A primeira edição do evento teve pico de mais de 470 pessoas online, e encerrou a transmissão com mais de 3 mil visualizações. O vídeo do evento completo está disponível no canal Papo Binário.
É necessário se inscrever no portal para receber o link do evento. Já disse que é gratuito!?
Esse post foi inspirado em uma notícia publicada pela Globo.com: "Como doar para o combate ao coronavírus em São Paulo", que aponta para o site ParaQuemDoar.com, que foi criado pela Globo para centralizar sugestões de entidades e iniciativas que precisam de apoio. São dezenas de entidades em todo o país.
Recentemente uma nova forma de ciber ataque começou a chamar a atenção do pessoal...
Zoom Bombing
Com a pandemia de coronavírus levando mais organizações a adotar o trabalho remoto, mantendo seus funcionários em casa, as plataformas de conferência online tiveram um grande aumento. O Zoom, um software de vídeo conferência que rapidamente se popularizou entre usuários corporativos e domésticos, pela sua facilidade de uso e por ter uma versão grátis (com limite de até 100 pessoas e 40 minutos de reunião). De Dezembro de 2019 a Abril de 2020, a ferramenta pulou de 10 milhões de usáruios para 300 milhões!
Mas a má notícia é que o Zoom ganhou um destaque especial pois, junto coma fama, surgiram diversas denúncias de falhas de segurança.
Uma dessas falhas, batizada de Zoom Bombing (ou "Zoombombing", tudo junto), acontece quando pessoas não autorizadas descobrem o link de acesso a uma conferência ativa e acessam ela, indevidamente. Pipocaram notícias de trolls tirando vantagem dessa falha para invadir ou seqüestrar reuniões on-line. Isso acontece com frequência pois o Zoom utiliza um identificador para cada reunião, formado por poucos caracteres - e, portanto, facilmente mapeável.
Uma vítima famosa desse ataque foi o primeiro ministro britânico, Boris Johnson. Ao divulgar uma foto da tela de seu computador com uma reunião interna, era possível ver o identificador da conferência, no Zoom, e assim qualquer pessoa poderia entrar na reunião.
As notícias de incidentes de Zoom Bombing relatam pessoas participando de reuniões não só pela zoeira, mas também para espalhar discursos de ódio, com mensagens racistas, e constranger os participantes com imagens pornográficas. Isso inviabiliza as reuniões, causando impacto desagradável aos negócios. Em caso de empresas e governos, a presença de um "bicão" em uma reunião online pode representar um sério risco de vazamento de dados.
É muito simples minimizar o risco de alguma pessoa não desejada entrar em sua videoconferência, basta seguir alguns cuidados:
Não compartilhe publicamente informações sobre as reuniões online, incluindo imagem das telas dos participantes;
Cadastre uma senha de acesso em sua reunião. Ao criar o convite para a reunião, muitas plataformas permitem definir uma senha de acesso. Assim, além do identificador da reunião, o penetra precisaria adivinhar a senha para conseguir entrar na chamada;
Use o recurso de sala de espera, existente em vários aplicativos. Isso permite controlar a admissão de convidado;
Não compartilhe publicamente o link para uma teleconferência. Forneça o link somente para as pessoas convidadas;
Cuidado ao compartilhar sua tela;
Sempre utilize a versão mais atualizada dos aplicativos de videoconferência.
Voltando a falar do Zoom... Os problemas de segurança do Zoom foram tão graves que a empresa se comprometeu a realizar um esforço de 90 dias para melhorar o produto, congelando o lançamento de novas features para que o time de engenharia se focasse nas melhoras de segurança. 27 dias depois, a empresa lançou a versão 5.0, com algumas melhorias de segurança e criptografia.
A "ciber higiene" é uma referência ao conjunto de boas práticas adotadas pelos usuários em seu dia-a-dia para manter a segurança de seus equipamentos e acessos online. Fazendo uma referência as práticas saudáveis de higiene no dia-a-dia (como lavar as m!aos, escovar os dentes, etc), a intenção é compartilhar atitudes e cuidados que possam fazer parte de uma rotina ao utilizar computadores e acessar sites e recursos online, para garantir a segurança e evitar as ciber ameaças mais comuns.
