[Segurança] Fraudes nos pagamentos online

Segundo estimativa apresentada em um estudo da consultoria Juniper Research, o comércio eletrônico global pode perder até US$ 20 bilhões (cerca de mais de R$ 100 bilhões) com fraudes em 2021. Este valor representa um aumento de 18% comparado com os US$ 17,5 bilhões registrados em 2020.

O estudo destacou o impacto da pandemia. Normalmente sempre lembramos que muitos clientes começaram a usar o e-commerce pela primeira vez, e assim foram vítimas fáceis para esquemas de fraude online. Mas o estudo da Juniper Research também destacou que as empresas também tiveram que se adaptar para o e-commerce repentinamente, e muitas não estavam preparadas para enfrentar os cenários de fraude online.

Outro destaque é que o grande número de vazamento de dados facilita o roubo de identidade e a criação de cadastros falsos.

Para saber mais:

• Estudo estima prejuízos no e-commerce de até US$ 20 bi em 2021. Podemos prevenir?
• Press release: eCommerce Losses to Online Payment Fraud to Exceed $20 Billion Annually in 2021
• Infográfico: Online Payment Fraud Statistics
• Link para o relatório, que é vendido: Online Payment Fraud

[Segurança] Fraudes nos pagamentos online em 2021

[Segurança] Previsões para 2021 (com memes)

Depois de um ano m* como foi 2020, qualquer previsão para 2021 pode se resumir em "espero que não piore".

   

OBS (adicionado em 08/01): Xi, já tem gente pedindo o rollback! Parece que 2021 é, na verdade, a Temporada 2 de 2020 !!!

   

A expectativa otimista de todos é que a pandemia possa ser controlada com o avanço da vacinação contra o COVID-19 ao redor do mundo. Talvez em meados de 2021 possamos voltar a uma vida mais próxima ao normal.

Mas, falando sobre o nosso mercado de segurança, eu passo abaixo as minhas previsões para o ano de 2021, baseado nas tendências atuais, um pouco de achismo, uma pitada de chutômetro e anos de experiência acumulada de muita procrastinação:

• Os impactos da Pandemia
• Consolidação do trabalho remoto como prática dominante no mercado - mas pode ser possível que daqui a alguns meses e nos próximos 1 ou 2 anos comecemos a ver as pessoas querendo voltar para o escritório. Eu acredito que a maioria das empresas vão assumir um modelo de trabalho híbrido, com os times revezando entre alguns dias no escritório e outros dias em casa, trabalhando remotamente. Isso permite reduzir o tamanho dos escritórios atuais, economizando recursos. Também deve ampliar o escopo de contratação de profissionais para além das cidades aonde as empresas mantém suas operações, permitindo o crescimento do mercado de tecnologia e de segurança para além dos grandes centros urbanos;
• Maior foco em proteção do Endpoint, devido a proliferação do trabalho remoto durante e após a pandemia do novo Coronavírus. No cenário de trabalho remoto e longe das redes corporativas, a proteção dos end points (computadores dos usuários finais) tornou-se fundamental, uma vez que agora nossos funcionários podem (e precisam) trabalhar a partir de qualquer lugar - inclusive a partir de redes locais inseguras. Além do uso obrigatório de tecnologias de autenticação de dois (ou mais) fatores (2FA e MFA), o Zero Trust é um conceito fundamental nesse "novo normal";
• Ainda teremos muitos golpes e ciber ataques relacionados a COVID-19, pois a pandemia ainda vai dominar a vida de todos nós até, pelo menos, metade do ano. Já estamos vendo surgir, por exemplo, golpes de phishing oferecendo acesso a vacina contra o Coronavírus, além de ciber ataques aos laboratórios e, até mesmo, venda online de vacina falsa;
• Ransomware corporativo bombando!
• Os ataques de Ransomware com foco corporativo continuarão bombando e extorquindo milhões de dólares de grandes empresas, graças as técnicas de double e triple extorsion (criptografia e roubo de dados, além de DDoS). Além de aumentar a tendência de ataques direcionados, acredita-se que, graças aos ganhos milionários com resgates exigidos de empresas, os ciber criminosos também possam focar em corromper ou extorquir funcionários para implantarem ransomware na empresa aonde trabalham;
• Deve ganhar força ações governamentais para criminalizar o pagamento de resgates de ransomwares, fruto da explosão dos ataques de ransomwares aos ambientes corporativos. Na incapacidade de prevenir e combater esse tipo de ciber crime de forma efetiva, o caminho mais fácil para as autoridades é criminalizar o pagamento dos resgates. É possível, por exemplo, surgir esforços para enquadrar tais pagamentos em regulamentações contra a lavagem de dinheiro e financiamento ao crime e terrorismo. Consequentemente, vão surgir empresas de consultoria especializadas em "mascarar" esses pagamentos;
• A saga da LGPD continua!
• 2021 será, com certeza, o Ano do LGPD no Brasil (ok, eu disse a mesma coisa no ano passado!), forçando as empresas a se adaptarem a lei, com a consolidação assim que a Autoridade Nacional de Proteção de Dados (ANPD) começar a funcionar realmente. Em Agosto de 2021 também teremos um novo "boom" da LGPD, com o início da aplicação das sanções administrativas. De qualquer forma, começaremos a ver as empresas tratando os dados pessoais com mais cuidados e com mais respeito aos direitos dos titulares;

• Proliferação, no Brasil, de empresas oferecendo "DPO as a Service" e, por tabela, "CISO as a Service", graças a baixa quantidade de profissionais para suprir a demanda de mercado. Além disso, como A LGPD é aplicada a todos os setores da economia, as empresas de pequeno e médio porte não tem capacidade de manter profissionais dedicados, sendo obrigados a buscar a terceirização dessa função em formato de consultoria;

• Há quem acredite no surgimento de chantagem pelo sequestro de dados pessoais, por causa das multas da LGPD. Mas eu sou do contra, duvido que isso ocorra. Há uma grande especulação no mercado e segurança de que a entrada da LGPD e suas multas por vazamento de dados vai estimular o mercado criminoso de roubo de dados e extorsão em troca da não divulgação. Isso pode acontecer, claro, pois a criatividade dos criminosos não tem limites, e considera-se que o valor exigido pelos criminosos seria menor do que a potencial multa que a empresa pagaria. Mas eu não acredito que isso realmente vá acontecer em grande escala e que vai ter relevância (embora nunca possamos duvidar da criatividade dos criminosos brazucas), pois até aonde eu sei o mesmo fenômeno não aconteceu na Europa, com a entrada da GDPR há 2 anos atrás;
• Gestão de acessos a ambientes em Cloud vai ser um tópico quente em 2021 e talvez nos próximos anos, principalmente graças a grande quantidade de dados vazados diariamente - muitos vindos de repositórios em nuvem, sem a devida proteção. CASB vai virar uma buzzword frequente!
• Novos modelos de eventos, overdose dos eventos online e foco nos eventos presenciais pós-pandemia - As pessoas já estão ficando exaustas dos eventos online, das frequentes lives, webinars e cursos online. O boom de 2020 não vai se sustentar em 2021, pois as pessoas vão ficar cansadas desse modelo, principalmente por causa da quantidade exagerada de lives que vimos em 2020. A flexibilização (e eventual fim) das medidas de isolamento social vai trazer de volta os eventos presenciais, e as pessoas terão a oportunidade de retomar essa interação. O mercado e eventos vai se adaptar, com eventos online mais focados em conteúdo e eventos presenciais focados em networking, com surgimento dos eventos mistos (parte do conteúdo online e parte presencial), juntando o melhor de cada um dos cenários;
• Mercado Brasileiro
• Em termos do ciber crime brasileiro, acredito que em breve veremos surgir golpes usando os cartões com aproximação (contactless), que estão se popularizando no Brasil, e também teremos o aumento nas fraudes relacionadas ao uso do PIX, o sistema de pagamentos instantâneo que começou a operar no Brasil no final de 2020. Conforme o PIX se populariza e cai no gosto da população, mais ele também será utilizado por criminosos, de diversas formas: como tema em esquemas de fraude (ex, sites falsos e phishing para acessar credenciais bancárias), como forma de transferência rápida de dinheiro entre contas, etc
• Eu acredito que vamos ver o mercado de Bug Bounty crescer no Brasil em 2021. Aos poucos, bem aos poucos, as empresas nacionais estão acreditando no bug bounty como uma forma de ajudar a identificar vulnerabilidades. Já temos muitos pesquisadores brasileiros participando de programas de BB mundo a fora, mas ainda falta ver a adesão das nossas empresas.

