Páginas

agosto 31, 2020

[Segurança] Dados são o novo Petróleo (memes!)

 Uma frase resume a importância dos dados na economia atual: "Dados são o novo Petróleo".

Assim como o petróleo movimentou a economia nas últimas décadas, os dados são o principal combustível do mundo digital.

Mas ambos tem outra coisa em comum: quando usados sem os devidos cuidados, podem acontecer acidentes, e nesses casos, o petróleo e os dados podem vazar!

Pensando nisso, eu resolvi criar alguns memes relacionando o vazamento de dados com os acidentes de vazamento de óleo, que sempre atraem atenção da mídia pois tem potencial de causar grandes danos ao meio ambiente.

Dados são o novo Petróleo

Imagem original: "Deepwater Horizon Oil Spill - Gulf of Mexico", de Kris Krüg, na Wikimedia Commons

Meme: em Português, em Inglês



Imagem original: marinephotobank no Visualhunt

Meme: em Português (também fiz essa versão), em Inglês


Dados são o novo Petróleo. E ambos vazam.

Imagem original: "Deepwater Horizon Oil Spill - Gulf of Mexico", de Kris Krüg, na Wikimedia Commons

Meme: em Português, em Inglês


Imagem original: marinephotobank no Visualhunt

Meme: em Português, em Inglês


Eu escolhi essas imagens pois são de uso livre (indicando a fonte), e os memes foram criados no site Meme Creator.




agosto 28, 2020

[Cidadania] Desconstruindo o Machismo, racismo e LGBTfobia em todos nós

Há poucos dias atrás eu vi um post muito legal no Instagram do Fabio Porchat em que ele se declarava um "racista em desconstrução". Alguns dias depois ele postou outro texto, se declarando um "LGBTfóbico em desconstrução".

Eu me identifiquei imediatamente com esses posts, pois eu também me considero um machista, racista e LGBTfóbico em eterna desconstrução. Isso porque vivemos em uma sociedade em que, desde criança, temos a nossa personalidade moldada pelos preconceitos que estão infiltrados e fazem parte do dia-a-dia da nossa sociedade. Somos treinados a olhar as pessoas de forma diferente por causa da sua cor de pele, sexo ou religião, cercados por aquelas centenas de piadas e comentários jocosos do dia-a-dia.

Felizmente já fazem alguns anos que eu faço um esforço constante para evitar qualquer tipo de atitude desrespeitosa e preconceituosa, e devo muito disso por ter participado do Garoa Hacker Clube, um espaço que criamos em 2011. Embora seja um espaço sobre tecnologia, em um mercado dominado por homens, desde o início sempre discutimos e apoiamos a inclusão, e tentamos criar um espaço que pudesse receber todas as pessoas. Nesse processo, fui agregando pessoas em que me inspiro, desde excelentes profissionais mulheres, negros e trans, até profissionais e amigos que também se preocupam com o respeito a diversidade.

Voltando ao depoimento do Porchat, ele faz parte de uma campanha muito legal para promover a reflexão sobre esses preconceitos, batizada de "Em Desconstrução".

   


agosto 26, 2020

[Segurança] Habemus LGPD !!! (com memes)

De repente, a incerteza foi substituída pelo desespero!


E o drama sobre o início da Lei Geral de Proteção dos Dados Pessoais (LGPD) finalmente chega ao fim, trazendo mais drama para as empresas brasileiras. #LGPDrama


No final desta quarta-feira, 26/08, o Senado apreciou a Medida Provisória 959, que estava prevista para expirar neste mesmo dia. A MP, que no seu artigo 4 adiava inicialmente a LGPD para 03 de Maio de 2021, foi aprovada ontem pela Câmara com um novo prazo, indicando o início da vigência da LGPD para 31 de Dezembro de 2020. Mas, em sua apreciação da MP, o Senado decidiu retirar esse artigo sobre a LGPD (veja vídeo) e, portanto, volta a valer o prazo anterior a MP 595, definido pela Lei 13.853/19, que era o dia 15 de Agosto deste ano (24 meses após a aprovação da lei).


Agora, a MP 959 segue para apreciação da Presidência, rebatizada de o Projeto de Lei de Conversão (PLV) 34/2020. Mas como o artigo 4o foi retirado (o artigo referente a LGPD), o presidente não pode colocá-lo de volta. Assim, no momento em que houver a aprovação ou veto da MP pela Presidência, o novo texto da LGPD entra em vigor, sem a alteração na vigência causada pela MP. E assim, a LGPD passa a valer imediatamente (ou, se a Presidência não se manifestar, a MP automaticamente perde a sua validade).