Baseado em um alerta recente do FBI, eu decidi compartilhar aqui as principais dicas de ciber higiene:
Use senhas fortes, difíceis de serem adivinhadas, e sempre que possível, ative um segundo fator de autenticação;
Sempre mantenha seus softwares atualizados;
Faça backup periódico de seus dados;
Não abra anexos nem clique em links em mensagens (emails, SMS e WhatsApp) de remetentes que você não conhece;
Não forneça seu nome de usuário, senha nem dados pessoais (CPF, data de nascimento), dados financeiros ou outras informações pessoais em resposta a mensagens de email ou ligações telefônicas;
Sempre verifique o endereço dos sites que deseja acessar. Em vez de clicar em links ou sites de busca, digite-os manualmente no seu navegador;
Verifique erros ortográficos ou nomes de domínio incorretos antes de clicar em um link (por exemplo, um endereço que deveria terminar em ".com.br" mas que termina em ".com").
A FEBRABAN possui um vídeo bem curto, de pouco mais de 3 minutos, sobre a LGPD. Produzido pelo time da ouvidoria, o vídeo é bem claro e objetivo, abordando a necessidade de proteção aos dados pessoais do cidadão:
O Gliffy, uma ferramenta para criação de gráficos e diagramas (que tem integração com o Confluence, por exemplo), possui um template de gráfico de fluxograma bem divertido, para responder se nossos dados estão seguros online:
Tem várias perguntas úteis e várias engraçadas no meio do diagrama. Divirta-se!
Com a pandemia do novo coronavírus e a necessidade de isolamento social, além de migras seus funcionários para o regime de home office, as empresas foram obrigadas a desenvolver ações de conscientização específicas
Do dia para a noite, muitas empresas tiveram que adaptar sua estrutura de tecnologia e repensar a gestão de suas equipes por conta da obrigatoriedade do isolamento social. Para apoiar adequadamente seus funcionários nesse tempo difícil, as empresas podem realizar ações para fornecer orientações e dicas relacionados aos cuidados básicos de saúde, reforçar a necessidade de cuidados de segurança e, principalmente, orientar seus colaboradores sobre as boas práticas, riscos e cuidados específicos ao trabalhar em casa.
Por tabela, as iniciativas de conscientização de segurança também precisaram ser revistas. Precisamos focar em assuntos relacionados ao trabalho remoto, e várias ações tradicionais de conscientização perderam o sentido, tais como uso de posters educativos, ronda de mesa limpa e brigar contra os eternos post-its com senha. Afinal, os colaboradores não estão mais no escritório e essas ações não tem mais utilidade.
Por isso, eu tenho algumas sugestões:
Sempre buscar apoio e alinhar as ações com os times de RH, Marketing, Tecnologia e Jurídico;
Como os usuários estão remotos, é necessário focar as ações no uso de mídias digitais, tais como documentos, artigos, memes, infográficos, palestras e vídeos distribuídos por e-mail, intranet, aplicativos de comunicação e redes sociais;
É importante compartira material sobre cuidados básicos de saúde e prevenção contra o vírus do COVID-19;
Focar as ações de conscientização em temas relacionados as fake news, aos ciber ataques que exploram o tema do COVID-19 e nos cuidados e dicas sobre home office e trabalho remoto;
Sobre os riscos de ciber ataques, devemos reforçar os cuidados contra mensagens de phishing, o bom uso de senhas e uso de segundo fator de autenticação;
O combate as fake news passa pela educação na importância de uma leitura crítica e usar fontes confiáveis de informação (como o site do Ministério da Saúde e da OMS e portais de notícia conhecidos) e a consulta em sites que combatem fake news (por exemplo, Boatos.org e E-farsas.com). O próprio ministério da saúde criou uma página com informações sobre fake news e um app sobre o COVID-19 para iOS e Android;
Sobre o home office, temos muitos temas para trabalhar, incluindo cuidados com a infra-estrutura no ambiente doméstico (isolamento do espaço, conforto e ergonomia), boas práticas (por exemplo, sobre comunicação com o time, gestão de tempo e tarefas, etiqueta em videoconferências, etc) e, claro, os riscos e cuidados de segurança para o home office (infra da rede doméstica, uso de computador pessoal x trabalho, cuidado com conversas confidenciais, etc).
Recentemente, realizei uma apresentação compartilhando um pouquinho da minha experiência com isso, e o material está disponível no slideshare.
A boa notícia é que existe muito material disponível online e gratuitamente, pois várias empresas e comunidades estão se mobilizando para compartilhar material e ferramentas de apoio nos esforços de conscientização.
Alerta do CAIS/RNP com recomendações de segurança para o trabalho remoto: http://url.rnp.br/?8KdgE
O projeto Internet Segura do nic.br tem uma página específica com dicas para evitar boatos e se proteger contra golpes com o tema Coronavírus
A Proofpoint disponilibizou gratuitamente um kit para campanhas de conscientização sobre trabalho em home office, com relatórios, dicas de como proteger seu Wi-Fi doméstico e um pequeno conjunto de posters;
A campanha "Stay Home, Save Lives" disponibiliza alguns posters, vídeos e banners de conscientização sobre a importância de ficar em casa;
Diversas empresas de segurança disponibilizaram relatórios, infográficos e informações específicas, como a Anomali, a Apura Cybersecurity, a IBLISS, a Redbelt e a Tempest, por exemplo;
A Impact tem um infográfico legal sobre "ciber higiene" para os trabalhadores remotos.