Para saber mais:

• Artigo do amigo Felipe Prado: Previsão de Cyber Security para 2021.. Na verdade um compilado de várias previsões....
• Artigo do Altieres Rohr no G1: Ataques a fornecedores, internet das coisas, 5G e páginas falsas: o que esperar da segurança digital em 2021?
• Gartner Top 10 Security Projects for 2020-2021
• Cybersecurity Trends That Will Dominate the Market in 2020-21
• Top 10 in-demand cybersecurity skills for 2021
• The data protection and privacy trends to watch out for in 2021
• Vale a pena ler esse artigo, é curtinho: The Predictions Dilemma
• Sophos 2021 Threat Report
• Procurando emprego? Veja profissões da área de TI que estarão em alta em 2021
• Check Point divulga previsões de cibersegurança para 2020
• Cyberthreats to financial organizations in 2021 (Kaspersky)
• Advanced Threat predictions for 2021 (Kaspersky)
• Top 5 digital transformation trends of 2021
• Extorsão e ransomwares ainda mais perigosos são tendências de ameaças para 2021 (adicionado em 05/02)
• Acabo de perceber que já fazem 10 anos que mantenho essas previsões aqui no blog:
• Previsões para 2020
• Previsões e Tendências para 2019
• Tendências para 2018
• Previsões para 2017
• O que esperar em 2016?
• Previsões para 2015
• Previsões para 2014
• Previsões para 2012
• Perspectivas para 2010

Adicionado em 08/01: Dê uma olhada nesse artigo também: 10 fastest-growing cybersecurity skills to learn in 2021.

Adicionado em 28/01: Vale a pena dar uma lida rápida nesse artigo da Kaspersky: A privacidade digital no futuro: previsões dos especialistas para a próxima década.

Adicionado em 19/02: A HackerOne tem um relatório curto e interessante: Hacker Trends & Security In 2021.

[Segurança] Previsões para 2020

Agora é hora de pensar o que o ano de 2020 está preparando para nós.

No ano passado eu separei a minha coletânea de previsões entre as óbvias e as que considerava válidas. Para esse ano, vou dar uma melhorada nessa separação:

O Óbvio

• É claro que os ataques de Ransomware vão continuar assolando as empresas e organizações em todo o mundo. Além de serem muito lucrativos para os ciber criminosos, não há uma bala de prata capaz de proteger as empresas. Afinal, o ransomware é um ataque que explora a falha humana, semelhante quando um usuário se infecta por um vírus - um problema quase tão antigo quanto a própria informática;
• Os vazamentos de dados vão continuar. Afinal, as empresas ainda vão demorar um bom tempo até aprenderem a proteger seus dados armazenados em ambientes em nuvem - isso representou a maioria dos casos de vazamento de dados em 2019. Além do mais, as ferramentas e procedimentos de segurança ainda engatinham frente a grande facilidade de criar ambientes em nuvem, sem a devida proteção (e esse foi o principal vetor de vazamento de dados em 2019);
• Falta de profissionais qualificados. Isso é um problema crônico que afeta o mercado de tecnologia e também o de segurança há vários anos. Esse problema não vai ser resolvido tão cedo :(
• Fake news nas eleições de 2020 - um tema que preocupa vários países, principalmente os EUA e o Brasil, que terão eleições nesse ano. As Fake News tem sido amplamente utilizadas para manipular a opinião do eleitorado, distrair a discussão sobre assuntos importantes, etc. Os países tem grande dificuldade em identificar e evitar a proliferação de notícias falsas nas redes sociais. Eu gostei de uma iniciativa que surgiu no Brasil: o TSE decidiu punir os candidatos que produzirem e disseminarem notícias falsas no período eleitoral.

"Tendências" que não são tendências! #peloamordeDeus

• Blockchain? Sem novidades. Lamento! Embora a tecnologia exista há mais de 10 anos, ela não trouxe nenhum uso inovador além das criptomoedas. E não acredito que isso vá mudar tão cedo. Além disso, seu uso já está enraizado por ciber criminosos e até mesmo criminosos tradicionais, para esconder, movimentar e lavar o dinheiro;
• Ataques em dispositivos IoT e a infraestrutura crítica não são novidades para ninguém, há vários anos. Mas, mesmo assim, eles permanecem nas listas de mercado, como se fossem tendências;
• Threat Intelligence não é bala de prata! Nos últimos dois anos, principalmente, vi uma glamourização da área de Threat Intelligence. Nessa área, muito se fala de OSINT, como se fosse o principal aspecto de Threat Intel - mas, na verdade, é apenas uma pequena engrenagem de algo muito mais complexo que é a capacidade de identificar novas possibilidades de ameaças, investigar tendências e extrair indicadores úteis para a empresa. As empresas ainda engatinham nessa área, enquanto proliferam empresas que cobram rios de dinheiro para fazer um OSINT bem besta.

Vamos ao que interessa!

• O fim da privacidade online - com tanta exposição nas redes sociais e, principalmente, com tantos vazamentos de dados pessoais sensíveis, toda nossa informação pode ser facilmente encontrada online. É o fim da privacidade dos nossos dados :(
• O fim da identidade online - com mais dados vazados do que a população da terra, as empresas tem grande dificuldade em validar a identidade online de seus clientes. As senhas já são consideradas insuficientes há vários anos (o próprio NIST tem dito isso desde 2016, pelo menos). Além disso, a facilidade de fraude de SIM Swap torna muito difícil utilizar um dispositivo como parâmetro para identificar um usuário;
• Os "Deepfakes" vão facilitar a criação de identidades falsas. Com o avanço da tecnologia para criação de "deepfakes", provavelmente ciber criminosos vão começar a utilizá-la para criação de identidades falsas online, que podem ser usadas em esquemas de fraudes. Além de constar em 11 de cada 10 listas de tendências dos principais fabricantes, a Forcepoint chegou a prever o surgimento do "Deepfakes-As-A-Service";
• Esse será o "Ano do reconhecimento facial", graças  a expansão do uso de tecnologias de biometria facial, principalmente como forma de autenticação de aplicativos nos celulares. Além disso,vamos ver um grande debate sobre a necessidade de privacidade relacionado a o uso dessa tecnologia para vigilantismo governamental (que já é realidade na China e pode ser facilmente adotado em países que já investiram muito em câmeras de vigilância);
• A dificuldade em manter segurança na nuvem vai gerar uma maior demanda por profissionais de segurança especializados em Cloud Security, enquanto os grandes provedores estão expandindo suas ofertas de serviços e ferramentas para facilitar a automatização dos controles de segurança em seus ambientes - já que os mega-vazamentos de dados de 2019 deixaram claro que os clientes falharam em manter controles básicos de segurança;
• Zero Trust - o mercado de segurança ainda fala pouco sobre o conceito de Zero Trust, mas esse é um conceito muito importante para as empresas que adotam massivamente o uso de Cloud Computing. Cada vez vamos depender de confiar e aplicar controles de segurança associados a identidade do usuário e seu endpoint, e depender menos da segurança na rede local e na conectividade com a Internet.