Mas é importante ressaltar que a LGPD não passa a valer imediatamente, a partir de 26/08. Isso porque o Presidente tem um prazo de até 15 dias úteis para apreciar o texto da MP aprovado pelo Senado, e portanto, segundo explicado em nota pelo Senado e também defendido por algumas pessoas, a vigência da LGPD só será alterada após publicada a decisão da Presidência. Assim, podemos ter um período de até 15 dias úteis para que a LGPD entre realmente em vigor. Na prática, isso significa que o seu prazo de início deve acontecer até Setembro deste ano..

"O Senado Federal aprovou nesta quarta-feira (26) a medida provisória nº 959/2020 que adiava, em seu art. 4º, o início da vigência da LGPD (Lei Geral de Proteção de Dados). Ocorre que o art. 4º, foi considerado prejudicado e, assim, o adiamento nele previsto não mais acontecerá.
No entanto, a LGPD não entrará em vigor imediatamente, mas somente após sanção ou veto do restante do projeto de lei de conversão, nos exatos termos do § 12 do art. 62 da Constituição Federal: (...)
Assim, ressaltamos que a Lei Geral de Proteção de Dados - LGPD só entra em vigor após a sanção ou veto dos demais dispositivos da MP 959/2020."
Mas, nada no Brasil é simples ou trivial. Existe quem defenda que os artigos rejeitados da MP perdem a sua validade imediatamente, ao ir para avaliação presidencial. Ou seja, nessa interpretação do artigo 62, parágrafo 12 da Constituição Federal o que está valendo é o texto do projeto de lei encaminhado pelo congresso, e não o texto original da MP. Na minha opinião, o texto da Constituição Federal é um pouco confuso e permite essas duas interpretações :( Olha só:
§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-se-á integralmente em vigor até que seja sancionado ou vetado o projeto.


Na prática, a decisão do Senado fez com que os profissionais da área considerassem que LGPD entrou em vigor imediatamente - e por isso todos assumiram que sua vigência valeria a partir de amanhã, 27 de agosto (o que não é exatamente uma verdade, como dito acima).


Com isso, no rigor da lei, todas as empresas brasileiras e empresas internacionais que fazem negócios no Brasil já deveriam estar adequadas a LGPD!!! Embora as empresas estejam desesperadas, alguns ativistas comemoraram o início imediato da lei.



O problema, na minha opinião, é que a adequação à LGPD é um processo muito longo e trabalhoso para as empresas, pois exige a revisão de todos os passos do seu negócio que estejam relacionados a algum acesso ou manipulação de dados pessoais. As empresas precisam revisar seus processos internos, identificar e validar as necessidades de coleta e processamento de dados - além de mapear suas bases de dados, e precisam adequar suas ferramentas existentes. As vezes, é necessário adquirir novas ferramentas específicas para os processos relacionados ao tratamento de dados pessoais, tais como ferramentas de monitoramento de dados, ferramentas específicas para atender as requisições de acesso dos titulares de dados, etc.



Com a antecipação no início de vigência da LGPD (de Maio de 2021 para "agora", ou seja, quase 9 meses de diferença), muitas empresas ainda estavam no meio do processo de adequação e, assim, estão obrigadas a se adaptar minimamente em um prazo muito curto, de no máximo 15 dias (contando até o prazo máximo para a MP 959 ser sancionada ou vetada). Essas empresas, portanto, foram prejudicadas com essa mudança e estão obrigadas a rever suas prioridades e investimentos, para se adequarem em um período tão curto de tempo.

Além disso, sem a ANPD, existem muitos detalhes de implementação da LGPD que estão em aberto (como prazos de atendimento de solicitações, informação mínima que devem ser disponibilizadas em relatórios, padrões para anonimização e para portabilidade de dados, etc). Essa falta de alguns padrões dificultam o processo de adequação.


IMPORTANTE: Embora a LGPD entre em vigor "imediatamente", as sanções previstas na Lei só podem ser aplicadas a partir de 01 de Agosto de 2021.

A explicação jurídica sobre a decisão do Senado, que virou totalmente o jogo da LGPD, é que os senadores entenderam que o texto sobre a vigência da LGPD já havia sido discutido anteriormente, logo pelo regimento interno da casa, não poderia ser discutido novamente. O Senado, portanto, excluiu do texto da MP 959 o artigo número 4, que até então prorrogava a vigência da LGPD para 31 de dezembro de 2020 (segundo decisão recente da Câmara). Isso tudo aconteceu após uma questão de ordem levantada pelo líder do MDB, o senador Eduardo Braga.

