Diversas novidades, informações, dicas e casos do dia-a-dia: na vida pessoal, sobre Tecnologia e, principalmente, Segurança da Informação.
abril 29, 2024
[Cyber Cultura] GifCities
abril 26, 2024
[Carreira] As empresas mais tóxicas do Brasil
Há algumas semanas atrás viralizou no Twitter uma planilha, disponibilizada online, batizada de "As empresas mais tóxicas do Brasil".
E esse formulário fez tanto sucesso que agora (spolier alert!) promete virar um site, "Exposed Workplaces".
Imediatamente a planilha viralizou porque continha comentários sobre comportamentos tóxicos das empresas (alguns preocupantes, outros engraçados). Na época, com cerca de 2 mil linhas, ela chamou a atenção da galera e foi compartilhada diversas vezes. Naquele momento, o formulário que gerou a planilha foi descoberto, mas estava desabilitado. Poucos dias depois, provavelmente por conta da grande repercussão do caso, o formulário foi reativado e, na última vez que consultei, a planilha já tinha mais de 17 mil linhas de comentários - cada linha correspondendo à denúncia de uma empresa.
O formulário é anônimo e convida as pessoas a denunciar comportamentos tóxicos frequentes nas empresas em que trabalham. Os relatos vão desde gestores abusivos, salários baixos, pressão por metas, passando por diversos casos de assédio moral e sexual. Muitos relatos também são acompanhados de denúncia de omissão, conivência ou até vingança, dos departamentos de RH ou gestores frente à esses problemas.
Tem algumas zoeiras também, porque Brasileiro não deixa passar batido...
Alguns depoimentos são replicados no perfil do Instagram dessa iniciativa: http://instagram.com/empresas.toxicas.
Vamos ser sinceros, é um projeto interessante, pois oferece um canal para as pessoas denunciarem, aparentemente de forma anônima, os comportamentos errados e tóxicos encontrados nas empresas. A verdade é que nenhuma empresa é totalmente "santa", livre de problemas ou defeitos, que podem ser algo pontual ou reflexo de uma cultura corporativa. Mas, na minha opinião, o pior é que muitas vezes as empresas promovem um discurso totalmente fora da realidade.
Por outro lado, as avaliações são subjetivas e muitas vezes dependem da opinião ou de um fato ocorrido com uma pessoa ou momento específico. E, muitas vezes, o que é bom para um funcionário não é bom para o outro - por exemplo, quando falamos de remuneração, valores subjetivos como reconhecimento, ou quando um chefe despreparado contamina toda a sua equipe com um comportamento tóxico. Por isso mesmo, é importante existir um canal para as empresas responderem à essas denúncias (mesmo que na prática seja usado por algumas empresas para apenas "passar pano" e fingir que estão resolvendo o problema, rs...).
Afinal, que nunca passou por um perrengue no trabalho, né? Quem nunca teve que engolir um sapo em nome dos boletos para pagar?
(gatilhos disparados)
(pausa dramática)
Na minha opinião, essa iniciativa é necessária para garantir uma maior transparência e sinceridade nas relações profissionais - que são naturalmente desbalanceadas em favor do lado mais forte, as empresas. A iniciativa também permite a proteção dos profissionais (que tem agora uma forma de denunciar e avaliar as empresas antes de trabalhar nelas) e da própria empresa, pois muitas vezes os canais internos de denúncia são falhos, visados ou ineficientes.
Na falta de uma plataforma profissional e transparente para fazer tais denúncias, vamos torcer para essa nova plataforma se profissionalizar, incluindo com a possibilidade das empresas contribuírem e responderem às denúncias.
OBS: Aparentemente o responsável pelo formulário, planilha e site é um desenvolvedor da Magalu chamado Anderson Weber, pois seu perfil no Linkedin tem vários posts promovendo a iniciativa.
abril 25, 2024
[Segurança] Treinamento sobre OSINT - Open Source Intelligence
O pessoal da Apura Cyber Intelligence S/A está oferecendo um treinamento online e gratuito sobre OSINT (Open Source Intelligence) Para seus clientes e parceiros. O treinamento será realizado no dia 7 de maio às 19h.
O treinamento será ministrado por Francisco J. Rodríguez Montero, Senior Global CTI Consultant, e Julio Cesar Rodrigues, especialista da Apura. Não perca a chance de aprimorar seus conhecimentos em um evento de 3 horas, abordando temas como introdução ao OSINT, inteligência cibernética, e demonstrações práticas utilizando a plataforma BTTng.
