal (STF) manteve a não obrigatoriedade da contribuição sindical e julgou imprecedente as ações dos sindicatos para tentar manter a cobrança.

Por isso, fique de olho e, em caso de dúvidas, converse com o RH da sua empresa.

PS: Veja também esse meu post: "Dúvidas sobre a Contribuição ao Sindicato".

janeiro 14, 2020

[Segurança] Como foram os eventos de Segurança em 2019

Oba!!! Finalmente chegou a hora de comentar como foram os eventos de Segurança no ano passado, uma análise sincera e divertida que eu faço todo o ano. Também aproveito para dar o meu reconhecimento público aos eventos e pessoas que, na minha opinião, se destacaram durante o ano. Eu espero, com esses posts, ajudar na discussão sobre como podemos melhorar cada vez mais o nosso mercado e nossos eventos de infosec.
Importante: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
Antes de mais nada, devo confessar publicamente algumas frustrações em 2019:
  • Infelizmente, mais uma vez eu furei na Latinoware. Compromissos de trabalho e a mudança repentina de data me pegaram desprevenido nesse ano :(
  • Pela primeira vez o pessoal da Alligator me convidou para ir no evento (é um evento fechado, somente para convidados). Achei muito legal, mas infelizmente eu vi o convite em cima da hora e já estava muito caro para comprar passagens.
Indo ao que interessa, começo esse post compartilhando minhas principais observações sobre alguns dos eventos nacionais em 2019:
  • Os grandes destaques e novidades de 2019
    • Garotas palestrando: O Roadsec SP e a BSides São Paulo conseguiram atrair várias palestrantes mulheres! O esforço fez com que uma parte significativa da grade dos dois eventos fosse ocupada por garotas! Além disso, tivemos muitas garotas presentes na H2HC;
    • O CTF está bombando: As competições de CTF já estão presentes na grande maioria dos eventos da área e fora dela, com premiações atrativas: o vencedor do Hackaflag (Roadsec) vai para a Defcon, e o time vencedor da H2HC participará de uma competição no Japão;
    • O "Mind The Sec"(MTS) está dominando o mercado gerencial, com o MTS São Paulo e Rio, os MindTheSec Summits (edições regionais) e o Mind The Sec Club, os encontros mensais que são fechados para executivos convidados pela Flipside;
    • Os eventos regionais, pequenos, estão bombando, com palestras de excelente qualidade e popularizando a cultura hacker fora de São Paulo. Parabéns para a Bhack (Belo Horizonte), Bxsec (Santos), Jampasec (João Pessoa) e Nullbyte (Salvador);
    • Falando em eventos regionais, a BSides Vitória mostrou que não está aqui para brincadeira! Além de ser a primeira BSides brasileira fora de São Paulo, eles passaram pelo perrengue de ter que adiar o evento na véspera, devido a grandes chuvas que assolaram a cidade. Algumas semanas depois realizaram o evento! 
    • Os patrocinadores "ponta firme": Sempre faço questão de agradecer e parabenizar, em nome da comunidade e do mercado brasileiro, as empresas que apoiam os eventos técnicos e de comunidades. Em 2019 eu destaco a presença frequente da Trend Micro Brasil e da Tempest - Cipher, iBliss e El Pescador também apoiaram vários eventos. Os livros da Novatek e as camisetas divertidas da Imaginário Nerd foram presença frequente em vários eventos. Um dos maiores desafios para quem organiza eventos é conseguir bons patrocinadores, que topam apoiar financeiramente e, principalmente, que entendem e respeitam o espírito de cada evento;
    • Os Palestrantes do ano: Eu gostaria de destacar a palestra motivacional do Clebeer Brandão no encerramento do Roadsec e também a palestra-surpresa, improvisada, que o Maycon Vitali deu na Nullbyte. Também merecem destaque o Felipe Prado, um profissional que está há muito tempo no mercado e palestrou em alguns eventos em 2019 (além de ser o magnífico vocalista da banda MD5 que todo ano arrasa na BSidesSP), a Yumi Ambriola, que lotou sua palestra no Roadsec São Paulo, falando sobre hacking e neurociência, o Bordini apresentando na H2HC sobre seu pentest em um avião e o Julio Della Flora, também bombando na H2HC;
  • Os melhores eventos de 2019
    • Acredito que tivemos vários eventos excelentes, por isso a escolha de melhor evento sempre é bem difícil. Mas vamos lá...
    • Novamente o MindTheSec São Paulo foi o destaque para o público corporativo, desbancando o Security Leaders e o You Sh0t the Sheriff (YSTS). Nesse ano o espaço do MTS SP foi reformulado, criando uma área de exposição enorme, com a presença de várias empresas relevantes, e melhor separação das salas de palestras;
    • Hackers to Hackers Conference (H2HC) mudou de hotel e fez uma edição épica!!! O local ficou super bem sinalizado e bem decorado, além de ter mais espaço para palestras e diversas atividades. Também chamou muito a atenção do pessoal uma área grande com computadores e video-games antigos. Destaque? O espaço para car hacking, com 2 carros para o pessoal hackear a vontade. Mas a frustração é que novamente tivemos poucos leaks no banheiro nesse ano (nenhum, na verdade?) e novamente a tentativa de criar uma área de atividades para crianças ficou sem crianças;


