novembro 30, 2020

[Segurança] Hacker, s.m.

Recentemente eu vi a definição da palavra Hacker no dicionário online Dicio:


Era inegável que, dentre as definições possíveis, estaria lá a associação de hacker as atividades criminosas. Infelizmente, isso é uma constante. Mas, pelo menos, três das quatro definições destacam o lado "neutro" do termo, que "hacker" pode ser qualquer pessoa com interesse e conhecimento em tecnologia, sem necessariamente ter uma intensão de praticar crimes.

Segundo o site, hacker é...

  • Quem invade sistemas computacionais ou computadores para acessar informações confidenciais ou não autorizadas, apontando possíveis falhas nesses sistemas.
  • [Informal] Pessoa com um vasto conhecimento na área informática, excessivamente proficiente em programar ou usar computadores.
  • Pessoa especialista em alterar computadores ou programas, invadindo remotamente outros computadores.
  • [Pejorativo] Indivíduo que invade outros computadores ou programas com propósitos ilegais; cracker.

O legal desse site é que, quando você consulta um verbete, ele automaticamente gera uma imagem com um sumário das definições apresentadas.

PS: Eles também tem uma definição para Cracker.

Veja também, aqui no Blog: Hacker, s.m+f.

novembro 26, 2020

[Segurança] A mãe de Todos os Vazamentos!

O Estadão reportou hoje um grande vazamento de dados pessoais: informações de cadastro, dados pessoais e histórico de saúde de 16 milhões de brasileiros que fizeram testes contra o COVID-19. Repetindo, foram os dados de "apenas"...


16 Milhões de pessoas



Pela grande quantidade de dados e pelo alto grau de sigilo dessas informações, acho que podemos considerar este como o pior vazamento de dados deste ano no Brasil, ou seja, “A mãe de Todos ao Vazamentos de Dados”.

E olha que, dessa vez, ninguém pode botar as culpa nos hackers !!!

Segundo a reportagem do Estadão (que pode ser visto também nesse artigo do Metropolis), um funcionário que trabalha na área de ciência de dados do Hospital Albert Einstein publicou em seu GitHub pessoal uma planilha excel com senhas, dados pessoais e informações médicas extraídos do sistema do Ministério da Saúde. Essa pessoa foi demitida e eu notei também que ela apagou o perfil no LinkedIn.


Foram expostos dados de pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito, confirmado de Coronavírus, e também os que foram internados com Covid-19. Cruzando os dados da planilha com as informações do sistema do Ministério da Saúde, acessíveis pelos logins vazados, era possível acessar informações pessoais altamente sigilosas e detalhadas dos pacientes, tais como nome, CPF, endereço, telefone, e registros médicos que incluíam a medicação usada no tratamento de COVID e informação sobre doenças pré-existentes.


Esse vazamento é emblemático, pois mostra um grande descaso com a proteção básica de dados tão sensíveis. Além do desrespeito a Lei Geral de Proteção de Dados Pessoais (LGPD), esse vazamento mostra que muitos processos básicos de segurança falharam no Hospital Albert Einstein. Além do mais, a desculpa dada pelo profissional mostra a irresponsabilidade com um cuidado básico de segurança, que é o de não usar dados de produção em ambiente de testes: segundo o funcionário, ele "publicou a planilha de senhas em seu perfil na plataforma github para a realização de um teste na implementação de um modelo".

Atualização (02/12): Nada está tão ruim que não possa piorar! Hoje saiu a notícia no Estadão que uma nova falha de segurança no sistema de notificações de Covid-19 do Ministério da Saúde deixou expostos na Internet, por pelo menos seis meses, dados pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde, representando dados de 243 milhões de brasileiros. Ou seja, mais dados do que toda a população atual, pois inclui informações de pessoas mortas.

E eu achava que já era muita coisa ter vazamento de dados pessoais e médicos de 16 milhões de pessoas. Mas agora, dessa vez, foram...


