Posts que nunca foram escritos

Putz, todo ano eu quero escrever um post sobre o relatório do Fórum Econômico Mundial, mas perco o timing:

• Global Cybersecurity Outlook 2024
• AI and cybersecurity: How to navigate the risks and opportunities

Olha que interessante: a página de métricas do site CVE.org apresenta o total de CVEs publicados desde 1999 até os dias de hoje ("Published CVE Records").

• Published CVE Records
• Essa lista da CISA eu acho muito útil, pois indica as vulnerabilidades que foram exploradas: Known Exploited Vulnerabilities Catalog

O portal do FIRST.org tem vários documentos que são uma ótima referência e vale a pena dar uma olhada:

• FIRST Best Practice Guide Library (BPGL)
• FIRST Security Reference Index
• FIRST Standards
• Publications - centenas de artigos e apresentações publicados desde 1997
• esse doc explica tudo sobre os principais conceitos relacionados ao PGP: An Introduction to PGP/GnuPG

A RFC 2350 oferece uma maneira fácil e padronizada para as Equipes de Resposta a Incidentes de Segurança em Computadores (CSIRT) documentarem sua missão, serviços, políticas e procedimentos.

• RFC 2350 - Expectations for Computer Security Incident Response, June 1998
• Introduction to RFC 2350

What Is the Data, Information, Knowledge, Wisdom (DIKW) Pyramid?

Um estudo recente, “Psychology of Human Error”, pode ajudar as empresas a entender como melhor conscientizar seus usuários e se proteger de ataques cibernéticos.

• “Psychology of Human Error” Could Help Businesses Prevent Security Breaches
• Estudo: Psychology of Human Error

O impacto psicológico nas vítimas de fraude:

• O relatório da AXUR sobre Atividade Criminosa Online no Brasil em 2021, em um determinado momento, traz uma informação interessante: "de acordo com um estudo realizado pela NortonLifeLock, 52% dos consumidores sentem raiva ao serem alvos de fraudes, com essa raiva ligada não ao fraudador, mas sim à marca pelo qual o cibercriminoso se passou. A sensação é de que a culpa é da empresa e não do cibercrime. Ao mesmo tempo, 46% se sentem estressados e 41%, vulneráveis."

A Verizon tem um framework que eles batizaram de VERIS e utilizam para descrever e categorizar os incidentes de segurança. Esse framework é utilizado como base para o bom e velho “Data Breach Incident Report” (DBIR) da Verizon.

• Eles disponibilizaram online toda a informação sobre o framework no site http://veriscommunity.net e também no Github https://github.com/vz-risk/veris
• Lá tem outros documentos interessantes, tais como:
• Mapping to att&ck: https://github.com/vz-risk/veris/blob/master/bin/vcaf-rev2020-v1_0_3.csv
• How to use technical data from their security tools for strategic insights (CIS controls mapping) for understanding what mitigations apply to what strategic actions: https://github.com/vz-risk/veris/blob/master/bin/cis_csc_veris_map-rev2020-v1_0.xlsx

Vídeo: "Former Federal CISO Advocates Zero-Trust Security"

Artigos relacionados ao conceito de "Reasonable” Security":

• California Consumer Privacy Act: The Challenge Ahead – The CCPA’s “Reasonable” Security Requirement
• What is "state of the art" in IT security?

O comércio de ferramentas de ataque e dados para realização de fraudes é algo muito comum no ciber crime, e acontece livremente nos fóruns da Dark Web, mas também às claras, em anúncios e perfis em redes sociais, grupos no telegram e, inclusive, através de posts no pastebin.. Isto acontece porque há ciber criminosos especializados em realizar atividades específicas dentro da sequência de ações necessárias para efetivar uma fraude: há a pessoa especializada em criar códigos maliciosos, há o especializado em criar sites de phishing, assim como também existe o pessoal especializado em realizar a fraude (ou seja, acessar uma conta bancária e fazer uma transferência para uma conta de laranja, ou alguém especializado em fazer compras online com dados de cartões de terceiros).

• Dark Web Price Index 2021
• Preços de dados roubados na dark web vão de US$ 25 a US$ 6 mil
• Mastercard clonado a $25: Veja quanto custa dados roubados por criminosos na dark web
• Já que você leu até aqui, pode valer a pena dar uma olhadinha nesse artigo: The state of the dark web: Insights from the underground

Uma referência muito boa é o guia do NIST "Digital Identity Guidelines Authentication and Lifecycle Management": ele descreve quais tecnologias de autenticação são as mais recomendadas de acordo com o nível de criticidade da aplicação, além de detalhar quais padrões de autenticação existem como deve ser o ciclo de vida deles. Ele também discute as principais ameaças, suas estratégias de mitigação, além de questões de privacidade e usabilidade dessas tecnologias de autenticação.

