maio 29, 2020

[Segurança] Spams no Blog

Os comentários do meu blog são moderados, mas não faço isso por ser chato. Acontece que é extremamente comum spammers utilizarem as seções de comentários de blogs para publicar anúncios e mensagens (eu já comentei sobre isso em 2018). As vezes, eles até se parecem inicialmente com um comentário "normal", de alguém elogiando a publicação, mas vem com algum link de propaganda.

Veja, por exemplo, alguns comentários que tenho pendente em meu blog:


O curioso são os dois últimos, em árabe, que se traduzem como algo estranho (obrigado ao tradutor do Google):
Fateh Sewer Company in Jubail Fateh Sewer Company 
Detection Company for Baths in Al-Khobar News Detecting Company for Baths in Al-Jubail Detecting Company Dammam Dammam Fateh Sewer Company Qatif

Muitos administradores de blogs e de sites sofrem com o transtorno causado por esses spammers, que normalmente utilizam robôs para publicar suas mensagens de forma passiva. Por exemplo, na Wiki do Garoa, o hackrrspace que eu faço parte, já tivemos casos de spammers que criaram usuários só para criar páginas ou editar as páginas existentes para incluir propaganda. Isso também acontece com frequência em grupos no Telegram.

maio 27, 2020

[Cidadania] App Todos Unidos para ajudar na luta contra o COVID-19

Um grupo de voluntários criou o aplicativo Todos Unidos, um app que tem como objetivo conectar pessoas nesta época de pandemia do novo coronavírus. Segundo o artigo publicado no blog do C6 Bank, o app já tem 145 projetos listados.


Desde instituições que assistem comunidades em situação de vulnerabilidade até pequenos negócios que buscam novas formas de seguir com as atividades, como vendedores de legumes, verduras e carnes, já cadastraram seu projeto em busca de ajuda para realizá-lo durante a crise. É possível também oferecer ajuda aos projetos por meio de doações, ou outro tipo de auxílio.

O dono do projeto pode descrever sua necessidade, e há planos do app passar a fazer uma conexão entre a demanda e a oferta de ajuda, o que seria um mecanismo semelhante a um match de aplicativo de relacionamento.


O app Todos Unidos está disponível para Android, e em breve será lançado para iPhone.

O grupo de voluntários é formado por funcionários do C6 Bank, mas a empresa destaca que não tem participação na iniciativa do Todos Unidos. Esse é um trabalho independente, um projeto pessoal de voluntariado.

Veja também a notícia no portal Mente Binária: "Aplicativo Todos Unidos conecta projetos em meio à pandemia"

maio 25, 2020

[Geek] Dia do Orgulho Nerd

Hoje, 25 de Maio, é celebrado o Dia do Orgulho Nerd, também chamado de Dia do Orgulho Geek, ou Dia da Toalha.

Esse é um dia para celebrarmos (e nos divertirmos) com a cultura nerd / geek, que ficou tão popular nos últimos anos. Hoje podemos comemorar o direito de toda pessoa ser um pouquinho nerd ou geek.

Essa data, 25 de maio, é bem legal pois faz referência a duas coisas bem populares no universo nerd. Nesse dia aconteceu a première do primeiro filme da série Star Wars, o "Episódio IV: Uma Nova Esperança", em 25 de maio de 1977,  mas também coincide com o "Dia da Toalha", que foi criado para homenagear o escritor Douglas Adams, autor da excelente "trilogia de cinco livros" de ficção/humor "O Guia do Mochileiro das Galáxias".

As vezes usados como sinônimos, Geeks e Nerds são termos diferentes aplicados para tipos de pessoas diferentes. Enquanto os geeks podem ser descritos como entusiastas e obcecados por coisas "legais" e modernas, os nerds, por outro lado, são mais associados aos intelectuais e pessoas que se concentram em adquirir conhecimento profundo em um tema ou área específica, normalmente relacionado ao mundo de exatas.

Mas nós nos acostumamos a usar os termos como sinônimos (embora o "nerd" seja mais pejorativo). Na minha opinião, existem inúmeros tipos de personificações e estereótipos, e essa data também serve para celebrar esses diversos tipos de nerds: o nerd de tecnologia, o cinéfilo, o amante de quadrinhos, HQs ou mangás, o nerd de astronomia, ou de história, o apaixonado por livros ou por contos ou séries, o jogador de D&D, jogos de tabuleiro ou jogos online. Uma pessoa pode ser, ao mesmo tempo, fã de Jornada nas Estrelas e de Game of Thrones, e isso hoje em dia é normal.


