novembro 30, 2022

[Segurança] Turma da Mônica e a proteção de dados

A Turma da Mônica lançou um gibi especial sobre proteção de dados, disponível online e gratuitamente.

O gibi tem 23 páginas, contando a capa e duas páginas com "passatempos". A estória está dividida em duas partes: no início fala sobre a  importância da privacidade e sobre a LGPD, e a segunda metade aborda algumas dicas de segurança e fala sobre os direitos dos titulares dos dados. O roteiro é bem caprichado

Segundo uma reportagem no TecMundo, o gibi foi produzido graças a uma parceria da Maurício de Sousa Produções com a Google e em 2023 deve ser produzida uma versão impressa para distribuição gratuita m escolas e instituições de ensino.

Em tempo... vale a pena dar uma olhada na coleção de gibis temáticos na página de "Revistas Especiais".

Veja mais:

novembro 29, 2022

[Humor] A seleção do ciber crime

Assim como podemos criar uma seleção para o time de cibersegurança, os cibercriminosos também tem seu time especializado, que pode competir de igual para igual contra o time da galera do bem.

Na minha opinião, o time dos ciber criminosos seria formado mais ou menos assim:

  • Cartola: Crime Organizado
  • Técnico: Líder da quadrinha
  • Ataque
    • Carders
    • Phishers
    • Operadores de Ransomware
  • Meio de Campo
    • Desenvolvedores de malware
    • Criadores de páginas falsas
    • Conteiros
    • Centrais telefônicas do crime
    • Looters
  • Defesa
    • Fóruns underground
    • Bullet proof hosts
  • Goleiro: Operadores de lavagem de dinheiro e criptomoedas
Tenho algumas observações sobre a lista acima:
  • "Phishers" são os criminosos especializados em realizar ataques de phishing;
  • Conteiros são os criminosos responsáveis por criar ou conseguir de terceiros as "contas laranja" e "contas ponte" usadas para receber os pinheiros desviados nas fraudes e golpes;
  • Eu coloquei no meio de campo uma categoria bem especial de ciber criminosos, os "looters". Eles existem aos montes, oferecendo serviços e golpes mas, na verdade, somem após receberem o pagamento, sem entregar nada. Ou seja, representam o famoso "ladrão que engana ladrão". É comum encontrar looters em fóruns criminosos, oferecendo a venda de dados de cartões e contas laranja, por exemplo. Outro tipo muito especial de looter que vemos bastante atualmente é aquele golpista que oferece ganhos vantajosos em transações PIX, promovendo um suposto "bug no PIX" ao mandar dinheiro para uma chave específica (a do criminoso, claro) ou prometendo mandar de volta uma quantia maior do que a enviada (por exemplo, manda 100 reais e ganharia 500 de volta);
  • Os fóruns cibercriminosos já não são mais "tão underground" hoje em dia. Por mais que ainda existam muitos fóruns ativos na deep web, atualmente é muito comum a troca de mensagens e serviços entre criminosos em redes sociais e aplicativos de comunicação. Aqui no Brasil, o mais comum e frequente é encontrar grupos de ciber criminosos no Telegram. O Facebook e WhatsApp também tem grupos aonde os criminosos negociam todo tipo de serviço;
  • Eu indiquei como "bullet proof hosts" para generalizar um grande conjunto de serviços de infraestrutura tecnológica que são utilizados por grupos criminosos mais sofisticados para realizar suas operações. Nesse grupo incluem, por exemplo, "provedores seguros" (que podem oferecer hospedagem de sites) e diversos serviços de anonimização, desde o uso de Proxys, VPNs e rede TOR, até mesmo serviços para ocultar sua identidade ao registrar um domínio falso.
Para saber mais:
PS: Pequenos ajustes feitos em 08/12.

novembro 28, 2022

[Humor] A seleção da segurança

Já que estamos na época da Copa do Mundo de futebol, que tal aproveitar o embalo para pensar como seria formada a nossa seleção do time de segurança?

Eu acredito que o time seria escalado mais ou menos assim:

  • Cartola: CISO
  • Técnico: Governança
  • Ataque
    • Red Team
  • Meio de Campo
    • AppSec / DevSecOps
    • Engenharia de Segurança
    • Gestão de Identidade e Acessos
    • SecOps
  • Defesa
    • Analistas Forense
    • Bug Bounty
    • Compliance
    • Conscientização
    • SOC
  • Goleiro: CSIRT
PS:


novembro 25, 2022

[Segurança] Principais notícias de segurança em Outubro de 2022

Nesse mês eu atrasei bastante, mas antes tarde do que nunca... segue aqui minha lista com as principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar principalmente em notícias relacionadas a ameaças, ciber ataques, fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu considero mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/10/2022 - Programa de Bug Bounty do Pentágono descobre 350 Vulnerabilidades (em inglês) (Data Breach Today)


03/10/2022 - Hackers vazam dados de escola infantil em LA (Los Angeles) após ataque de Ransomware (em inglês) (PCMag)

03/10/2022 - Hotéis Shangri-La atingidos por incidente de vazamento de dados (em inglês) (Data Breach Today)

A luxuosa rede hoteleira asiática Shangri-La Group enfrentou um incidente de violação de dados que pode afetar centenas de milhares de hóspedes. O hotel detectou acesso não autorizado ao seu banco de dados de hóspedes em julho, mas não notificou os hóspedes ou reguladores até setembro.

03/10/2022 - Ataques de ransomware a sistemas Linux aumentam 75% (CISO Advisor)

03/10/2022 - Perfis falsos de CISO no LinkedIn visam Fortune 500s (Minuto da Segurança)

Alguém criou recentemente um grande número de perfis falsos no LinkedIn para cargos de Chief Information Security Officer (CISO) em algumas das maiores corporações do mundo. Não está claro quem está por trás dessa rede de CISOs falsos ou quais podem ser suas intenções. Mas as identidades fabricadas do LinkedIn estão confundindo os resultados dos mecanismos de pesquisa para funções de CISO em grandes empresas.

03/10/2022 - Ferrari atacada por Ransomware, hackers vazam 7TB de dados (em inglês) (Cyber News)

04/10/2022 - Paige Thompson, hacker da Capital One, é condenada a pena de prisão (em inglês) (Data Breach Today)

A hacker condenada pelo vazamento de dados da Capital One, Paige Thompson, recebeu uma sentença de prisão e cinco anos de liberdade condicional após sua condenação em junho nos tribunais federais dos EUA por cinco crimes e duas contravenções. Thompson deverá prestar 50 horas de serviço comunitário a cada ano durante a liberdade condicional, ficando sujeita a monitoramento por três anos restrita a sua casa, e seu uso de computadores e internet estará sujeito a monitoramento federal.