Também merece destaque que a LGPD entrará em vigor mesmo sem que a Autoridade Nacional de Proteção de Dados (ANPD) esteja em operação, o que nos deixa com várias pendências regulatórias e detalhamentos da lei em aberto. Isso causa uma situação de grande insegurança jurídica.

Atualização em 27/08: nesta data o governo publicou no Diário Oficial da União (DOU) o Decreto 10.474/2020 que aprova a estrutura regimental e o quadro de cargos da Autoridade Nacional de Proteção de Dados (ANPD), o órgão integrante da Presidência da República que terá como objetivo proteger os direitos fundamentais de liberdade e privacidade, monitorar a aplicação da lei e, principalmente, regulamentar diversos itens da LGPD. A ANPD será formada por um Conselho Diretor; pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que atuará como órgão consultivo, e por órgãos de assistência direta, como ouvidoria, secretaria geral e assessoria jurídica.

Sem querer tumultuar, ainda pode acontecer muita coisa nesse nosso Brasil-sil-sil. Existe a possibilidade, por exemplo, do governo editar uma nova Medida Provisória nos próximos dias, estabelecendo um novo prazo para a vigência da LGPD.

Para saber mais:

PS 1: Diversas atualizações foram realizadas no mesmo dia de publicação desse post, assim que novidades foram surgindo. Post atualizado com o link para o tweet do Senado informando sobre a aprovação da MP 959 sem o artigo da LGPD. Atualizado novamente com o link para o artigo do portal Convergência Digital. Atualizado novamente para corrigir alguns erros de digitação no texto (que, obviamente, foi escrito as pressas). Atualizado novamente para incluir a notícia no portal do Senado.

PS/2: Post atualizado para incluir a interpretação de que a LGPD não entrará em vigor imediatamente, pois é possível que o prazo de vigência da LGPD só seja atualizado após a sanção ou veto da Presidência, que pode acontecer a qualquer momento nos próximos 15 dias úteis. Atualizado novamente para incluir também parte da nota de esclarecimento do Senado sobre esse assunto. Atualizado para incluir a especulação sobre o futuro da LGPD.

PS-3: Post atualizado em 27/08 com mais informações e opiniões sobre o início da vigência da LGPD e seu impacto para as empresas. Também incluída a notícia sobre o decreto que regula a ANPD. O Dr. Adriano Mendes gravou um vídeo bem legal e objetivo para esclarecer o que irá acontecer agora com a LGPD, incluindo sua possível vigência começando em Setembro, a publicação do Decreto que cria a ANPD e lembrando que as multas da LGPD só serão aplicáveis a partir de 01/08/2021 (ano que vem).


PS 4 (adicionado em 27/08): Não podemos nos esquecer que a discussão no congresso sobre a vigência da LGPD envolveu diversos aspectos políticos e ideológicos. De um lado, há quem defenda o início imediato da lei para garantir o direito dos cidadãos a sua privacidade, e do outro lado há a preocupação do empresário em se adequar a lei em pleno período de pandemia e crise econômica. E, para pirar tudo isso, houve quem levasse a discussão para uma disputa de poder entre os partidos :(


PS 5: Realizado pequenos ajustes no texto e incluí um meme novo em 27/08. Atualizado novamente em 28/08. Pequena atualização em 31/08.

PS 6 (adicionado em 31/08): Sim, já tem empresas oferecendo para implementar a LGPD em 24h na sua empresa.


PS 7: Atualização em 22/09 - Vale a pena lembrar que a LGPD entrou em vigor oficialmente a partir de 18/09, com a publicação no diário oficial da lei 14.058, antiga MP 959. Nada melhor do que comemorar isso com mais alguns memes!




PS 8 (adicionado em 24/08): Não custa lembrar que os cookies são considerados informação pessoal, de acordo com a definição dada pela LGPD.



PS 9 (adicionado em 30/12): Mais um último meme para fechar o ano:

[Segurança] Eventos de Segurança no segundo semestre de 2020

Aviso importante: devido a pandemia do Coronavírus (COVID-19), a grande maioria dos eventos programados para 2020 foram cancelados, adiados e/ou foram transformados em evento online.
Verifique o site do evento que você tem interesse.
O ano de 2020 tem sido bem punk para todos nós, no mundo inteiro - em especial para os eventos. Devido a pandemia do novo Coronavírus, desde o inicio do ano os eventos tiveram que se reformular e adaptar ao cenário de pandemia e isolamento social. Em geral, praticamente todos os eventos foram cancelados ou convertidos em eventos online, muitas vezes com agenda mais simplificada.