Com número limitado de participantes, o treinamento é exclusivo para clientes Apura e profissionais de cibersegurança do mercado corporativo. Preencha o formulário com seu e-mail corporativo para se inscrever: https://conteudo.apura.com.br/treinamento-osint
O treinamento será online, realizado no dia 7 de maio das 19h as 22h. O link será enviado para as pessoas inscritas previamente.
abril 16, 2024
[Segurança] A BSidesSP está ON !!!
- Publicamos as primeiras palestras aprovadas no nosso CFP, veja a página de Palestras e palestrantes (a agenda será montada em breve);
- Liberamos a descrição dos 3 treinamentos que vão ocorrer no dia 18/05, das 15h as 18h;
- Divulgamos também a listagem com a maioria das Villages que teremos este ano, já são 11 vilas temáticas confirmadas para o domingo 19/05;
- Atualizamos a página do Capture the Flag (CTF), descrevendo como será a competição. Lá você vai ver que, além de estamos com o Call For Challenges para o nosso CTF aberto, onde você pode enviar sugestões de desafios, nós também teremos uma etapa de "Esquenta", que vai ser onloine, antes do evento, e também vai valer prêmios!
- Adamantium
- Vibranium
- Aço Valeriano
- Dragon Glass
Se a sua empresa está interessada em patrocinar o evento, envie um e-mail para "info _arroba_ securitybsides.com.br".
abril 15, 2024
[Segurança] Permissão para Participar de CNPJ
Recentemente a Receita Federal apresentou uma nova ferramenta no Portal Redesim para combater fraudes de abertura de empresas com os dados pessoais (CPF) de terceiros, justamente evitando que o CPF seja utilizado por fraudadores para abrir empresas laranjas.
- Acesse o Portal Nacional da Redesim, na página de Permissão para Participar de CNPJ;
- Faça o login com sua conta gov.br;
- Clique na opção "Proteger meu CPF" e você será direcionado para a página de confirmação, e a partir disso, o seu CPF estará impedido de participar do quadro societário de empresas (pessoas jurídicas / PJ).
Veja também:
abril 12, 2024
Posts que nunca foram escritos
Chegou a hora de dar uma limpada no meu backlog de assuntos e posts não finalizados aqui no blog.
Em uma única semana no início de Agosto, nós temos três eventos de segurança, incluindo dois dos maiores eventos em todo o mundo: a BSides Las Vegas, emendada com a Black Hat USA e seguida pela Defcon. E tudo isso em uma cidade intensa como Las Vegas! A semana é tão intensa que os americanos já batizaram ela de "Hacker Summer Camp". E, em 2023, nós organizamos um pequeno evento para ser o ponto de encontro dos brasileiros, a BRHueCon.
- Eu separei algumas matérias na imprensa e blogs sobre esses eventos em 2023:
- What You Need to Know Ahead of Black Hat 2023
- Microsoft reveals severe vulnerabilities in CODESYS industrial automation software
- Researchers discover vulnerabilities in Moovit software allowing free subway rides
- CISA Director: US has lessons to learn about anticipating threats, disruption
- IA dominou os debates nos maiores eventos de cibersegurança do mundo
- Sobre a Defcon e Black Hat 2022:
- O setor de saúde é um dos mais atacados por ransomware.
- Sim, os incidentes são frequentes é possível identificar um grande impacto dos ataques de ransomware no setor da saúde.
- Entre 2016-2021 estima-se que os ataques de ransomware foram indiretamente responsáveis pela morte de 42 a 67 pacientes. https://www.statnews.com/2023/11/17/hospital-ransomware-attack-patient-deaths-study/
- Para exemplificar, veja algumas notícias de Dezembro de 2023 sobre ataques a empresas do setor de saúde:
- Welltok data breach exposes data of 8.5 million US patients (em inglês) (Bleeping Computer, 22/11/2023)
- Ardent hospital ERs disrupted in 6 states after ransomware attack (em inglês) (Bleeping Computer, 27/11/2023)
- Até DNA! Hackers roubam dados genéticos de milhões de pessoas (Olhar Digital, 06/12/2023)
- Norton Healthcare discloses data breach after May ransomware attack (em inglês) (Bleeping Computer, 08/12/2023)
- Delta Dental of California data breach exposed info of 7 million people (em inglês) (Bleeping Computer, 15/12/2023)
- Ransomware gang behind threats to Fred Hutch cancer patients (em inglês) (Bleeping Computer, 15/12/2023)
- Healthcare software provider data breach impacts 2.7 million (em inglês) (Bleeping Computer, 20/12/2023)
- Kansas City-area hospital transfers patients, reschedules appointments after cyberattack (em inglês) (The Record, 21/12/2023)
- Integris Health patients get extortion emails after cyberattack (em inglês) (Bleeping Computer, 26/12/2023)
- Lockbit ransomware disrupts emergency care at German hospitals (em inglês) (Bleeping Computer, 27/12/2023)
Relatório bem detalhado da Radware sobre hacktivismo, de abril/2023 (antes do conflito entre Israel e Hamas): Hacktivism Unveiled, April 2023 Insights Into the Footprints of Hacktivists.