    • O Roadsec São Paulo continua gigante, atraindo um público bem diversificado. É um um ótimo evento para empresas interessadas em contratar novos talentos na área. Nesse ano, a organização dos três shows ficou meio confusa: o CPM 22 iniciou no palco principal, mas no intervalo até o show do Nação Zumbi, houve o show da Negra Lee em outro espaço, o que causou a dispersão do pessoal que estava na área do palco principal. Acredito que isso e do horário avançado fez com que o show do Nação Zumbi estivesse relativamente vazio. Na minha opinião, pelo pouco público, nem precisaria ter acontecido o show;


    • Security BSides São Paulo (BSidesSP) - Neste ano a BSidesSP manteve o público na ordem de 1.200 pessoas, e novamente o evento bombou na PUC-SP. Merece destaque o trabalho dedicado do pequeno exército de voluntários! Um evento com muito conteúdo, diversão e gratuito - para toda a família! As diversas atividades que aconteceram em paralelo (palestras, oficinas, villages e atividades para crianças) estavam lotadas, o show do intervalo novamente foi sucesso e o CTF de 24 horas initerruptas ocorreu super bem!
  • Os bons eventos de 2019
    • GTS - um pouco esquecido pela maior parte da comunidade de segurança, o GTS continua firme e forte, com palestras bem legais e um espaço bem caprichado - além de ser gratuito e com streaming online;
    • Cryptorave - Continua um evento excelente, na minha opinião, com uma ótima energia e atraindo muita discussão sobre segurança, privacidade e ativismo online. Na edição de 2019 eles receberam mais de 3 mil pessoas na Biblioteca Mário de Andrade, no centro de São Paulo. O espaço é charmoso, mas a maioria das salas eram pequenas, e muitas vezes tínhamos que caminhar bastante entre uma sala de atividades e outra. Por sinal, achei legal caminhar passando ao lado da área da biblioteca! Eles fizeram uma festa num espaço alternativo, mas eu preferia quando a festa era dentro do espaço do evento. Nesse ano eles também organizaram uma Criptofesta aqui em São Paulo, em Dezembro, um evento menor, com 6 horas de atividades; ;
  • As ótimas surpresas em 2019
    • Muitas garotas palestrando e participando dos eventos de no RoadSecSP;
    • Os meetups tem sido um ótimo canal para promover eventos pequenos e mais objetivos. Algumas comunidades, como a Nerdzão e a o capítulo São Paulo da OWASP, por exemplo, estão aproveitando a plataforma para se promover e realizar eventos bem legais periodicamente. Vale a pena ficar antenado!!!
  • Sentimos saudades
    • Neste ano não tivemos o DISI (o Dia Internacional da Segurança da Informação, organizado pela RNP), nem a BWCon e novamente não tivemos o Security Day em Natal. Fiquei sabendo que a RNP não realizou o DISI pois decidiu reformulá-lo, e ele voltará em 2020;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, gratuito e com transmissão online. Mas, apesar da longevidade, tenho o sentimento de que a cada ano ele chama menos atenção da comunidade de infosec;