Por conta disso, desta vez eu vou fazer um post bem mais simplificado, sem detalhar e opinar muito sobre os eventos.

O lado bom é que nesta pandemia surgiram vários eventos pequenos e palestras online, em formato de live. Com isso estamos com a oportunidade de acessar muito conteúdo online e gratuito!
 
Anote aí na sua agenda os destaques do segundo semestre. Mas lembre-se, em geral os eventos serão online, e mesmo assim alguns eventos podem ser cancelados:
(*) eu ainda não tenho certeza se esses eventos serão realizados online ou se foram cancelados.

Se eu esqueci de algum evento brasileiro importante, me avisem.

Como vários eventos se tornaram online, neste ano está muito mais fácil participar de eventos no exterior: basta se conectar (e, em alguns casos, pagar a inscrição). Por isso, mais do que nunca, essa é uma ótima oportunidade para acompanhar alguns dos melhores eventos de segurança no exterior. Não deixe de assistir a argentina Ekoparty (24 a 26/09) e a chilena 8.8 (28 a 31/10).


Lembre-se: Por causa da epidemia de Coronavírus, vários eventos estão sendo cancelados ou viraram evento online. Fique de olho! Veja uma lista aqui e outra aqui com o status de diversos eventos de 2020.

OBS:
  1. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com
  2. O portal Mente Binária mantem uma agenda de eventos.
  3. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2019.
PS: Post atualizado em 27/08, 03, 11 e 15/09. E 24/12.

PS2: Post atualizado em 06/11 para retirar o Roadsec São Paulo (adiado para Abril/2021), retirar a NullByte e incluir a Latinoware. A propósito, alguns eventos já estão com data marcada para 2021:
  • 17/04/21 - Roadsec São Paulo (online)
  • 21/08/21 - BSides Vix
  • 23 e 24/10/21 - H2HC
  • 13/11/21 - Nullbyte e Defconpoa
  • 27 e 28/11/21 - BHACK

agosto 20, 2020

[Segurança] LGPD: 2 anos e muita incerteza

Na última sexta-feira, 14/08, a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, fez aniversário de 2 anos, desde a sua publicação. Desde então, as empresas brasileiras foram desafiadas a se adaptar as diversas obrigações exigidas pela lei.

Entretanto, várias indas e vindas legais fizeram com que a LGPD se tornasse uma novela mexicana, ou quase um seriado da Netflix. Embora seja um marco regulatório importantíssimo, várias incertezas assombram a LGPD. As duas principais são:

  • Demora na criação da Autoridade Nacional de Proteção de Dados (ANPD): embora já tenha sido definida em lei, a ANPD ainda não está em operação. O maior problema é que cabe a ANPD estabelecer diversos padrões e procedimentos que são fundamentais para a correta implementação da LGPD pelas empresas (por exemplo: prazo e modelo de resposta para solicitação de aceso a dados pessoais);
  • Incerteza sobre a sua data de início: A previsão atual é que a lei entre em vigor em 03 Maio de 2021, mas isso foi definido por uma medida provisória (MP 959) que vence no final desse mês, e nosso Congresso está com dificuldade de encontrar o consenso necessário para transformá-la em lei.

Aproveitando um post no site Portal da Privacidade, o histórico dramático sobre o início de vigência da LGPD pode ser resumido nos seguintes pontos:

  • A previsão inicial era que a LGPD entraria em vigor 18 meses após a sua publicação, mas a Lei nº 13.853, em 8 de julho de 2019 adiou o seu início para 24 meses após a publicação, ou seja, 16 de agosto de 2020;
  • Com os impactos causados pela pandemia do novo Coronavírus, o Poder Executivo publicou a Medida Provisória nº 959, que, entre muitas outras disposições, no seu último artigo prorrogou a entrada em vigor da LGPD para o dia 03 de maio de 2021;
  • Em junho foi aprovado o PL nº 1179, que virou a Lei nº 14.010/2020, prorrogando  para 1º de agosto de 2021 a entrada em vigor apenas das sanções estabalecidas pela LGPD, definidas nos artigos 52, 53 e 54 da lei;
  • Se a MP 959 não for transformada em lei até 26 de Agosto, volta a valer o texto anterior da LGPD, ou seja, ela passa a ter vigência imediatamente. Assim, estamos com um cenário bizarro aonde a data de início seria retroativa para 16/08 deste ano;.
Portanto, na prática, atualmente (20/08/2020) a data oficial de entrada em vigor da LGPD permanece sendo o dia 03 de maio de 2021, com exceção dos artigos 52, 53 e 54 (sanções administrativas), que entram em vigor em 1º de agosto de 2021.

