setembro 12, 2024

[Segurança] Kits de apoio para o Mês da Conscientização

Tradicionalmente a comunidade de segurança adotou Outubro como o "mês da conscientização em cibersegurança".

A CISA (Cybersecurity & Infrastructure Security Agency) acabou de anunciar que o seu "Kit de Ferramentas para o Mês de Conscientização sobre Segurança Cibernética de 2024" já está disponível para download! Ele foi desenvolvido em colaboração com a National Cybersecurity Alliance (NCA) e com feedbacks recebidos de parceiros.

Esses materiais enfatizam o tema adotado pela CISA para o mês de conscientização sobre segurança cibernética, "Proteja nosso Mundo" ("Secure Our World", na versão original, em inglês), e reforçam os quatro temas principais:
  • Use senhas fortes e um gerenciador de senhas
  • Ative a autenticação multifator (MFA)
  • Reconheça e denuncie phishing
  • Atualize o software

As organizações podem usar esses materiais gratuitos para criar suas próprias campanhas de conscientização. O material está disponibilizado apenas em inglês, mas ele pode ser adaptado para suas necessidades, ou servir de inspiração para a empresa criar sua própria campanha.

Há vários recursos que fazem parte do kit disponibilizado pela CISA, incluindo dicas sobre como se manter seguro on-line ao usar IA, como relatar crimes cibernéticos e criar cidadãos digitais, bem como quebra-cabeças, "bingo cards" e vários pôsteres.

  

Para saber mais sobre o Mês de Conscientização sobre Segurança Cibernética,veja o material abaixo:


Aproveite esse material gratuito para planejar as ações de conscientização na sua empresa :)

setembro 09, 2024

[Segurança] Hoje é o Dia do Bug

Hoje, 09 de setembro, é conhecido em alguns lugares como o "Dia do Bug", uma data que marca o aniversário do primeiro "bug" de computador documentado, ocorrido lá longe, em 9 de setembro de 1947.

Eu não achei muita referência que identificasse esse dia como uma data comemorativa oficial (uma busca no Google não retornou nada sobre existir a data comemorativa), mas de qualquer forma, é algo bem legal para ser relembrado.

Naquele longínquo 09 de setembro de 1947, uma equipe de cientistas que trabalhava no computador Mark II, na Universidade de Harvard, estava investigando o motivo do computador apresentar alguns erros constantemente. Quando eles abriram o hardware, encontraram um problema inusitado: uma mariposa ficou presa em um dos relés da máquina, causando uma falha. O inseto foi retirado e colado no diário de bordo, com a anotação "First actual case of bug being found" (primeiro caso real de um bug sendo encontrado).


Como os primeiros computadores eram movidos a válvulas, eles acabavam atraindo insetos. Estes, por sinal, podiam causar curtos-circuitos, que levavam a falhas nos programas. Na época, o uso do termo "bug" para expressas um problema técnico já era comum. Thomas Edison já usava esse termo nos anos 1800 para descrever problemas no design de seus telefones.

Essa descoberta é normalmente atribuída a Grace Hopper, mas não há evidências de que foi ela quem achou o inseto. Mas ela foi responsável por divulgar o ocorrido em suas diversas palestras - e, assim, popularizar o termo.

A partir desse fato, os termos "bug" e "debugging" se popularizaram e passaram a ser usados de forma generalizada na comunidade de tecnologia para indicar qualquer tipo de erro ou falha em programas ou sistemas.

Referências:
Para saber mais:

setembro 06, 2024

[Segurança] Pesquisa Cyber 360 sobre o mercado brasileiro

O pessoal da Daryus lançou, no final de agosto, uma nova pesquisa sobre o mercado de cibersegurança, a Pesquisa Cyber 360, que apresentan uma análise detalhada das ameaças cibernéticas e das medidas de proteção adotadas pelas empresas no Brasil. A pesquisa fornece uma visão 360º do estado atual da cibersegurança no país, revelando os desafios específicos e as melhores práticas para o mercado brasileiro.