  • Não vi mas vou opinar assim mesmo
    • BHack (em Belo Horizonte, MG) - Com palestras de excelente qualidade técnica, o evento está retomando a importância e o brilho das primeiras edições, e está voltando a ser um ponto de encontro dos melhores profissionais da comunidade;
    • Alligator - Continua sendo o melhor evento da comunidade underground, fechado a 4 chaves, com palestras de grande qualidade técnica restritas a poucos, bem poucos, selecionados;
    • Security Leaders - Na minha opinião este é um evento com conteúdo fraco, com debates superficiais. Mas sempre atrai patrocinadores, que aproveitam a premiação e sua área de exposição para contato com clientes;
  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • O local do YSTS: eles realizaram o evento em um espaço muito ruim, ao meu ver. Além de relativamente pequeno, o principal problema na minha opinião foi o palco, que ficava em cima do espaço do bar, muito alto. Isso deixava os participantes com péssima visão do palestrante e da apresentação (imagina quando você vai no cinema, sentar na 1a fileira e tenta assistir o filme...);
    • Palestras do patrocinador e de encerramento do YSTS: pior do que ter um patrocinador fazendo uma palestra 100% marketeira de produto, que nem se deu ao trabalho de traduzir o PPT (nessa hora, todo mundo, todo mundo mesmo, estava batendo papo ou usando o celular), foi a frustração da palestra de encerramento. O tema era muito interessante (ameaças e fraudes em caixas eletrônicos) e o palestrante tem ótimo conhecimento, mas infelizmente ele se perdeu na apresentação. O PPT tinha mais de 140 slides e ele gastou mais de uma hora apenas falando sobre teorias da conspiração. Quando ele finalmente chegou no tema real da apresentação, todo mundo já estava cansado e dispersado, e pelo grande avançado da hora ele teve que passar muito rapidamente no assunto, e acabou não apresentando nada de interessante. Eu achei a palestra interessante e até me diverti, pois acho legal ter algumas palestras diferentes de vez em quando, que fogem da caixinha e que até mesmo viram lenda na comunidade de segurança, mas tem gente que não curte isso;
    • A maior treta do ano, com certeza, foi o debate desastroso sobre código de conduta na Nullbyte. O evento foi muito bom, com ótimas palestras, mas infelizmente esse debate no final tocou numa grande ferida aberta na comunidade, que os eventos de segurança não são inclusivos, e acabou trazendo muita discussão acalorada, seguida por protestos online contra o evento.
Segue então aminha "premiação" para os eventos brasileiros no ano de 2019...