243 Milhões de brasileiros



O problema, dessa vez, foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde. Como essas credenciais estavam em um trecho do código do site, qualquer a pessoa com conhecimentos básicos de desenvolvimento conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.

Atualização em 03/12: olha a treta - o Idec protocolou uma representação junto ao Ministério Público Federal solicitando a abertura de inquérito sobre o vazamento de 16 milhões de dados no Ministério da Saúde.

PS: Pequenas atualizações em 03/12.

novembro 24, 2020

[Cidadania] Dia da Consciência Negra

No dia 24 de novembro lembramos o Dia da Consciência Negra, um momento para a refletir sobre a situação da população negra no Brasil, que é maioria no País. O Dia da Consciência Negra foi criado em homenagem ao Zumbi dos Palmares, importante líder que construiu um dos maiores quilombos na época da escravidão, e que foi morto em 20 de novembro de 1695.


Veja alguns dados estatísticos sobre a violência que infelizmente existe até hoje e que assola a população negra:
  • 56,10% da população brasileira se declarou preta ou parda em 2019;
  • Segundo o Atlas da Violência 2020, os casos de homicídio de pessoas pretas e pardas aumentaram 11,5% de 2008 a 2018, enquanto a taxa entre brancos, amarelos e indígenas caiu, no mesmo período, 12,9%. 
  • Além disso, segundo uma pesquisa recente, a pandemia do novo Coronavírus afetou mais pretos e pardos em aspectos como estresse e preocupações financeiras. 61% de pretos e pardos declararam que sua renda familiar foi reduzida na pandemia, contra 54% dos brancos.


Nesse ano, em especial, o tema da igualdade racial está na pauta em vários países, que enfrentaram diversos protestos sobre a constante violência contra a população negra. embora esse seja um tema muito frequente no Brasil, não vimos um movimento tão forte quanto o "Black Lives Matter" ("Vidas Negras Importam"), que ainda acontece nos EUA.

É importante lembrar que o Dia da Consciência Negra é muito mais do que um simples feriado.

Para saber mais:

[Segurança] Cuidados com as falsas promoções da Black Friday

Nesta sexta-feira, 27/11, acontece a Black Friday, uma data tradicional no mundo inteiro de promoções no comércio. Essa tradição, que começou nos EUA, foi incorporado pelo comércio Brasileiro há alguns anos e, rapidamente, já se tornou a data com maior volume de vendas no comércio.

Mas, infelizmente, comerciantes mal intencionados e criminosos tornaram essa data conhecida como "Black Fraude", por causa das fraudes online que acontecem durante o período e, principalmente, das falsas promoções nos comércios (o famoso "tudo pela metade do dobro do preço"): os comerciantes aumentam os preços artificialmente nas semanas anteriores a Black Friday, para anunciar descontos aonde oferecem o preço original como se fosse um preço "promocional".

Segundo estimativas da Axur, os golpes de phishing crescem 200% nas principais datas comemorativas do comércio.

Por isso, é muito importante prestar muita atenção nesse período. O pessoal da Proteste e do Mente Binária prepararam algumas dicas, que eu resumo abaixo (e incluí algumas dicas minhas também!):

  1. Cuidado com as lojas online falsas: verifique a procedência da loja, dados de contato, reputação, etc;
  2. Desconfie de promoções muito vantajosas: se o desconto é grand demais, desconfie - mesmo na Black Friday! Golpistas oferecem descontos sedutores para atrair as vítimas para sites falsos;
  3. Ofertas muito tentadoras divulgadas por e-mail ou SMS: mesmo caso do citado acima;
  4. Cuidado com os sites falsos, criados para imitar sites de e-commerce conhecidos. Verifique cuidadosamente o endereço do site (URL);
  5. Verifique as formas de pagamento e desconfie se houver poucas opções;
  6. Sempre pesquise os preços antes de comprar, e veja o histórico de preços para ter certeza que a promoção é realmente verdadeira;
  7. Verifique a especificação dos produtos e tome cuidado para não comprar versões descontinuadas (fora de linha);
  8. Consulte sites de reclamações sobre as empresas (como Reclame Aqui, Proteste, Procon, etc), principalmente se você for comprar em uma loja que não conhece;
  9. Nunca passe informações pessoais a sites e aplicativos desconhecidos ou que haja dúvida em relação à segurança;
  10. Evite usar Wi-Fi público para realizar compras online;
  11. Na dúvida, não compre! É melhor perder uma promoção do que perder todo o seu dinheiro em um golpe.