O relatório foi desenvolvido com base em entrevistas com mais de 150 profissionais e especialistas.

Veja alguns insights do relatório:
  • 80% dos entrevistados consideram que suas empresas têm um alto nível de maturidade em segurança cibernética, mas 20% ainda estão no início;
  • As pessoas (funcionários e terceiros) são apontadas como a principal porta de entrada para ameaças em 84% das empresas;
  • 15% das empresas deixam de lado treinamento sobre cibersegurança;
  • Dentre as principais ameaças para as empresas, estão:
    • 58%: ataques de phishing
    • 50%: senhas fracas
    • 46%: descuido das informações
  • Os tres principais desafios para a gestão de riscos cibernéticos são:
    • 48%: falta de profissionais qualificados;
    • 38%: recursos financeiros insuficientes;
    • 28%: falta de apoio da alta direção.
Veja essas matérias sobre a pesquisa que sairam na imprensa:

setembro 05, 2024

[Segurança] Criptografia – Segredos Embalados para Viagem

A Novatec acabou de lançar a 2ª Edição do livro Criptografia – Segredos Embalados para Viagem, escrito pela "Vovó Vicki" (Viktoria Tkotz) em 2005. O livro ficou esgotado por vários anos, mas agora, felizmente, é possível comprar novamente, graças a um acordo da editora com a família da Vovó Vicki. Ele está disponível na edição digital ou impressa, no site da Novatek e da Amazon, entre outros.


O índice do livro está disponível no site da Novatec. Ele aborda os principais temas relacionados ao mundo da criptografia de uma forma bem didática. Ele não detalha os algoritmos criptográficos - muito pelo contrário, o livro discute diversos aspectos referente a informação, fala de conceitos e foca em abordar as diversas formas de criptografia clássica.

É um livro bem didático, ideal para quem está interessado em conhecer os conceitos relacionados à criptografia, mas sem abordar a criptografia moderna (algoritmos, chave pública e privada, assinatura digital, etc).

Eu conheci a história da Vovó Vicki graças ao Fernando Mercês e ao Papo Binário, onde ele fez um pequeno vídeo sobre ela. O Mercês tentou gravar uma entrevista com ela, mas sem sucesso (infelizmente ela faleceu antes dele conseguir marcar a entrevista).


Ela possuía um site, que a família ainda mantém, o numaboa.com.br, com pouco mais de mil artigos, que também possui um registro no Web Archive.

setembro 03, 2024

[Segurança] Os memes da treta do X

A menos que você viva numa caverna, você está sabendo que a rede social X, o antigo Twitter, foi bloqueado no Brasil por ordem judicial, emitida pelo STF. Além disso, ficou proibido acessar a rede X, mesmo com o uso de VPN ou qualquer outra ferramenta, sob pena de multa de R$ 50 mil.

O meu objetivo aqui não é discutir sobre o assunto, pois envolve também polêmicas e posições políticas, e quando entramos nessa discussão, acaba a seriedade e a objetividade.

Então... vamos falar sobre memes... rs... desde os primeiros momentos, eles já surgiram e pipocaram nos grupos de WhatsApp:








  • Os usuários ficaram em dúvida:


  • O bloqueio de uso de VPN também gerou muita treta:








  • Os golpes sobre o assunto já começaram a surgir, em mensagens do Musk pedindo ajuda para pagar as multas e, mais recente, mensagens falsas cobrando a multa por acessar o Twitter (será que alguém realmente caiu nisso? kkkkkkkk):







  • Já surgiram iniciativas de protesto, como a galera de outros países acessando o X só para gerar tráfego e aumentar a dificuldade de monitoração. E um perfil para, supostamente, desmascaras o ministro Alexandre de Moraes:


Algumas das notícias relacionadas:
PS: Post atualizado em 13/09, pois estou aproveitando este post para registrar as notícias relacionadas aos ciberataques realizados contra o governo para protestar contra o bloqueio do X no Brasil. 

setembro 02, 2024

[Segurança] Eventos de segurança no segundo semestre de 2024

E lá vamos nós... Putz, já estamos no início de Setembro e os eventos de segurança já estão pipocando. Antes tarde do que nunca. vamos montar a agenda dos eventos nesse segundo semestre de 2024.