Tendências nefastas

• "Compliance fatigue" - Essa tendência sugerida pelo The Hacker News diz respeito a dificuldade das empresas acompanharem as dezenas de regulamentações locais e internacionais relacionadas a segurança e privacidade que já existem e as que estão surgindo. Além disso, a GDPR teve o mérito de criar o precedente de ser uma regulamentação local, mas que deve ser seguida por países fora de sua área geográfica. Esse excesso de regulamentações, leis e padrões regionais, nacionais e internacionais, que causam regulamentações repetitivas ou até mesmo conflitantes, pode causar um impacto negativo nas áreas de Compliance das empresas, tornando seu trabalho muito difícil. Some a isso sopas de letrinhas como ISO, NIST, SOX, HIPAA, GDPR, LGPD, CCPA, etc;
• Fadiga do Endpoint: Hoje existem tantas soluções de segurança que devem ser aplicadas nos computadores pessoais (endpoint) que está tornando impossível gerenciar isso tudo. Antigamente os críticos dos softwares de anti-vírus argumentavam que eles impactavam na performance dos computadores. O que dizer agora, em que além do anti-vírus, as empresas adotam soluções específicas de anti-APT, client de Proxy, client de VPN, DLP e CASB (para segurança no acesso a ambientes em nuvem)? Ou seja, só aí temos 6 ferramentas de segurança que estão presentes nos desktops dos usuários. Segundo uma estimativa de 2018, um usuário trabalha com cerca de 35 aplicações diferentes - mas, se considerarmos que hoje e dia a maioria das aplicações de escritório estão na nuvem (ou migrando para nuvem) e são acessadas via browser (até mesmo o Office tradicional já está na nuvem e pode ser acessado vi browser), eu acredito que hoje em dia esse número é muito menor. Corremos o risco do nosso usuário final ter mais aplicativos de segurança em seu computador do que aplicativos de trabalho! Uma piada que eu sempre faço com meus colegas é que daqui a pouco vamos precisar de 2 computadores: um para rodar as ferramentas de segurança e um para trabalhar. Não é a toa que já tem quem preveja a consolidação dos fabricantes de solução de segurança para endpoints.

Aqui no Brasil

• Certamente 2020 vai ser o ano da privacidade no Brasil, por causa da Lei Geral de Proteção de Dados Pessoais (LGPD)! As empresas já estão desesperadas, as consultorias estão bombando e a galera está desesperada procurando DPOs;
• Eu acredito que vamos ver um grande número de empresas brasileiras aderindo a programas de Bug Bounty. Embora seja algo relativamente comum em grandes empresas americanas e globais, o Bug Bounty ainda é muito raro no Brasil - e as poucas empresas que tem, rodam em modo "privado", sem divulgar que o fazem (rara excessão é o caso do C6 Bank, que embora tenha um programa privado, fala abertamente sobre o assunto).

Para saber mais:

• No meu blog: Retrospectiva 2019 - Parte II
• No meu blog: Previsões e Tendências para 2019
• Top 5 Cybersecurity and Cybercrime Predictions for 2020 do TheHackersNews
• FireEye Cyber Trendscape Report
• Microsoft divulga as principais tendências de cibersegurança para 2020
• 2020 predictions: Rising complexity of managing digital risk
• The Cyber speaks: What will actually happen in 2020
• Vídeos alterados são maior ameaça à segurança digital em 2020, aponta relatório [da McAfee]
• Experts' cloud predictions for 2020
• Trends In Information Technology, Privacy And Cybersecurity For The Next Decade (Forbes)
• The Top 20 Security Predictions for 2020

• 2020’s Top Cybersecurity Threats Explained | Avast (adicionado em 07/01)
• Ranking das 15 profissões emergentes para 2020, segundo o LinkedIn (adicionado em 08/01)
• Top 10 Digital Transformation Trends For 2020 (Forbes) (adicionado em 11/01)

PS (adicionado em 03/01): Se houver uma praga global em 2020, provavelmente será cibernética... um Ransomware super mega destrutivo? Uma guerra cibernética?

PS: Post atualizado em 07, 08 e 11/01.

[Segurança] Previsões e Tendências para 2019

Fim de ano, hora de fazer as promessas para o ano novo e, porque não, aproveitar e discutir sobre quais são as principais tendências no mercado de segurança que vão ser relevantes para 2019.

Primeiro, vou começar com as previsões óbvias, aquelas que qualquer criança poderia fazer, mas provavelmente encontraremos em vários artigos de fabricantes e fornecedores de segurança. Cada vez que você ver alguém citando essas previsões, um panda morre.

• Os ataques DDoS vão aumentar (sempre aumentam!);
• Ataques de ransomware continuarão em alta (os criminosos ganham muito dinheiro com isso, e existem muitas máquinas vulneráveis por aí!);
• Aumento das fraudes online - nada demais, sempre aumenta! Só merece destaque mesmo se surgiralgum novo tipo de golpe que possa, realmente, mudar o cenário de ataques. Em 2017 e 2018, por exemplo, tivemos as mega-fraudes baseadas em transferências através da rede SWIFT, exploradas por grupos extremamente sofisticados;
• Dispositivos IoT continuarão vulneráveis, alimentando grandes botnets (deve demorar muito ainda para a indústria produzir dispositivos IoT minimamente seguros);
• Duvide de quem falar sobre os malwares do tipo "cripto mineres". Eles ganharam muito destaque em 2018, mas a queda das moedas virtuais tirou a graça dessa praga.

Eu aposto as minhas fichas nas seguintes tendências:

• Continuaremos com frequentes vazamentos de dados e começaremos a ver uma maior reação do mercado, frente as primeiras punições baseadas na GDPR;
• Lembre-se: no Brasil  a LGPD só vai entrar em vigor em Agosto/2020, logo as primeiras punições aos vazamentos de dados vão surgir a partir das iniciativas do Ministério Público de investigar tais fatos;
• A preocupação com privacidade deve dominar as empresas (por conta dos vazamentos e legislações)
• Os seguros contra ciber ataques devem continuar numa crescente demanda, principalmente como forma das empresas tentarem minimizar os prejuízos com vazamentos de dados;
• Vazamento de dados como chantagem: Uma possibilidade é que ciber criminosos, ao acessar dados de enpresas, optem por chantageá-las, pedindo dinheiro em troca de não divulgar a invasão. Assim, a empresa pagaria ao ciber criminoso em vez de arcar com as multas relacionadas ao vazamento - valor que, de acordo com a GDPR, pode valer 4% do faturamento anual da empresa!
• A falta crônica de profissionais de segurança está causando vários impactos a curto e médio prazo no mercado:
• Estimular cada vez mais a automação de tarefas (através de projetos e ferramentas específicas), para que os profissionais sejam deslocados para funções mais prioritárias;
• Favorecer o mercado de terceirização e serviços gerenciados (MSS), além da adoção de Cloud Computing, desta forma a prestadora de serviços pode racionalizar e compartilhar os recursos humanos, e a empresa economiza head counts;
• Aquecimento do mercado, com aumento médio dos salários, trocas de emprego mais frequentes. Um sintoma negativo disso é que facilmente encontramos profissionais com pouca experiência de mercado mas que rapidamente alcançam nível Sênior na carreira ou posição de gestão. Assim, temos profissionais pouco preparados e sem maturidade o suficiente para atuar em suas funções;
• Maior esforço para captação de novos profissionais, através de ações para atrair pessoas para a área de segurança, incluindo a realocação de profissionais de outras áreas da empresa para a área de infosec.
• O mercado vai continuar apostando nas seguintes tecnologias, que devem amadurecer em 2019: reconhecimento facial, Inteligência Artificial e Machine Learning;
• O mercado também está focando muito em melhorar as tecnologias de autenticação (2FA, MFA e biometria facial) e de proteção de Endpoint;
• Eu acredito que a segurança no desenvolvimento de software está em alta, então vamos ver a valorização de profissionais relacionados a AppSec e DevSecOps;
• Aqui no Brasil, esse vai ser o ano do Bug Bounty: nós vamos entrar (atrasados) no mercado de remuneração por descoberta de vulnerabilidades, com as primeiras empresas nacionais entrando de cabeça nesse mercado através de parcerias com a Hackerone, Bugcrowd e, claro, graças a iniciativa corajosa da Flipside em criar o Hackaflag BugBounty;
• Vai aumentar o debate sobre as regulamentações e legislações relacionadas ao mundo online, privacidade, ciber crime e uso de tecnologias. Isso vai acontecer por conta do mercado sentir o impacto da GDPR e pelo surgimento de legislações exdrúxulas, como a lei australiana que exige o acesso a comunicações criptografadas;
• Esqueça Blockchain: não vai dar em nada, de novo. Blockchain vai continuar como uma das buzzwords favoritas da indústria, gurus e startups, mas duvido que surgirá alguma aplicação real, em larga escala, e realmente útil.

Observação (adicionado em 07/01/19): Em 2019 devemos ver um grande crescimento nos casos de fraude em pagamentos com cartões de crédito sem contato. No tipo de frade mais simples, criminosos podem aproveitar que esses cartões não pedem autorização com senha para pagamentos de baixo valor (até R$ 50, aqui no Brasil). Com isso, um criminoso pode fazer várias transações pequenas com um cartão roubado antes dele ser bloqueado pela vítima.