Resumão 2019
Melhores Eventos Brasileiros MindTheSecSP, RoadsecSP, H2HC e BSidesSP
Melhor Novidade Mulheres presentes em vários eventos!
Maior Surpresa CTF super concorrido da H2HC, premiando com uma viagem para Tokio
Maior Roubada A palestra de encerramento do YSTS
New kids on the block BSides Vitória
Festa estranha com gente esquisita Balada da Cryptorave
Maior Mico Fazer "cara-crachá" no segundo dia do MindTheSec
Maior WTF? Cadê os leaks do banheiro da H2HC?
Maior Polêmica O debate sobre código de conduta da Nullbyte
Os Patrocinadores Pira MindTheSec SP
Alternativo BSidesSP e Cryptorave
Visual e Infra Caprichados MindTheSec e H2HC
Organização Caprichada Flipside (MindTheSecs e Roadsecs)
Sumiu :( code{4}sec, AndSec (Argentina)
Saudades DISI
Melhor Camiseta BSidesSP: "0 day is coming"
Melhor Local Nullbyte em uma charmosa Cinemateca
Pior Local YSTS
Fora do Eixo Rio-São Paulo NullByte, Jampasec, BHack e RoadSec cidades
Não Pode Faltar no seu Evento Competição de CTF e as camisetas da Imaginario Nerd
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico BSidesSP, GTS
Para o Público Ninja H2HC, Alligator, BHack e Nullbyte
Para o Público Underground Alligator
Para o Público Gerencial MindTheSec e Security Leaders
Para a Baixa Gerencia Security Leaders
Para o CSO Gartner Security & Risk Management Summit; MindTheSec Club
Para os Ciber ativistas CryptoRave
Para o Usuário Final CryptoRave
Para o Povão Roadsec SP
Para quem está começando BSidesSP, Roadsec
Para Crianças BSidesSP (com a BSides 4 Kidz)
Para Competir no CTF H2HC, RoadSec (Hackaflag), CTF 24H da BSidesSP
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para comer comida vegana Cryptorave
Para Babar o Ovo ou ser Babado Security Leaders, MindTheSec SP
Para ser VIP Roadsec SP, com suas várias pulseiras VIP
Para ver palestrante gringo e não entender nada H2HC e SaciCon
Para ir de Graça BSidesSP e GTS
Para pagar caro Security Leaders e MindTheSec SP
Para pagar caro em evento ruim Security Leaders
Para Assistir de Casa GTS
Evento Hostil Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Jampasec, Latinoware
Palestrante gringo mais Pica Grossa Gustavo Scotti, pq é possível ser brazuca, gringo e fodão!
Melhor Palestrante do ano "Clebeer" Brandão
Melhores Palestrantes de todos os tempos Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
Palestrantes revelação 2019 Felipe Prado e Yumi Ambriola
Em 2020 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty, 8.8
Em 2020 eu quero ir na... BSides Vitória, Latinoware e Alligator (se me convidarem de novo!)
Em 2020 eu quero viajar para... Defcon (US), 8.8 (Chile), Ekoparty, BSides Lisboa
Patrocinadores "ponta firme" Trend Micro e Tempest

Para saber mais:

Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

PS: Post atualizado em 14/01 para corrigir o texto de avaliação da BHack, pois eu havia copiado do ano passado.
PS/2: Já que você leu até aqui, que tal aproveitarmos para ver esse pequeno vídeo com o resumo da BHack de 2019? (adicionado em 15/01)


PS3: Post atualizado de novo em 15/01 para melhorar o texto de avaliação da Cryptorave, pois eu havia copiado do ano passado e tinha esquecido de comentar mais sobre o evento.

janeiro 13, 2020

[Segurança] Cyber Self-Defense

Recentemente eu assisti essa palestra do TEDx, "Cyber Self-Defense" Paul Carugati (TEDx Spokane, em Nov  de 2015). O que me chamou a atenção nessa palestra foi o foco em "ciber defesa", ou seja, na importância de treinar os usuários a tomarem os cuidados básicos de segurança. Para isso, o palestrante dá uma visão rápida e didática dos ataques mais comuns que afetam os usuários no dia-a-dia, incluindo engenharia social, phishing e roubo de credenciais.


Ao final, ele cita algumas regras (dicas) de "cyber self-defense", que certamente representam um conjunto de dicas básicas que todos os usuários poderiam seguir:
  1. Não clique (pense antes de clicar!)
  2. Sério! Pare de clicar!!!!
  3. Use senhas fortes (preferencialmente, com senhas longas)
  4. Não reuse suas senhas - não use a mesma senha em diversas contas
  5. Pare de usar senhas, e comece a utilizar segundo fator de senhas (como códigos temporários enviados em seu celular)
  6. Mantenha seus softwares atualizados (de forma frequente e automática)
  7. "Confie, mas verifique"
Essas regras são simples, citadas há 4 anos atrás, mas resume os principais cuidados que os usuários devem ter no seu dia-a-dia para ficar minimamemte seguros.

janeiro 10, 2020

[Segurança] Ataque do momento: O golpe do WhatsApp

Esqueça os malwares! Um dos golpes mais populares hoje em dia entre os criminosos e já virou uma grande epidemia no Brasil é um golpe de engenharia social! Muito cuidado com o...

O golpe do WhatsApp


O WhatsApp é um dos principais aplicativos de comunicação instantânea. Devido a sua grande popularidade aqui no Brasil, recentemente ele tem sido muito utilizado por fraudadores para aplicar golpes nas vítimas.