Artigo interessante, que eu pensei em fazer um post sobre isso, mas não fiz (rs...): Cyber Escalation in Modern Conflict: Exploring Four Possible Phases of the Digital Battlefield
Hum... não achei essa lista muito correta, acho que facilmente encontramos roubos de dados e de valores muito maiores do que esses... Conheça os 5 maiores roubos online da história.
Informações interessantes sobre cuidados e fraudes com o CNPJ: Usar CNPJ de outra pessoa é crime? CNPJ de terceiros: entenda.
Curioso: Como Descobrir se Alguém Está na Cadeia
Dica: Artigo bem legal do Eric S. Raymond: Things Every Hacker Once Knew.
[Segurança] InstallFest na CryptoRave
Ou, como dizem os organizadores do evento...
"Venha libertar seu computador na CryptoRave 2024!"
Hoje a organização da CryptoRave anunciou que, novamente, terá um espaço denominado InstallFest para reunir pessoas dispostas a instalar e configurar sistemas operacionais livres, baseados em GNU/Linux em suas máquinas. Ou seja, para "libertá-las de seus sistemas proprietários".
Neste espaço pessoas voluntárias do evento vão te auxiliar na instalação de dois sistemas operacionais com proposta distintas:
- Tails (The Amnesic Incognito Live System), voltado para a instalação em 'mídias removíveis', como pendrives;
- Debian, um sistema operacional GNU/Linux livre, para uso cotidiano e instalação em dispositivos diversos.
- Faça backup dos dados que deseja preservar: O processo de instalação de ambos os sistemas operacionais oficialmente suportados pelo evento envolvem deletar qualquer arquivo contido no volume/partição em que será instalado. Realize um backup antes de comparecer ao
InstallFest., pois a CryptoRave não se responsabiliza pela integridade destes arquivos e não fornece mídias para backup dos mesmos; - Traga a fonte de alimentação da sua máquina, pois o processo de instalação e configuração pode ser longo e sua bateria pode acabar;
- Tenha em mente que você deve estar presente e junto a sua máquina durante todo o processo de instalação, pois será necessário realizar algumas ações (inputs) suas em algumas etapas do processo;
- Serão usados pendrives do tipo USB A como mídia de instalação do sistema operacional Debian e Tails, por isso é necessário que sua máquina possua uma porta USB A ou um adaptador para sua utilização, além de permitira inicialização ('boot') por pendrive;
- Confira os requisitos básicos de sistema para rodar o Tails.
Venha para a CryptoRave 2024!!!
- Dias 10 e 11 de maio de 2024
- Local: Biblioteca Mário de Andrade: Rua da Consolação, 94 - República, São Paulo - SP. Ao lado da estação do metrô Anhangabaú (linha vermelha)
- cryptorave.org
abril 10, 2024
[Segurança] A Cloud Security Alliance (CSA) faz 15 anos!
- Visite o site da Cloud Security Alliance (CSA)
- CSA Turns 15: Kicking Off the Next 85 Years of Cloud Security Excellence
- Veja alguns projetos icônicos da CSA:
abril 09, 2024
[Segurança] Previsões para 2024
Eu sempre publico esse post no final de dezembro ou início de janeiro, mas infelizmente eu perdi o timing dessa vez. Mas, para não passar em branco nem perder totalmente o trabalho, antes tarde do que nunca, vamos apostar em quais serão as principais ameaças no cenário cibernético neste ano?
Vamos começar com as previsões óbvias, aquela que todo mundo comenta:- IA, IA, IA
- a explosão de deep fakes, para personificação de pessoas, tanto para golpes de promoção de produtos fraudulentos, fake news eleitorais, para golpes financeiros (phishing, golpe do whatsapp) e para burlar a biometria facial
- IA utilizada cada vez mais para produção, obfuscação e otimização de código de malwares;
- IA usada para golpes de phishing, trazendo mais credibilidade para a mensagem e possibilitando e viabilizando adaptar golpes para vítimas outras línguas, gírias, culturas e dialetos;
- IA com deepfake pode turbinar ataques direcionados as empresas, desde a praparação do ataque até mesmo sua execução;
- IMHO, Ransomware é o "novo normal": é igual a COVID, vai continuar por ai para sempre, todo mundo pode ser infectado a qualquer momento e de vez em quando tem alguns picos de infecção;
- Os grupos de ransomware com foco cada vez maior em explorar 0-days em produtos de terceiros (supply-chain attack);
- Temos uma nova buzzword, graças ao fato acima: os N-days, que são as vulnerabilidades (0 days) recém descobertas e com atualização tão recente que não deu tempo da grande maioria do pessoal corrigir.