Artigos relacionados:

• "60 Cybersecurity Predictions For 2019" - pqp, com 60 previsões, é praticamente impossível não acertar alguma!!!
• Symantec: "Cyber Security Predictions: 2019 and Beyond"
• Trend Micro: "Mapping the Future"
• Kaspersky Security Bulletin 2018. Threat Predictions for 2019
• Kaspersky: Cyberthreats to financial institutions 2019: overview and predictions
• Gartner top 10 technology trends for 2019: A comprehensive guide
• 10 cyber security trends to look out for in 2019 - achei interessante eles citarem o surgimento do Chief Cybercrime Officer (CCO)
• CSO Online: "9 cyber security predictions for 2019"
• Computerworld UK: "Cybersecurity trends 2019"
• AT&T: "5 cybersecurity trends to expect in 2019" - interessante porque, obviamente, eles focam muito nas tendencias relacionadas a terceirização de serviços
• Cybersecurity Trends for 2019
• Meu artigo: "[Segurança] Quais as principais tendências para os próximos anos?"
• "The world looks wobbly" according to The World in 2019
• 5 cloud computing predictions, trends for 2019
• Olhar Digital: "10 ameaças virtuais que você deve ficar atento em 2019" - não diz nada de relevante, mas é útil para mostrar para os usuários finais
• Forbes: "The Top Five Cyber Threats Businesses Face Today, Part One" (incluído em 18/1/2019)

[Cyber Cultura] IoT e o futuro das seguradoras de carro

Recentemente eu vi um vídeo que mostra de forma bem divertida como as empresas de seguro poderiam usar a tecnologia para auxiliar seus clientes para automatizar e agilizar o atendimento de sinistros.

Tudo o que o vídeo mostra já poderia ser feito hoje, pois já existe tecnologia para isso.

[Segurança] Previsões para 2017

Eu tenho dificuldade em pensar no que pode vir de ruim em 2017, pois ainda estou chocado com a grande quantidade de dados vazados em 2016, o volume gigatesco que atingiram os ataques DDoS a partir de redes de dispositivos IoT e a enorme quantidade de dados vazados. Isso sem falar que frequentemente vimso notícias de novas vulnerabilidades em tudo quanto é sistema operacional e aplicativos.

O ano de 2016 foi, sem dúvidas, muito intenso para todos nós. E não há motivos para imaginarmos que 2017 será menos pior.

Olhando algumas previsões para 2017 que foram publicadas por aí, eu aposto no seguinte:

• Podemos, sim, ver pela primeira vez mortes de pessoas causadas por ciber ataques (ou numa ciber guerra, ou, provavelmente, por um ciber ataque a algum hospital - chegamos perto disso em 2016);
• Poderemos ver danos físicos causados por ciber ataques a dispositivos de IoT;
• Vamos entrar oficialmente na era da "Guerra Fria Cibernética" ("Cyber Cold War"), alimentados pela escalada de ciber ataques e pelas tensões geo-políticas impulsionadas pelo governo Trump (que tem uma tendência armamentista, além do fato de que ele já está causando treta com a China e que pode se alinhar com a Russia - ou, pelo menos, os dois países podem ter interesse em alimentar uma escalada militar); Some a isso o fato de que já tivemos tempo suficiente para muitas agências de espionagem de dos grandes países já terem invadido os sistemas de infra-estrutura crítica de praticamente todo mundo;
• O alto volume de incidentes e a falta de profissionais no mercado (principalmente nos EUA), vai influenciar as empresas a investirem em ferramentas de automação ou terceirização de serviços de segurança, com destaque aos MSSPs (Managed Security Service Providers);
• Conforme eu comentei recentemente, do ponto de vista de prevenção, em 2017 devemos ver tecnologias de Big Data apoiando a detecção de ataques e fraudes em segurança;
• A batalha entre a privacidade online e a vigilância governamental vai se intensificar, e provavelmente vamos perder cada vez mais o nosso direito a privacidade;

Algumas previsões curiosas:

• O grande volume de vazamento de dados pode começar a exigir que as empresas adotem políticas mais fortes de senha, e eventualmente motivar a adoção de biometria;
• A necessidade de gestão de identidades vai fazer surgir o cargo de Chief Identity Officer (CIdO). Sério que vamos precisar de um alto executivo para isso!?
• Proliferação dos Ransomwares sequestrando dispositivos IoT (imagine um ransomware bloqueando o seu carro!);

Algumas previsões bem óbvias que a galera tem dito por aí:

• Os ciber ataques a dispositivos IoT e os ataques a partir de botnets baseadas em IoT vão se intensificar mais ainda;
• Há coisas que já acontecem hoje e que os especialistas dizem que é tendência para 2017: o a profissionalização do ciber crime (e o "cyber crime as a service"), e a sofisticação dos ataques de ransomware e dos phishings.

Para saber mais:

• Cybersecurity's crystal ball, 2017 predictions
• 2017 Global Fraud and Cybercrime Forecast
• What’s Ahead for 2017: The RSAC Advisory Board Industry Predictions
• What 2017 has in store for cybersecurity
• Top 15 security predictions for 2017
• 2017 Cybersecurity Predictions: The Impact of Trump Election
• Remain paranoid, err vigilant, with online security in 2017
• What the infosec jobs sector will look like in 2017

[Segurança] O que esperar em 2016?

Como sempre, no final do ano pipocaram previsões e discussões sobre tendências para o mercado de segurança em 2016.

Descartando as previsões óbvias (por exemplo, "aumento dos ataques a infra-estruturas críticas" ou "vai acontecer um cyber ataque em uma grande infra-estrutura crítica", "crescente necessidade de criptografia", "hacktivistas vão usar roubo de dados e ataques de DDoS contra suas vítimas"), exdrúchulas (ex: "O uso de Ad-blocking vai impactar o mercado de publicidade online e matar malvertisements") ou que já são realidades (ex. "uso de ciber extorsão, através de ramsonwares e roubo de dados", "aumento das ameaças internas"), sobraram algumas que eu acho interessante destacar:

• Necessidade de discutir padrões de segurança para a Internet das Coisas (IoT), incluindo computação vestível (como smart watches) e smart devices. Este foi um destaque feito pela grande maioria dos fabricantes de segurança;
• O pessoal da Fortinet fez uma previsão interessante sobre segurança em IoT: o surgimento de ataques entre os dispositivos conectados e malwares se disseminando através deles (ataques máquina-a-máquina, ou M2M);
• A Imperva prevê o surgimento da Botnet das Coisas (Botnet of Things);
• Haverá um aumento de pesquisa sobre hacking de carros, aviões e trens (Intel Security e Checkpoint). A Kaspersky tem uma previsão interessante sobre isso, preocupada com potenciais ataques as tecnologias de navegação autônoma;
• Não é a tôa que os dispositivos conectados (como soluções para Internet das Coisas, vestíveis e carros inteligentes) são um dos grandes destaques da feira CES (Consumer Electronic Show) logo no início deste ano;
• Possível conflito entre as gangs especializadas em criar ransomwares e as especializadas em malwares tradicionais (Symantec);
• O crescimento na quantidade de ciber ataques e roubos de dados vão fomentar a necessidade de seguros específicos ("cyber insurance") (Symantec);
• Security Gamification: O uso de gamificação como uma ferramenta de treinamento e conscientização de segurança (Symantec);
• A introdução e popularização de sistemas de pagamentos móveis vai inspirar o interesse em ataques e roubo de informações nas novas tecnologias de processamento de pagamentos (como cartões de crédito com chip ou com RFID e carteiras de pagamento via celular como Apple Pay e Google Wallet) (Trend Micro);
• "APT-as-a-service" e popularização de ciber mercenários, devido a grande facilidade de invasão e a popularização deste tipo de ataque (Kaspersky);
• Manipulação criminosa de dados para causar danos as empresas, através do uso de informações erradas - não bastará roubar ou destruir dados; o risco está em dados serem alterados intencionalmente para causar tomadas erradas de decisões nas empresas (RSA);
• Malwares vão utilizar certificados SSL que são oferecidos gratuitamente por algumas empresas (Imperva) - esse é o lado negativo da popularização da criptografia, previsto por algumas das empresas de segurança.