Disclaimer: Seguindo a tradição destes meus posts sobre os eventos do semestre, aqui eu listo apenas os eventos na área de segurança que eu considero serem os mais relevantes para o nosso mercado, que eu gosto e que merecem uma visita. Geralmente dou preferência para os eventos da comunidade e para os mais tradicionais, e pouca importância para os eventos comerciais, pois prefiro apoiar os eventos que eu acredito que trazem conteúdo de qualidade ou que, pelo menos, tem relevância para o mercado.

Todo ano é a mesma ladainha: o segundo semestre é lotado de eventos aqui no Brasil. Nesse ano não vai ser diferente, e vocês vão perceber que, em alguns dias, chegamos a ter 4 ou mais eventos em uma mesma data!!!! 

Acompanhe abaixo quais são os eventos que eu considero serem os mais importantes ne relevantes no mercado. Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.

Anote então os principais eventos de 2024 aí na sua agenda:
  • Julho/2024
    • 09 a 14/07: Campus Party Brasil (São Paulo) (CPBR16) (@CampusPartyBRA) - Principal edição da Campus Party, ex-mega-evento realizado em São Paulo, com dezenas de palestras relacionadas ao universo da tecnologia, empreendedorismo e redes sociais, mas que também tem algumas atividades relacionadas a segurança. A galera dos hackerspaces são representadas pela comunidade Dumond e tem um palco na área de comunidades;
    • 13/07: CajuSec (Aracaju-SE) (cfp) - Evento novo em Aracaju, na sua 2a edição, que promete agregar a comunidade local de segurança;
    • 29 e 30/07: 12º Fórum Brasileiro de CSIRTs (cfp) - Evento gratuito e presencial organizado pelo NIC.br e CERT.br, direcionado para os profissionais que trabalham em resposta a incidentes de segurança, SOC e Threat Intelligence. São 2 dias de palestras seguidos por um terceiro dia (31/07), dedicado para um workshops gratuito sobre MISP, com várias palestras sobre o assunto;
  • Agosto/2024
    • 01 a 04/08: Hack Town (Santa Rita do Sapucaí, MG) - Grande evento de tecnologia que acontece na bela Santa Rita do Sapucaí. Por 4 dias, a cidade é tomada por diversas atividades, oficinas, workshops e muito mais. No meio desse caldeirão, sempre brotam algumas atividades de segurança, fique de olho!
    • 05/08: BRHueCon (Las Vegas, EUA) - Ponto de encontro dos Brasileiros que vão para a BSidesLV, Black Hat e Defcon. Um ponto de encontro, uma mistura de happy hour, networking e palestras, em um ambiente descontraído. Alguns brasileiros aproveitam para mostrar, em primeira mão, as palestras que irão apresentar nos próximos eventos;
    • 08/08: Security Leaders Salvador (Salvador, BA) - Edição regional do Security Leaders, levando a fórmula de debates superficiais para a bela e alegre Salvador;
    • 22/08: Security Leaders Recife (Recife, PE)  - Versão local do Security Leaders. Evento repleto de painéis e palestras de patrocinadores;
    • 23 e 24/08: CyberSecGO (Goiânia, GO): Novo evento da comunidade de Goiânia;
    • 24/08: bxsec (Santos, SP) (cfp) - Neste ano, a 5ª edição da BxSec Security Conference dá um salto de qualidade e será realizada no hotel Sheraton Santos, com 2 trilhas de palestras bem caprichadas, além de competição de CTF e área para as comunidades;
    • 24/08: 0xE Hacker Conference (Maceió, AL) - Novo evento da comunidade de Maceió, organizado pelas pessoas responsáveis pelo hackerspace local, o 0xE. O evento acontece num sábado a noite, com uma pequena, mas bem qualificada, grade de palestras;
    • 24/08: HackBahia (Salvador, BA) - Mais um ano desse evento de hacking em Salvador! A região tem uma comunidade muito forte, que merece ter 2 eventos por ano (o HackBahia e a NullByte);