Para saber mais:

Veja também essa matéria sobre o site PossoConfiar.com.br: Nova plataforma avisa se sites são tentativas de golpe (adicionado em 25/11).

PS (Adicionado em 03/12): Eu esqueci de colocar a referência para esse artigo interessante da Tempest: Black Friday 2020: como o varejo está se preparando para uma edição maior, mais digital e com mais ameaças à cibersegurança.

novembro 23, 2020

[Segurança] Parecer do STJ sobre o ciber ataque

No dia 19/11 a Presidência do Superior Tribunal de Justiça (STJ) divulgou um Comunicado esclarecendo sobre as medidas tomadas como resposta ao ciber ataque de Ransomware que eles sofreram recentemente, em 03 de Novembro.

O ataque, classificado pelo STJ como "o pior ataque cibernético já empreendido contra uma instituição pública brasileira", foi realizado pelo Ransomware RansomEXX, causou a interrupção dos serviços do tribunal por vários dias e chamou a atenção de toda a imprensa e da comunidade de segurança (do setor público e privado).

O comunicado lista, brevemente, algumas ações que foram realizadas para o restabelecimento dos sistemas, garantindo o acesso a todos os usuários com segurança.

Veja um rápido resumo dos principais pontos apresentados pelo STJ:
  • Mais de 50 pessoas (servidores do quadro permanente do STJ) estiveram envolvidos no processo de recuperação dos sistemas e dados;
  • Também participam da investigação a Polícia Federal, o Comando de Defesa Cibernética do Exército Brasileiro(CDCiber) e o Serpro;
  • O ambiente de rede não pôde ser manipulado nas primeiras 26 horas após o ataque, para preservar as provas do ciber ataque;
  • Após a perícia forense, o STJ teve a liberação do ambiente virtual para reconstrução de sua rede e restabelecimento dos sistemas;
  • Cerca de 100 profissionais de oito fabricantes de tecnologia (hardware e software) e três consultorias (Microsoft, Atos Brasil e Redbelt Security) apoiaram a equipe da STI no restabelecimento dos sistemas e backups;
  • Como medidas preventivas, o STJ reforçou a segurança das identidades de acesso, com procedimentos de dupla autenticação para uso dos sistemas.
Rápida linha do tempo:
  • 03/11 - Dia do ataque;
  • 4 a 9/11 - a Presidência atuou em regime de plantão judiciário para assegurar a análise dos pedidos de medidas urgentes encaminhados à Corte;
  • 9/11 - restaurados  Sistema Justiça e suas funcionalidades, possibilitando a retomada dos julgamentos no STJ;
  • 10/11 - restabelecida a distribuição de processos a todos os ministros.

Para saber mais:

novembro 19, 2020

[Segurança] Medidas emergenciais para adequação à LGPD

Pensando nas empresas que precisam adequar-se à Lei Geral de Proteção de Dados Pessoais (LGPD) e não sabem por onde começar, a advogada Gisele Truzzi criou um infográfico com sugestões de 7 medidas emergenciais para conseguir a conformidade com a LGPD.


Resumindo, a Dra Gisele recomenda os seguintes passos:
  1. Nomear o encarregado (DPO)
  2. Revisar o Consentimento
  3. Revisar os Termos de Uso e Política de Privacidade
  4. Revisão da Documentação Jurídica
  5. Elaborar um Plano de Ação
  6. Garantir o atendimento aos Direitos dos Titulares
O material é bem suscinto e objetivo, e está disponível para download (em PDF) no site https://bit.ly/infograficoLGPD.

novembro 17, 2020

[Segurança] Quem surgiu primeiro, a Senha ou o Post-It?