Aproveitando, o IDC publicou recentemente seu relatório de previsões para o mercado de segurança para os próximos anos, batizado de "Worldwide IT Security Products Forecast, 2015–2019". Veja algumas das previsões deles:

• Em relação ao mercado total de produtos de segurança de TI, o IDC estima que o mercado atingiu 35,2 bilhões de dólares em 2015 e vai crescer em 7,4% em 2016, quando atingirá US$ 37,9 bilhões;
• O IDC acredita que entre 2014 e 2019, o mercado vai crescer a té atingir quase US$ 46 bilhões em 2019;
• Dos submercados em segurança de TI, o IDC estima que em 2015, a área de segurança de redes foi o maior subsetor, representando US$ 10,4 bilhões (quase um terço da receita do mercado total). Endpoint Security foi a segunda maior área, com US$ 9,2 bilhões;
• Em termos de influências no mercado, o IDC acredita que a maior disponibilidade de ofertas de Segurança como Serviço (tal como MSS - Managed Security Services) juntamente com demandas mais exigentes de conformidade serão os fatores mais significativos para o crescimento do mercado de segurança em TI.

Eu, particularmente, acrescentaria mais algumas previsões e opiniões sobre o mercado de segurança em 2016...

• Os ataques de hacktivismo vão continuar diminuindo, embora nunca vão sumir por completo. A onda do hacktivismo teve seu ápice entre os anos 2011 e 2013, e agora atrai poucos interessados. Além disso, cada vez exige conhecimento técnico mais e mais avançado para realizar ataques, pois os ataques de DDoS com ferramentas online utilizadas coletivamente não são mais tão efetivos quanto eram anos atrás;
• Não podemos nos esquecer que as Olimpíadas de 2016 são um belo atrativo para hacktivistas; possivelmente teremos um pico de ataques de defacement e DDoS próximo aos jogos;
• DDoS como forma de extorsão: embora isto exista há muitos anos, este ataque começou a ser utilizado em escala global e em vários países em 2015 (inclusive atingindo empresas Brasileiras). A tendência é piorar e tornar mais frequente;
• Está cada vez mais fácil realizar ataques de DDoS em alta escala e está mais difícil evitá-los, por isso as empresas vão continuar sofrendo muito com esses tipos de ataques;
• IPv6 ainda vai demorar para decolar, mas é importante aumentarmos os esforços de estudo e pesquisa em segurança para IPv6;
• Uso de Biometria em aplicações móveis: a popularização da biometria nos Smartphones, que aconteceu com mais força em 2015, está trazendo a tona o surgimento de aplicativos móveis protegidos com biometria. Esta é uma tendência que vários bancos tem acompanhado de perto. O lado negativo disso é que pode acelerar o surgimento de roubo de dados biométricos para enganar os controles de autenticação;
• Vazamento de Big Data: como as empresas estão investindo muito em Big Data, e os ciber criminosos estão ávidos por roubar dados, podemos em breve ver um mega-roubo de dados com acesso não autorizado a estes "data lakes". Será que podemos chamar o "vazamento de um data lake" de "cyber Mariana"? Ok, desculpem-me pela piadinha de humor negro e politicamente incorreto...

Além disso, a minha sugestão é que, se você trabalha ou tem interesse em entrar na área de segurança, e se você tem background em redes ou desenvolvimento, aproveite a oportunidade para estudar segurança em IPv6 ou segurança para IoT, respectivamente. Eu acredito que em breve teremos uma grande demanda por profissionais com esse tipo de conhecimento, e quem começar na frente vai se destacar rapidamente no mercado.

Para saber mais detalhes sobre as previsões das principais empresas do mercado de segurança, veja o site delas:

• Check Point
• Fortinet (li o press release, mas não baixei o relatório porque fiquei com preguiça de preencher um formulário)
• IBM (mais um monte de bullshit)
• Imperva
• Intel Security / McAfee (um relatório com vários infográficos bonitinhos, mas que não diz absolutamente nenhuma novidade)
• Kaspersky
• Palo Alto (nada de relevante, mais detalhes das previsões aqui)
• RSA
• Symantec (resumidas em um infográfico bonitinho)
• Trend Micro
• Veja também esta reportagem com as previsões da Akamai sobre os ataques DDoS

Aproveite o embalo e dê uma lida também nas previsões do Althieres Rohr no G1.

OBS: Post atualizado em 11/01 (incluído o link para a reportagem sobre as previsões da Akamai).

[Cyber Cultura] O mercado de Cloud Computing em 2015

Cloud Computing foi destaque nas previsões do IDC para 2015, junto com o mercado de mobile e IoT (Internet das Coisas). Além de ter uma previsão específica relacionada ao crescimento do mercado de Cloud, seis das 10 previsões do IDC estão relacionadas, de alguma forma, ao mercado ou a tecnologia de Cloud Computing.

Veja só...

2. Serviços de telecomunicações vão ver o wireless representar o mais rápido crescimento (13%). Operadoras vão lutar para desenvolver plataformas e APIs que agregam valor e atraem desenvolvedores para suas redes. Elas também vão buscar aproximação com os prestadores de serviços de cloud over-the-top (OTT) para estabelecer acordos inovadores de desempenho.

4. A Nuvem continuará a ser um foco em 2015 somando US$ 118 bilhões nos gastos com o serviço como um todo – O gasto com Public Clouds deve atingir US$ 70 bilhões. A adoção de infraestrutura como serviço (IaaS) vai crescer rapidamente (36%). Também devem surgir novas parcerias que podem impactar o mercado de Cloud, como Facebook com a Microsoft ou a HP fazendo pareria com a IBM ou Amazon, por exemplo

5. Big Data e analytics presenciarão desenvolvimentos importantes em 2015 com despesas em software, hardware e serviços somando US$ 125 bilhões. Analytics irá emergir como um importante motor de grandes projetos de dados. E as cadeias de fornecimento de Big Data vão crescer em importância como plataforma de nuvem e de análise para oferecer aos clientes informações de valor agregado.

7. Os Cloud Service Providers serão os novos Data Centers. Os Data Centers que conhecemos estão passando por uma transformação fundamental na era da Terceira Plataforma. Essa mudança vai desencadear uma explosão de inovações de hardware com o conceito “cloud first” e uma maior consolidação entre os fornecedores de servidores, armazenamento, software e redes. A IDC espera ver dois ou três grandes fusões, aquisições ou reestruturações entre os top fornecedores de TI em 2015.

9. Soluções de segurança otimizadas para a Terceira Plataforma vão ajudar a garantir a proteção da borda da nuvem (ou seja, segurança biométrica deve ser utilizada em 15% dos dispositivos móveis) e o núcleo da nuvem (ou seja, 20% dos dados devem ser criptografados).

10. A China terá forte influência no mercado global de TIC em 2015, sendo responsável por 43% de todo o crescimento da indústria, um terço de todas as compras de smartphones, e cerca de um terço de todos os compradores on-line. Com um enorme mercado interno, a cloud na China e líderes de comércio eletrônico, como o Alibaba, ocuparão lugar de destaque no mercado global.