Agora, vamos ver algumas previsões mais legais:
- No Brasil, o uso de malwares de celular para explorar transações PIX deve continuar muito ativo, com novas famílias surgindo e com a possibilidade de exportar essa tecnologia para outros países que também tem sistemas de transferência instantânea e com grande penetração de mobile banking;
- O grande risco do uso malicioso da IA para criar deep fakes e burlar a autenticação facial em aplicativos bancários, que já tem acontecido de forma incipiente, é que isso vai causar uma grande crise da identidade digital no mercado, graças a dificuldade de provar a identidade de alguémd e forma online. Teremos, portanto, uma necessidade urgente para buscar soluções confiáveis de autenticação online;
- Esse vai ser o ano das tretas cibernéticas nas eleições - Brasil, Rússia, Ucrânia, Reino Unido e Estados Unidos passarão por eleições - e o grande temor é uso dos deepfakes gerados por IA para espalhar propaganda enganosa e fake news;
- Vou fazer coro com a Kaspersky: o cibercrime brasileiro tem grande possibilidade de se expandir globalmente, exportando malwares, graças ao nosso know-how em explorar transações instantâneas (PIX), uso das tecnologias de acesso remoto aa dispositivos móveis (RAT) e de transação automatizada (ATS) e, além disso, pelo fato dos criminosos europeus estarem mais focados no desenvolvimento de ransomware do que de malware bancário.
- Pressão cada vez maior pela criminalização do pagamento de resgates de ransomware, principalmente pelos legisladores, e podemos chegar ao ponto das empresas de seguro cibernético podem não incluir o pagamento na cobertura da apólice;
- Maior valorização da área de conscientização.
Duas iniciativas devem causar impacto nos EUA:
- A partir de 15 de Dezembro, entra em vigor uma nova regulamentação da SEC referente a divulgação de incidentes, que exige a notificação de incidentes de cibersegurança em até 4 dias;
- A National Cybersecurity Strategy da Casa Branca responsabiliza as organizações que não tomam precauções razoáveis para proteger seu software, o que tem alavancado as iniciativas de gestão de vulnerabilidades e patches.
Que tal algumas previsões mais bizarras?
- O Gartner adora criar siglas e buzzwords, né? Para 2024, eles apostam nas ODMs (Outcome-Driven Metrics): as métricas orientadas por resultados de segurança cibernética serão cada vez mais adotadas para permitir que oose executivos entendam a influência dos investimentos em segurança cibernética nos níveis de proteção fornecidos que eles geram;
- Segundo a Palo Alto, A função do CISO evoluirá para Chief AI Security Officer (CAISO), habilitando o uso de modelos de IA para ajudar na prevenção de ameaças de forma proativa por meio de sistemas autônomos e em tempo real.
Veja também uma entrevista que eu dei durante o evento Cyber Security Summit, sobre as Tendências em Cibersegurança:
Quer aproveitar esse período de início de ano para pensar nas suas metas pessoais para o ano novo? Então eu sugiro esse artigo na newsletter do Folha Carreiras: tema da semana: metas de ano novo.
Para saber mais:
- Aqui no blog:
- No The Economist: The World Ahead 2024
- Segundo a Forbes: The 10 Biggest Cyber Security Trends In 2024 Everyone Must Be Ready For Now
- Veja o artigo do Carlos Cabral: Cibersegurança: 7 temas para manter no radar em 2024
- Artigo legal do Marcelo Zillo na Exame: 5 previsões para 2024: atualizando o software da bola de cristal em 2024
- World Economic Forum:
- 5 priorities for digital leaders in 2024
- What does 2024 have in store for the world of cybersecurity?
- Retrospectiva da Security Report: Painel de incidentes: órgãos públicos são principais alvos dos ciberataques
- 5 tendências sobre o cibercrime que exigem atenção
- Cinco tendências de ameaças para 2024 e os próximos anos
- Five Cybersecurity Predictions for 2024
- Segurança, fraude e tendências: o que as instituições financeiras podem esperar do Pix para 2024?