• Market Guide for User Authentication (Gartner)
• NIST - Digital Identity Guidelines Authentication and Lifecycle Management (Special Publication 800-63B)

[Segurança] Hub Nacional de Cibersegurança

O pessoal do projeto Hackers do Bem lançou o Hub Nacional de Cibersegurança, uma iniciativa para promover a colaboração ativa e o intercâmbio de informações e, assim, fortalecer o Brasil no tema de cibersegurança.

A idéia do projeto foi lançada a público em maio deste ano, mas eles fizeram a apresentação oficial agora, dia 28/08, durante o Fórum RNP:

O Hub é o ponto de encontro onde interessados, especialistas, inovadores e líderes do ecossistema de cibersegurança se conectam, compartilham conhecimento e criam sinergias. Ele será um centralizador de discussões, conexões profissionais, notícias, treinamentos, reuniões e eventos.

Acesse om portal e faça seu cadastro:

https://hub.hackersdobem.org.br

Veja também:

• RNP lança Hub Hackers do Bem para desenvolver segurança digital no Brasil

[Carreira] Programa de Mentoria WOMCY Brasil para formação de Líderes

O capítulo Brasil da WOMCY (Latam Women in Cybersecurity) lançou um novo programa de mentoria para formação de lideres, que visa capacitar mulheres para assumirem posições de expansão e de liderança em suas áreas.

Infelizmente ainda é raro encontrar mulheres em posição de liderança na área de cibersegurança. Elas existem, mas numa quantidade muitíssimo inferior à de homens.

A estrutura do programa é formada por...

• Mentoria Individual: Parceria de uma mentora experiente com uma mentee para orientação personalizada. 
• Acompanhamento e Avaliação: Feedback contínuo para monitorar o progresso e fazer ajustes conforme necessário.

No momento a WOMCY Brasil está fazendo a seleção das Mentoras e das Mentoradas (Mentees):

• Mentoras: Mulheres com experiência comprovada em cargos de liderança e que estão dispostas a compartilhar suas experiências e oferecer orientação.
• Mentees: Profissionais mulheres que desejam crescer em suas carreiras e demonstram potencial para liderar. 

Conteúdos e Temáticas 

• Desenvolvimento de Habilidades de Liderança: Como liderar equipes, definir metas e inspirar os outros.
• Gestão de Carreira: Planejamento de carreira, construção de uma marca pessoal e networking. 
• Negociação e Influência: Técnicas para negociação eficaz e como influenciar decisões. 
• Empoderamento e Autoconfiança: Trabalhar a confiança necessária para assumir papéis de liderança. 

Veja o cartaz criado para divulgar a iniciativa:

Para se inscrever, use este formulário: https://forms.gle/zdpp5weVJYdHfeaw6.

As inscrições vão de 27/08 a 06/09 e as vagas são limitadas.

[Segurança] Os números das fraudes no Brasil

O pessoal da Folha de São Paulo publicou 2 reportagens com estatísticas sobre fraudes no Brasil obtidos  pela Datafolha junto com o Fórum Brasileiro de Segurança Pública.

Vejam alguns dados sobre o crime cibernético no Brasil nos últimos 12 meses:

• A cada hora, mais de 4.600 pessoas são alvo de tentativas de golpes financeiros por meio de aplicativos de mensagem ou ligações telefônicas, normalmente com criminosos se passando por funcionários de bancos;
• A cada hora, cerca de 2.500 pessoas pagam por produtos na internet que acabam não sendo entregues;
• A cada hora, 1.680 vítimas têm o celular furtado ou roubado no país;
• Um em cada quatro entrevistados sofreu alguma tentativa de golpe financeiro em aplicativos de mensagem ou por ligação, e também que os crimes envolveram transferências via Pix e boletos falsos;
• Um em cada dez (10,8%) entrevistados afirma que caiu nesses golpes em um intervalo de 12 meses, 
• 9,2% já teve o celular furtado ou roubado;
• 13,7% pagaram por algum produto na internet ou em redes sociais que não foi entregue;
• 2,6% dos entrevistados foi vítima do golpe da maquininha de cartão adulterada. Isso representa 4,2 milhões de pessoas e 482 casos por hora, em média. 