Aqui no Blog tenho vários posts sobre o assunto, vale a pena dar uma olhada nos artigos abaixo, que publiquei recentemente:
O pessoal da Flipside teve que replanejar sua estratégia de eventos, por causa da pandemia do novo Coronavírus, e assim resolveu lançar uma versão online do Roadsec, batizada de Roadsec@Home.
Nesta primeira edição, que acontece hoje, foram 3 palestras principais e um show de encerramento, com a Jade Baraldo.
A proposta deles é realizar o evento toda semana, toda 4a feira, enquanto durar o lockdown. Hoje foi a primeira edição, usando a plataforma Hopin, que permite ter um palco principal ("stage"), uma área de sessions (palestras em paralelo) , uma de networking e um espaço de 'Expo", onde os patrocinadores tem uma página com conteúdo próprio (pode ser um vídeo, uma live, etc).
O evento é gratuito, mas tem a opção de doação. A Flipside anunciou que o dinheiro arrecadado com as doações será repassado como apoio aos hackerspaces brasileiros.
Recentemente eu fiz uma live no canal do C6 Bank sobre as principais ameaças que surgiram pegando carona na pandemia do Coronavírus.
Batizada de "Crimes Virtuais em tempos de COVID-19", a apresentação inaugurou um evento online criado pelo C6 Bank, as C6 Talks. O vídeo está disponível online, no YouTube, mas infelizmente os primeiros minutos foram cortados.
De uma forma simples e informal, eu comentei sobre os principais golpes de phishing que surgiram, como evitá-los, os perigos das fake news durante esse período de pandemia e como identificá-las. Também comentei brevemente sobre os aplicativos falsos oferecidos nas lojas virtuais e sobre os cuidados ao utilizar aplicativos de videoconferência, que se popularizaram rapidamente devido ao isolamento social.
Muito do que eu falei nessa live você pode encontrar aqui no blog, com mais detalhes:
O pessoal da Tempest preparou um material curto e objetivo, muito legal, com 5 cuidados importantes de segurança para as videoconferências.
Baseado nesse infográfico da Tempest e nas dicas desse artigo, veja algumas recomendações para ter reuniões mais seguras:
Mantenha o software de videoconferência atualizado;
Cadastre uma senha para as suas reuniões, para evitar penetras;
Fique atento a quem está na sala de videoconferência - Eu tive um gestor que sempre verificava, um-a-um, quem estava no início da reunião (se necessário, fazia tipo uma lista de chamada). Além disso, se alguém entrasse no meio da reunião, ele pedia para se identificar;
Evite convidar por links (eu não curti muito essa dica, btw);
Não compartilhe selfies e os prints de tela, muito menos em redes sociais! Alguns sistemas de videoconferência mostram dados da reunião que podem ser úteis para um invasor;
Algumas ferramentas permitem controlar quem entra na sala de reunião, ou usando um recurso de "sala de espera" (a pessoa só entra se aprovado pelo organizador) ou bloqueando a entrada de novos participantes depois que a conferência começou;
Use um fundo de tela virtual, para garantir a privacidade do que acontece atrás de você;
Cuidado também com o que é compartilhado na tela de comentários.
Neste período de quarentena, os serviços de videoconferência se popularizaram enormemente, junto com a adoção forçada do trabalho remoto. Com isso, os ciber criminosos estão se aproveitando para invadir as reuniões online e, assim, conseguir roubar informações.
Recentemente, o primeiro ministro britânico compartilhou uma foto de uma reunião de gabinete aonde podia ver o identificador da reunião! Com esse id, qualquer pessoa poderia entrar na mesma reunião. É muito importante tomar cuidados básicos de segurança!
Por causa da nossa conhecida pandemia do Coronavírus (COVID-19), de repente as pessoas e as empresas foram obrigadas a se adaptar ao fenômeno conhecido como "lockdown", o bloqueio da circulação de pessoas em diversas cidades e países. Muitas empresas tiveram que adotar o home office às pressas, sem tempo de investir em tecnologia, treinamento e em suas políticas de trabalho remoto.