O principal objetivo dos fraudadores é obter acesso ao WhatsApp da vítima e, a partir dele, entrar em contato com parentes e amigos para pedir dinheiro "emprestado" - que, obviamente, seu amigo ou parente nunca mais vai ver de volta. E vocÊ ainda vai ter uma baita dor de cabeça com isso!

Para conseguir o acesso ao WhatsApp de forma fraudulenta, os golpes mais comuns são:
  • O criminoso consegue "clonar a linha do celular" e, assim, abrir o WhatsApp da vítima no aparelho que está em suas mãos. Isso é possível através de um golpe conhecido como "SIM Swap": o criminoso consegue acesso aos sistemas da operadora telefônica e, com isso, transfere a linha que está associada ao chip no celular da vítima para um novo chip, que está no aparelho do criminoso;
  • O fraudador transfere a conta do WhatsApp para outra linha telefônica, em seu poder, e assim ativa o WhatsApp e consegue falar com seus contatos. Esse é um recurso nativo do WhatsApp (através do recurso "Mudar Número"), mas que por segurança ele envia um código de 6 dígitos para o número telefônico original. O fraudador simplesmente liga para a vítima e pede esse número. Ao responder, o fraudador ativa o WhatsApp e a vítima perde o seu acesso no seu celular. Normalmente os fraudadores ficam de olho em pessoas que publicam anúncios online, em sites populares como OLX e Mercado Livre, por exemplo. Os criminosos pegam os dados da vítima no próprio anúncio, ligam para o telefone indicado se fazendo passar pelo site do anúncio e pedem que a vítima forneça o código recebido pelo SMS como se ele fosse necessário para ativar o anúncio.
A melhor forma de evitar o golpe é ativar a verificação em duas etapas: vá em "Configurações > Conta > Verificação em duas etapas", clique em "Ativar" e cadastre sua senha.


Veja mais informações:

janeiro 09, 2020

[Segurança] WWIII e a guerra cibernética

Eu já vi perguntarem se a terceira guerra mundial seria física ou cibernética.


A resposta é simples: hoje em dia qualquer ato de guerra envolve os dois cenários. A guerra tradicional é acompanhada pela guerra cibernética, seja através de ações de propaganda online e ciber ataques a infraestrutura crítica do adversário, por exemplo. Essas táticas são utilizadas como parte do conflito, para prejudicar a população, a produção, a comunicação e o dia-a-dia da sociedade envolvida no conflito. Ciber ataques também podem ser direcionados contra as infra-estruturas militares do adversário.

Na doutrina atual de guerra, considera-se que os 4 palcos principais de conflito são a terra, o ar, o mar e o ciberespaço. Algumas nações também consideram o espaço, mas em geral nas décadas recentes houve um avanço bem menor do que o esperado na exploração espacial e no uso do espaço como cenário de conflito. As nações mais avançadas possuem uma doutrina militar, uma estratégia e um centro de comando unificado, que envolve os 4 domínios.

Vale lembrar que, além de ciber ataques com objetivo militar, também podem acontecer ciber ataques realizados por pessoas comuns, da população em geral, ou seja, não associados as forças militares. Isso normalmente representa os ataques de defacement (ou pichação de site), utilizados normalmente por ciber ativistas como uma forma de protesto, propaganda e também para compartilhar ofensas ao adversário. É muito comum que esses ataques aconteçam antes mesmo de ser declarada uma guerra, e podem ser realizados por pessoas de outros países, que na verdade estariam apenas apoiando um dos lados do conflito.

Se fosse possível desenhar uma linha do tempo, eu diria que hoje em dia um conflito militar em grande escala envolveria:
  1. Ciber protestos através de ataques de defacement, realizados por grupos civis como forma de apoio ou protesto (como o defacement em um site do governo americano, ocorrido em 5 de janeiro) e também por governos como estratégia de propaganda e como ações de inteligência e contra-inteligência;
  2. Ciber ataques contra infra-estrutura crítica do país, como preparação para a guerra física;
  3. Início dos conflitos físicos;
  4. Ciber ataques contra a infraestrutura crítica como apoio as ações de guerra;
  5. Ações de propaganda on-line (por exemplo,enaltecendo as qualidades de um lado e tentando desmoralizar o adversário, divulgando notícias e fake news sobre o conflito, etc).