    • 27/08: RNPSeg 2024 (@caisRNP) - Evento executivo organizado pelo CAIS/RNP em formato de painel sobre um tema relevante na área com convidados na platéia. O evento é online, gratuito e pode ser acompanhado pelo canal no Youtube;
    • 27 a 29/08: Fórum RNP (@RedeRNP) (Brasília, DF) - Evento executivo da RNP, direcionado aos gestores das instituições de ensino que fazem parte da RNP. O evento é híbrico, com transmissão online, e pode ser acompanhado pelo canal no Youtube;
  • Setembro/2024
    • 02 e 03/09: 15º Seminário de Proteção à Privacidade e aos Dados Pessoais - Evento organizado pelo CGI.br e NIC.br. O evento é gratuito, realizado presencialmente e com transmissão online pelo canal do NIC.br no YouTube.
    • 05 e 06/09: Global Risk Meeting 2024 - Evento focado no universo de GRC, organizado pela Daryus, com painéis e palestras sobre o tema;
    • 14/09: BSides João Pessoa (BSidesJP) (@BSidesJP) (João Pessoa, PB) (cfp) - Terceira edição da Security BSides em João Pessoa (antigo Jampasec), evento bem organizado pela comunidade local e com palestras de excelente qualidade técnica;
    • 16 a 19/09: XXIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg) (São José dos Campos/SP) - Principal evento acadêmico sobre segurança da informação no Brasil, a cada anio é realizado em uma cidade diferente;
    • 17/09: Dia Internacional da Segurança da Informação (DISI) - Tradicional evento da RNP, realizado desde 2005. Online e gratuito, é voltada para o usuário final. Neste ano teve pouca divulgação e limitou-se a realização de um painel (vídeo);
    • 17 a 19/09: Mind the Sec (MTS) (10º edição) (@mindthesec) - Principal e maior evento de segurança brasileiro, direcionado ao público profissional e executivo. O evento cresceu muito nesses últimos 3 anos, e atrai uma grande quantidade de patrocinadores em uma área de exposição gigante, no Transamérica Expo. Também tem trilhas de palestras - algumas acessíveis na área de exposições e outras limitadas para os congressistas. É um evento que merece a visita, praticamente obrigatória para manter o seu networking, para você ver e ser visto;
    • 18 a 20/09: TDC São Paulo (@TheDevConf) (cfp) - O TDC São Paulo é o principal evento do mercado de desenvolvimento, gigante e tradicional, e sempre tem uma trilha com palestras sobre segurança e privacidade. Nesse ano, a trilha de "Software Security" acontecerá no dia 20/09. Fique de olho, pois vale a pena!!!
    • 21/09: Hacking na Web Day (@hackingnawebday) (São Paulo, SP) - Evento da comunidade Hacking na Web, que surgiu nesse ano em um formato "roadshow" com eventos em algumas cidades brasileiras (Brasília, Salvador, Rio de Janeiro e SP). A temática é mais técnica, mas com um nível mais básico, perfeito para o público que está iniciando na área;
    • 26/09: Security Leaders Fortaleza (Fortaleza, CE) - versão regional do Security Leaders, com palestras e painéis;
  • Outubro/2024
    • 08 a 10/10: Futurecom - Tradicional evento de tecnologia e que por alguns anos foi dominado por empresas de telecomunicações, neste ano a Futurecom merece destaque aqui no blog pois criaram uma trilha focada em segurança, a Future Cyber, que apresentará excelente conteúdo, em formato de painéis;
    • 14/10: Congresso de Direito Digital, Tecnologia e Proteção de Dados - 2024 (Digital Privacy Summit) - Organizado pela OpiceBlum Academy, o evento é focado em direito eletrônico e privacidade;
    • 19/10: 8.8 Brasil (cfp): Spoiler alert: o principal evento de segurança do Chile, a 8.8, pretende fazer uma edição aqui em São Paulo!
    • 23 e 24/10: Security Leaders Nacional - Principal edição do tradicional Congresso Security Leaders, comemorando o seu aniversário de 15 anos em uma grande infraestrutura em São Paulo. Um evento voltado principalmente para gestores de segurança (média e alta gerência, e alguns CISOs);
    • 26/10: Human Risk Management Conference Brazil 2024 - Novo evento sobre Conscientização em segurança, criado e organizado pelo Rodrigo Jorge. Esse é um tema que tem crescido muito em importância e atenção do mercado;
    • 28 e 29/10: Cyber Security Summit (CCSB) - Evento voltado para os gestores de segurança (média e alta gerência), com algumas palestras e painéis;
  • Novembro/2024
    • 02 e 03/11: Gambiconf - Evento técnico para quem gosta de gambiarra, rs... voltado inicialmente para a comunidade de desenvolvimento, ela acaba tendo várias palestras relacionadas a segurança. Pela própria característica descontraída do evento, acaba trazendo temas bem interessantes e que valem a visita. O primeiro dia é voltado para palestras e o segundo dia (domingo) para treinamentos, com um debate no final. O evento é presencial, com uma pequena taxa de inscrição, mas com streaming gratuito no YouTube;
    • 06/11: Simpósio de Segurança Digital (SSD): Evento com foco Técnico-Cientifíco, organizado pelo ITA. É o sucessor do tradicional SSI (Simpósio sobre Segurança em Informática), que existiu de 1999 até o inicio dos anos 2000. Evento gratuito, realizado em São Paulo (capital);
    • 12/11: Cultsec: Evento pioneiro ao focar no mercado de conscientização em segurança, já chegando na sua quarta edição;
    • 13/11: CangaSec (Recife, PE) - Novo encontro de segurança estilo "City Sec", organizado pela comunidade de Recife, um dos maiores berços da comunidade de cibersegurança brasileira. Um ponto de encontro para networking;
    • 23/11: XibéSec (Belém, PA) - Segunda edição desse evento de segurança organizado pela comunidade local, o único evento de segurança na região Norte!!!
    • 27/11: Security Leaders Porto Alegre (Porto Alegre, RS) - A franquia Security Leaders se despede de 2024 em Porto Alegre, a capital gaúcha que se recupera das terríveis enchentes que sofreu no início do ano (e obrigou o adiamento do evento para o final de novembro);
    • 27 a 29/11: Latinoware (@latinoware) (cfp) (Foz do Iguaçu (PR) - Tradicional conferência de software livre, que volta a ser realizado no Parque Tecnológico de Itaipú. Apesar do foco na comunidade de software livre, costuma ter várias palestras sobre segurança;
    • 30/11: Nullbyte Security Conference (cfp) (Salvador, BA) - Edição comemorativa de 10 anos desse excelente evento de segurança na capital baiana!!! O evento sempre tem excelentes palestras técnicas e participação dos principais pesquisadores da comunidade brasileira;
    • 30/11 e 01/12: BHACK (@bhack) (Belo Horizonte, MG) - evento tradicional da comunidade de segurança de BH, sempre com ótimas palestras técnicas;
  • Dezembro/2024
    • 09 e 10/12: GTS-39 (Grupo de Trabalho em Segurança de Redes) (@gtergts) (cfp) - Tradicional evento de segurança do Comitê Gestor da Internet (CGI.br), com palestras técnicas, transmissão online (desde muito antes disso ser comum) e gratuito. Acontece na véspera do GTER-53 e junto com a 14a Semana de Infraestrutura da Internet no Brasil. Ao mesmo tempo presencial e com transmissão online, neste ano o evento será na Villa Blue Tree;
    • 14 e 15/12: H2HC (@h2hconference) (cfp) - O evento mais importante da comunidade brasileira de segurança, que tem crescido bastante nos últimos anos e investido em espaço para Villages temáticas - sem perder a grandiosa qualidade técnica das palestras das 2 trilhas do evento. Preste atenção para a nova data, pois o evento costumava ocorrer em Outubro.
Sentiu falta do Roadsec (@roadsec) na lista acima? Eu também! Tudo indica que não teremos o Roadsec neste ano. De fato, já estamos em Setembro e a Flipside não anunciou nada sobre o evento (nem mesmo a busca por patrocinadores, até aonde eu sei).