Essa é fácil! Rs... As senhas de computador surgiram primeiro!!!


Segundo a Wikipedia, o primeiro computador a utilizar senhas para o login foi criado em 1961 pelo MIT, o Compatible Time-Sharing System (CTSS). Um algoritmo para armazenar as senhas criptografadas surgiu no UNIX em 1974.

Os Post-Its, por sua vez, foram criados pela 3M em 1968, mas só começaram a ser comercializados em 1977.

Ou seja, durante 16 anos (de 1961 a 1977), não era possível anotar senhas em Post-Its! Mas, certamente, a galera dava um jeito de anotar elas em algum outro lugar. (rindo de nervoso)

novembro 15, 2020

[Segurança] Em dia de eleição, TSE é hackeado !?

Preparem a pipoca, os memes e um cantinho confortável no sofá!

Hoje, 15/11, dia de eleições municipais, o grupo hacker Cyber Team anunciou que invadiu os servidores web do TSE (www.tse.jus.br), e para comprovar o ato, expôs uma base de dados da entidade (informação desmentida pelo TSE).

Sobre o ataque: O Cyber Team (um grupo hacker de Portugal), junto com o grupo brasileiro Noias do Amazonas (NDA), já estava realizando vários ataques de defacement contra órgãos públicos no Brasil afora, incluindo alguns dos órgãos atacados recentemente, como o CNJ, TJPA e o DATASUS do Ministério da Saúde.

O grupo Cyber Team anunciou o suposto ataque no Twitter e, como forma de comprovar o ciber ataque, publicou uma mensagem no site Doxbin (com a estrutura de algumas bases de dados, que supostamente pertencem ao TSE) e o link para download de um arquivo .RAR, que reuniu 8 arquivos aparentemente roubados do servidor www.tse.jus.br):

No site Doxbin, o grupo Cyber Team deixou a mensagem abaixo:

15/11/2020 dia de eleições, e também um dia de vazamento da base de dados do TSE, no link que deixamos disponível existem 7 arquivos (.txt) com dados de utilizador de diferentes sistemas, vale lembrar que a base de dados pertence ao domínio oficial do TSE, isso significa que todos os sistemas relacionados ao TSE acabam de ter as suas credências comprometidas, resumindo; as credenciais pertencem a todos os domínios estaduais do TSE. (sejam felizes!)
Apenas para que fique esclarecido ao público, a segurança do TSE foi comprometida logo após ser anunciado pelo TSE que a segurança tinha sido reforçada, devido ao ataque efetuado no STJ e nos outros domínios do Ministério da Justiça. Isso só prova que os gastos milionários do governo, não serviram para porra nenhuma.
Observação: o CyberTeam e os nossos aliados não estamos envolvidos com os ataques ao STJ, e sobre a nossa invasão aos servidores (*.saude.gov.br) do Ministério da Saúde e todos os outros domínios do Ministério da Justiça, nós só upamos um arquivo .html (arquivo web), para zuar, protestar e para demonstrar a vulnerabilidade. (just for fun)
Para relembrar, algumas das nossas atividades recentes contra os Ministérios, lista; TJMSP - CNJ - TJPA - TJMG - DATASUS - SAÚDE - etc :)

 


 

Atualizado em 15/11 as 16:10: Segundo notícias, as informações não são verídicas, seriam de um ataque anterior  a um servidor do órgão, provavelmente em 2001. Já estão surgindo mais comentários que validam a possibilidade do anúncio do grupo Cyber Team não ter sido verídico.

Ao contrário do que diz o tweet acima, há indicações de que os dados são de 2010, pelo menos. Um dos arquivos supostamente vazados, chamado "LOGON.txt", tem um campo de datas (chamado DT_TIMESTAMP) que indica que as informações são de 2010 (e não de 2001, como diz o tweet acima e algumas notícias) - como mostra a imagem abaixo, um recorte que eu tirei das informações nesse arquivo. (Adicionado em 15/11, 16:30, atualizado em 16/11 as 10h30):

Mas as especulações sobre a veracidade do ataque seguiram no decorrer do dia da eleição:


Segundo o site Aos Fatos, as informações divulgadas pelo Cyber Team são de vazamentos antigos, de um sistema de RH do tribunal. Essa versão faz sentido ao olharmos o nome dos campos das bases de dados apresentados na mensagem do Cyber Team no Doxbin (pois tem vários campos com relação a dados de saúde, por exemplo). (Adicionado em 16/11, 10h)


Diante dos questionamentos, os membros do grupo Cyber Team também se embananaram um pouco para explicar, e argumentaram que os arquivos vazados eram recentes, apesar da estrutura de banco de dados exposta no site Doxbin ser de uma base não relevante. (adicionado em 16/11, 20h)

Também há diversos relatos na imprensa (esse, por exemplo) de que o ataque ao servidor web do TSE foi recente e, inclusive, que o grupo Cyber Team continuava com acesso ao servidor vulnerável. Foi divulgado indícios de que o acesso continuava ativo em 17 de Novembro (2 dias depois das eleições).



Segundo uma reportagem do G1 publicada em 19/11, "o invasor (Cyber Team), indica a apuração inicial, acessou dados de 2020, como endereços e telefones, no Portal do Servidor, um sistema administrativo e sem relação com o processo eleitoral. (...)  A suspeita é de que o ataque tenha acontecido antes de 1º de setembro porque o material não mostra informações registradas nos arquivos do TSE após o dia 2 daquele mês." (Adicionado em 19/11 as 23h)

Resumindo: na minha opinião, não há evidência técnica inquestionável de quando foram realizados os ataques divulgados pelo grupo Cyber Team (2001, 2010, 2019 ou 2020). Mas os arquivos vazados por eles no dia 15/11 indicam ter informações de, pelo menos, 2019. Isso deu oportunidade a muita especulação e poucos fatos. (Adicionado em 16/11 as 13h)

No final da tarde de 15/11 começaram a pipocar notícias na imprensa sobre os supostos ataques ao sistema do TSE, e as respostas do TSE ao ocorrido. O problema é que a maioria dos relatos sobre os ataques e sobre a segurança dos sistemas ficaram confusos, e muitas vezes, misturando os cenários de ataques que foram especulados no decorrer do dia. Para esclarecer, houve 4 cenários de problemas técnicos ou ciber ataques que poderiam ter acontecido, segundo os diversos relatos (Adicionado em 15/11, as 20h):

  1. A invasão do site www.tse.jus.br, alegada pelo grupo Cyber Team (que teve a conta to Twitter suspensa no decorrer do dia): até o momento (15/11, 20h), ainda há diversas especulações se o ataque realmente ocorreu recentemente, ou se foi notificado um ciber ataque antigo. Além disso, é importante ressaltar que um possível ataque ao site web do TSE, mesmo que verdadeiro, não implica que a urna ou sistema de apuração estejam vulneráveis;
  2. Problemas de indisponibilidade no aplicativo para celular do TSE: diversas pessoas e órgãos de imprensa reportaram lentidão e dificuldade de usar o app e-Título do TSE no decorrer do dia - que seria necessário para quem precisa justificar o voto. Segundo relatos do TSE, o problema foi relacionado ao grande volume de acessos e um dimensionamento errado da infra-estrutura de tecnologia, pois um dos servidores utilizados foi deixado desligado, para preservar o sistema caso ele sofresse algum ciber ataque;
  3. Ataques de DDoS: Também foi reportado que o TSE sofreu ataques de negação de serviço (DDoS) durante o dia. O suposto ataque, aparentemente direcionado a infra-estrutura do app do TSE, consistiu em 436 mil conexões simultâneas por segundo, originadas do Brasil, Estados Unidos e Nova Zelândia.;
  4. Problemas técnicos e lentidão na apuração: Como se isso tudo não bastasse para fomentar a especulação, no final do dia 15, após o encerramento da votação, o sistema de apuração do TSE teve lentidão e ficou fora do ar em alguns estados (por exemplo, a apuração da cidade de São Paulo ficou parada por várias horas, atrasando a divulgação dos resultados). Isso só fez aumentar as especulações e discussões sobre a possibilidade de ataques. O TSE atribuiu isso a problemas técnicos em um núcleo do supercomputador responsável pelo sistema de totalização.

O TSE desmentiu todas as acusações e garante que não houve ataque cibernético contra o sistema de votação. Veja o resumo abaixo (adicionado em 16/11, 10:30):


PS (adicionado em 15/11 as 11:50): As vozes na minha cabeça não cansam de repetir as cenas dos próximos capítulos:

  1. Assim que a notícia espalhar, jornalistas vão questionar s segurança das eleições e da urna eletrônica;
  2. Como sempre, o TSE vai dizer que a urna é segura. Não vão mostrar provas disso, mas vão repetir o argumento de que nunca houve fraude comprovada (fácil, né, já que o sistema e a votação não podem ser auditados abertamente) e vão dizer que a urna já passou por diversos testes públicos de segurança (nessa hora vão esquecer de falar que o TSE controla o escopo de testes, limita o tempo que as equipes tem para testar as urnas, e controlam a divulgação dos resultados);
  3. O grupo Cyber Team vai ganhar bastante atenção, muito mais do que conseguiram nos ataques do início do mês. Em breve vão conhecer a democracia de perto, bem de perto, batendo na porta de suas casas.
Para saber mais:


  

PS 2 (Adicionado em 15/11, 16h): Fiquei sabendo que, infelizmente, esse post está sendo usado por alguns grupos políticos e distorcendo o que publiquei aqui. A discussão sobre a segurança do voto eletrônico é de interesse do nosso país e de todos os cidadãos, e não deveria ser politizada. O processo democrático só perde com essa postura :(

PS 3: Post atualizado em 15/11 (várias vezes, últimas alterações as 20h15 e 20h20). Atualizado em 16/11 as 10h (ajustes nos textos,  mais referências, inclui link para nota no site do TSE), as 10:30 (mais referências e ajustes na formatação e ordem do texto), 12h20, 12h25, 13h, 13h45, 13h50, 20h, 20h05 e 20h30. Post atualizado em 18, 19/11 (as 13h e 23h) e 23/11 (aproveite para assistir o vídeo do 0 News). Atualizado em 24/11 para incluir a discussão sobre segurança do processo eletrônico de votação. Atualizado em 01/12, para incluir as notícias sobre a prisão dos hackers envolvidos nos ataques no 1o turno das eleições. Pequena atualização da lista de referências em 28/12. Nova referência adicionada em 21/07/21.

PS 4: Para relaxar, que tal alguns memes que estão sendo compartilhados nas redes sociais?







PS 5 (Adicionado em 16/11, 12h20): Tivemos muitas especulações e notícias desencontradas sobre esses supostos ciber ataques ao TSE, com informações erradas ou facilmente questionáveis de cunho técnico e político. Não é meu objetivo compartilhar essas informações que são pura especulação ou que estejam claramente erradas ou confusas. Prefiro utilizar sites confiáveis de jornalismo e buscar e avaliar a veracidade das fontes.

PS 6 (Adicionado em 18/11): O TSE se embananou muito ao tentar explicar o motivo do atraso na apuração dos votos, que para algumas cidades atrasou 3 horas. Assim, algumas pessoas tiveram que esperar até o dia seguinte para saber o resultado das eleições em seu município, em vez de assistir o resultado no Fantástico. Isso não seria um grande problema, se não fosse o eterno discurso do TSE de que eles são perfeitos e infalíveis. As eleições brasileiras são super seguras, jamais seriam invadidas por hackers, mas o TSE resolveu botar a culpa no novo supercomputador de 26 milhões de reais da Oracle, e eu já identifiquei 7 motivos diferentes apresentados pelo TSE e alardeados pela imprensa em momentos diferentes, para justificar o problema da totalização dos votos. De certa forma, todos esses problemas foram abordados na nota técnica do TSE sobre o atraso da totalização dos votos no primeiro turno.


PS 8 (Adicionado em 19/11): Eu sinto um distúrbio na força... Eu vejo cada vez mais o questionamento sobre a segurança das urnas eletrônicas e do sistema eleitoral brasileiro ser apropriado pelo discurso político de grupos extremistas e, assim, essas discussões acabam recebendo o rótulo de "desinformação". Com isso, corremos o triste risco de ter qualquer discussão técnica sobre o assunto ser desvalorizada e ignorada, ao ser minimizada e rotulada como "campanha de desinformação". Obviamente, não interessa a vários grupos que exista essa discussão sobre a segurança e auditoria dos votos, e por isso, essa técnica pode começar a ser usada para censurar os especialistas que buscam melhoria no sistema atual.

PS 9 (Adicionado em 24/11): É importante destacar que o TSE reforça que as urnas eletrônicas são seguras e nunca foram comprometidas. Essa sequencia de Tweets sumariza a posição do TSE. Infelizmente, eles publicaram um tweet dizendo que "o TSE convoca especialistas p/ tentar quebrar barreiras de segurança das urnas e, em 5 edições, nenhuma tentativa de quebra do sigilo de voto ou de desvirtuamento da destinação dos votos teve êxito" - mas essa informação é muito imprecisa e questionável. Isso porque foram encontradas vulnerabilidades em todos os testes públicos realizados, incluindo algumas que comprometiam o sigilo dos votos. Em resposta a este tweet, o Dr. Diego Aranha publicou uma sequência de tweets resumindo os resultados encontrados nos testes públicos de segurança, mostrando que a informação do TSE não condiz com a realidade. Ele também resumiu as melhorias que surgiram após os testes e o que ainda precisa ser feito para dar credibilidade no processo. Essa informação também foi contestada pelo pessoal do Epic Leet Team (ELT), que participou dos testes em 2017.





 



PS 10 (Adicionado em 02/12): Vale a pena destacar que, na véspera do segundo turno das eleições municipais (no sábado 28/11), a Polícia Federal anunciou que realizou uma operação em conjunto com a Polícia Judiciária de Portugal e, assim, prendeu alguns dos hackers envolvidos nos ciber ataques contra o TSE. A operação foi batizada de "Exploit", e incluiu o cumprimento de mandados de busca e apreensão na residência de três investigados brasileiros, nos estados de São Paulo e Minas Gerais. Segundo a PF, o grupo de hackers responsáveis pelo ataque ao TSE é liderado pelo hacker português, de 19 anos de idade, que usa o nick Zambrius. Ele já havia sido preso em Portugal outras duas vezes e já estava em prisão domiciliar por ter atacado diversos sites Portugueses, tais como a Presidência da República, a PGR, clubes de futebol e a Associação de Árbitros.

novembro 12, 2020

[Segurança] O impacto da Pandemia no mercado de Segurança

O relatório anual sobre o mercado de Bug Bounty lançado recentemente pela HackerOne (o 4th Hacker-Powered Security Report) trouxe uma pequena seção discutindo os impactos da pandemia do novo Coronavírus no mercado dos programas de Bug Bounty. O relatório contou com entrevistas com 1.400 líderes de segurança em empresas que possuem um programa de Bug Bounty organizados pela HackerOne.

Vejam alguns dados citados pelos executivos:

  • 64% acreditam que há maior chance de ter um vazamento de dados;
  • 30% viram um crescimento nos ciber ataques desde o início da pandemia;
  • 30% tiveram redução no time de segurança (*);
  • 25% tiveram corte no orçamento de segurança;
  • 30% tiveram que mudar suas prioridades, focando em segurança para o trabalho remoto e ferramentas de comunicação.

(*) Os EUA foram o país com menor quantidade de gestores informando corte no time (24%). Isso faz muito sentido, pois o mercado de trabalho nos EUA está muito aquecido e as empresas americanas não podem se dar ao luxo de dispensar seus profissionais de segurança, com o risco de não conseguir repor futuramente.

O relatório também trouxe uma tabela com os resultados da pesquisa categorizados por país do entrevistado.



novembro 10, 2020

[Segurança] Algumas estatísticas de ciber ataques

Dentre o conjunto de materiais para conscientização que o pessoal da El Pescador / KnowBe4 disponibilizou gratuitamente para conscientização de usuários, eles tem um infográfico com algumas estatísticas e dicas de segurança sobre ciber ataques de engenharia social.

Veja abaixo:




novembro 09, 2020

[Segurança] RNPSeg’20

Na próxima quarta-feira, dia 11/11, o pessoal do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP) vai realizar o evento RNPSeg’20 – edição Digital, para compartilhar o conhecimento e troca de experiências dos gestores de segurança e tecnologia da informação com outros profissionais e interessados na área.


Neste ano, o RNPSeg abordará aspectos da Continuidade de Negócios, com uma discussão sobre os desafios e cenários de continuidade que contará com a participação do Jeferson D'Addario, CEO do Grupo Daryus, com o CISO do Grupo Cogna Educação, Alex Amorim, e o Diretor de Gestão de Risco, Governança e Segurança da Informação do TCU, Rodrigo Coutinho. Essa conversa promete trazer visões complementares sobre o tema, com visões de profissionais de segurança que atuam no setor de educação em instituições públicas e privadas. O evento terá uma plateia virtual para permitir a interação com os palestrantes através de câmera e chat - e compensar o distanciamento causado pela pandemia do novo Coronavírus.

O RNPSeg’20 ocorrerá no próximo dia 11 de novembro de 2020, das 17h às 19h, e será transmitido online no canal da RNP no Youtube.

Veja mais detalhes no site do evento: https://rnpseg.rnp.br

novembro 06, 2020

[Segurança] Perfil dos pesquisadores de segurança

Recentemente a HackerOne lançou uma nova edição do seu relatório anual sobre o mercado de Bug Bounty. O 4th Hacker-Powered Security Report traz várias estatísticas interessantes que traçam o perfil dos pesquisadores de segurança que participam dos programas de Bug Bounty organizados pela HackerOne.

Vejam alguns dados sobre os pesquisadores de segurança em 2019:

  • 87% tem menos de 35 anos de idade;
  • 59% hackeiam há 5 anos ou menos;
  • 84% aprendem sozinhos;
  • 53% tem pelo menos metade da sua receita ganho com hacking;
  • 40% tem trabalho na área como primeira ocupação profissional;
  • 68% são motivados pelo desafio.

 

A HackerOne atingiu mais de 830 mil pesquisadores cadastrados em 226 países!

Um caso recente, que virou notícia aqui no Brasil, é bem ilustrativo sobre o perfil dos pesquisadores de segurança que participam dos projetos de bug bounty: um estudante, de 14 anos, auto-didata e curioso, que reportou uma falha sem se preocupar com o valor da recompensa que poderia receber - e teve uma grande surpresa!

O jovem estudante mineiro Andres Alonso Bie Perez, de 14 anos de idade, recebeu um prêmio de US$ 25 mil do Facebook como recompensa por reportar uma vulnerabilidade no Instagram – um bug que ele encontrou enquanto criava um aplicativo para aplicar filtros de imagem através do cliente web do Instagram. Quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.