Fontes:

• Forbes
• Bitmag
• CIO

[Segurança] Previsões para 2015

O pessoal da Imperva publicou um post em seu blog com 5 previsões para o mercado de segurança em 2015:. Eu achei que, na maioria dos casos, a Imperva saiu do óbvio, e por isso eu decidi citar 4 delas aqui:

1. O ano da revolta contra as empresas de cartão de crédito: devido a grande quantidade de vazamento de dados de cartões, tanto os lojistas quanto os clientes finais vão começar a exigir mais responsabilidades das operadoras. Atualmente, os lojistas são obrigados a assumir o custo das fraudes, e aos usuários cabe o risco de ter seus cartões fraudados e o transtorno de lidar com isso: reportar fraude e ter o seu cartão trocado. A verdade é que ninguém gostaria de pagar a conta, mas a frequencia de casos de roubo de dados e a frequencia quase constante vai demandar mudanças no mercado;
2. A popularização dos seguros contra ciber ataques: devido a dificuldade de mitigar todos os riscos e aos altos custos de lidar com fraudes, a tendência é que empresas busquem cada vez mais contratar seguros contra ciber ataques;
3. A "cloudificação" de TI: Empresas de todos os portes vão para a nuvem (as menores já estão e podem chegra a ter 100% de sua infra por lá). Uma motivação adicional para consolidar esta mudança é o surgimento de padrões internacionais de segurança, como os que estão sendo criados pela ISO/IEC;
4. O primeiro roubo de Big Data: Com a popularização do Big Data, inevitavelmente em algum momento vai dar merda. A falta de controles adequados de segurança para ambientes de Big Data pode ser uam das causas de roubos ou perdas de dados;

Na minha opinião, também não podemos nos esquecer de algumas tecnologias que estão ganhando muito destaque recentemente, e vão se popularizar rapidamente nos próximos anos:

• Códigos maliciosos atacando Caixas Eletrônicos e PoS: Os ciber criminosos já perceberam que a melhor forma de roubar dinheiro é controlando caixas eletrônicos (para roubar fisicamente o dinheiro) ou infectando terminais de cartão de crédito (PoS) para roubar os dados de cartões (a versão digital dos bons e velhos "chupa-cabras"). A tendência é esses tipos de ataques crescerem em sofisticação e frequência. 2014 pode ser considerado "o ano dos malwares para PoS", e 2015 não será diferente;
• Segurança para redes IPv6: Ainda não deve ser em 2015, mas certamente nos próximos 3 anos vamos ver as redes IPv6 se popularizando em todo o mundo. As empresas estão adiando a migração para IPv6 o máximo que podem, mas estamos chegando no ponto aonde isso será inevitável. Certamente, p próximo passo será o surgimento de novas técnicas de ataque e defesa baseados em IPv6. As ferramentas de segurança atuais estão, aos poucos, se adaptando para o mundo IPv6, mas até o momento, tiveram pouca exposição a ataques reais neste ambiente e, portanto, não tiveram muita chance de provar sua real efetividade;
• Internet das Coisas (IoT): Estamos rapidamente popularizando os mini-PCs e, nos próximos anos, vamos ver um número crescente de aplicações para eles, automatizando casas, escritórios, carros, infra-estrutura de cidades, etc, etc, etc. Logo logo estaremos cercados por equipamentos conectados a Internet: vamos controlar nossas casas e carros pelo smartphone ou pelo smartwatch, nosso tenis de corrida estará integrado ao Facebook e ao Foursquare. Resultado? Carros e casas hackeadas, roubos dos dados de smartwatches, ataques a bombas de insulina (ops, isso já existe há alguns anos). Até o momento, muito da tecnologia de automação (industrial ou residencial) que tínhamos eram "custom-made", ou seja, eram componentes criados especificamente para cada aplicação ou para cada uso, que ganhavam o nome genérico de "sistemas embarcados". Mas a popularização dos mini-PCs fará com que a infra-estrutura para as aplicações de IoT fiquem padronizadas, facilitando a criação de ataques direcinados a elas. Em vez do fabricante de carro preisar criar um circuito eletrônico propritário, ele vai simplesmente pegar um mini-PC de prateleira, rodando software de prateleira, e vai adaptar a sua necessidade. IoT acessível para todos, inclusive para os ciber criminosos.

Segundo previsões do IDC, divulgadas no final do ano passado, as inovações no mercado de segurança terão destaque na segurança das bordas (isto é, 15% dos dispositivos móveis vão usar controle biométrico, crescendo até cerca de 50% em 2020), na segurança do "core" (20% dos dados sujeitos a regulamentação serão armazenados criptografados) e a Inteligência de Ameaças (Threat Intelligence) terá grande destaque no mercado de Data-as-a-Service category.

Que venha 2015 !!!
;)

[Segurança] Previsões para 2014

O Javvad, que sempre faz vídeos excelentes e bem humorados sobre segurança, publicou recentemente suas previsões para 2014:



O Javvad não tem uma bola de cristal nem é Nostradamus, mas segundo suas previsões para os próximos 12 meses:

1. Vai haver um grande roubo de senhas. Cerca de 5 milhões de senhas serão vazadas para a Internet e os espacialistas vão analizar e descobrir que a senha mais frequente é 123456
2. Novas histórias de espionagem, com denúncias que as agências de espionagem governamentais fazem espionagem
3. O fim do APT (Advanced Persistent Threats): as ferramentas de segurança ficarão cada vez melhores e conseguirão detectar as APTs, fazendo com que muitos cuber criminosos fujam e, depois de um tempo, se reagrupem e criem um novo tipo de ameaça: as Advanced Advance Persistent Threats. E o cliclo continua...
4. Segurança de aplicações na nuvem vai ficar cada vez mais importante e vai virar "business critical"
5. Aumento dos White Hats; como resultado das previsões anteriores, os profissionais de segurança vão se juntar e se mobilizar para fazer algo. Como consequencia, 72 novos eventos vão surgir em todo o mundo e os palestrantes da área poderão viajar o mundo inteiro repetindo a mesma palestra, e as empresas de segurança terão mais lugares aonde gastar seu orçamento de marketing.

Agora é esperar os próximos dias e ver os fabricantes de segurança lançando suas previsões para 2014.

[Segurança] O futuro da segurança: e se o ataque virou rotina?

Nota: Este artigo faz parte (tardiamente) de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

Sob o ponto de vista do empresariado, especializado ou não em segurança da informação, os incidentes de seguranca ja viraram ~rotina, "carne de vaca", e todo dia surgem notícias de empresas ou órgãos de governos que foram atacados, tiveram seus sites retirados do ar por ataques de negação de serviço ou tiveram dados de clientes roubados. E a imprensa é hábil em acusar os super-sofisticados "hackers", como se a capacidade de ataque deles fosse ilimitada e nada há o que possamos fazer contra isso.

Veja o caso do jornal The New York Times: no início deste ano o jornal divulgou que foi invadido por hackers chineses (leia-se: "super hakers, capazes de invadir qualquer empresa em qualquer lugar do mundo"), que tiveram total acesso ao jornal por pelo menos 4 meses. Os atacantes conseguiram instalar 45 malwares, que não foram detectados pelo antivírus utilizado pela empresa, da gigante Symantec.

Se nem a Symantec consegue proteger o The New York Times, quem irá nos proteger? Nem mesmo o Chapolim Colorado...

Como consequencia da complexidade dos ataques atuais e da incapacidade da indústria em defender as empresas e os usuários, os casos de invasão ficaram comuns e, consequentemente, ninguém mais considera isso um grande problema. O impacto para a imagem das empresas é minimo: basta alegar que sua empresa foi atacada por um malware super sofisticado ou por hackers chineses, que estará tudo bem. Salvo raras excessões, os clientes não se assustam mais e não trocariam de fornecedor por causa da empresa ter sofrido um ataque. 

Se, nos primórdios da Internet, algumas empresas poderiam perder clientes ou até fechar por serem invadidas, hoje isto certamente não acontece mais. Na verdade, eu não conheço nenhum caso importante de empresa que fechou por causa de um cyber ataque, exceto pelo site brasileiro de piadas Humortadela. Há muitos anos atrás eu ouvi que a empresa americana CDNow teria falido por causa de um ataque, mas é mentira - o problema foi a administração e a concorrência mesmo.

Recentemente, tivemos alguns casos de empresas vergonhosamente atacadas e invadidas, mas que não sofreram grande impacto nos negócios depois dos ataques (isto é, tiveram prejuízo pontual por causa dos ataques, mas não perderam mercado): a Telefonica no Brasil e a Sony, em todo o mundo. Embora a ANATEL tenha proibido a Telefônica de vender o seu serviço de banda larga Speedy por causa da instabilidade de seus serviços (como consequência de ataques), a empresa continua vendendo Speedy como água. Embora a Sony tenha sofrido vários ataques em 2010, ninguém deixou de comprar o PlayStation.

Estes casos provam que, hoje em dia, o usuário dificilmente trocaria de empresa por causa de um ciber ataque (afinal, qualquer empresa spode ser atacada e derrubada hoje em dia), mas talvez por algum problema grave no serviço final ou falta de atendimento. Como eu disse, as notícias de ataques, roubos de dados e de sites fora do ar por causa de ataques DDoS são muito comuns, corriqueiros, e por isto os consumidores já se acostumaram. 

Os ciber ataques fazem parte do dia a dia, já viraram rotina.