04/10/2022 - Lazarus explora bug no driver da Dell usando o rootkit FudModule (CISO Advisor)

05/10/2022 - 10 mil brasileiros são vítimas de malware que rouba criptomoedas e cartões (Convergência Digital)

05/10/2022 - PCDF deflagra operação contra golpes eletrônicos no Rio de Janeiro (Correio Braziliense)

Policiais civis de Brasília (DF) e do Rio de Janeiro deflagraram a operação Ouro de Tolo, onde foram cumpridos 31 mandados judiciais A operação busca uma organização criminosa que montou uma empresa de fachada que funcionava com um call center assediando pessoas em todo o Brasil, oferecendo créditos consignados. Os criminosos ligavam para pessoas que já possuíam créditos consignados e ofertavam a portabilidade para outro banco com supostas taxas de juros e parcelas menores. A vítima era induzida a aceitar a oferta e fornecer toda a documentação. A abordagem era facilitada pelo uso de dados pessoais vazados. Os golpistas obtinham um novo empréstimo no nome da vítima, que acabava com duas dívidas: a original e a nova, adquirida de forma fraudulenta. Todo o esquema movimentou cerca de R$ 3,5 milhões, segundo a PCDF.

05/10/2022 - Hackers de língua russa derrubam sites de governos estaduais nos EUA (em inglês) (CNN)

05/10/2022 - 10 mil brasileiros são vítimas de malware que rouba criptomoedas e cartões (Convergência Digital)

Pesquisadores da Kaspersky descobriram uma nova campanha de propagação do NullMixer, um malware que rouba credenciais, endereço, dados de cartões de crédito, criptomoedas e contas do Facebook e da Amazon. Ao tentar fazer o download de um software, a partir de sites de terceiros, cerca de 10 mil brasileiros foram infectados. O NullMixer é ativamente distribuído por cibercriminosos através de sites que oferecem programas piratas de computador e ativadores para baixar um software ilegalmente.

05/10/2022 - Aposentada perde R$ 208 mil pensando que namorava Johnny Depp (TecMundo)

05/10/2022 - Telstra Telecom sofre violação de dados potencialmente expondo informações de funcionários (em inglês) (Data Breach Today)

A maior empresa de telecomunicações da Austrália, Telstra, divulgou que foi vítima de uma violação de dados por meio de terceiros, quase duas semanas depois que a empresa de telecom Optus também relatou sua própria violação.

06/10/2022 - Brasil é o país mais atacado pelo infostealer NullMixer (CISO Advisor)

06/10/2022 - PF faz megaoperação contra rei das criptomoedas que movimentou R$ 4 bi (Metrópoles)

06/10/2022 - Banco BRB sofre ataque de ransomware e acaba chantageado (TecMundo)

O Banco de Brasília (BRB) sofreu um ataque do ransomware LockBit e lida com chantagem de cibercriminosos, que pedem cerca de 50 Bitcoins (BTC) para não vazarem o que foi acessado ao público - equivalente a cerca de R$ 5,2 milhões.

06/10/2022 - Ex-chefe de segurança da Uber considerado culpado por encobrir violação de dados (em inglês) (The Hacker News)

O júri do tribunal federal dos EUA considerou o ex-diretor de segurança da Uber Joseph Sullivan culpado por não divulgar aos reguladores a violação de dados de clientes e motoristas em 2016 e tentar encobrir o incidente. Ele enfrenta um máximo de oito anos de prisão. O ataque a Uber, em 2016, foi fruto de dois hackers que obtiveram acesso não autorizado aos backups de banco de dados da empresa, o que levoiu a empresa a pagar secretamente um resgate de US$ 100.000 em troca da exclusão das informações roubadas.

07/10/2022 - Hacker explora bug para roubar milhões da Binance Bridge (em inglês) (Data Breach Today)

A maior exchange de criptomoedas do mundo suspendeu a negociação em uma blockchain de contrato inteligente depois que um hacker levou pelo menos US$ 100 milhões em criptomoedas roubadas. Observadores independentes estimam que o ataque à Binance Smart Chain rendeu ao hacker US$ 586 milhões. Embora o ataque envolveu a retirada de dois milhões de tokens BNB em duas transações, foi possível suspender a cadeia e impedir o roubo de quase US$ 430 milhões em criptomoedas.

07/10/2022 - Facebook detecta 400 aplicativos Android e iOS roubando credenciais de login de usuários (em inglês) (The Hacker News)


09/10/2022 - Incidente tirou do ar programação ao vivo da Rede Record (CISO Advisor)

Graças a um um ataque cibernético, a rede de TV Record suspendeu repentinamente a transmissão do programa jornalístico “Fala Brasil”, assando a transmitir um episódio da série infantil “Todo Mundo Odeia o Chris”. Os equipamentos da Record foram contaminados pelo ransomware BlackCat/AlphaVM e o ataque teria começado na sexta-feira dia 7/10 e na manhã do dia seguinte, 08/10 (sábado), a emissora foi obrigada a suspender sua revista matinal pois não era mais possível acessar o material da redação. Os criminosos pediram um resgate equivalente a US$ 5 milhões em criptomoedas. Segundo notícias, enquanto o time de tecnologia tentava recuperar a operação, a direção da Record discutia a possibilidade de pagamento. Os programas ao vivo da emissora foram interrompidos em um primeiro momento, mas posteriormente mantidos no ar graças ao empenho de toda a equipe, utilizando mídias físicas e reprises de programas e notícias., visto que muito conteúdo gravado recentemente estava indisponível. Porém, era visível ao público algumas falhas e até mesmo a simplicidade em alguns conteúdos, como os GC’s dos telejornais, que estão sendo feitos sem qualquer animação gráfica, como era de costume. Os invasores também sequestraram a intranet da emissora, além de arquivos, do correio eletrônico e do sistema interno de mensagens. Alguns dias depois, os criminosos começaram a vazar alguns documentos sigilosos da Record e de seus funcionários na dark web, incluindo uma planilha digitalizada com os gastos detalhados do grupo Record, documentos sigilosos de faturamento com publicidade e do departamento jurídico, além do passaporte digitalizado de uma estrela da emissora, a apresentadora Ana Hickmann.