As empresas que até o momento não estavam acostumadas a prática de trabalho remoto são as que vão sofrer mais esses momentos iniciais, pois a infra-estrutura de tecnologia provavelmente não estava preparada, além do que os funcionários e os gestores não estão acostumados a trabalhar nesse regime. Mas o desafio é grande para todo mundo!
Algumas empresas criaram hotsites específicos para compartilhar informações e ferramentas relacionadas a pandemia. Diversas empresas de tecnologia estão oferecendo versões gratuitas de seus serviços e produtos para apoiar as empresas que precisaram investir emergencialmente em home office (como a CISCO, PaloAlto e RSA, entre diversas outras).
Acompanhe as diversas informações e recursos gratuitos que as empresas estão oferecendo:
Antes de mais nada: o SUS desenvolveu um aplicativo para iOS e Android que disponibiliza informações sobre o COVID-19 e também permite uma triagem virtual;
Lista de empresas e eventos impactados pela pandemia de Coronavírus: stayinghome.club
A Anomali disponibilza várias informações sobre ciber ataques e IOCs: www.anomali.com/covid19
A Apura Cybersecurity criou um repositório sobre o "Coronaware", as ameaças relacionadas a pandemia, com relatórios e feeds de IOCs (domínios, arquivos, IPs e e-mails)
A Axur criou o site #QuarentenaSemFraudes para receber denúncias de páginas com conteúdo suspeito do novo coronavírus
O CAIS, da RNP, publicou um alerta com recomendações de segurança para o trabalho remoto: http://url.rnp.br/?8KdgE
A National Cyber Security Centre (NCSC) junto com a Cybersecurity and Infrastructure Security Agency (CISA) oferecem uma lista de IOCs, em formatos CSV e Stix
A Proofpoint disponilibizou gratuitamente um kit para campanhas de conscientização sobre trabalho em home office, com relatórios, dicas de como proteger seu Wi-Fi doméstico e um pequeno conjunto de posters
É importante lembrar que o cenário de teletrabalho que vivemos hoje em dia é totalmente diferente do home office tradicional. Além de ter sido preparado às pressas, muitos funcionários estão trabalhando sem a devida infra-estrutura de home office (e tem dificuldade de melhorar, pois as lojas de móveis estão fechadas), com a família em casa (normalmente um cônjuge permanece no trabalho tradicional e os filhos na escola).
O grande desafio é manter as pessoas motivadas e produtivas em tempo de crise - pior ainda, com essa crise prometendo ser bem prolongada.
PS: Durante essa live, a advogada Gisele Truzzi fala sobre a importância de proteção de dados nesse cenário de pandemia. Veja também esse vídeo sobre fake news e fraudes eletrônicas.
PS/2: Post atualizado em 08, 09, 15, 16 e 27/04, em 19/05 e 08/06. Atualizado em 19/10.
Como os eventos presenciais do primeiro semestre deste ano desapareceram por causa da pandemia do Coronavírus, uma galerinha teve a idéia de organizar eventos online, e assim surgiram dois eventos de segurança muito legais que vão agitar as próximas semanas de Abril:
09 a 12/04: C0r0n4CON - evento organizado pela comunidad de segurança da Espanha, com apoio da galera da América Latina, com objetivo de ajudar a Cruz Vermelha da Espanha. O evento terá 4 trilhas com transmissões simultâneas. Muito conteúdo!
18/04: MBConf @ Home - evento criado pelo time do portal Mente Binária, como um evento online e gratuito de segurança. Será no dia 18/04, das 10h as 16h, com seis palestrantes incríveis. Para participar, é só fazer o cadastro no site do evento!
Participando ou não da C0r0n4CON, se você gostou da idéia de arrecadar fundos para a Cruz Vermelha, é possível doar para a Cruz Vermelha brasileira, basta ir no site deles: http://www.cruzvermelha.org.br.
Com as empresas migrando massivamente para o trabalho remoto, por causa da pandemia de Coronavírus, os profissionais acabam expostos a diversos riscos de segurança, como sumarizado no infográfico abaixo da Digital Shadows:
Veja abaixo algumas dicas mais relevantes para proteger os trabalhadores em home office:
Equipamentos e infra-estrutura em casa
Use dois computadores separados: um para o trabalho e outro para uso doméstico;
Use as ferramentas (softwares) fornecidos pela empresa, assim você garante suporte e que elas estão de acordo com as necessidades de segurança da compania;
Certifique-se que seus equipamentos e ferramentas de rede local e de segurança estão bem configuradas. Por exemplo, troque as senhas originais dos equipamentos e use senhas fortes, não permita acesso administrativo a partir da Internet, bloqueie os acessos de entrada e saída que não sejam necessários, oculte o nome (SSID) da sua rede Wi-Fi e coloque senha, etc;
Se possível, segmente a sua rede doméstica: use uma rede Wi-Fi para trabalho, outro para a familia e uma terceira para visitantes, assim você minimiza o risco de um computador com problemas impactar os demais;
Certifique-se que as instalações elétricas da casa são seguras, aterradas e/ou com uso de estabilizador.