Em média, as vítimas desses crimes relataram as seguintes perdas financeiras:

• R$ 1.702 com fraudes no cartão de crédito;
• R$ 1.549 com o r oubo e furto de celulares;
• R$ 1.470 com os golpes com Pix e boletos falsos;
• R$ 1.142 ao cair no golpe da maquininha de cartão adulterada.

Nos últimos 12 meses, o prejuízo financeiro para a população foi enorme. Os valores totais estimados pela reportagem, com base nos relatos dos entrevistados, foram:

• R$ 25,5 bilhões em danos causados pelos golpes aplicados via Pix e boletos falsos
• R$ 22,8 bilhões pelos roubos e furtos de celular
• R$ 71,4 bilhões em consequência de roubos de celulares e dos crimes digitais, praticados com máquinas de cartão adulteradas, golpes com Pix, boletos falsos e fraudes em cartões de crédito.

Ao todo, a Datafolha considerou 13 tipos de delitos, que no total provocaram um dano de R$ 186 bilhões à população. Nessa conta são considerados tanto o lucro dos criminosos quanto outros gastos causados à vítima — por exemplo, o custo de comprar um novo celular para substituir o aparelho roubado.

A pesquisa também mostrou que existe um alto índice de subnotificação dos crimes cibernéticos e até dos roubos e furtos de celular:

• 55% daqueles que tiveram o aparelho celular subtraído afirmam que fizeram BO;
• 30% das vítimas de golpes que envolveram Pix ou boletos falsos dizem que registraram ocorrência em delegacias;
• 18% informaram à Polícia Civil quando sofreram golpes financeiros por meio de publicidade na internet ou em redes sociais;
• 12% registraram as tentativas de golpe por aplicativos de mensagem ou ligação telefônica..

A Datafolha estima, com base nos percentuais de vítimas aferidos na pesquisa, que mais de 40 milhões de pessoas sofreram alguma tentativa de golpe financeiro nos últimos 12 meses.

Os números foram levantados pelo Datafolha e pelo Fórum Brasileiro de Segurança Pública a partir de uma pesquisa com 2.508 entrevistados em todas as regiões do país, entre os dias 11 e 17 de junho. O cálculo leva em conta a proporção de pessoas que relatam terem sido vítimas de crimes contra o patrimônio, num período de 12 meses, e o tamanho total da população.

Para saber mais:

• Brasil tem mais de 4.600 tentativas de golpe financeiro por hora, mostra Datafolha
• Fraude digital e roubo de celular dão prejuízo de R$ 71 bi em 1 ano, aponta Datafolha
• Outra pesquisa interessante, na mesma linha: Uma pessoa cai em golpe a cada 16 segundos, aponta anuário da segurança

[Carreira] Cyber Academy 2024 da Febraban

A Febraban acabou de abrir inscrições para a Cyber Academy 2024, uma iniciativa sensacional de fornecer capacitação básica em cibersegurança, gratuitamente!!!

A iniciativa é do Laboratório de Segurança Cibernética da Febraban, com objetivo de fornecer capacitação direcionado a todos os interessados por temas relacionados à área de segurança cibernética e para estudantes cursando graduação em áreas correlatas.

As inscrições para as novas turmas do Cyber Academy começaram agora, em 1º de agosto, e terminam dia 28 de agosto -  mas as vagas são limitadas. As inscrições devem ser feitas por esse formulário.

O curso é totalmente gratuito e tem como pré-requisitos apenas o conhecimento básico de Computação, noções de Redes de Computadores, Sistemas Operacionais e, claro, a pessoa ter interesse em Cibersegurança.

As aulas serão online, com interações ao vivo via teams e aulas gravadas via plataforma de treinamento. Serão aproximadamente 40 horas de treinamento dividido em 11 módulos:

• Fundamentos de Segurança Cibernética
• Crimes Cibernéticos
• Engenharia Social
• Ameaças Cibernéticas
• Avaliação de Riscos de Segurança
• Segurança de Redes e Comunicações
• Segurança em Nuvem 
• Inteligência Artificial
• Governança de Dados
• Gerenciamento de Identidades e Acesso
• Carreira em Cyber

As aulas acontecerão de 02 a 27 de setembro, de segunda a sexta-feira, sempre as 15h.

Veja mais informações na página Cyber Academy 2024.