Veja também:

agosto 19, 2020

[Segurança] Falando mais sobre o vazamento de dados da Capital One

O vazamento de dados do banco americano Capital One, que aconteceu em Julho de 2019, trouxe muita oportunidade de discussão, uma vez que envolveu um importante banco americano, que até então era considerado uma grande referência na adoção de computação em nuvem.

Por isso, eu resolvi listar aqui várias informações interessantes sobre o caso, que fui coletando na medida em que estudava mais detalhes e via mais artigos sobre o assunto:
  • A Capital One era considerada um importante estudo de caso sobre migração para a nuvem. O site da Amazon possui várias informações sobre a estratégia de adoção de nuvem do banco, em parceria com a AWS, desde 2013. O projeto da Capital One era zerar a sua quantidade de datacenters: dos 8 existentes em 2014, eles pretendiam fechar os últimos 3 datacenters em 2020, e assim o fizeram;



  • Esse incidente trouxe a tona uma discussão muito importante sobre o compartilhamento de responsabilidade na prestação de serviços em nuvem. Em poucas palavras, quanto maior a abstração dos serviços (ex: SaaS), maior a responsabilidade do provedor de serviços em nuvem;
    • A AWS se posicionou que não tem responsabilidade sobre a invasão na infra-estrutura da Capital One, uma vez que os serviços de infraestrutura funcionaram como esperado, e a invasão explorou falhas nas ferramentas e configurações sob responsabilidade da Capital One;
  • Eles tinham um seguro contra ciber ataques ("cyber insurance policy") que cobre até 400 milhões de dólares;
  • A Cobalt.io publicou um pequeno gráfico com o timeline do incidente, e o blog sobre o assunto é bem legal e detalhado, vale a leitura:


  • Um ponto bem importante sobre o incidente é que a Capital One somente identificou o vazamento porque foi informada por um terceiro (uma pessoa externa a empresa), por e-mail, através do seu "Responsible Disclosure Program". Assim, o ataque só foi descoberto 117 dias (aproximadamente 4 meses) após o início da invasão. Segundo o relatório M-Trends 2020 da Fireeye Mandiant, o tempo médio para uma empresa detectar um ataque (chamado de "dwell time" em inglês) em 2019 era de 141 dias (para empresas que detectaram incidentes através de denúncias de terceiros);



  • Após o anúncio do vazamento de dados, as ações da Capital One caíram cerca de 5%, e somente voltaram ao mesmo patamar quase 2 meses depois;

  • Quatro meses após o vazamento, a Capital One substituiu seu CISO;
  • Apesar de ser um banco líder em tecnologia, no período anterior ao incidente o time de segurança estava enfrentando um clima tóxico e conflitos com a gestão, que causou a saída de cerca e 30% do seu time;
  • Em agosto de 2020, a Capital One aceitou pagar uma multa de 80 milhões de dólares imposta pelos reguladores americanos (nota oficial). Segundo a notificação da OCC (Office of the Comptroller of the Currency), as principais causas do incidente estão relacionadas a deficiências nos processos de gestão de riscos e auditoria interna relacionados a migração para o ambiente em Nuvem, incluindo deficiências nos controles de segurança de redes, prevenção a vazamento de dados e gestão de alertas. O Board da empresa também falhou por não cobrar dos gestores pelas correções das vulnerabilidades e falhas apontadas pelas auditorias internas.
Baseado no relatório existente do FBI, no post da Cloudsploit e no artigo do Brian Krebs, eu criei um diagrama detalhando melhor os passos do ataque:


O framework ATT&Ck, do MITRE, é bem legal para nos ajudar a entender o passo-a-passo do ciber ataque e como ele poderia ser mitigado. Veja o mapeamento realizado pelo Ashwin Patil, da Microsoft:


No paper "A Case Study of the Capital One Data Breach", o ataque foi mapeado da seguinte forma:



Para saber mais:
Atualizado em 09/11: Veja mais 2 artigos sobre o incidente:

Atualizado em 25/05/2021: Seguem mais alguns artigos:

agosto 18, 2020

[Segurança] Linha do Tempo da Guerra Cibernética e Ciber Espionagem

O pessoal da Compugraf criou um pequeno vídeo com uma linha do tempo que apresenta os principais acontecimentos relacionados a guerra cibernética e ciber espionagem entre países.