A indústria já está percebendo isto, por isso fica cada vez mais difícil justificar o investimento em segurança.

[Segurança] Crimes no Futuro

Em Junho de 2012, o pesquisador e ex-profissional Marc Goodman apresentou uma palestra bem interessante no TED, chamada "A vision of crimes in the future", em que ele discute como os criminosos e terroristas estão usando as tecnologias modernas e o provável futuro que nos aguarda.



Eles citam alguns casos em que criminosos e terroristas conseguem usar a tecnologia para conseguir vantagens sobre a polícia e governos, até então inimagináveis:

• Os narco-traficantes Mexicanos construíram uma rede de telefonia própria, criptografada, para se comunicarem;
• Uso de smartphones e imagens de satélite para identificar suas vítimas;
• Terroristas no Paquistão já construíram centrais de operação para monitorar programas de TV e mídias sociais para monitorar o progresso de seus ataques em tempo real;
• Durante o ataque terrorista de 2008 em Mumbai, os terroristas usaram tecnologia de comunicação (incluindo smartphones e telefones por satélite) para localizar suas vítimas e massacrá-las.
• Usar quadricópteros, drones e robôs para fins criminosos;
• Em que momento da nossa história um único criminoso conseguiria roubar 100 milhões de pessoas de uma única vez, como aconteceu no vazamento de dados da Sony?

Marc Goodman lembrou que as informações pessoais que compartilhamos nas redes sociais podem ser utilizadas contra nós por criminosos e terroristas, por isso devemos ter muito cuidado com o quanto nos expomos online.

Nesta apresentação, também foram mencionadas algumas tecnologias que podem ser utilizadas por criminosos em um futuro próximo, como a impressão 3D para fabricar armas domésticas e bio-hacking.

[Segurança] O Futuro do mercado: Incidentes já não assustam ninguém

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

Diariamente vemos diversas notícias sobre empresas de todos os portes que sofreram incidentes de segurança: defacements, invasões, ataques de DDoS, roubo de informações e roubos de dados pessoais (incluindo cartões de crédito) já fazem parte do nosso dia-a-dia.

Para exemplificar o tamanho do problema, o site DataLoss DB mantém estatísticas atualizadas de sites e empresas que sofreram roubo de dados, expondo informações de seus usuários. Eles mostram 942 incidentes de roubo de informações envolvendo dados pessoais em 2012 (até 6 de setembro deste ano).

Para exemplificar, um dos maiores incidentes da história foi noticiado em 2009, quando a 5a maior empresa processadora de transações de cartões dos EUA, a Heartland Payment Systems, foi invadida e foram roubados dados de cartão de crédito de 130 milhões de usuários. Mas nem precisamos ir tão longe: em Junho deste ano foram roubadas cerca de 6,5 milhões de senhas do LinkedIn e em Julho o Yahoo confirmou o roubo de 400 mil senhas.

Pelo dito acima, já dá para perceber que os usuários e executivos estão acostumados a ouvir notícias quase que diariamente sobre sites que foram atacados e dados roubados pela Internet. Mas, mesmo assim, a quantidade de usuários online cresce a cada dia. Nenhum site, mesmo após o ataque, deixa de existir. Porque será?

Os incidentes de segurança viraram "carne de vaca", e como os usuários já se acostumaram com estas notícias, o impacto para a imagem das empresas atacadas é minimo.

Salvo raras exceções, ou seja, empresas cujo negócio está diretamente relacionado a provacidade e a confidencialidade de dados realmente sigilosos (como instituições financeiras), os clientes não se assustam mais com notícias de ataques ou de roubos de dados, e não trocariam de fornecedor por causa dele ter sofrido um ataque.

Nos primórdios da Internet, a segurança e a reputação dos sites era fundamental, e qualquer notícia de ataque, na época, poderia causar um sério impacto para um negócio. Na época eu lembro de ter ouvido histórias de que o site de vendas de CDs CDNow.com tinha fechado após ter dados de clientes roubados. Mas uma simples pesquisa no Google mostra que, na verdade, a empresa fechou no início dos anos 2000 devido a concorrência com a Amazon e mais alguns gigantes do e-commerce (isso sem falar que esta foi a época da estoura da bolha da Internet). Pesquisando um pouco mais, eu achei a notícia de que o site CD Universe foi hackeado no início de 2000 e teve 300 mil dados de cartões de créditos roubados - o que foi considerado o maior caso de roubo de dados da época. Mas, mesmo assim, o site existe ate hoje!

Então, esta história de que a sua empresa vai perder credibilidade e pode até fechar, se sofrer um cyber ataque, é bravata?

Sim, na minha opinião este é um dos maiores FUDs da indústria de segurança.

Basta vermos alguns incidentes importantes que aconteceram recentemente:

• Em 2007 aconteceu o terceiro maior roubo de dados de cartãod e crédito de toda a história: Alberto Gonzalez invadiu os sistemas da empresa americana TJX Companies Inc e roubou 94 milhões de dados de cartões de crédito. A TJX é dona da T.J. Maxx, uma cadeia gigantesca de lojas de roupas e acessórios para casa nos EUA. E a empresa continua existindo, firme e forte. Ou seja, as pessoas continuam comprando lá, mesmo sabendo que a empresas já teve os dados dos clientes roubados há poucos anos atrás.
• Em 2009 a ANATEL mandou a Telefônica suspender a venda do Speedy, seu serviço de banda larga, depois que o serviço passou por vários problemas de instabilidade, alguns deles como consequência de ataques de DDoS na sua infraestrutura. O resultado? Após o fim da suspensão que durou dois meses, as vendas do Speedy explodiram, pois na verdade havia uma demanda reprimida de clientes.
• Em 2011 a Sony sofreu uma série de ataques, em represália a decisão da empresa de processar o hacker Geo Hot, que quebrou a segurança do PS3 e descobriu como desbloquear o console. Por conta destes ataques, a empresa teve milhares de dados de clientes roubados, suspendeu a PSN por cerca de um mês e anunciou um prejuízo estimado de US$ 170 milhões. Apesar do roubo de dados dos clientes e do serviço ficar fora do ar por mais de um mês, o impacto em termos de quantidade de clientes e vendas de PS3 foi pequeno. Ou seja, os clientes não abandonaram a empresa. Afinal você iria jogar fora o seu console? Iria abandonar o seu avatar nível 50 e começar do zero? Os prejuízos foram causados principalmente pela parada no serviço em função da estratégia (lenta) de recuperação após os ataques, e não por conta dos ataques em si.

Moral da história: o usuário troca de fornecedor por problemas no serviço final ou por falta de atendimento de qualidade. Notícias de ataques, roubos de dados e de sites fora do ar por causa de DDoS são muito comuns hoje em dia, e os consumidores já se acostumaram com elas e com as desculpas que as empresas dão (mesmo que esfarrapadas).

Afinal de contas, você não vai deixar de ir na padaria porque ela foi assaltada na semana passada, nem mesmo vai trocar de banco só porque a agência perto da sua casa foi assaltada. Se você não for diretamente prejudicado, a chance de abandonar a empresa é pequena.

[Segurança] O Futuro para os Usuários

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

A verdade é uma só:

Os usuários não se preocupam com segurança - e nem deveriam.

Os usuários querem apenas uma coisa, bem simples: que os serviços que eles utilizam funcionem e que, em caso de eventuais problemas, haverá uma central de atendimento a disposição para irá resolver tudo, com pouca dor de cabeça.

Eu até pensei em me arriscar a dizer que isto não seria válido em alguns casos especiais, como serviços de Internet Banking (afinal, afetam diretamente o nosso bolso), mas mesmo nestes casos, o cliente final busca simplesmente a comodidade em troca da certeza de que, em caso de fraude, o banco irá reconhecer o problema e arcar com o prejuízo.

Ou seja, sob o ponto de vista do usuário final de um servico online, a confiança não está atrelada, necessariamente, ao uso claro e evidente de tecnologias complexas de segurança. A confiança depende da qualidade do serviço prestado.

Fazendo um paralelo com o mundo real...