Eu acredito que a cultura geek se popularizou por causa da massificação da Internet, da TV a cabo e da tecnologia em geral. De repente as tecnologias ficaram acessíveis para todo mundo, e a TV a cabo popularizou o acesso a seriados e filmes. Outra coisa importante foi a recente tendência do cinema de fazer filmes de heróis, popularizando o universo Marvel e DC. Isso tudo, ao meu ver, fez que a cultura Nerd deixasse de ser mal vista. O seriado "The Big Bang Theory" também serviu para mostrar, para o público, o lado divertido e cômico do universo nerd.

Eu gosto do universo Geek e Nerd pois, na minha opinião, ele é voltado em torno do conhecimento (estudo) e da imaginação, e muitas vezes as duas coisas andam juntas. É possível se divertir muito e sonhar por um mundo melhor sendo nerd. Na minha opinião, o mais importante é que cada pessoa seja o que ela quer, tenha seus gostos pessoais e não sofra preconceito por isso. O dia do orgulho nerd ajuda a diminuir o preconceito que ainda existe contra essa galera.

O Dia do Orgulho Nerd é uma data bem legal pois ajuda a desmistificar a figura caricata do nerd, e ajuda a mostrar que todos nós podemos ser um pouco nerds.

Que tal aproveitar esse dia para fazer alguns quizz divertidos? Tem centenas deles online, e eu gostei desses aqui:
Veja também...

maio 20, 2020

[Segurança] Deputados sofrem com o golpe do Whatsapp

Recentemente, saiu a notícia de que 12 deputados da Assembleia de São Paulo sofreram um ataque ao seu WhatsApp, com o criminoso pedindo dinheiro para as vítimas. Deputados de diversos partidos form vítimas do ataque, que aparentemente incluiu a clonagem de linhas telefônicas.  Os golpistas enviaram mensagens aos deputados se passando pelos colegas de plenário, pedindo código de SMS para roubar a conta do WhatsApp do colega ou pedindo ajuda financeira.


"Tudo bem? Gostaria de te solicitar um favor. Você usa Banco do Brasil ou Itaú pelo aplicativo do celular ou computador?"

Em alguns casos, os criminosos ligaram para a operadora de celular, em nome da vítima, pedindo mudança de plano e instalando o número em um novo chip, o que deixou o telefone da vítima inoperante e deu acesso ao WhatsApp para o criminoso.

Um trecho da reportagem lembra de outro risco de segurança relacionado ao golpe: ao ter acesso ao WhatsApp de uma vítima, o criminoso também visualiza seus grupos, e assim, acabam tendo acesso também a uma lista completa de contatos telefônicos.

Como esse golpe é extremamente comum no Brasil, quero aproveitar essa notícia para relembrar sobre a importância de tomarmos cuidado com a nossa conta no WhatsApp. O cuidado mais básico, que infelizmente muitos usuários não tomam, é cadastrar a senha para acessar sua conta do WhatsApp.

Se você caiu no golpe, essa reportagem traz algumas dicas de como recuperar a sua conta, que são as seguintes:
  • Via redes sociais e SMS, avise os seus contatos que o seu WhatsApp foi invadido e que as pessoas não devem fazer nenhum tipo de depósito e nem fornecer dados para a sua conta de WhatsApp. Peça para que seja removido dos grupos, onde mais pessoas podem ser contatadas;
  • Desinstale o aplicativo do WhatsApp em seu smartphone, faça o download novamente e tente entrar com o seu número normalmente, como se fosse a primeira vez. Será enviado uma confirmação por SMS com o código de ativação. Assim que você conectar em seu aparelho, quem estiver logado com seu número será desconectado automaticamente;
  • Se for solicitado um segundo código, o Código de Confirmação em Duas Etapas, e se você não o souber, significa que o criminoso ativou a autenticação na sua conta!!! Isso pode acontecer, pois o criminoso também quer evitar que você recupere o seu acesso. Nesse caso, será necessário fazer o pedido de bloqueio do número diretamente para o WhatsApp. Será necessário enviar um email para support@whatsapp.com com a seguinte frase: "Perdido/Roubado: Por favor, desative minha conta" no corpo do email. É necessário incluir o seu número de telefone em formato internacional completo, ou seja: +55 (XX) XXXXX-XXXX.

Veja também...