O vídeo destaca alguns fatos e incidentes de segurança que aconteceram na última década, envolvendo países e diversas organizações pelo mundo afora, desde o worm Code Red em 2001 e incluindo os ataques do NotPetya, WannaCry (que não tem nada a ver com guerra cibernética!) e, agora em 2020, as tentativas de ataque e espionagem a OMS no meio da pandemia do novo Coronavírus. BTW, senti falta do famoso Stuxnet.

Esse vídeo é interessante por mostrar que os conflitos no ciber espaço (guerras cibernéticas, ciber espionagem e hacktivismo, entre outros) podem atingir empresas e causar grandes prejuízos financeiros.

Eu gosto bastante desse tema, guerra cibernética. Aproveite e veja também esses posts em meu blog:

PS (Adicionado em 09/04/21): Essa tese do Mohan B. Gazula M.S. em  Computer Science da Boston University, apresentada em 2017 no MIT, traz uma visão dos principais conflitos de guerra cibernética que já aconteceram: "Cyber Warfare Conflict Analysis and Case Studies".

agosto 13, 2020

[Segurança] O fator humano no vazamento de dados da Capital One

vazamento de dados do banco americano Capital One, que aconteceu em Julho de 2019 e afetou mais de 100 milhões de clientes do banco, trouxe muitas oportunidades para discussão sobre o cenário de vazamento de dados, uma vez que envolveu um importante banco americano, que até então era considerado uma grande referência na adoção de computação em nuvem.

Embora o banco fosse reconhecido por possuir um grande domínio da tecnologia necessária para sua migração para a nuvem, a ponto de ser apresentado como estudo de caso no site da AWS, o fator humano pode ter sido um importante facilitador do incidente. De acordo com uma reportagem publicada no jornal The Wall Street Journal em Agosto de 2019, e reproduzida no blog da empresa BitSight, há indícios de que a moral do time de segurança estava abalada no período que antecedeu o incidente, o que causou uma evasão de talentos. E isso pode ter estimulado a falta de cuidado que fez com que o incidente (a invasão e o roubo de dados) passasse desapercebido.

Segundo a reportagem, antes do incidente a empresa havia trocado o CISO, contratando um profissional originado do setor público, que entrou em conflito com a cultura dos funcionários existentes. Devido a esse conflito, vários profissionais deixaram a empresa. A reportagem completa que a Capital One estava sofrendo um grande turnover no time de segurança, com diversas trocas nas posições de gestão do time, e que apenas em 2018 a empresa havia perdido 30% de seus profissionais!

Antes uma empresa que atraía os talentos em tecnologia, de repente a Capital One se rendeu a um cenário aonde os funcionários estavam desmotivados e os projetos se perdiam na politicagem.

Segundo consta na decisão do Office of the Comptroller of the Currency (OCC),  que estabeleceu uma multa de 80 milhões de dólares à Capital One por causa do incidente, falhas de gestão também ajudaram a permitir que o incidente acontecesse. A OCC aponta que a auditoria interna da Capital One falhou em reportar os problemas da empresa para o Comitê de Auditoria e o Board da empresa falhou em tornar o time de gestão responsável por corrigir as falhas identificadas nos controles internos e nas vulnerabilidades.

agosto 12, 2020

[Segurança] Materiais úteis sobre a LGPD

Neste mês, Agosto, é uma data marcante para a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), uma vez que ainda há a possibilidade da lei entrar em vigor ainda nesse mês. A LGPD, lei nº 13.709 de 2018, foi sancionada em Agosto de 2018 e tinha a previsão inicial para entrar em vigor em Agosto de 2020.

Entretanto, há uma grande incerteza jurídica sobre o início de vigência da LGPD, pois a medida provisória (MP) 959/2020 que ainda está em vigor (e vence no dia 27 de agosto) adia a data de início para 03 de Maio de 2021. O problema é que essa MP está prestes a vencer, e se não for transformada em lei pelo congresso, a vigência volta a ser a original, 14 de Agosto de 2020 (ou seja, daqui a 2 dias). Assim, todos estamos dependendo de como o Congresso vai dar encaminhamento na medida provisória.