Nada disso é novidade! Na invasão da Georgia, em 2008 (há mais de 11 anos atrás!), a Rússia realizou ciber ataques para tirar do ar os sites de notícias e até mesmo interromper o acesso a Internet, para deixar a população desinformada sobre a guerra. 90% dos sites do governo da Georgia sofreram ataques de DDoS.

Vale lembrar que dificilmente um conflito iria envolver apenas os Estados Unidos e o Irã.


Diversos aliados poderiam entrar nessa guerra: do lado dos Estados Unidos normalmente ficam na Inglaterra, França, Alemanha e Israel. E, se o conflito se espalhar para a Europa, entra a OTAN. Do lado do Irã, além dos países árabes com posicionamento anti-americano, a China e a Rússia condenaram o ataque. A Rússia foi além e manifestou o seu apoio ao Irã. Em caso de conflito, a China poderia ser seguida pela Coreia do Norte. E isso poderia trazer também o Japão e a Coréia do Sul para o conflito.


Para saber mais:

janeiro 08, 2020

[Carreira] Carta de Oposição ao SINDPD 2020

Sim, é início do ano, época de pagar o IPVA e, para a maioria dos profissionais de tecnologia, fazer a carta de oposição a contribuição mensal ao SINDPD!

A contribuição assistencial é descontada mensalmente do salário do trabalhador, representando 1% do salário, limitado a até R$ 50. Ela não é obrigatória, mas o empregado deve manifestar formalmente que se opõe ao desconto.

Por isso, todos os trabalhadores filiados ao SINDPD, ou cuja empresa é filiada (veja na sua carteira de trabalho / CTPS), tem o prazo de dez dias úteis, de 06/01 a 15/01, para entregar pessoalmente a carta de oposição a Contribuição Assistencial em 2020. Eu sugiro ir o mais cedo possível, para evitar filas!

Atenção: Neste ano, o SINDPD alterou o texto usado no modelo da carta de oposição que divulgou no ano passado. Veja como ficou a nova redação:


Mas as contribuições aos sindicatos não tinham deixado de ser obrigatórias desde a reforma trabalhista de 2017? Sim, mas os sindicatos estão dando um jeitinho para tentar manter elas...

Conversando com alguns amigos sobre a não obrigatoriedade das contribuições sindicais, eles lembraram que a Medida Provisória 873/2019, que estipulava a necessidade de "autorização prévia e voluntária do empregado" (artigos 578 e 579 da CLT), perdeu a validade em 28 de junho do ano passado. Com isso, voltou a valer o texto da reforma trabalhista de 2017, que apesar de acabar com a obrigatoriedade da contribuição sindical (aquela equivalente a um dia de trabalho descontada do salário no mês de março), o novo texto indicado pela lei não deixa claro quem deve fornecer a autorização prévia e expressa do desconto (por exemplo, o artigo 578 atualmente diz que "As contribuições devidas aos sindicatos (...) serão (...) pagas, recolhidas e aplicadas (...), desde que prévia e expressamente autorizadas."- e a frase acaba assim, sem indicar quem deve dar o consentimento). Por isso, sem a MP e com o texto atual da CLT, alguns sindicatos tem forçado uma interpretação do novo texto dado pela reforma trabalhista na qual o consentimento é dado pela assembléia, e não pelo empregado. Assim, eles arranjam uma brecha para manter a cobrança da contribuição sindical.

Não se esqueça:
  • Prazo para entrega da carta de oposição: 06 a 15/01/2020, de segunda a sábado, das 9h as 17h
  • Local de entrega em São Paulo, Capital: Clube Atlético Juventus, na R. Comendador Roberto Ugolini, 152 (Mooca), CEP 03125-010
Informações adicionais:
PS: Post atualizado em 14/01 para ajustar melhor a explicação sobre a obrigatoriedade das contribuições sindicais.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.