Post atualizado em 21/05.

maio 19, 2020

[Segurança] Golpe da falsa central de atendimento

Existe um golpe que é extremamente comum, e eu já comentei um pouco aqui no blog, que é o golpe da falsa central telefônica. Nesse golpe, os ciber criminosos entram em contato com a vítima fazendo se passar pela central de atendimento do seu banco, e usam engenharia social para conseguir obter informações de acesso a conta bancária, ou até mesmo, o cartão da vítima (quando enviam um falso motoboy para  retirar o cartão).

Um golpe muito comum acontece quando o fraudador obtém alguns dados pessoais da vítima, que ajudam a convencer a vítima de que o atendimento é do banco (como nome completo, data de nascimento, CPF). Ao entrar em contato com a vítima, os fraudadores geralmente fazem se passar pela central de proteção do banco, alegando que o cliente sofreu uma tentativa de fraude (que não ocorreu!). Isso é importante pois deixa a vítima desconcertada, preocupada e mais suscetível ao golpe. Assim, o fraudador tenta obter a senha so cliente: ou perguntando diretaemente, ou transferindo a ligação para uma falsa central telefônica, que imita a central do banco. Ao digitar a senha, o criminoso consegue acessar a conta da vítima.

Veja esse caso de fraude, descrito no Reclame Aqui:
Em 16/04/2020 aproximadamente às 11:50 horas, recebi uma ligação do número de telefone 31 3003-6040 no qual a mulher se apresentava como funcionária do Banco Inter. A mesma já sabia de alguns dados pessoais meus e informou que estavam tentando acessar minha conta, e questionou se eu estava tentando acessar de algum dispositivo diferente do habitual que é meu celular, eu respondi que não e já entrei em desespero. A mesma solicitou que eu alterasse minha senha do cartão, para que pudéssemos impedir uma nova tentativa de acesso a minha conta. Ainda em linha, acessei minha conta via aplicativo do Inter e alterei minha senha, a mulher pediu que eu aguardasse em linha para fazer verificações. Como a ligação começou a ficar muito demorada, eu acessei minha conta ainda em linha com ela, e notei que haviam invadido minha conta e resgataram dinheiro da minha poupança, realizaram duas transferências totalizando o valor de R$ 3.178,48 e compras de GIFT CARD totalizando R$ 375,00 e ainda com o Crédito Cashback, realizaram uma recarga de R$ 15,00 para um celular TIM que não consegui encontrar o número. Imediatamente entrei contato com o Inter do telefone da empresa onde trabalho (...) e informei o ocorrido para três atendentes.
Com uma simples busca no Reclame Aqui, é possível ver que esse número de telefone (031) 3003-6040 já foi utilizado várias vezes para aplicar golpes similares, em clientes de diversos bancos.

A dica para prevenir esse golpe é simples: nenhum banco pede a senha do cliente, nenhum banco envia motoboy para retirar um cartão seu que teria sido, supostamente, clonado. Se receber uma ligação assim, desconfie! Ligue você mesmo para o seu banco e pergunte para eles,

Veja também:

maio 18, 2020

[Cidadania] Busque sobre elas!

"Só podia ser mulher!"

Sim, é verdade! Existem muitas mulheres fantásticas, e muitas coisas a nossa volta foram criadas por elas.

Em Março deste ano, o Google fez uma campanha muito bonita em homenagem ao mês das mulheres, com um vídeo em que uma menina descobre exemplos de mulheres incríveis e reescreve o significado da expressão “só podia ser mulher” (veja também essa versão curta do vídeo).

O dia das mulheres já passou, mas vale muito a pena ver o vídeo de novo - ou assistir pela primeira vez, se você ainda não viu.


Com a hashtag #BusqueSobreElas, o Google celebrou os avanços tecnológicos feitos por mulheres que inspiram e impactam o mundo todo.

Veja também:


maio 08, 2020

[Segurança] A Ciber segurança da sua empresa está preparada para o Coronavírus?

O pessoal da KPMG publicou um artigo que discute como os CIOs e CISOs das empresas podem saber se sua infra-estrutura de tecnologia e segurança está preparada para o impacto da pandemia do novo Coronavírus, e propõe diversas perguntas para mapear a capacidade e recursos da empresa.

A KPMG apresenta pontos de atenção sobre a capacidade, infra-estrutura e segurança para prover trabalho remoto, a capacidade de escala dos canais digitais, dependência do time de TI, capacidade do data center e da infra-estrutura na nuvem, dependência de fornecedores e terceiros, e capacidade de resposta a incidentes de TI e de segurança. Também aborda o uso racional dos recursos (times, tarefas, fundo de emergência e orçamento), e o papel da gestão, como exemplo.