A iluminação e os níveis de ruído do seu ambiente de home office devem ser adequados para o trabalho;
Conectividade
Use uma conexão internet de boa qualidade;
Evite ao máximo usar redes Wi-Fi públicas. Além de inseguras, podem ser facilmente comprometidas por ciber criminosos;
Use a VPN da empresa para acessar recursos corporativos;
Lugares públicos
Quando estiver em lugar público, cuidado sempre a sua volta, para que ninguém veja o que você está fazendo;
Nunca deixe seus equipamentos sozinhos, desbloqueados;
Videoconferência
Use as ferramentas de comunicação homologadas para as conversas e ligações entre os colegas e com o time;
Evite fazer reuniões remotas em viva-voz. Assim você evita que outras pessoas ouçam sua conversa;
Cuidados básicos de segurança
Cuide das suas senhas (senhas fortes, segundo fator de autenticação, gerenciador de senhas, etc), sempre mantenha seus sistemas (computadores, smartphones, etc) atualizados, se possível ative o auto-update; etc;
Mais do que nunca, o phishing é uma preocupação séria. Em casa, o risco de distração é maior, e por isso, maior a chance de abrir uma mensagem suspeita;
Muito cuidado ao compartilhar documentos da empresa. Use somente os meios oferecidos pela empresa e não utilize outros meios não autorizados, como Google Drive, Dropbox, etc;
Tome cuidado redobrado com as informações da empresa, mesmo estando em casa: cuidado com as informações que aparecem na sua tela e procure um lugar reservado ao falar no telefone ou participar de vídeo conferências.
Sempre tome cuidado e fique atento. Em caso de dúvidas, entre em contato com o time de TI ou de segurança da sua empresa e peça ajuda.
Vale lembrar que as empresas também tem muito trabalho para fazer:
Criar, ou revisar, uma política para trabalho remoto (home office), incluindo aspectos de segurança e decisões estratégicas como se a empresa vai oferecer algum reembolso de despesas específicas (como link internet) ou algum benefício (doação de equipamento, por exemplo);
Investir em ferramentas de criptografia, incluindo para comunicação segura (VPN) e proteção dos dados nos computadores móveis (criptografia de disco);
Uso de segundo fator de autenticação em todas as contas corporativas e para a VPN;
Ferramentas de proteção para o computador remoto (endpoint), incluindo anti-vírus, criptografia, proxy, etc;
Ações de conscientização sobre boas práticas para o trabalho remoto, além de recomendações de segurança e sobre os riscos específicos. Também devem reforçar suas campanhas de prevenção a phishing e cuidados com fake news.
A Proofpoint disponilibizou gratuitamente um kit para campanhas de conscientização sobre trabalho em home office, com relatórios, dicas de como proteger seu Wi-Fi doméstico e um pequeno conjunto de posters;
Poderia muito bem ser uma notícia de 1o de abril, mas o fato aconteceu no dia 31/03.
Contente por ter recebido o resultado negativo para o exame do COVID-19, o General Augusto Heleno (Chefe do Gabinete de Segurança Institucional da Presidência da República) postou o resultado do seu exame no Twitter. Mas a imagem tinha seus dados pessoais: nome completo, data de nascimento, RG e CPF !!! Posteriormente, ele percebeu o erro, apagou o tweet original e repostou a notícia, desta vez com seus dados borrados:
Mas já era tarde! A Internet, que não perdoa, foi abaixo, e rapidamente algumas pessoas usaram os dados do general para fazer críticas e algumas zoeiras.
Um dos primeiros posts que circulou nas redes sociais foi de uma pessoa que usou os dados pessoais do general para fazer uma adastro na Globo Play.
Ele criou um e-mail fake, e depois que postou, começou a receber nesse e-mail confirmações de pedidos que outras pessoas fizeram - usando os dados do general Heleno e o e-mail fake criado.
Além disso, também postaram no twitter outras zoeiras, como cadastrar o general como mesário e filiá-lo ao PT.
Moral da história? Sempre tome muito cuidado com os seus dados pessoais. Nunca poste nas redes sociais fotos de documentos, cartões de crédito, etc. Nada que possua seus dados.
Ah, prepare-se. A partir de agora esse tweet do General Heleno será utilizado em 10 a cada 10 apresentações de empresas que vendem solução de DLP, consultorias de LGPD, etc.