A LGPD é muito importante para as empresas brasileiras e empresas internacionais que prestam serviço no país ou para consumidores brasileiros, pois ela afetará a maneira como as empresas tratam os dados pessoais de seus clientes, funcionários diretos e terceirizados. A LGPD estabelece diversas regras específicas para a coleta, manipulação, armazenamento, compartilhamento e remoção de dados pessoais, atribuindo maior controle e proteção para os titulares dos dados.

Mesmo com essa incerteza, as empresas estão trabalhando fortemente para se adequar a lei, e por isso eu quero destacar alguns materiais bem legais que podem ajudar a todos:

Além da pequena lista acima, tem muito material disponível online sobre a LGPD (artigos, palestras, cartilhas, etc). Eu quero aproveitar esse post para compartilhar uma cartilha sobre a LGPD criada pela Confederação Nacional da Indústria (CNI). A CNI elaborou e disponibilizou gratuitamente uma cartilha bem completa e bem feita sobre a LGPD, com diversas informações para orientar as empresas sobre a lei e como aplicá-la.

A cartilha, com 45 páginas (e um anexo com parte do texto original da LGPD) fornece informações relevantes sobre privacidade e detalha os principais pontos da lei, que as empresas devem esclarecer para se adequar. A cartilha também tem o mérito de amarrar os temas de proteção de dados pessoais, segurança da informação e proteção dos segredos industriais.


agosto 11, 2020

[Segurança] BSides São Paulo 2021

Aproveitando o recente anúncio de que a H2HC foi adiada para 2021, nós da BSides São Paulo também divulgamos um comunicado oficial de que decidimos não mais realizar a BSidesSP neste ano. Veja uma transcrição do nosso anúncio:

Nós tínhamos expectativa de que a pandemia do novo Coronavírus pudesse ser controlada e regredisse no segundo semestre deste ano. Entretanto, acreditamos que mesmo num cenário de melhora o risco para a saúde ainda é grande, o que torna proibitivo a realização ainda neste ano de um evento do porte da Security BSides São Paulo.
Por isso, decidimos anunciar o cancelamento oficial da BSidesSP para o ano de 2020, e esperamos encontrar todos vocês novamente em Maio de 2021, de uma forma segura e com todos saudáveis.
Acreditamos que a participação presencial continua sendo um dos grandes diferenciais da BSidesSP, com nossas diversas palestras e oficinas, atividades para toda a família, além do churrasco e dos shows. Com isso construímos um espaço que agrega e engrandece toda a comunidade. Como não conseguimos reproduzir esta experiência em um evento online, não optamos por este caminho. Lembramos que, durante a pandemia, há diversas lives e eventos online de qualidade, e aconselhamos a todos que participem para manter o conhecimento vivo.

A nossa idéia original tinha sido adiar o evento de Maio para Novembro, na expectativa de que no final deste ano a pandemia já estivesse controlada. Entretanto, acreditamos que a situação não mostra sinais de melhora, principalmente agora que já atingimos a triste marca de 100 mil brasileiros mortos por causa da pandemia.

Também acreditamos que a participação presencial um dos pontos fortes do evento, junto com as palestras de ótima qualidade. Gostamos de ver as pessoas, conversar com os amigos, fazer zoeira, comer espetinho e bater papo regado a cerveja e show de rock nos intervalos. Gostamos de ter diversas atividades acontecendo ao mesmo tempo, como palestras, as oficinas, o CTF, as diversas villages e as atividades de segurança e robótica para crianças. Não conseguiríamos reproduzir essa diversidade e interatividade em um evento online, por isso preferimos focar no que sabemos fazer de melhor.


agosto 10, 2020

[Segurança] H2HC 2020 cancelada

Nesse final de semana, em que coincidentemente o Brasil bateu a triste marca de 100 mil mortos pelo COVID-19 (mais mortos do que nos 5 anos da Guerra do Paraguai), os organizadores da H2HC anunciaram que decidiram cancelar a edição deste ano do evento.

"Após muita consideração e pesquisa, tomamos a difícil decisão de, pela primera vez em 17 anos, cancelar a H2HC, devido ao COVID-19.
(...)
Infelizmente da forma como vemos, somos responsáveis pelo bem estar de todos durante o evento. Embora tenhamos encontrado formas e parcerias para podermos oferecer máscaras, face-shields e maior espaçamento no evento, a responsabilidade para com a saúde das pessoas não pode ser aceita sem profunda consideração. O momento politizado e a verdade obscurecida fazem com que não seja justo tomarmos tal decisão em nome de todos. (...)"