09/10/2022 - Transmissão da TV oficial do Irã invadida com protesto (CISO Advisor)

09/10/2022 - Funcionário holandês demitido por empresa dos EUA por desligar a webcam recebe € 75.000 em tribunal (em inglês) (NL Times)

09/10/2022 - Mercado da Darkweb BidenCash distribui gratuitamente 1,2 milhão de cartões de crédito (em inglês) (Bleeping Computer)

10/10/2022 - Falta de cibersegurança pode minar o futuro do Metaverso (CISO Advisor)

10/10/2022 - Sites de aeroportos dos EUA visados pelo grupo russo KillNet (em inglês) (The Hacker News)

10/10/2022 - Quase 300 mil informações de clientes da Toyota vazaram (TecMundo)

A Toyota confirmou a descoberta do vazamento de cerca de 296.019 informações de clientes do serviço T-Connect, que se inscreveram no portal desde julho de 2017.. Os dados incluem endereços de e-mail e números dos usuários do serviço que conecta os veículos a uma rede. Segundo a montadora, acidentalmente um empreiteiro que desenvolveu o site do serviço T-Connect carregou partes do código-fonte com configurações públicas de dezembro de 2017 até 15 de setembro deste ano.

10/10/2022 - Intel confirma vazamento do código-fonte da BIOS Alder Lake (em inglês) (The Hacker News)

A fabricante de chips Intel confirmou que o código-fonte proprietário relacionado a suas CPUs Alder Lake foi vazado por um terceiro desconhecido no fórum 4chan e no GitHub. O conteúdo publicado o código em formato Unified Extensible Firmware Interface (UEFI) do Alder Lake, processador de 12ª geração da empresa.

11/10/2022 - Bancos belgas podem ter plantão 24h para phishing (CISO Advisor)

11/10/2022 - Ataques DDoS se multiplicam e crescem 19% no 1º semestre na América Latina (Convergência Digital)

11/10/2022 - Mulher perde R$ 160 mil ao acreditar que namorava astronauta (TecMundo)

11/10/2022 - JPMorgan diz que não está vendo nenhum impacto de suposto ciberataque (em inglês) (Reuters)

O JPMorgan Chase & Co informou que estava ciente de relatos de que o grupo de hackers Killnet havia bloqueado a infraestrutura de rede do banco, mas a empresa relata que não viu nenhum impacto em suas operações.

12/10/2022 - O que é o golpe do 'abate do porco', que manipula vítimas e esvazia suas contas bancárias (Correio Braziliense)

12/10/2022 - Como drones espiões Wi-Fi espionaram uma empresa financeira (em inglês) (The Register)

Pesquisadores de segurança relataram um incidente recente contra uma empresa financeira da Costa Leste dos EUA, focada em investimentos privados, aonde drones foram utilizados para tentar invadir a rede da empresa. O incidente foi descoberto quando a empresa detectou atividades incomuns em sua página interna do Atlassian Confluence, que se originam na rede da empresa. Mas, ao investigar os acessos, os analistas de segurança rastrearem o sinal e foram levados ao telhado do prédio, onde encontraram uma versão modificada do drone DJI Matrice 600 e outra versão modificada do DJI Phantom. Os drones possuíam uma versão modificada do dispositivo Pineapple e um Raspberry Pi, e foram usados para interceptar credenciais WiFi de um colaborador e penetrar na página interna do Confluence da empresa, a fim de acessar as credenciais armazenadas para entrar em outros dispositivos. 

12/10/2022 - Plataforma de negociação de criptomoedas Mango Markets drena mais de US$ 100 milhões em ataque de empréstimo em flash (em inglês) (The Record)

13/10/2022 - Roubo de protocolos DeFi já totaliza US$ 718 milhões no ano (CISO Advisor)

13/10/2022 - DDoS contra servidor de game atingiu 2,5 Tbps (CISO Advisor)

Uma variante do botnet Mirai lançou um ataque distribuído de negação de serviço (DDoS) que atingiu um pico de 2,5 terabytes por segundo (Tbps). A Cloudflare descreveu esse ataque como o maior já registrado em sua rede. O ataque foi direcionado a um servidor Minecraft chamado Wynncraft e envolveu flooding de UDP e TCP.

13/10/2022 - Aplicativo WhatsApp modificado é identificado infectando dispositivos Android com malware (em inglês) (The Hacker News)

Uma versão não oficial do popular aplicativo de mensagens WhatsApp, chamada YoWhatsApp, foi identificada implantando um trojan Android conhecido como Triada. Segundo pesquisadores da Kaspersky, o objetivo do malware é roubar as chaves que permitem o uso de uma conta do WhatsApp sem o aplicativo e, assim, permitir o controle da conta da vítima.

13/10/2022 - RansomExx vaza 52 GB de dados dos centros de saúde de Barcelona (em inglês) (Data Breach Today)

14/10/2022 - Shein é multada em R$ 10 mi por não avisar clientes sobre vazamento (Tecmundo)

14/10/2022 - Por roubos, Nubank restringe uso do PIX à rede Wi-Fi segura fora de casa (Convergência Digital)

O Nubank lançou, em fase de testes, uma nova funcionalidade, batizada 'Modo Rua', que permite limitar o valor de transações via Pix, TED e boleto realizadas fora de casa. Segundo a fintech, o objetivo é conferir maior segurança aos correntistas em casos de roubo de celulares.

14/10/2022 - Ataques DDoS com BitTorrent aumentaram 1200% no 2º trimestre (Convergência Digital)

14/10/2022 - Nova campanha de ransomware "Prestige" ataca Ucrânia e Polônia (em inglês) (The Record)

14/10/2022 - Empresa indiana de energia Tata Power anuncia ataque cibernético que afeta infraestrutura de TI (em inglês) (The Record)

O grupo The Hive, especializadp em ransomware-as-a-service (RaaS), assumiu a responsabilidade por um ataque cibernético contra a Tata Power. Após alguns dias, os atacantes começaram a vazar parte dos dados roubados da empresa, que foram exfiltrados antes de criptografar a rede como parte de seu esquema de extorsão dupla.

14/10/2022 - Agentes secretos da polícia australiana expostos em vazamento de dados colombianos (em inglês) (Bleeping Computer)

14/10/2022 - Não tão rápido: varejista Shein multado em US $ 1,9 milhão por encobrimento de invasão (em inglês) (Data Breach Today)

A gigante de roupas de moda rápida Shein foi multada em US$ 1,9 milhão pelo procurador-geral do estado de Nova York por várias falhas relacionadas a uma enorme violação de dados em 2018, incluindo segurança de senha abaixo do padrão, além de não alertar usuários ou forçar redefinições de senha em tempo hábil.


18/10/2022 - Polícia na Europa prende 21 por hackear e roubar automóveis (em inglês) (Data Breach Today)

18/10/2022 - Cliente tem conta invadida e PicPay orienta a procurar o CVV para ajudá-la (Tecnoblog)

18/10/2022 - ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais” (ANPD)

A Autoridade Nacional de Proteção de Dados (ANPD) lançou o guia orientativo “Cookies e Proteção de Dados Pessoais”, elaborado com o objetivo de orientar os agentes de tratamento sobre as boas práticas na área, além de traçar um panorama geral sobre o assunto, abordando desde questões mais conceituais como a classificação desta tecnologia de acordo com diversos parâmetros, até pontos mais técnicos como as boas práticas a serem observadas na sua utilização em sites eletrônicos. 

18/10/2022 - Malware que rouba informações mira contas do Facebook (CISO Advisor)

Uma nova campanha de phishing por hackers vietnamitas está espalhando o malware Ducktail, de roubo de informações. Escrito em PHP, ele é usado para furtar contas do Facebook, dados do navegador e carteiras de criptomoedas. Essas campanhas se basearam em ataques de engenharia social por meio do LinkedIn, com o malware disfarçado de um documento PDF supostamente contendo detalhes sobre um projeto de marketing. As informações roubadas são exfiltradas para um canal privado do Telegram.

18/10/2022 - Ransomware trava jornais regionais na Alemanha (CISO Advisor)

19/10/2022 - Após ataque hacker, Unimed Belém tem problemas no sistema (Tecmundo)

A Unimed Belém pode ser mais uma vítima de ataque cibernético envolvendo ransomware. Após confirmar uma tentativa de invasão, a instituição sofreu instabilidades em seu sistema. Na semana seguinte, o grupo responsável pelo ataque, que usou o ransomware RansomExx, publicou na dark web informações que teriam sido roubadas da Unimed Belém - uma amostra de 12 arquivos compactados com documentos de um total de cerca de 5,6 GB de dados.

19/10/2022 - PF prende brasileiro suspeito de integrar organização criminosa internacional (Polícia Federal)

A Polícia Federal prendeu em Feira de Santana, BA, o principal investigado brasileiro suspeito de integrar o grupo cibercriminoso LAPSUS$, como parte da Operação Dark Cloud, deflagrada em agosto deste ano. O grupo realizou diversos ataques cibernéticos, especialmente os praticados no final de 2021, contra o Ministério da Saúde e dezenas de outros órgãos e entidades do Governo Federal, entre os quais também o Ministério da Economia, Controladoria-Geral da União e a Polícia Rodoviária Federal.

19/10/2022 - Medibank admite roubo de dados pessoais em ataque cibernético (em inglês) (ABC News)

20/10/2022 - Lana Del Rey tem notebook com músicas inéditas e livro roubado (Tecmundo)

20/10/2022 - Interferência no aeroporto de Dallas tirou precisão de GPS (CISO Advisor)

20/10/2022 - BlueBleed: vazamento de dados de clientes da Microsoft pode ser 'um dos maiores' em anos (em inglês) (The Register)

A Microsoft confirmou que um de seus próprios sistemas de nuvem, mal configurado, levou à exposição de informações do clientes. O Security Response Center (MSRC) da Microsoft foi notificado pela empresa de inteligência de ameaças SOCRadar sobre um endpoint mal configurado, com seis grandes buckets públicos, que expôs dados de transações comerciais relacionados a interações entre a Microsoft e seus clientes, incluindo o planejamento ou potencial implementação e provisionamento de serviços da Microsoft. Os pesquisadores do SOCRadar disseram que a configuração incorreta da Microsoft expôs dados confidenciais de mais de 150.000 empresas em 123 países, incluindo documentos de prova de execução, informações do usuário, ofertas e pedidos de produtos, detalhes de projeto e dados pessoais (PII). Os documentos também podem ter revelado propriedade intelectual, afirmou a empresa. O incidente foi batizado de BlueBleed.

20/10/2022 - Agência Nacional de Proteção de Dados transformada em autarquia (Minuto da Segurança)

20/10/2022 - Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo (Minuto da Segurança)

20/10/2022 - E-commerce: tentativas de fraude crescem 4,5 vezes até agosto (CISO Advisor)

Entre janeiro e agosto deste no foram registradas quase 13 milhões de tentativas de fraudes no comércio eletrônico brasileiro, segundo o Censo da Fraude, da Konduto. O número de pedidos analisados no período foi 71% maior em relação ao mesmo período do ano passado. Já o número de tentativas de compras “fakes” barradas foi, proporcionalmente, 4,5 vezes maior que o registrado nos primeiros oito meses de 2021.

20/10/2022 - Rompimento de fibra na França afeta internet em todo o mundo (CISO Advisor)



24/10/2022 - McAfee: apps maliciosos somam 20 milhões de downloads no Android (Tecmundo)

A McAfee identificou 16 apps maliciosos do estilo "clicker" que estavam disponíveis na Google Play, do Android. Juntos, eles somaram mais de 20 milhões de downloads e estavam agindo de maneira oculta nos celulares das pessoas que, após infectados, clicam em anúncios automaticamente no celular de maneira "invisível" para o usuário.

24/10/2022 - Especialistas alertam sobre os riscos que envolvem o Pix parcelado (Correio Braziliense)

24/10/2022 - Malware de ponto-de-venda roubou dados de 167 mil cartões (CISO Advisor)

Desde pelo menos fevereiro de 2021 até o dia 8 de setembro de 2022, os operadores de dois malwares específicos para terminais PDV (ponto-de-venda ou POS na sigla em inglês) roubaram mais de 167.000 registros de pagamento, principalmente de varejistas dos EUA. De acordo com as estimativas do Group-IB, que descobriram o problema, esses cibercriminosos podem ganhar até US$ 3.340.000 se venderem os dados de cartões comprometidos em fóruns clandestinos.




28/10/2022 - Interpol faz alerta sobre o crescimento de crimes no metaverso (Tecmundo)

28/10/2022 - Com golpes “amorosos” na moda, apps de namoro tentam barrar criminosos (Olhar Digital)

28/10/2022 - Esses aplicativos dropper na Play Store visam mais de 200 carteiras bancárias e de criptomoedas (em inglês) (The Hacker News)

Cinco aplicativos Android contendo dropper maliciosos com mais de 130.000 instalações foram descobertos na Google Play Store, distribuindo trojans bancários como SharkBot e Vultur, que são capazes de roubar dados financeiros e realizar fraudes no dispositivo. Os alvos desses droppers incluem 231 aplicativos bancários e de criptomoedas de instituições financeiras na Itália, Reino Unido, Alemanha, Espanha, Polônia, Áustria, EUA, Austrália, França e Holanda.

28/10/2022 - ThermoSecure: agora é possível quebrar senhas usando o calor dos dedos nos teclados (Minuto da Segurança)

28/10/2022 - Como a senha "pizza123" pode derrubar uma organização (em inglês) (Bleeping Computer)

Ciber criminosos assumiram a responsabilidade por uma invasão recente da FastCompany, dizendo que exploraram uma senha padrão facilmente adivinhada, "pizza123". A revista de negócios reutilizou a senha fraca em uma dúzia de contas do WordPress, de acordo com os hackers, que descreveram o ataque em seu próprio artigo no FastCompany.com antes da publicação derrubar o site.

30/10/2022 - Violações de dados aumentaram 70% globalmente no 3º trimestre (CISO Advisor)

Segundo um estudo da empresa de segurança Surfshark, um total de 108,9 milhões de contas foram violadas no terceiro trimestre, o que representa um aumento de 70% em relação ao trimestre anterior. Os cinco principais países e regiões mais afetados por violações de dados no período foram Rússia, França, Indonésia, EUA e Espanha. Enquanto a Rússia teve o maior número de violações no geral (22,3 milhões), a França registrou a maior densidade de violações, com uma média de 212 contas vazadas por mil pessoas.

31/10/2022 - Samsung: bug no Galaxy Store permitia controle remoto de hackers em aparelhos (Olhar Digital)

O aplicativo Galaxy Store, disponível para aparelhos da marca, estava com uma falha de segurança, que poderia desencadear a execução de comandos remotos nos telefones afetados. Esse bug afetava a versão 4.5.32.4 da Galaxy Store, e está associado a um erro de “cross-site scripting” (XSS) que ocorre ao lidar com determinados links diretos.

31/10/2022 - Ciberataque atinge gigante alemão de fabricação de cobre (em inglês) (Data Breach Today)

Veja também o vídeo dos incidentes do mês de outubro de 2022 produzido pela CECyber. Neste mês, eles não podiam deixar de comentar sobre o ciber ataque Record TV, e destacaram também a prisão do brasileiro suspeito de fazer parte do grupo Lapsus$, correções da Oracle, o vazamento de dados da Microsoft Azure (BlueBleed) e o ataque de ransomware à Pendragon. Confira o vídeo abaixo:


Veja também:
PS: Atualizado em 14/12.

novembro 22, 2022

[Segurança] Cuidado com a Black Fraude

A próxima sexta-feira, 25 de novembro, acontece novamente a Black Friday, ou "Black Fraude' como já se popularizou aqui na boca do povo. A Black Friday no Brasil teve sua primeira edição em 2010 e, desde então, vem sendo uma das principais ações dentro do varejo e já é a data com maior volume de vendas durante o ano – inclusive para o e-commerce. De acordo com um levantamento do Mercado Livre, as vendas na Black Friday 2022 tem expectativa de crescimento em 20% em vendas quando comparado com a edição do ano passado.

A Black Friday é uma data que surgiu nos Estados Unidos nos anos 1980/1990, e é comemorada na quarta sexta-feira de novembro, pois está associada ao feriado de Ação de Graças (Thanksgiving), que acontece na quarta quinta-feira de Novembro. Por sinal, o Dia de Ação de Graças é o feriado mais importante na cultura dos EUA, algo equivalente ao que é o Natal para nós. A Black Friday foi criada para permitir, ao comércio, aproveitar esse feriado para alavancar as vendas no final de ano e, principalmente, limpar o estoque e encher os caixas para os comerciantes renovarem suas mercadorias para o período de festas (Natal e Ano Novo). Nos Estados Unidos a data é levada a sério pelo comércio e os descontos são bem agressivos, atraindo multidões para as lojas. Posteriormente também surgiu a Cyber Monday, na primeira segunda-feira após a Black Friday, voltada para promoções no e-commerce.

A grande popularidade da Black Friday nos EUA chamou a atenção de outros países, que começaram a realizar sua própria edição do evento. Aqui no Brasil, a primeira Black Friday aconteceu em 2010, e desde então cresceu rapidamente. Mas, aqui no Brasil o pessoal criou algumas aberrações como a "Black Friday antecipada", "Esquenta Black Friday", "Black Week" e até mesmo a "Black November", com objetivo de extender a temporada de promoções e aumentar as vendas. Ou seja, na falta de um contexto cultural, a Black Friday virou um simples sinônimo de "descontos no comércio".

Esse período exige um cuidado e atenção bem especial, graças ao aumento de golpes aproveitando a euforia e a empolgação dos consumidores provocadas pela data. Dentre os diversos riscos para as empresas e consumidores, eu destaco dois que considero serem os mais importantes, e que atingem justamente a parte mais vulnerável, o usuário final:

  • Falsas promoções nas lojas, o famoso "tudo pela metade do dobro do preço". Infelizmente, existem lojistas mal intencionados que aumentam artificialmente o preço de seus produtos para oferecer um falso desconto no dia da Black Friday. Pode acontecer, inclusive, do valor da mercadoria com o suposto desconto ser maior do que o seu preço original. Por isso, nunca confie em qualquer anunciou de oferta, e sempre pesquise o histórico de preços ou o preço em outras lojas antes de comprar;
  • Anúncios falsos de promoções, que direcionam os consumidores para sites ou perfis falsos em redes sociais. Tais avisos prometem grandes descontos em mercadorias específicas e direcionam a vítima para um site falso, aonde ela pensará que está fazendo a compra, mas na verdade, estará simplesmente cedendo seus dados pessoais e de pagamento para o fraudador. A mercadoria nunca vai ser entregue - e pior ainda se o pagamento for por PIX, pois a vítima não conseguirá recuperar seu dinheiro.

As principais dicas de segurança são as mesmas de sempre, que podemos reduzir em uma simples palavra: "desconfie". Mas veja também um resumo das dicas compartilhadas pela Febraban:

  • Cuidados com compras online
    • Dê preferência aos sites conhecidos para as compras e verifique a reputação de sites não conhecidos em comentários de clientes que já utilizaram as plataformas;
    • Nunca use um computador público ou de um estranho para efetuar compras. Sempre utilize seu computador ou smartphone, com softwares e aplicativos originais e com um antivírus atualizado;
    • Desconfie quando o e-commerce possui poucas formas de pagamento (principalmente se receber apenas por PIX);
  • Atenção nas redes sociais
    • Golpistas criam perfis de lojas famosas e patrocinam posts nas redes sociais para enganar o consumidor. Verifique se a página tem selo de autenticação, número de seguidores compatíveis e também comentários de outros compradores;
    • Desconfie das promoções cujos preços sejam muito menores que o valor real do produto;
    • Nunca preencha formulários com dados pessoais para ter acesso às promoções da Black Friday;
  • Fique atento na hora de pagar
    • Sempre confira com atenção todos os dados do pagamento e se a loja escolhida é realmente quem irá receber o dinheiro. Se o nome for diferente da marca ou empresa onde a compra foi feita, não faça a transferência;
    • Dê preferência para usar os cartões virtuais para fazer suas compras online;
    • Nas compras presenciais, sempre confira o valor na maquininha de cartão antes de digitar a sua senha;
  • Cuidados com links
    • Cuidado com “links falsos patrocinados” cadastrados pelos fraudadores em sites de busca. Sempre verifique se o nome do site realmente corresponde a loja que você quer visitar;
    • Tenha muito cuidado com e-mails de promoções. Acesse o site digitando o endereço no navegador em vez de clicar nos links da mensagem;
    • Fique atento ao e-mail do remetente. Empresas de grande porte não utilizam contas privadas como @gmail ou @hotmail, por exemplo;
  • Outras dicas do Anchises:
    • Regra de ouro: sempre desconfie!!
      • Se for comprar em uma loja que você não conhece, verifique a reputação no Reclame Aqui;
      • Antes de comprar, pesquise o preço da mercadoria pelo google e veja também;em o histórico de preços;
    • Já tenha determinado que itens você quer comprar na Black Friday (ex, uma TV nova para a sala e um aspirador de pó) e pesquise bastante o preço, para você identificar quando aparecer uma oferta verdadeiramente vantajosa;
    • Cuidado com falsas mensagens de confirmação de compra ou de pis realizado. Elas costumam te direcionar para um site falso ou para um telefone que será atendido por um falso funcionário da loja. Sempre vá no site original da empresa e busque os canais oficiais de suporte.

Veja mais algumas dicas nesse meu post.

Recentemente eu tive um bate-papo com a Marina Ciavatta no "Papo Cabeças" da Hekate, falando sobre a Black Fraude e Cyber Monday. Vale a pena assistir o vídeo:

OBS (adicionado em 12/12): Olha que vídeo legal do Nubank sobre os golpes na Black Friday:

Para saber mais:

PS: Pequena atualização em 25/11 e também em 01, 08 e 12+14/12.

novembro 18, 2022

[Carreira] Cadê as pessoas negras em tecnologia?

O dia 20 de Novembro foi escolhido para celebrar o Dia da Consciência Negra, uma data escolhida pois marca a morte de Zumbi dos Palmares, em 1695. Zumbi é uma figura histórica importante e representa um dos maiores líderes negros do Brasil, que lutou pela libertação do seu povo contra a escravidão.

Portanto, essa é uma data para refletirmos sobre o racismo estrutural existente e a inserção das pessoas negras na nossa sociedade. No nosso caso, devemos aproveitar esse momento para questionarmos aonde estão as pessoas negras no mercado de tecnologia da informação e de segurança!

Mesmo no campo das ciências excatasm em geral, poucas pessoas negras conseguem ganhar destaque. Por exemplo, quantas pessoas negras você conseguiria apontar no campo das áreas exatas, além do cientista Neil deGrasse Tyson?

Mas a história tem vários casos muito interessantes, todos com algo em comum: a dificuldade e perseverança para "furar a bolha" criada pelo racismo estrutural. Por exemplo, em 1945, a curitibana Enedina Alves Marques foi a primeira mulher a se formar em engenharia no estado e a primeira engenheira negra do Brasil, ao conquistar o diploma na Universidade Federal do Paraná.

Segundo uma pesquisa da Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom) divulgada pela Forbes, realizada em 2019 sobre formação educacional e empregabilidade em TIC, apenas 30% da força de trabalho no setor de tecnologia é formada por profissionais negros, pardos ou indígenas (11% mulheres e 19% homens). Considerando que a população negra brasileira representa 56,10% do total, a diferença é muito grande.

Nas startups brasileiras, cerca de um terço (31,2%) sequer possui profissionais negros em seu quadro de colaboradores, enquanto apenas 3,3% dos cargos de Diretoria e Conselho Administrativo são ocupados por negros e 0,8% por negras.

Um levantamento do coletivo Potências Negras, divulgado pelo Valor, identificou que os principais motivos para os negros não terem interesse em estudar na área de Tecnologia incluem não enxergar oportunidades (29%), não dominar o inglês (21%) e o elevado investimento (15%). Além disso, as pessoas negras ganham salário menor: a renda média familiar dos negros é R$ 6.469, enquanto para brancos é R$ 9.728.

A ótima notícia é que existem algumas iniciativas bem legais para apoiar os profissionais negros. Afinal, mais do que uma "modinha", precisamos reparar um erro histórico e promover a redução das desigualdades sociais. Isso, inclusive, faz parte dos Objetivos de Desenvolvimento Sustentável da ONU: "empoderar e promover a inclusão social, econômica e política de todos, independentemente da idade, gênero, deficiência, raça, etnia, origem, religião, condição econômica ou outra".

Veja alguns exemplos de iniciativas bem legais:

Para saber mais:

novembro 17, 2022

[Segurança] HackShield Brasil

O pessoal do do Teckids - Programa de Proteção à Criança Online, lançou recentemente o HackShield Brasil, um jogo interativo onde crianças de 8 a 12 anos aprendem sobre os perigos da Internet e como detectar e se proteger.



O HackShield é um jogo online, divertido e cheio de ensinamentos a respeito da segurança digital, que foi idealizado para crianças de 8 à 12 anos - mas que pode ser aproveitado por toda a família. O jogo é totalmente gratuito, não há compras no aplicativo.

A iniciativa do HackShield não tem fins lucrativos e não se envolve em marketing infantil. O principal objetivo do projeto é disponibilizar o conhecimento para as crianças e adolescentes. Essa é uma iniciativa do Teckids, um programa de mentoria e educação em Segurança Digital voltado à Proteção da Criança Online.

Para começar a jogar, basta baixar o app no Android ou iPhine, ou acessar o site https://br.joinhackshield.com/pt-BR e clicar em "Jogue HackShield".

Em tempo... vale a pena conhecer também o Projeto SEC4KIDs, da IBLISS, um projeto para sensibilizar crianças e responsáveis em Cyber Segurança e Privacidade. O projeto criou atividades exclusivas para os pequenos a partir de 8 anos, através de contação de histórias, dinâmicas e rodas de conversa.

novembro 15, 2022

[Segurança] Criptografia para leigos

O pessoal do canal Manual do Mundo tem um vídeo bem legal, e curtinho, explicando os conceitos básicos de criptografia de forma bem didática. Baseado na necessidade de privacidade na troca de mensagens do Whatsapp, o Iberê explica o conceito de criptografia de ponta-a-ponta e criptografia assimétrica (com chaves públicas e privadas):


Em apenas 9 minutos, o vídeo dá uma explicação que ajuda qualquer leigo ter uma noção básica do que é a criptografia :)

PS: E vale a pena ler também a descrição do vídeo.

novembro 11, 2022

[Segurança] As Villages da BSidesSP

No dia 20/11, domingo, acontecerá a 17a edição da conferência Security BSides São Paulo (BSidesSP), um dos principais eventos de segurança e cultura hacker no Brasil. Essa é uma edição especial, realizada para após 2 anos de pandemia, e que por isso mesmo foge do nosso calendário tradicional (as BSidesSP anteriores foram realizadas em Maio, coladas com a conferência You Sh0t The Sheriff (YSTS).

E os preparativos estão a milhão...

A grade de palestras (provisória) já está no ar, e teremos 4 trilhas simultâneas de palestras, além de uma trilha com workshops (atividades um pouco mais longas e detalhadas, mais "mão na massa") e da competição de CTF, organizada em parceria com a Hackaflag. As atividades vão das 11h as 19h.

Além das trilhas de palestras, há várias edições passadas nós temos organizado também as "villages", que são espaços temáticos e organizados por comunidades específicas - a programação é totalmente feita pelos responsáveis pela village específica. Cada village tem uma sala dedicada, aonde pode realizar palestras, workshops, competições, etc. Isso nos permite aumentar bastante a oferta de conteúdo e de atividades, para atender os interesses dos diversos públicos que vem na BSidesSP. E não custa dizer que essa idéia foi copiada da DEFCON, que é um evento gigantesco e atualmente conta com cerca de duas dezenas de villages diferentes.

Nesta edição nós já temos confirmadas várias villages e atividades dedicadas:

  • Appsec Village; Organizada em parceria com a Nova8 Cybersecurity;
  • Cyber Woman Village: village organizada pelas comunidades Cyber Security GirlsWOMCY, com palestras apresentadas por mulheres e uma atividade de mentoria de carreira!
  • Biohacking Village: organizada pelo Raul Candido, do portal Hacker Culture, que é um grande entusiasta do tema (veja artigo aqui);
  • BSides 4 Kids: Espaço dedicado as crianças, com atividades para os hackers de amanhã. Contaremos com o apoio da Teckids e da IBLISS, que trarão diversas atividades educativas - para todas as idades; 
  • Capture the Flag (CTF) organizado em parceria com o Hackaflag;
  • Cloud Security Village: organizada pela Tenchi, a village vai ter uma grade completa de palestras e um CTF fornecido pelo pessoal da AWS;
  • Forense e OSINT Village: mais uma vez teremos uma village dedicada ao tema de perícia forense e investigação de crimes digitais, organizada pela Daryus. Neste ano, eles também vão trazer conteúdo sobre Threat Intelligence e OSINT, e também terão uma sala de palestras e outra de atividades, com competição de CTF temática;
  • Hacker Carreer Fair (HCF): Village dedicada a discussões sobre carreira, vai ser organizada pela Nova8 Cybersecurity;
  • Hardware Hacking Village: organizada pelo Garoa Hacker Clube, vai ter atividades de hardware hacking, robótica e lockpicking (com o apoio da Hekate).

A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países. O total de público esperado é de 1.200 pessoas.

A BSidesSP conta com o patrocínio da Hacker Rangers, IBLISS junto com a Cybeer Lab, da LogicalIT, da DaryusForcepoint e da Nova8 Cybersecurity, e com o apoio da BugHunt, da comunidade Cyber Security Girls, do Hackaflag, do Garoa Hacker ClubeHekateTenchiWOMCY.

Anote na sua agenda:

  • Quando: 20/11/2022 (domingo), das 10h as 19h
  • Site: https://securitybsides.com.br/2022/
  • Inscrições gratuitas (link)
  • Aonde: PUC-SP (Campus Consolação), Rua Marquês de Paranaguá, 111, Consolação, São Paulo, SP, CEP 01303-050 (ao lado da estação do metrô Higienópolis-Mackenzie - linha amarela)
Veja também:

PS: Pequena atualização em 14 e 19/11.

novembro 09, 2022

[Segurança] O ataque do Drone Hacker!

Segundo uma reportagem publicada no mês passado no jornal britânico The Register, um pesquisador de segurança chamado Greg Linhares relatou um caso ocorrido com uma empresa do ramo financeiro nos EUA, aonde dois drones foram utilizados para tentar invadir a empresa.

Segundo os relatos dos pesquisadores envolvidos, o incidente foi descoberto quando a empresa identificou atividades incomuns na página interna do Confluence (ferramenta de colaboração da Atlassian muito utilizada em empresas), originadas  de dentro da rede da empresa.

A equipe de segurança que respondeu ao incidente descobriu que o usuário associado ao endereço MAC que foi utilizado para obter acesso à rede wifi da empresa e ao Confluence estava, na verdade, logado da sua casa a vários quilômetros de distância do escritório - indicando que uma outra pessoa (ou dispositivo) estava tentando usar o endereço MAC desse usuário para acessar a rede wifi. Ou seja, já disparou um alerta aí: o usuário verdadeiro estava conectado remotamente ao mesmo tempo que alguém estava usando o endereço MAC dele para acessar a rede wifi dentro do escritório.

Para rastrear o sinal, os analistas de segurança usaram a ferramenta Fluke e, assim,. chegaram ao topo do prédio, onde encontraram uma versão modificada do drone Matrice 600 da DJI e outra versão modificada do drone Phantom, também produzido pela DJI. No Phantom estava acoplado um dispositivo Pineapple (da Hack5), enquanto o Matrice carregava uma caixa com um Raspberry Pi, um mini laptop, um modem 4G e outro dispositivo WiFi.

A investigação descobriu que o drone Phantom foi usado para interceptar a rede wifi e capturar as credenciais, que foram posteriormente incluídos nas ferramentas utilizadas no drone Matrice. Os drones foram usados para acessar a página interna do Confluence da empresa, com objetivo de acessar outros equipamentos e dispositivos na rede usando as credenciais armazenadas lá no Confluence.

A identidade do atacante não foi revelada.

A própria reportagem do The Register destaca que a ideia de usar drones domésticos para hackear foi apresentada anteriormente em algumas conferências de segurança como a Black Hat e Defcon em 2016 e, antes disso em 2013, o pesquisador de segurança Samy Kamkar demonstrou seu drone SkyJack, que usava um Raspberry Pi para controlar outros drones via Wi-Fi.

Para saber mais:

PS: Para dar crédito a quem merece, eu fiquei sabendo dessa história graças a Apura Cybersecurity Intelligence e o texto foi baseado na reportagem do The Register, com alguns ajustes meus.

novembro 07, 2022

[Segurança] Se preparem para uma nova buzzword, o Darkverso

Sim, conforme o pessoal tenta emplacar a ideia do Metaverso, que nem está popularizado ainda, a galera de segurança já está tentando surfar nessa onda e já começou a propagar uma nova buzzword, o suposto submundo do:

Darkverso

O Darkverso seria, portanto, como uma "darkweb" dentro do Metaverso. O estudo da Trend Micro sobre o assunto abusa de buzzwords como Metaworse, Deepverso e Darkverso. Eles criaram um vídeo bem curtinho e objetivo para explicar esse conceito:


Entre as vantagens para os ciber criminosos, pelo menos em teoria, é que o uso do Metaverso para troca de informações e comércio ilegal permite que eles evitem dos canais normalmente monitorados por empresas e autoridades policiais, além do Metaverso permitir uma conversa um-a-um, baseado na proximidade entre os avatares - dificultando o monitoramento e interceptação.

Para saber mais:

novembro 04, 2022

[Segurança] Resiliência CyberEmocional

Recentemente eu fui agraciado pela oportunidade de palestrar no Tempest Talks, um evento organizado anualmente pela Tempest que sempre traz assuntos muito interessantes apresentados por grandes palestrantes.

Neste ano, eles escolheram como eixo central do evento o tema da "resiliência cibernética", uma preocupação que tem se tornado cada vez mais presente no dia-a-dia dos executivos e dos profissionais de segurança da informação. Atualmente, todos os líderes devem assumir que sua organização enfrentará um ataque cibernético em algum momento. A estratégia de resiliência permite que, quando o ataque vier, a organização se recupere total e rapidamente.


Assim, eu tive o desafio de preparar algum conteúdo que abordasse esse tema da resiliência, e assim eu acabei propondo uma palestra focado no lado humano do desafio de prepararmos nossas empresas para o impacto de um ciber ataque.

Eu sou de uma geração que pegou algumas das primeiras grandes infestações por vírus, como o "I Love You" no ano 2000 e o "SQL Slammer worm" em 200X. Naquela época, conseguíamos recuperar o ambiente da empresa e eliminar completamente o vírus em cerca de um dia de trabalho (trabalho muito intenso, por sinal). Hoje, por outro lado, a resposta a um incidente de Ransomware representa vários dias, semanas e até meses das esquipes de segurança e tecnologia para conseguir restaurar o ambiente e o negócio!

A capacidade de resiliência deve ser construída. Para resistir, manter e recuperar suas operações frente a um incidente cibernético, as empresas devem investir em pessoas, processos e tecnologia. Mas, quando acontece um ciber ataque e a tecnologia falha (por exemplo, sua rede, seus servidores e até mesmo seu AD podem ser comprometidos), nós dependemos exclusivamente dos processos e das pessoas para retomar o ambiente. Cabe aos processos (previamente planejados e testados) e as pessoas (devidamente orientadas e treinadas) promover a continuidade dos negócios. Ações de treinamento e conscientização, portanto, são fundamentais em uma estratégia de resiliência.

Esse esforço dos profissionais, ou seja, esse foco nas pessoas, eu chamei de Resiliência CyberEmocional.

Por uma grande e feliz coincidência, em 2021 eu participei de parte dos esforços realizados pelo time de segurança do C6 Bank para revisarmos nosso plano de resposta a incidentes e treinarmos nossos colaboradores. Um dos pontos mais interessante desse esforço, ao meu ver, foram os exercícios de simulação de resposta a incidentes que realizamos na época, realizado no modelo de "Table Top Exercise" (TTX) - e compartilhar essa experiência foi o ponto focal da minha palestra.

Tal exercício permitiu treinar várias pessoas chave da organização e discutir como agir frente a um incidente cibernético. No nosso caso, optamos por realizar algumas turmas com públicos específicos, para direcionar o exercício para suas demandas e seus papéis em um cenário de resposta a incidentes.


Veja o vídeo da minha palestra no Tempest Talks:


Vou aproveitar e compartilhar aqui as referências que coloquei na minha apresentação:
E veja também:

novembro 01, 2022

[Segurança] Ciber resiliência na agenda dos CISOs

Temos uma nova buzzword da moda, que está no discurso e na preocupação de 10 em cada 10 CISOs:


Ciber Resiliência

O NIST possui duas definições legais de ciber resiliência:

  • o glossário oficial do NIST  define a ciber resiliência como "The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources" ("A capacidade de antecipar, resistir, recuperar e se adaptar a condições adversas, estresses, ataques ou comprometimentos em sistemas que usam ou são habilitados por recursos cibernéticos");
  • a publicação 800-30 Rev1 (Guide for Conducting Risk Assessments) define "Information System Resilience" como "The ability of an information system to continue to operate while under attack, even if in a degraded or debilitated state, and to rapidly recover operational capabilities for essential functions after a successful attack".

Ou seja, ela representa a capacidade da organização de minimizar o impacto de um incidente, manter suas operações de negócio e se recuperar rapidamente frente a um incidente cibernético.


Não tenho dúvida que o grande crescimento dos incidentes de Ransomware tem feito esse tema ganhar bastante destaque recentemente.

As empresas tem alguns recursos fundamentais para garantir sua capacidade de resiliência, que fazem parte das boas práticas e algumas regulamentações específicas:
  • Plano de resposta a incidentes (Incident Response Plan)
  • Plano de continuidade de negócios (Business Continuity Plan, ou BCP)
  • Plano de recuperação de desastres (Disaster Recovery Plan, ou DRP)

É interessante destacar também que o tema tem ganho grande relevância, a ponto de que alguns países estão liderando iniciativas para promover a cultura e preparação necessária para estabelecer a resiliência a ciber ataques. Dentre essas iniciativas, achei algumas notícias interessantes:

Segundo o estudo anual de segurança da Cisco, o Security Outcomes Report, 96% dos executivos entrevistados afirmam que a resiliência de segurança é uma prioridade para eles.

Veja também (adicionado em 10/05/23): Nesse artigo, Boards Are Having the Wrong Conversations About Cybersecurity, a Dra. Keri Pearlson do MIT aponta que os conselhos de administração têm um longo caminho a percorrer para ajudar suas organizações a se tornarem resilientes a ataques cibernéticos. Em parceria com a Lucia Milică, diretora da Proofpoint, fizeram uma pesquisa com 600 membros do conselho sobre suas atitudes e atividades de segurança cibernética, e descobriram que quase um quarto das diretorias não vê a segurança cibernética como uma prioridade e muitos nem sequer discutem o assunto regularmente. Outras conclusões das autoras incluem:
  • Apenas 47% dos membros do conselho disseram que interagem com seus executivos de segurança regularmente;
  • Os conselhos se concentram em discutir a proteção em vez de abordar a resiliência;
  • A segurança cibernética tornou-se um imperativo organizacional e estratégico, mas os conselhos continuam a considerá-la como se fosse um tópico técnico;
  • A composição da maioria dos conselhos hoje cria vulnerabilidade em vez de uma supervisão mais forte, pois muitos dos executivos dos conselhos não tem conhecimento ou experiência em segurança cibernética.

Para saber mais:

PS: Pequena atualização em 18/11. Nova atualização em 08 e 14/12 e em 12/01/23. Atualizado em 10/05.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.