- IA, IoT e tecnologia verde seguem em alta nos negócios em 2024
- Oito tendências e previsões sobre identidade digital para 2024
- O que esperar da cibersegurança em 2024?
- Apura: 2023 O ano em resumo (vídeo)
- Axur: Threat Landscape 2023/2024
- Checkpoint:
- Into the Cyber Abyss: Check Point’s Riveting 2024 Predictions Reveal a Storm of AI, Hacktivism, and Weaponized Deepfakes
- IA maliciosa e ameaças consolidadas direcionarão a Cibersegurança em 2024
- Darktrace: A Darktrace prevê deepfakes de IA e vulnerabilidades em nuvens
- Fortinet: Threat Predictions for 2024: Chained AI and CaaS Operations Give Attackers More “Easy” Buttons Than Ever
- Gartner: Gartner aponta principais tendências de Cibersegurança para 2024
- Google Cloud: Cybersecurity Forecast 2024
- Netskope: Five Threats Predictions To Note For 2024
- Palo Alto: Cibersegurança: perspectivas e desafios para 2024
- Proofpoint: Engenharia social e IA ampliarão risco à identidade em 2024, alerta análise
- Tenable: Quais são as tendências de cibersegurança para 2024?
- Trellix
- TrendMicro: Ataques impulsionados por IA devem se multiplicar em 2024, prevê relatório
- Kaspersky:
- Advanced threat predictions for 2024
- Crimeware and financial cyberthreats in 2024
- Consumer cyberthreats: predictions for 2024
- Gaming-related cyberthreats in 2023: Minecrafters targeted the most
- Uso de IA generativa para criar golpes cibernéticos deve explodir em 2024
- Ameaças brasileiras ao sistema financeiro global
- WatchGuard's 2024 Cybersecurity Predictions
- 10 previsões que impactarão empresas e usuários nos próximos anos
- O futuro do trabalho chegou: 16 tendências para 2024
- CISOs pedem por mais rigidez da ANPD no biênio 2024/25
- Ransomware avança e CISOs reforçam a importância de não negociar com o cibercrime
- Previsões do programa Red Zone:
- 28/12/2023 - Programa Red Zone #109 - Parte 1
- 28/12/2023 - Programa Red Zone #109 - Parte 2
abril 05, 2024
[Segurança] Teremos Festa oficial da BSidesSP !!!
Na sexta-feira que antecede a Security BSides São Paulo (BSidesSP), dia 17 de Maio, vamos realizar a Festa oficial da BSidesSP no St. Paul's Pub.
- 21h00 às 22h30: Show com a Banda MD5
- 23h00 às 2h00: Karaokê com a Banda B.O.
- St Paul's Pub (stpaulspub.com.br)
- Rua Fradique Coutinho, 914, Pinheiros
- Entrada: R$10 para lista da BSidesSP, R$22 para clientes regulares.
Se a sua empresa está interessada em patrocinar o evento, envie um e-mail para "info _arroba_ securitybsides.com.br".
Nos vemos lá!!!
abril 04, 2024
[Segurança] BSidesSP: Somente os hackers podem nos proteger da IA
A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.
Esperamos vocês nos dias 18 e 19 de Maio. Em breve termos mais detalhes, acompanhem nossas redes sociais e o nosso site.
Se a sua empresa está interessada em patrocinar o evento, envie um e-mail para "info _arroba_ securitybsides.com.br".
Anote na sua agenda:
- Data: 18 e 19 de Maio de 2024 (sábado e domingo)
- Local: Novotel Sao Paulo Jaragua Conventions, R. Martins Fontes 71, Centro, São Paulo/SP, CEP 01050-000
- Siga-nos nas redes sociais: @bsidessp (Instagram, Linkedin e X)
- Acompanhe as novidades pelo nosso grupo no Telegram: https://t.me/BSidesSaoPaulo
abril 01, 2024
[Segurança] BSidesSP hackeada!!!
A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.
A propósito... se a sua empresa está interessada em patrocinar a BSidesSP 2024, envie um e-mail para "info _arroba_ securitybsides.com.br".
Anote na sua agenda:
- Data: 18 e 19 de Maio de 2024 (sábado e domingo)
- Local: Novotel Sao Paulo Jaragua Conventions, R. Martins Fontes 71, Centro, São Paulo/SP, CEP 01050-000
- Siga-nos nas redes sociais: @bsidessp (Instagram, Linkedin e X)
- Acompanhe as novidades pelo nosso grupo no Telegram: https://t.me/BSidesSaoPaulo