A H2HC de 2021 já tem data marcada (23 e 24 de Outubro), e quem comprou ingresso para este ano pode, automaticamente, usá-lo para o ano que vem (ou pedir o reembolso).

A H2HC é o melhor evento nacional de segurança, com 17 anos de muito conteúdo de qualidade, muita treta e muita zoeira. Ela representa a verdadeira "cara" da nossa comunidade. Por isso, todo ano é um evento que todos esperam ansiosamente, contam os dias e as horas para o evento chegar, e todos desejam participar!

Como um organizador de evento (a Security BSides São Paulo), eu compartilho com o pessoal da H2HC a dificuldade de tomar essa decisão. Por um lado, é lógico que amamos essas iniciativas e a oportunidade de juntar os amigos e a comunidade, ainda mais no caso de um evento com qualidade técnica inquestionável como a H2HC. Por outro lado, temos a triste realidade atual, aonde uma pandemia representa um risco sério de saúde para todos nós. No final, a decisão deve pender para o bem-estar de todos.

O que eu quero destacar, neste post, é a percepção de que a maioria dos eventos nacionais da comunidade de segurança optaram pela mesma decisão: cancelar a edição deste ano e não realizar uma edição online, por entenderem que um dos grandes valores é a interação presencial entre os participantes.

Ou seja, estou falando dos eventos que tem um grande foco na comunidade e que são organizados pela própria comunidade, de forma voluntária e, na maioria das vezes, heróica. Além da H2HC, o YSTS, a BSides Vitória, a BSides São Paulo, o Jampasec também optaram por esperar até o ano que vem. Em comum, estes eventos tem palestras de excelente qualidade associadas a grande oportunidade de interação entre as pessoas durante o evento, com muito bate-papo nos corredores e nos bares, com zoeira, fotos, cerveja, e com a galera se divertindo e interagindo muito. Essa experiência presencial não pode ser reproduzida no evento online, infelizmente, e são algo muito forte e importante no caso destes eventos voltados para a comunidade, ajudando a amadurecer a nossa comunidade nacional de segurança.

O trecho abaixo, retirado do comunicado da H2HC, mostra a importância do evento presencial:

"A próxima opção considerada foi a de realizarmos um evento online (ou 'digital'): participamos e acompanhamos diversas iniciativas, desde as menores 'live' até conferências da área com mais de 20 mil pessoas. Nenhuma delas demonstrou o nível de interação que esperávamos; e o motivo que gerou a criação da H2HC, que foi de proporcionar uma forma dos hackers se encontrarem, para trocarem idéias e aprenderem uns com os outros não nos pareceu possível neste formato. Cada um dos diferentes grupos de pessoas que comparecem a H2HC já possuem suas redes de conexões online. E conteúdo disponível online já existe em enorme quantidade. Apenas o conteúdo não faz a comunidade. E a tecnologia não esta, ao nosso ver, ainda preparada para substituir o encontro pessoal e as diversas oportunidades criadas durante o evento presencial. "

agosto 07, 2020

[Segurança] Reserve a sua agenda para o Security Summit de Vitória

Uma das boas novidades nos eventos de segurança deste ano (que tem sido bem caótico, BTW), é que o pessoal da comunidade de Vitória, no Espírito Santo, se organizou para criar um evento bem legal, com uma pegada técnica e corporativa, o SECURITY SUMMIT & EXPO.

O evento vai rolar nos dias 28 e 29 de agosto de 2020, e devido a pandemia do novo Coronavírus, será realizado online e totalmente gratuito, o que dá a todos nós a oportunidade de assistir o evento sem sair de casa. No 1o dia serão realizadas as palestras, e no segundo dia os workshops (mas eles estão esgotados, e no site há a promessa de que podem abrir mais turmas).

O time de palestrantes está sensacional, abordando diversos temas sobre as tendências mais importantes no mercado de segurança da informação, incluindo LGPD (um tema que não pode faltar em qualquer evento deste ano!), engenharia social, transformação digital, cibercrimes e muito mais.⁣

No ano passado, a comunidade de Vitória realizou a primeira Security BSides no Brasil fora de São Paulo, a BSides Vitória, e por isso, fico muito feliz em ver a comunidade da região se fortalecendo e criando eventos de qualidade!

Anota aí na sua agenda: