maio 31, 2021

[Carreira] Trabalho + Pandemia = Stress

Uma reportagem do portal ThreatPost divulgou os resultados de uma pesquisa realizada pela empresa OneLogin com 250 líderes de tecnologia em todo o mundo sobre o stress no trabalho, que descobriu o seguinte...
  • 77% dos entrevistados achavam que a pandemia aumentou seu estresse no trabalho
  • 86%  relataram que sua carga de trabalho aumentou durante a pandemia
  • 67% disseram que estavam trabalhando mais horas
  • 54% não tiraram férias nos últimos 6 meses

Além disso, uma pesquisa da ESG e da ISSA apontou que a falta de profissionais no mercado é responsável pelo excesso de trabalho e burnout em 38% das empresas entrevistadas.

A reportagem do ThreatPost destaca que as principais causas desse stress no trabalho nesse período de pandemia estão associados ao trabalho em casa e ao intenso cenário de riscos atuais, que incluem:
  • garantir a segurança no trabalho remoto;
  • aumento significativo nos ataques de ransomware;
  • phishing e spear phishings.
A pesquisa também indica como os entrevistados estão lidando com o stress:
  • 80% dos CISOs praticam exercícios;
  • 40% buscam ajuda na meditação;
  • 24% disseram que estavam se automedicando com drogas, álcool, narcóticos ou medicamentos prescritos.

O artigo também recomenda alguns cuidados simples:
  • Reconheça os sinais físicos de alerta de estresse: músculos rígidos, dores de cabeça, ranger de dentes e dores de estômago são algumas das reações do nosso corpo causadas pelo estresse;
  • Aperte o botão de pausa: Adote uma rotina de intervalos de 5 a 10 minutos a cada hora;
  • Priorize o cuidado com você mesmo: os líderes precisam recarregar as baterias, se recuperar e se manter alimentados. As atividades restaurativas incluem exercícios, recreação ao ar livre, mediação, respiração profunda, manutenção de uma dieta adequada e conversas com amigos e familiares;
  • Cuide do sono: dormir o suficiente, bem como uma boa qualidade de sono, pode ser complicado com cargas de trabalho pesadas, horas de trabalho estendidas e demandas intensas. Siga uma rotina de relaxamento antes de dormir, como desligar todos os dispositivos, evitar ouvir as notícias e tomar um banho quente para resfriar a temperatura do corpo;
  • Mantenha contato com o time: os líderes podem lidar melhor com a incerteza e a ansiedade criando um senso de proximidade e de controle entre suas equipes. Reserve momentos para falar com os colegas de trabalho, pois isso ajuda a manter o humor e as perspectivas positivas, o que fomenta a comunicação, a confiança, a transparência e os relacionamentos.
Um artigo no portal Tech Target lembra que o stress da profissão leva os CISOs ao burnout, o que causa uma grande rotatividade nas empresas! Essa reportagem também destaca os desafios dos CISOs junto ao board das empresas: eles tem dificuldade de conseguir atenção e budget, mas tem grande receio de serem considerados culpados em caso de incidentes.

Eu acredito que nós temos que tomar muito cuidado para não ficarmos doidos nessa pandemia, por causa do isolamento social forçado e prolongado, além dos desafios atuais de conciliar o trabalho em Home Office com o convívio em família e isolamento social.

Devido as restrições atuais, a maioria das recreações e distrações tradicionais estão suspensas, e ficamos sem a sensação de descanso. Muitas vezes não podemos ir nos happy hours com amigos, no cinema, no parque ou na praia, nem viajar, temos que buscar novas formas de lazer para manter a sanidade.
Mesmo durante a pandemia, é importante tirar períodos de descanso, como as férias e os feriados. Mesmo que você fique trancado em casa, deixe o computador desligado e o fique longe do celular!

Eu, particularmente, estabeleci uma regra para mim, lá no início da pandemia: eu só começo a trabalhar as 10 horas da manhã (exceto quando é realmente necessário), pois quando estávamos no escritório, praticamente todo mundo chegava para trabalhar nesse horário. Logo, porque agora teria que ser diferente? Aquela 1 hora de trânsito que economizamos pelo fato de não precisar ir no escritório deve ser usada como forma de descanso ou hobby, não é para trabalhar mais!

Ou seja, aproveite a pandemia para cuidar da saúde, busque um hobby novo, ou uma distração !!!

Uma curiosidade: quem é pai ou mãe de pet já percebeu qual é a primeira coisa que o seu gato ou cachorro faz quando acorda? Eles dão uma espreguiçada bem gostosa, se esticam todos. Já nós não... a primeira coisa que fazemos é abrir o celular, consultar o whatsapp e sair correndo para ligar o computador e entrar numa reunião. Outro hábito saudável que todos os pets tem e os humanos passam longe: toda vez que aparece um raio de sol eles deitam e ficam tomando sol por alguns minutos. Nós não: nós fechamos a janela e acendemos a luz. Merecemos um facepalm, não é?

Aproveite e dê uma olhada nessa palestra / bate papo que eu dei recentemente no evento Red Team Village Mayhem 2021: Comunidade, Carreira e Pandemia.



maio 28, 2021

[Seguranca] Reforma na Lei Carolina Dieckmann

Foi publicada no Diário Oficial da União a Lei nº 14.155, de 27 de Maio de 2021 (ontem!) que atualiza a famosa "Lei Carolina Dieckmann" (Lei 12.737 de 2012), a lei criada em 2012 que tipificou, pela primeira vez, os crimes cibernéticos no Brasil.


As duas leis alteraram alguns artigos do Código Penal (Decreto-Lei nº 2.848, de 7 de dezembro de 1940) para incluir as tipificações e penalidades relacionadas aos ciber crimes. A nova lei, de hoje, também altera o Código de Processo Penal (Decreto-Lei nº 3.689, de 3 de outubro de 1941).

A Lei nº 14.155 traz algumas novidades relevantes, que endurecem o tratamento aos ciber crimes (ou seja, os "crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela Internet"). Ela aumenta as penas, torna o regime mais rigoroso, cria novos agravantes e cria novas tipificações penais.

Veja as alterações mais relevantes da lei 14.155 (eu coloquei a transcrição do novo texto dos artigos alterados e nos bullets o resumo do que mudou):
  • Código Penal, Art. 154-A - Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.
    • Alterou a redação criada pela Lei Carolina Dieckmann
    • Retirou o requisito anterior de que houvesse "mediante violação indevida de dispositivo de segurança"
    • Aumento a pena estabelecida pela Lei Carolina Dieckmann, que era de "de detenção, de 3 meses a 1 ano" para "reclusão, de 1 (um) a 4 (quatro) anos."
    • No § 3º, aumentou a pena para "reclusão, de 2 (um) a 5 (quatro) anos" - se houver acesso a comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas ou o controle remoto do dispositivo invadido
  • Código Penal, Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel (Furto)
    (...)
    § 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.
    • Tipifica o crime de "furto mediante fraude" através de computador, online ou por malware, com pena de reclusão, de 4 a 8 anos
  • Código Penal, Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento (Estelionato)
    (...)
    § 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo.
    • Cria a modalidade de "fraude eletrônica" para o crime de estelionato, o famoso "171";
    • Aumenta a pena se o crime for realizado a partir de servidor localizado no exterior (§ 2º-B) ou contra idoso (§ 4º)
  • Código de Processo Penal, Art. 70 - A competência será, de regra, determinada pelo lugar em que se consumar a infração, ou, no caso de tentativa, pelo lugar em que for praticado o último ato de execução.
    (...)
    § 4º Nos crimes previstos no art. 171 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), quando praticados mediante depósito, mediante emissão de cheques sem suficiente provisão de fundos em poder do sacado ou com o pagamento frustrado ou mediante transferência de valores, a competência será definida pelo local do domicílio da vítima, e, em caso de pluralidade de vítimas, a competência firmar-se-á pela prevenção."
    • No caso de crime estelionato online ("fraude eletrônica") com transferencia de valores, altera a competência, que a partir de agora será baseado no endereço do domicílio da vítima e não mais em onde ocorreu a infração.
Resumindo, a lei 14.155/2021 tornou mais graves os crimes através da Internet, com o aumento das penas, e criou o tipo penal de "fraude eletrônica". Ao passar a pena de de detenção para reclusão, tornou o regime muito mais rígido - por exemplo, o regime inicial de cumprimento de pena pode ser fechado, sendo que antes podia ser semi-aberto ou aberto. Outra mudança muito relevante foi a retirada da necessidade de "violação indevida de mecanismo de segurança" para qualificar o crime. Anteriormente qualquer falta de controle podia ser usado para tentar desqualificar o crime, como por exemplo a simples falta de senha no celular da vítima.

Outro ponto interessante dessa lei é que as penas, que podem chegar até 8 anos de prisão e multas, podem ser agravadas se os crimes forem praticados com o uso de servidor fora do Brasil ou se a vítima for uma pessoa idosa ou vulnerável.

Para quem não é especializado em direito, a primeira vista não entende a diferença entre reclusão ou detenção - e costumamos pensar que são sinônimos. Na verdade, a pena de reclusão tem um caráter mais severo do que a detenção. A detenção é aplicada em condenações para crimes considerados mais leves, e a início da pena é cumprido em regime semi-aberto, em estabelecimentos menos rigorosos. No caso de reclusão, o regime inicial pode ser fechado, em estabelecimentos de segurança média ou máxima (mas também admite a pena em regime aberto ou semi-aberto).


Para saber mais:

maio 27, 2021

[Carreira] A falta de profissionais de segurança

Há vários anos o pessoal da (ISC)² realiza uma pesquisa sobre os profissionais de segurança que, entre outras coisas, estima o tamanho da força de trabalho global de segurança e mapeia a falta de profissionais no mercado.

Na edição de 2020 do Cybersecurity Workforce Study, a (ISC)² identificou que há uma demanda por 3,1 milhões de profissionais de segurança em todo mundo! Isso é muita coisa, mas pelo menos é uma pequena melhora comparado com o ano passado, quando a estimativa era de 4 milhões de postos de trabalho em aberto.


Ou seja, como eu já disse aqui no blog, a taxa de desemprego é zero!!!

As estimativas do relatório indicam que a força de trabalho de segurança precisa crescer 89% para atender a demanda global por profissionais, e só assim defender com eficácia as organizações. Mais da metade dos entrevistados (56%) afirmam que a falta de pessoal de segurança representa um risco para suas organizações.

Eu achei legal eles trazerem uma visão da falta de profissionais no mercado em vários países e em cada região. É possível ver que os países com maior mão de obra e com maior demanda por profissionais são os EUA, Brasil, México, Inglaterra, Alemanha, Japão e Coréia do Sul.



Para saber mais:

maio 25, 2021

[Segurança] Documentando fluxos de trabalho para resposta a incidentes

Ao estabelecer uma estratégia e um time de resposta a incidentes, um dos passos mais relevantes é criar e documentar os processos do dia-a-dia. Isto é importante pois, uma vez documentados os processos operacionais, os funcionários tem um guia passo-a-passo para realizar as suas tarefas, algo que ajuda muito a diminuir as possibilidades de erro humano (que muitas vezes acontecem quando as pessoas não desempenham a tarefa corretamente, por esquecer de fazer algo necessário). Isto também é útil para garantir que a mesma qualidade do serviço vai ser atingida por novos funcionários, pois estes tem um processo documentado a ser seguido.