O artigo levanta pontos bem interessantes, mas o mais legal é que o pessoal do GAT criou um checklist, em uma planilha excel, baseado nesses pontos. Ele ajuda as empresas a validarem suas estratégias durante a pandemia, e se tem alguma ação faltando.

Para saber mais:

maio 07, 2020

[Segurança] 10 anos de 8.8

A 8.8 é o evento de segurança mais importante do Chile, que completa 10 anos desde a sua primeira edição. Durante esse tempo, o evento se expandiu com versões regionais dentro do próprio Chile e algumas edições em outros países da América Latina incluindo (Bolívia, Peru e México)  - o que o tornou um dos eventos mais importantes da região.

A edição de aniversário está prevista para os dias 30 e 31 de outubro. Esperamos que, até lá, o pior momento da pandemia do novo Cornoavírus já tenha passado.


A edição principal da 8.8, que acontece em Santiago, capital do Chile, tem 2 dias de duração, com palestras técnicas e de alta qualidade, realizadas por palestrantes locais e internacionais. O evento é bem caprichado, com um clima que mistura o público executivo e o técnico, com a presença de grandes pesquisadores do mercado. A 8.8 é realizada em um teatro, para dar um clima diferente ao evento, e também garante um clima descontraído e informal, oferecendo cerveja para os participantes nos intervalos.

Eles fizeram um vídeo curto e muito legal com o resumo da edição de 2019:


Veja também o resumo de 2018.

Anota ai na sua agenda:

maio 06, 2020

[Cidadania] Ajude os Hackerspaces a produzir máscaras de proteção

Alguns hackerspaces brasileiros estão com iniciativas para produzir e doar Face Shields para hospitais. Esse grupo pequeno e não tumultuado de pessoas está fabricando os escudos faciais, imprimindo a estrutura da máscara em impressoras 3D, cortando os acetatos da viseira e montando com elástico. Até mesmo a distribuição é feita por eles, em geral para hospitais próximos ou hospitais com maior necessidade!


Eu conheço as seguintes iniciativas:

Quem tiver interesse em usar a sua própria impressora 3D, o projeto está disponível online. O pessoal do Garoa Hacker Clube está usando o STL da PRUSA: http://e-nablebrasil.org/wp/impressaomontagem/

Vale a pena ver também:
PS: Já que você leu até aqui, vale a pena também conhecer o projeto Favela Hacker (twitter) (insta) (face), criado por uma galera de infosec (os amigos do RTFM). Essa iniciativa visa levar conhecimento técnico de qualidade as comunidades carentes das periferias de Diadema, focado na qualificação e inclusão de jovens de baixa renda no mercado de Tecnologia da Informação. Devido à pandemia de COVID-19, eles estão focados agora exclusivamente na arrecadação e doação de alimentos e itens de higiene. Você pode doar qualquer quantia para ajudar na montagem de cestas básicas nos locais em que estão atendendo! https://www.vakinha.com.br/vaquinha/favela-hacker

maio 05, 2020

[Segurança] Um estudo sobre o vazamento de dados da Capital One

Eu tive a oportunidade de participar da criação de um paper com uma análise do incidente de vazamento de dados do banco americano Capital One, que afetou 106 milhões de clientes no vazamento ocorrido em março de 2019: "A Case Study of the Capital One Data Breach".

O objetivo do paper foi mapear os controles de segurança que poderiam ter evitado o incidente.

O paper foi criado com base nas informações disponibilizadas publicamente sobre o incidente, principalmente no relatório da corte de Seattle com a investigação do FBI, publicado no site do Ministério de Justiça dos EUA. Esse relatório permitiu reconstruir os passos necessários para a execução do ataque e do vazamento de dados.


Baseado nisso, mapeamos cada passo do ataque com o framework ATT&CK do MITRE, e em seguida, com os controles de segurança sugeridos pelo NIST Cybersecurity Framework.

Para saber mais:
PS: Post atualizado em 22/07/21.

maio 04, 2020

[Segurança] WOMCY Live Talks

A galera do WOMCY - LATAM Women in Cybersecurity lançou o WOMCY Live Talks, um "congresso online" e gratuito com 18 palestras espalhadas em 9 dias (duas a cada quarta-feira) relacionadas a ciber segurança, gestão e carreira, a serem ministradas por líderes, voluntários, membros da comunidade e da comunidade CyberSecurity Girls.

Veja aqui a agenda detalhada e como se inscrever.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.