Ainda não descobri as datas de alguns eventos:
Eu não gosto dos eventos com "CISO" no nome. Tenho um preconceito de que podem ser eventos de conteúdo com baixa qualidade, que funcionem só como "caça-níquel", para atrair patrocinadores em troca de uma falsa proposta de conectá-los com CISOs. Sem falar que, aqui no Brasil, infelizmente ainda temos muitos CISOs que na realidade estão mais como gerentes ou, com sorte, diretores do que "C-Level" de verdade. Mas, se você gosta desse tipo de evento, temos alguns:
(*) Esse é opara quem é C-level de verdade! rs...

OBS: Você também notou que tem vários eventos encavalados nesse segundo semestre???? Por exemplo, 3 eventos estão programados para acontecer na semana de 16 a 20 de setembro: o SBSeg de 16 a 19/09, o Mind the Sec de 17 a 19/09 e o TDC São Paulo de 18 a 20/09. Felizmente eles tem públicos bem distintos, mas isso pode atrapalhar a vida de quem gostaria de palestrar em 2 ou 3 deles. E teremos 3 eventos de segurança no final de semana de 23 e 24/08: o CyberSecGO em Goiânia (GO), a bxsec em Santos (SP) e o HackBahia, em Salvador (BA). Pelo menos são eventos em estados diferentes. Mas, para a comunidade de segurança, o pior mesmo é a Nullbyte e a BHack acontecendo no mesmo final de semana 
:(

Planeja ir em alguns eventos internacionais neste ano? Os principais e mais interessantes eventos nesse semestre, na minha opinião, são os seguintes:
    E que tal já ir planejando a jornada de eventos em 2025? Alguns eventos já divulgaram sua programação para o ano que vem, inclusive o Hacking na Web Day, que promete vários eventos regionais!!

    SPOILER ALERT: Em 2025, a Flipside está planejando realizar o Mind The Sec Summit, uma versão regional do MTS, nas cidades de Porto Alegre, Belo Horizonte, Rio de Janeiro, Brasília, Fortaleza, Recife e Salvador

    Se eu esqueci de algum evento brasileiro importante, me avisem.

    OBS:

    1. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2023;
    2. Veja a minha lista de eventos no início desse ano: Eventos de Segurança no primeiro semestre de 2024
    3. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com;
    4. O Eduardo Fedorowicz mantém um post no Linkedin com um calendário dos principais eventos de tecnologia: Eventos de Tecnologia (2024);
    5. A Axur criou uma lista de "2024 Cybersecurity and Tech Events com diversos eventos de tecnologia e de segurança no Brasil e no mundo;
    6. O Sickeira postou uma lista de Eventos 2024 em seu blog, com eventos de segurança e das comunidades maker, de hackerspaces e de software livre;
    7. O Gutem também compartilhou uma lista com eventos de segurança, hacking, programação e open source: Eventos de Tecnologia;
    8. O Felipe Prado publicou no seu Linkedin, no início do ano, um dump com um monte de eventos de segurança: "Eventos 2024 - Segurança, Hacking e Privacidade".
    9. O site CTF Time possui uma lista gigante de eventos em todo o mundo que estão com a chamada de trabalhos (CFP) aberta.
    10. Alguém criou um "linktree" com os eventos de Cyber: https://linktr.ee/EventosCyber.
    11. Bonus: 10 melhores eventos de tecnologia em 2024
    12. Post atualizado em 04, 05, 10 e 23/09; e novamente em 09, 17, 21, 28 e 29/10, e também em 08, 11, 12 e 14/11.

    Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci, não conheço ou porque considero que nem vale a pena escrever sobre ele.

    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.