Mas esse esforço de criar e documentar processos não é uma tarefa fácil, o desenho de um processo não surge do nada! Dependemos de uma pessoa (geralmente um profissional do time com experiência ou um consultor externo) para desenhar os processos e, principalmente, garantir que sejam adequados ao dia-a-dia e necessidades específicos da empresa. O esforço começa, invariavelmente, pesquisando templates e boas práticas de mercado, que serão avaliadas, entendidas e, em seguida, combinadas e adaptadas a nossa realidade.

Por isso eu tive uma surpresa ao encontrar um documento da empresa Swimlane que discute "8 casos reais de Orquestração, Automação e Resposta de Segurança" que mostra diagramas descrevendo diversos fluxos de trabalho do time de resposta a incidentes.

Por exemplo, o que você faria se reportassem um e-mail suspeito?


Ou então, o que você faria ao receber um alerta do seu SIEM?


Os diagramas são de alto nível, não entram no detalhe das tarefas, mas são interessantes para ajudar a revisar seus processos de tratamento e resposta a incidentes dos times de SOC e CSIRT.

maio 24, 2021

[Segurança] Um balanço da RSA Conference 2021

Na última semana, de 17 a 20 de Maio, o mercado de segurança parou para assistir online a 30a edição da RSA Conference, uma das maiores e mais tradicionais conferências sobre segurança da informação do mundo. O evento, que aconteceu online mas presencialmente já atraía pelo menos 60 mil pessoas a São Francisco, disputa lado a lado com a Black Hat e a Defcon como os mais importantes eventos da área. A principal diferença é que, de fato, a RSAC é muito maior que a Black Hat e Defcon, e tem um foco muito grande no mercado. A maioria das empresas de segurança esperam até a RSA Conference para anunciar seus novos produtos e estratégias.

A temática do evento foi perfeita para os tempos caóticos que estamos enfrentando atualmente: Resilience (resiliência). Vale a pena lembrar que no ano passado a RSAC aconteceu logo no início da pandemia no Brasil e nos EUA, e embora os organizadores tivessem insistido em manter o evento online (mesmo com algumas empresas grandes terem anunciado que não participariam para proteger seus funcionários do Covid), após o evento houve relatos de participantes que voltaram para suas casas contaminados pelo coronavírus.

Veja 2 vídeos bem legais que eles compartilharam pelo Twitter:
Veja também esse vídeo, de pouco mais de 12 minutos, com um resumão da RSAC 2021:


Alguns dias antes do evento a empresa Blumira fez uma lista com as 10 palestras mais recomendadas da RSA Conference. Mas, provavelmente, a palestra mais aguardada do evento foi o keynote com o CEO da SolarWinds, Sudhakar Ramakrishna, que discutiu o ataque que impactou diversas empresas e chamou muito a atenção do mercado para a buzzword "supply chain attack".


Além disso, a própria RSA Conference divulgou quais foram as 3 palestras mais populares, então vale a pena dar uma olhada nelas:


Entre as três palestras mais populares, está a que eu apresentei junto com o Nelson Novaes e criada junto com a Natasha Malara e o professor Stuart Madnick, do CAMS MIT. Veja os slides aqui. \o/ A apresentação está disponível online.




Devido a sua importância no mercado, a RSAC tem algo muito legal, o "Innovation Sandbox Context", uma premiação entre as startups de segurança mais inovadoras. Veja o vídeo com o speech da Apiiro Security, que foi escolhida como a startup mais inovadora.

Praticamente todos os sites de notícias de segurança cobriram o evento. Veja, por exemplo, a cobertura da TechTarget. Aqui no Brasil, o portal de notícias The Hack fez uma cobertura sensacional de todos os dias do evento, com resumos sobre tudo o que aconteceu de mais interessante em cada um dos dias e também algumas matérias sobre palestras específicas. Dá uma conferida lá:

A RSA Conference 2022 acontecerá de 7 a 10 de fevereiro, em São Francisco. Vamos torcer por um evento presencial, seguro para todos nós, e prepare suas malas!

Veja também:

PS: Post atualizado em 14/06.

PS/2: Post atualizado em 21/07 para incluir o vídeo da apresentação na RSA Conference sobre o estudo de caso do vazamento de dados no Capital One. O vídeo pode ser visto no website da RSA Conference. Atualizado novamente em 22/07.

maio 21, 2021

[Segurança] Dicas para evitar os golpes envolvendo o Pix

O Banco Central fez recentemente uma campanha para conscientizar a sociedade sobre os golpes envolvendo o Pix, e publicou um vídeo curto e objetivo em seu canal no YouTube com 7 dicas para lidar com golpes envolvendo Pix.


O Banco Central tem defendido a segurança do Pix e destacado que os golpes existentes são os mesmos de sempre, apenas usando o Pix como meio de transação. Por exemplo, o BC destaca o o golpe da central de atendimento falsa, que é um golpe que existe independentemente do Pix - e lembra que os clientes não devem fazer nenhuma transação durante a ligação com a central de atendimento.

Resumindo, as dicas do BC são as seguintes:
  1. Verifique a página para ter certeza que é a do seu banco;
  2. Confira todos os dados ao realizar transferências;
  3. Não compartilhe seus dados pessoais e sigilosos;
  4. Proteja suas informações de acesso a sites e aplicativos;
  5. Use senhas complexas;
  6. Não clique em links suspeitos;
  7. Em caso de dúvidas, procure o atendimento do seu banco.

maio 19, 2021

[Cidadania] As urnas eletrônicas são ou não auditaveis?

Recentemente, um amigo me perguntou: "As urnas eletrônicas são ou não auditáveis?"


Minha primeira resposta foi curta e seca: "De forma clara e transparente, não, nunca foram."

Esse meu amigo disse que queria explicar esse assunto para pessoas leigas, por isso logo em seguida eu continuei a conversa para dar mais alguns detalhes, uma resposta mais clara e completa, porém ao mesmo tempo resumida e objetiva.

A pergunta original foi um pouco genérica, então eu segui 2 linhas de discussão sobre a segurança do processo de votação eletrônica adotado pelo Brasil:
  • A urna é auditável? A resposta é não, nem em teoria e nem na prática. A população não tem acesso ao código fonte (a programação) da urna, e mesmo que tivesse, não tem como garantir que o código que você viu é o mesmo que está rodando dentro da urna de sua seção eleitoral. Todo processo de auditoria pública realizado até hoje sempre foi conduzido “a mão de ferro“ pelo TSE, pois todas as propostas de testes tem que ser previamente aprovadas por eles, os pesquisadores tem acesso limitado a urna e seu software, tempo limitado de testes e, para piorar, os resultados não podem ser divulgados publicamente, só ficam com o TSE. Para piorar, em todos os testes públicos realizados até hoje, foram identificados cenários de ataques a urna e a integridade do voto;
  • O processo de votação é auditável? Não! Nós, eleitores, não temos como comprovar se o nosso voto foi computado corretamente na urna (e, portanto, se o meu voto a um determinado candidato foi calculado para a pessoa correta), não temos como comprovar se o resultado da urna foi transmitido corretamente para a central de totalização do TSE e o pior é que na urna eletrônica não existe a menor possibilidade de fazer a auditoria e recontagem dos votos.

O Dr. Diego Aranha tem vários materiais e palestras sobre a segurança da urna eletrônica, como por exemplo essa palestra que ele deu no evento Mind The Sec :em 2018


A desvantagem é que o Diego Aranha explica o assunto de uma forma muito técnica e acadêmica, difícil para o entendimento do público leigo.

Nesse debate sobre a auditoria do voto e transparência do processo eleitoral, sempre acabamos chegando no assunto sobre o voto impresso - ou seja, ter uma forma da urna eletrônica imprimir e armazenar essa cópia impressa do voto, para eventual necessidade de recontagem. De fato, o voto impresso é a única forma conhecida para auditar o voto. Mas, como tudo na vida, tem o jeito certo e o errado de fazer isso.

A raiz do problema e das críticas sobre a segurança do processo eleitoral brasileiro é que ele é totalmente controlado a mão de ferro pelo TSE, que planeja, executa e audita todo o processo. Se uma única entidade mantém controle total e absoluto do processo de votação, nossa única opção é acreditar na integridade e na palavra do TSE.

Eu acredito que a discussão saudável sobre a segurança do processo eleitoral brasileiro é um dever cívico e um interesse de toda a população pois a base da democracia é que os líderes são eleitos de acordo com a vontade da maioria. Portanto, é fundamental termos um processo eleitoral que garanta que o resultado da eleição represente o desejo da população.



Eu tenho vários posts aqui no blog sobre o funcionamento e a segurança da urna eletrônica brasileira e nosso processo de eleição:
A segurança da urna eletrônica e a discussão sobre o voto impresso tem sido muito frequente recentemente, principalmente porque o nosso atual presidente tem levantado esse assunto e exigindo a impressão do voto. eu não sei se o nosso presidente tem conhecimento técnico sobre as reais fragilidades do sistema eleitoral utilizado pelo Brasil e qual é a importância de implementar o voto impresso como mecanismo de auditoria da eleição. Para ser sincero, eu acredito que ele faz essa crítica simplesmente porque ele sabe que o TSE não quer e não vai implementar o voto impresso, e assim quer usar esse argumento como desculpa caso ele perca as próximas eleições em 2022. Seria um cenário semelhante com o que aconteceu com a última eleição americana e a derrota do ex-presidente Donald o Trump, com a diferença que o sistema de voto eletrônico americano é seguro e auditável - de verdade.


Na minha opinião, simplesmente não faz o menor sentido o presidente atual criticar o sistema eleitoral, apontando a possibilidade de fraude no sistema que o elegeu. O mesmo argumento que nosso presidente usa para criticar as eleições em 2022 poderia ser utilizado para questionar a eleição presidencial de 2018? <sarcasmo> Ao fazer isso, ele estaria admitindo que não deveria ter sido eleito? </sarcasmo>

Infelizmente é uma pena ver uma parcela da população politizando um assunto tão importante quanto a segurança do nosso voto!

maio 18, 2021

[Segurança] Novo golpe de engenharia social burla a dupla autenticação do WhatsApp

O pesquisador de segurança Fabio Assolini, da Kaspersky, identificou uma nova modalidade de golpe do WhatsApp aonde os ciber criminosos tentam convencer a vítima a desativar a autenticação de dois fatores de sua conta e, assim, permitir o sequestro de seu WhatsApp.

Este golpe contra usuários do WhatsApp utiliza pura engenharia social para enganar as vítimas. O golpe começa quando os ciber criminosos tentam ter acesso a uma conta, mas identificam que a vítima possui a autenticação de dois fatores ativa. para burlar essa proteção, os criminosos ligam para a vítima e, fazendo se passar pelo suporte do WhatsApp, dizem que a empresa identificou uma atividade maliciosa na conta e dizem que vão enviar um e-mail para a vítima supostamente fazer o recadastro da dupla autenticação. Entretanto, a mensagem enviada, pela própria plataforma do WhatsApp, ativa o processo de reset da autenticação do WhatsApp e acaba por desabilitar essa proteção - e assim o criminoso consegue acessar a conta da vitima.


O golpe explora o recurso de "Two-Step Verification Reset" (Redefinição da Verificação em Duas Etapas) do WhatsApp, que é utilizado quando o usuário esquece a sua senha (PIN) do segundo fator de autenticação.  Quando o fraudador solicita o "reset" do PIN, a vítima recebe uma mensagem legítima do WhatsApp com o título "Two-Step Verification Reset", que possui um link para desabilitar a proteção do segundo fator.

O passo seguinte é conhecido: o fraudador obtém acesso ao WhatsApp da vítima e entra em contato com os conhecidos para pedir dinheiro emprestado. E, infelizmente, em pleno 2021 muita gente ainda cai nesse golpe :(


  

maio 15, 2021

[Segurança] 10 anos de BSidesSP

Sábado, 15 de maio de 2011, 13h. Nesse dia D e hora H, realizávamos a primeira edição da Conferência O Outro Lado (CoOL), o evento que deu origem a Security BSides São Paulo (BSidesSP).

O evento aconteceu na antiga sede do Garoa Hacker Clube, e juntou 84 pessoas que assistiram 9 palestras e 2 oficinas, espalhadas nas pequenas salas do espaço do Garoa, enquanto rolava um churrasco no quintal interno do espaço.


  

Nesta época já oferecíamos diversas atividades, em paralelo, além do churrasco e cerveja, tudo gratuito. Já era nossa idéia ser um evento diferente, mais informal e descontraído, e ao mesmo tempo inclusivo, com conteúdo para todos os públicos - do mais novato ao mais experiente. Isso sem falar da nossa preocupação em abordar os diversos assuntos que envolvem o universo da cultura hacker.

No ano seguinte, em 2012, tivemos a aprovação do pessoal da Security BSides nos EUA para que o evento se tornasse oficialmente a edição da BSides em São Paulo, e assim seguimos nos anos seguintes. O evento continuou acontecendo no ritmo de 2 edições por ano e foi crescendo aos poucos, até atingirmos mais de 1.200 pessoas na edição de maio de 2019, nossa décima-sexta edição.

Infelizmente tivemos que suspender o evento temporariamente, por causa da pandemia do novo Coronavírus, mas esperamos poder voltar logo a normalidade.

O crescimento da BSidesSP é fruto do trabalho apaixonado de vários voluntários, do apoio das diversas empresas que acreditaram no evento, dos palestrantes sensacionais que toparam compartilhar seu conhecimento e, principalmente, da comunidade que está sempre presente e nos prestigiando.

maio 14, 2021

[Humor] Tipos de artigos sobre Segurança

O pessoal do XKCD publicou uma tirinha recente com uma sátira sobre "os tipos de artigos científicos". Pois bem, a charge viralizou e ganhou duas versões sobre como seriam os papers de segurança:



Também criaram uma versão com os tipos de relatórios de perícia forense:


Eu achei essas versões bem engraçadas - uma triste visão cômica do mercado de segurança.

maio 12, 2021

[Segurança] Triste perspectiva dos vazamentos de dados

Você acha que já tivemos muitos vazamentos de dados até hoje?

Já não basta termos alcançado mais de 22,3 bilhões de dados vazados apenas no ano de 2019!?

Você ficou assustado com a notícia recente de que uma coletânea com 3,28 bilhões de senhas estava disponível em um fórum online?


Pois isso tudo é só a ponta do iceberg!

E o cenário atual é assustador: segundo um levantamento realizado por pesquisadores da CyberNews, foram encontrados mais de 29.000 bancos de dados online em todo o mundo, que estão desprotegidos e acessíveis ao público, representando cerca de 19 Petabytes de dados expostos.

O levantamento foi realizado buscando por bases de dados online nas três plataformas mais usadas: Hadoop, MongoDB e Elasticsearch. Em comum, a maioria dessas bases eram de empresas Chinesas e Americanas.


Esse descuido das empresas com suas bases de dados armazenadas online e em ambientes de Cloud Computing tem sido uma grande oportunidade para ciber criminosos roubarem dados pessoais. Enquanto as empresas não se conscientizarem sobre esse problema, todos estamos sujeitos ao risco de vazamento de nossas informações pessoais.

(Adicionado em 17/05): Achando que já estava ruim? Segundo um levantamento da empresa Censys, foram identificados dois milhões de banco de dados expostos nos provedores de nuvem mais comuns, além de 1,9 milhão de servidores com conexões RDP expostos, protocolo apontado como responsável por 70 a 80% das violações de rede.

(Adicionado em 21/05): As notícias ruins não param de chegar! OMG!  Pesquisadores da Checkpoint analisaram 23 aplicativos Android e concluíram que os serviços em nuvem desses apps deixaram expostos dados de mais de 100 milhões de usuários !!!

Para saber mais:

maio 10, 2021

[Segurança] Ransomware interrompe um dos maiores oleodutos dos EUA!

Olha a treta: um dos maiores oleodutos dos Estados Unidos foi fechado após um ataque de ransomware atingir a sua operadora, a Colonial Pipeline.


A empresa anunciou que sofreu um ataque de ransomware na 6a feira (07/05) e, por causa disso, teve que proativamente desconectar vários computadores e sistemas, o que a obrigou a desligar seus sistemas de controle dos oleodutos e, assim, fechar suas linhas de abastecimento, que correspondem a 5.500 milhas de oleoduto, que transporta 45% do abastecimento de combustível da costa leste dos EUA e cobre 14 estados do sul e leste dos EUA. Devido ao corte no abastecimento, nesta quarta-feira (12/05), três a cada quatro postos de gasolina estavam sem combustíveis em várias cidades americanas.


Após manter os seus sistemas desligados no final de semana, enquanto combatia o ataque do ransomware, nessa segunda-feira (10/05) a empresa já estava retomando a operação de seus sistemas, aos poucos. Para conseguir recuperar seu ambiente, a empresa optou por pagar o resgate de 5 milhões de dólares 4,4 milhões de dólares (75 bitcoins) para os ciber criminosos - mas aparentemente a ferramenta para descriptografar os dados era muito lenta, e mesmo assim a empresa ficou aproximadamente 6 dias fora do ar e dependeu de seus backups para ajudar a restaurar as operações.

O fato da Colonial Pipeline pagar o resgate gerou muita discussão no mercado por causa dos aspectos éticos e, principalmente, pois isso fomenta e incentiva o mercado de ransomware. O CEO da empresa tentou justificar a decisão, pois na visão dele isso reduziria o impacto para os clientes finais. Mas esse não foi um ato isolado! A seguradora americana CNA Financial pagou US$ 40 milhões de resgate após um ataque de ransomware em Março - esse valor é maior do que o maior resgate pedido em 2020, de 30 milhões de dólares, e muito maior do que o maior resgate pago em 2019, que foi de 15 milhões de dólares!

O Departamento de Justiça americano realizou uma investigação sobre como foi realizado o pagamento do resgate, nas carteiras em bitcoins, e conseguiu recuperar 63,7 bitcoins (aproximadamente 2,3 milhões de dólares) pagos para os ciber criminosos.


Nesse artigo do pessoal da Kaspersky, eles lembram 3 motivos para não pagar um resgate de ransomware: ao fazer isso, (1) você está patrocinando o cibercrimes, (2) sem garantias de que seus arquivos realmente serão recuperados e (3) correndo o risco de ser invadido novamente!

A propósito, veja esse caso recente, que mostra como nem sempre podemos acreditar nos criminosos por trás de um ransomware: o grupo iraniano chamado de Agrius desenvolveu um malware que funciona tanto como ransomware como destruidor de arquivos ("wiper"), e em alguns ataques eles exigiram resgate, mas mesmo assim destruíram os dados da vítima.

Segundo as investigações, o grupo de ciber criminosos russos e operadores de ransomware conhecidos como "DarkSide" é o responsável por esse ataque de ransomware, um grupo que trabalha no modelo de "ransomware as a service" e que tem se destacado muito desde meados do ano passado. O grupo é especializado no ataque a empresas e na tática de "double extorsion".


Segundo estimativas da empresa Elliptic, o DarkSide infectou 99 empresas em 9 meses, 47 das quais pagaram resgate, um total de mais de 90 milhões de dólares. Em média, os valores pagos fora de 1,9 milhões de dólares. Os criadores do DarkSide ficam com uma parte dos valores pagos, variando desde 25% em caso de resgates até 500 mil dólares, até 10% para resgates acima de US$ 5 milhões.

A notícia já causou especulações sobre o impacto no abastecimento de combustíveis nos EUA e aumento de preços, pois a empresa transporta gasolina, diesel e querosene de aviação, um volume de aproximadamente 100 milhões de galões de combustível por dia e atende a sete aeroportos.

Além de criptografar diversos computadores da Colonial Pipeline, incluindo o sistemede da Colonial Pipeline atrava de cobrança da empresa, o ransomware conseguiu roubar 100 GB de dados.

Segundo as investigações do incidente, os ciber criminosos conseguiram invadir a rede da Colonial Pipeline através de uma senha comprometida de sua VPN, que não possuía segundo fator de autenticação. A invasão aconteceu no dia 29 de abril, ou seja, praticamente uma semana antes do ransomware infectar a empresa. A credencial da VPN não estava em uso, mas estava ativa, e os criminosos conseguiram explorá-la pois ela constava em um vazamento de senhas disponível na dark web, sugerindo que o funcionário reusou a mesma senha em outra conta, previamente vazada.

(Atualizado em 12/05) O grupo responsável pelo ransomware DarkSide disse que não tinha interesse em causar a parada no sistema de oleoduto, e que vai incluir controles adicionais para evitar que seu ransomare cause impactos semelhantes no futuro.


O screenshot abaixo, retirado do artigo do Brian Krebs sobre o DarkSide, mostra qual é a "política" do serviço deles:


O pessoal da RSA Conference aproveitou o embalo e publicou um video curto, de aproximadamente 10 minutos, discutindo os impactos dos ataques de ransomware a provedores de infraestrutura crítica e o caso do ataque na Colonial Pipeline (Ransomware and Critical Infrastructure: An Interview with Bryson Bort):


No vídeo acima, o Bryson Bort faz um comentário interessante: ao invadir um sistema, o ransomware DarkSide verifica se a linguagem configurada no computador é o Russo - e, caso afirmativo, não realiza a infecção. Como os ciber criminosos são russos, isso provavelmente acontece para que eles não tenham problemas com as autoridades e a polícia local - e somente ataquem sistemas de outros países.

O pessoal do grupo INTEL471 escreveu um post curto sobre o DarkSide, aonde eu destaco o trecho que eles comentam sobre as principais técnicas que eles normalmente usam para invadir as suas vítimas (e provavelmente foi esse o caminho que levou a invasão da Colonial Pipeline): usam credenciais vazadas de funcionários das empresas, tentam fazer ataques de força-bruta contra os sites das vítimas, usam botnets existentes para aproveitar o acesso a empresas previamente invadidas, ou então simplesmente enviam SPAM e phishing para os funcionários da empresa que desejam atacar.

O ciber ataque contra a Colonial Pipeline ganhou muita atenção da imprensa e, principalmente, do governo americano, pois trouxe a tona a facilidade de um ciber ataque causar impacto econômico no país. O pessoal do FBI e da Casa Branca está olhando de perto a situação da empresa e o impacto do ciber ataque. Podemos esperar um endurecimento das autoridades e das leis no curto prazo.



Olha a treta, reportada pelo Brian Krebs: DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized. O grupo DarkSide declarou recentemente que encerrou suas operações de "Ransomware-as-a-Service" e que iria liberar as chaves de criptografia para as vítimas. De fato, devido a reação das autoridades americanas, vários operadores de ransomware, além do grupo DarkSide, estão evitando chamar a atenção e até mesmo derrubando suas operações.


Olha agora essa lambança: mesmo após ter reestabelecido as suas operações, no dia 18/5 a Colonial Pipeline teve que novamente tirar seus sistemas do ar como parte dos esforços de melhoria da segurança do seu ambiente.

A propósito, deixo aqui o meu desabafo com a péssima e vergonhosa versão dessa noticia divulgada pelo G1, que tem como título infeliz "O ataque de hackers a maior oleoduto dos EUA que fez governo declarar estado de emergência" e, para piorar, disse o absurdo de que "Um grupo de hackers desconectou completamente um oleoduto e roubou mais de 100 GB de informações". Só para deixar bem claro: os ciber criminosos não desligaram o sistema dos oleodutos, quem fez isso foi a própria empresa, após ser invadida pelo ransomware.


Eu já sou da opinião de que a expressão "ataque de hacker" traz um entendimento totalmente errado do que representa uma infeção por vírus ou  ranwomware - o que normalmente acontece simplesmente porque um usuário clicou em link malicioso  ou a empresa estava com sistemas vulneráveis. Mas, ao dizer que o sistema foi desconectado pelo grupo de ciber criminosos, mostra que o reporter não fez um trabalho mínimo de ler e entender o que recebeu das suas fontes. Os ciber atacantes por trás de grupos de ransonware tem como objetivo simplesmente ganhar dinheiro na base do roubo de arquivos, sem objetivo de paralisar infraestruturas críticas (ok, infelizmente isso pode acontecer como um efeito colateral do ciber ataque, como foi nesse caso da Colonial Pipeline).


PS: Tais ciber ataques, que causam um impacto significativo, acabam atraindo muita atenção da imprensa, que corre para escrever notícias sensacionalistas sobre o tema. Essa imagem, do "ciclo do pânico", vale para a vida real e também para as notícias sobre ciber segurança divulgadas na imprensa:


PS/2: A Toshiba também foi atacada pelo ransonware DarkSide, segundo notícia publicada pela imprensa em 14/05.

PS 3: Precisa explicar para o chefe o que é um ransomware? Que tal esses cartoons compartilhados pelos nossos amigos da Kaspersky? kkkkkk...


Para saber mais:
Post atualizado em 11, 12, 13, 14, 17, 19, 21, 24 e 26/05. Atualizado novamente em 14/06.

[Segurança] Datas comemorativas sobre segurança

Existem algumas datas comemorativas relacionadas a segurança da informação e que, portanto, podemos aproveitar em eventos e campanhas de conscientização.

Eu criei uma lista com as principais datas que identifiquei:
Eu esqueci alguma data? Coloca aí nos comentários!

A propósito, nós mantemos uma página no site do Garoa com todas as "datas especiais" relacionados ao mundo nerd, geek e de tecnologia. Dá uma olhada lá ;)

maio 07, 2021

[Humor] Qual é a senha do Wi-Fi?

Ontem, 06/05, foi o Dia Mundial da Senha. Aproveitando o embalo, tem um jeito melhor de falar sobre senhas do que esse vídeo (Peanut’s Password Panic!) super engraçado do humorista e ventríloquo americano Jeff Dunham.


PS: tem um vídeo mais curto, só com a cena da conversa sobre o WiFi: Peanut Needs Wi-Fi.

O Jeff Dunham é um ventríloquo super talentoso, com diversos vídeos divertidíssimos em seu canal no Youtube, aonde ele interage com diversos personagens (as vezes, 2 ao mesmo tempo).

Nesse quadro, o personagem Peanut pergunta para o Jeff quais são as senhas do wi-fi, pois ele as trocou por segurança ("security maintenance"), e escolheu senhas não usuais (pois usava 1234). Peanut recebe respostas como "Eu não posso te dizer" ("I can't tell you"), "Eu não lembro" ("I don't remenber"), "Você tem que adivinhar isso", ("You have to guess it") e "Quem está perguntado?" ("Who is asking?").

Eu gostei tanto do vídeo que decidi fazer um post só para ele <3

A propósito, a senha do celular dele é "Pergunte para a sua mãe" ("Ask your mother").

Você descobriu as senhas?

PS: Post atualizado em 11/05.

maio 06, 2021

[Segurança] Dia Mundial da Senha

Hoje, 06 de Maio, é comemorado o Dia Mundial da Senha ("World Password Day"), uma data que é celebrada todo ano na primeira quinta-feira de Maio.

Ou será que deveríamros chamar essa data de "dia mundial do post-it"? Kkkkkkkkk....

Essa data foi criada para ajudar a lembrar as pessoas sobre a importância de tomar os devidos cuidados com a segurança de nossas senhas, afinal elas são nossa principal medida de proteção e também um dos principais alvos dos golpes e ataques cibernéticos que acontecem no mundo.


Segundo o pessoal da NordPass, que possui uma solução para armazenamento de senhas, cada pessoa tem em média 100 senhas em vários sites e serviços. Pode parecer muito, mas se você começar a contar todas as suas senhas do dia-a-dia, do seu Gmail até as diversas senhas de cada um dos seus cartões bancários, rapidamente você vai entrar no desespero. Na última vez que eu tentei fazer isso, deu um branco e eu comecei a esquecer as senhas!

Além disso, ainda segundo a NordPass, as pessoas ainda têm o costume de utilizar senhas fáceis de serem adivinhadas, como por exemplo“123456789”, as palavras "password" e “senha”. Fazendo um levantamento com mais de 275 milhões de senhas vazadas, eles identificaram as 10 senhas mais utilizadas em 2020:
  1. 123456
  2. 123456789
  3. picture1
  4. password
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
  10. senha
Não custa nada lembrar algumas dicas básicas para protegermos nossas senhas:
  • Não use senhas óbvias! Evite sequências de letras e/ou números, datas e nomes de pessoas ou animais. Evite palavras comuns no vocabulário, aquelas facilmente encontradas em dicionário. Evite também combinações facilmente digitáveis em teclados (como “QWERTY” e "1Q2W3E4R");
  • Jamais escolha uma senha baseada em dados pessoais, como seu número de telefone, data de nascimento ou nome;
  • Ao criar suas senhas, misture letras maiúsculas com minúsculas, números e caracteres especiais (como o ponto, vírgula, traço, etc);
  • Não use a mesma senha em sites diferentes. Assim, se uma senha vazar, os criminosos vão testar elas em vários outros sites, e assim vão conseguir invadir várias contas suas!
  • Não anote as suas senhas. Por mais que você acha que seu caderninho esteja bem escondido, mais cedo ou mais tarde alguém vai achar!
  • Sempre que possível, use o segundo fator de autenticação oferecido pelo site (normalmente por SMS, e-mail ou aplicativo no celular).
#WorldPasswordDay

Adicionado em 06/05: Olha que legal, curto e objetivo, esse vídeo que o pessoal do SANS Institute publicou para celebrar o World Password Day:


PS (adicionado em 06/05): Como disse um amigo fã de futebol, "Até senha tem mundial!". #entendedoresentenderão

maio 05, 2021

[Segurança] A imprensa sobre "ataques de hackers"

Desculpem o desabafo, mas na grande maioria das vezes que vemos qualquer reportagem na imprensa noticiando um "ataque de hacker" contra alguma empresa, na maioria das vezes...
  • O ataque foi feito por um ciber criminoso, não um hacker;
  • O suposto ataque tem pouca ou nenhuma complexidade.
Isso é mais gritante quando a imprensa aborda um incidente causado por invasão e ransomware, que bloqueia os servidores, dados e sistemas da empresa, além de ameaçar vazar informações internas. Por exemplo, nas recentes infecções por ransomware na Quanta, fabricante de produtos Apple, e do Tribunal de Justiça do Rio Grande do Sul.


Ao noticiar um "ataque hacker", nesses casos, o correto seria a manchete dizer que aconteceu uma falha de segurança na infraestrutura da empresa, ou um erro rudimentar. A manchete, provavelmente,deveria ser:
  • “Um usuário clicou no phishing e infectou sua máquina e toda a rede da empresa com vírus“;
  • "Time de tecnologia não atualiza seus sistemas e deixa servidor vulnerável exposto na Internet, para qualquer um invadir";
  • "Funcionário usa senhas fácil de adivinhar e tem seu computador invadido".
Simples assim.

maio 04, 2021

[Segurança] Ameaças financeiras na América Latina

Um relatório da Kaspersky destaca a relevância dos ciber ataques e fraudes contra instituições financeiras na América Latina.

O estudo traz alguns dados interessantes:

  • Mais de um terço dos ataques direcionados (targeted attacks) que visam instituições financeiras foram criados na América Latina (37%);
  • 39% das tentativas de ataque direcionado com motivação financeira estão localizados na AL;
  • Além das ameaças criadas localmente, a região também é alvo de campanhas estrangeiras, como o grupo Lazarus;
  • As famílias de trojans mais populares na região são a ClipBanker (14%), CliptoShuffler (9%) e Emotet (7,7%);
  • Três famílias de trojans brasileiros estão entre o top 10 mundial: Banbra, BestaFera e Chepro. Todas elas realizarem fraudes acessando os dispositivos das vítimas remotamente para burlar as autenticações de dois fatores dos bancos;
  • Pelo menos cinco novos golpes criados no Brasil foram exportados a outras partes do mundo em 2020.

Veja também:

maio 03, 2021

[Cyber Cultura] Os Hackerspaces na Pandemia

Antes de mais nada, não custa reforçar a mensagem: a pandemia do novo Coronavírus é uma tragédia mundial, que em mais de um ano tem causado diversos impactos nefastos na vida de todo mundo. Não tem sido fácil, e todos tem sofrido com as consequências da pandemia - de diversas formas.

Para os hackerspaces também não tem sido um momento fácil. Afinal, os hackerspaces surgiram com a proposta de oferecer um espaço físico para as pessoas se encontrarem e trocarem conhecimento. Em tempos de Covid-19, com a prioridade sendo a proteção da saúde e da vida, nossos espaços foram fechados.

  

Um hackerspace fechado significa menos atividades, e por tabela, menor interação com a comunidade - mesmo mantendo encontros online. Como os hackerspaces são mantidos por doações da comunidade e dos frequentadores do espaço, o isolamento social causou uma queda abrupta na arrecadação. Além de mensalidades, a comunidade costumava contribuir com doações esporádicas, com uma pequena receita na compra de comes e bebes enquanto frequentavam o espaço, e na compra de recordações, como camisetas e adesivos. Quando você depende de doações, cada centavo conta.

Espaços vazios continuam tendo contas para pagar - principalmente o aluguel do espaço, a maior despesa que os hackerspaces costumam ter. E manter o controle das contas sempre foi um desafio para todos os hackerspaces, mesmo antes da pandemia.

Nesse cenário de atual, aonde ainda não conseguimos ter perspectivas de melhora, diversos hackerspaces optaram por devolver sua sede, perdendo seu espaço. A expectativa é voltarem a alugar um espaço e retomar suas atividades quando a pandemia acabar (ou melhor, quando estiver sob controle e voltarmos a ter uma vida próxima ao normal que conhecíamos). Outros hackerspaces, como o Garoa em São Paulo e o LHC em Campinas, continuam lutando para manter sua sede, graças a contribuições da comunidade e, as vezes, com ajuda de uma pequena reserva financeira.

  

É claro que existem prioridades pessoais e até mesmo sociais muito relevantes atualmente, quando vivemos um cenário de crise econômica, perda de empregos e fechamento generalizado dos pequenos comércios. Mais do que nunca, a sociedade precisa se unir numa corrente de apoio e, sempre que possível, ajudar os menos afortunados.

Mas, se sobrar um pequeno dinheirinho, não custa pedir: ajude o hackerspace da sua cidade. <3

A propósito, se você puder colaborar com o Garoa Hacker Clube, o primeiro hackerspace brasileiro localizado em São Paulo, veja aqui como contribuir. Ou siga o QR Code abaixo:



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.