• Quando você compra um carro novo, com air-bag, você pede para o vendedor testar o air-bag do seu carro na sua frente, para ter certeza que ele funciona? Afinal, air-bag é um item que encarece o custo do carro, com a promessa de que você estaria a salvo em caso de acidentes. Você paga a mais por isso, mas nem sabe se ele funciona? Ou será que acreditamos no princípio de que a empresa e seus engenheiros sabem como fazer um air-bag? No fundo, queremos apenas o conforto de saber que, se eventualmente precisarmos, haverá um air-bag para nos proteger. E, mesmo assim, você ao menos pede para o vendedor desmontar o painel do carro e mostrar que o air-bag esta lá? Ou será que, novamente, confiamos cegamente na reputação da empresa?
• Quando você compra um apartamento, ou se muda para um apartamento novo, você testa a rigidez das paredes e das vigas de sustentação? Você se preocupa com que tipo de material o prédio foi construído, ou seja, com a qualidade do concreto? E você verifica antes o projeto arquitetônico? Ou será que confiamos cegamente que, após uns 5 mil anos construindo casas, prédios e pirâmides, os arquitetos e engenheiros já apreenderam a conxtruir um prédio de forma segura?

O usuário final não tem que se preocupar com a segurança do site ou do serviço que ele utiliza. Ele tem que ter a paz e o sossego de acreditar que, se o serviço está disponível online, então ele é, de alguma forma, seguro. Mesmo porque o usuário final não sabe como avaliar a segurança de um serviço, assim como eu não entendo nada de mecânica de automóveis nem mesmo sei como empilhar dois tijolos, um em cima do outro.

Na lingua inglesa, as palavras "security" e "safety" tem significados ligeiramente diferentes, mas em português as traduzimos para a mesma palavra, "segurança". "Safety" remete à condição de estar seguro. O usuário final quer "safety", enquanto a indústria entope ele com soluções de "security".

A solução?

• Educação e conscientização - sim, a educação do usuário final sempre será a melhor forma de minimizarmos os problemas de segurança, mas isto não acontece do dia para a noite. Não vai ser uma simples cartilha ou uma palestra que vai tornar um usuário leigo em um expert em identificar e evitar golpes online. A educação é um esforço contínuo, que demora, consome tempo, exige várias atividades para apresentar e reforcar os conceitos principais. Envolve treinamento, e também envolve prática - para não falar tentativa e erro também! Além do mais, milhares de novos usuários surgem todo o dia, seja porque eles simplesmente nascem (a propósito, um grande amigo meu criou um perfil no facebook para seu filho recém-nascido!), ou por causa da inclusão digital. E novos usuários são extremamente propensos a cometer os mesmos erros que a maioria de nós cometemos quando começamos a usar a internet, inclusive clicar em tudo o que vê, instalar qualquer software que vê pela frente, e repassar mensagens de motivação com power points cheios de coraçõezinhos, paisagens, anjos e pôneis. Pôneis malditos...
• Tecnologias de fácil uso, com interface amigável - a indústria tem que fornecer soluções fáceis de usar, em vez de esperar que o cliente seja um expert ou leia o manual do software antes de sair usando. Ninguém lê manual. Você leu o manual do seu liquidificador antes de ligar ele na tomada? E do carro novo? Programas fáceis de usar minimizam a chance de mal uso. Isso também tem a ver com o próximo item da lista...
• Segurança embutida na tecnologia, no serviço e no processo - a segurança não deve algo que deva ser adicionada a parte, muito menos pode depender de configuração e interação com os usuários. O usuário não tem conhecimento de segurança, e portanto, não tem condições de escolher a alternativa mais segura. Pelo menos a indústria já está começando a perceber que o usuário comum não sabe configurar um personal firewall e muito menos decidir se deve clicar no botão de aceitar ou recusar daquelas centenas de pop-ups chatos e que não dizem nada compreensível.
• Empresas adotando uma postura que não exponha os usuários ao risco. Um exemplo é pensarmos nos emails de phishing para roubar dados de cartão de crédito que são enviados aos milhares, imitando promoções. Pois bem, quem começou com esta história de promoção premiada de cartão de crédito aonde o cliente tem que acessar um site e fornecer os números do cartão foram... as próprias empresas de cartão. Eu lembro que, há pouco tempo atrás, elas enviavam folhetos de promoções junto com a fatura e pediam aos clientes acessarem um site e dar o número do cartão para concorrer a premios. Com isso, os cyber criminosos simplesmente precisaram imitar as promoções que já existiam, e hoje este tipo de fraude é extremamente comum, entupindo nossas caixas de e-mail.

[Segurança] O Futuro do Mercado de Segurança começa com a Pré-História

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

A Internet começou a ser criada a partir dos anos 70 e a Internet comercial, que usamos hoje em dia, espalhou-se pelo mundo a partir da década de 90. Ou seja, ela não tem mais de 20 anos. Vamos pensar em alguns números comparativos para ilustrar:

• As primeiras pinturas rupestres surgiram há cerca de 40 mil anos e as primeiras formas de escrita surgiram há cerca de 4 mil anos, em parte motivadas pela expansão dos primeiros impérios e da necessidade de registrar controles e informações administrativas.
• A roda existe desde cerca de 3.500 a.C.
• Os gregos já usavam a criptografia por volta de 700 a.C.
• Gutemberg revolucionou a imprensa e a produção de livros aproximadamente em 1450, com a invenção das prensas que usavam tipos mecânicos móveis para a impressão. Isto causou uma revolução no compartilhamento e armazenhamento do conhecimento (informação).
• As primeiras máquinas a vapor foram construídas na Inglaterra durante o século XVIII, há 300 anos atrás.
• O Automóvel surgiu principalmente durante o século XIX, há 200 anos atrás, e se popularizou principalmente com a criação do Ford T, a partir de 1908.
• Os primeiros computadores surgiram há menos de 100 anos atrás, a partir de 1944, durante a Segunda Guerra Mundial.
• O primeiro automóvel com cintos de segurança foi fabricado em 1958
• Os computadores pessoais (PCs) começaram a se popularizar a partir da década de 80
• Os primeiros softwares anti-vírus surgiram no final dos anos 80
• O Google surgiu em 1997.
• A primeira rede social, a SixDegrees.com, surgiu em 1997. Mas as redes sociais só começaram a se popularizar após 2002.

Enquanto a escrita (e, portanto, a guarda da informação) tem cerca de 6 mil anos de evolução, e o automóvel que usamos hoje em dia é fruto de 300 anos de evolução, os computadores existem há cerca de 60 anos e a Internet existe há menos de 20 anos. Digo isto para ilustrar como a Era da Informação, que começa mais ou menos nos anos 80, é recente: afinal, a informática e, consequentemente, a Internet, são tecnologias novas, criadas há pouco tempo e ainda em fase de evolução.

Estamos vivendo o início, a "pré-história" da Era da Informação.

A cada dia surge um novo serviço online, uma nova tecnologia de comunicação e de interatividade, um novo protocolo, ou uma nova linguagem de programação para facilitar o desenvolvimento de novos aplicativos. E, o pior, devido a alta competição hoje em dia, o ciclo de desenvolvimento é rápido e muitas tecnologias são disponibilizadas para a população sem terem tido tempo hábil para a sua criação e testes.

Logo, a tecnologia está evoluindo rapidamente sem tempo para amadurecer e, consequentemente, ter seus problemas e riscos identificados e corrigidos.

Do ponto de vista sociológico, a consequencia desta rápida evolução da tecnologia é que hoje a população em geral ainda não sabe usar toda esta tecnologia que tem a sua disposição e, o mais interessante, não tem noção das consequencias a longo prazo. Os pais não podem dar dicas ou ensinar boas práticas para os seus filhos pois eles mesmos ainda não sabem como usar direito a tecnologia e muito menos conhecem todos os problemas que ela traz. Tente imaginar o seguinte:

• Desde criança ouvimos que não devemos conversar com estranhos na rua nem aceitar carona de estranhos. Mas nossos pais não nos disseram como devemos nos comportar online, nas redes sociais.
• As fotos e comentários que os adolecentes compartilham despreocupadamente hoje em dia nas redes sociais poderão ser vistos por seus chefe e colegas de trabalho daqui a, digamos, 20 anos. E, de repente, aquela festinha aonde aparece uma foto de vários amigos bêbados pode custar uma promoção ou um emprego novo.
• Hoje em dia nós sabemos um pouco sobre nossos avós através principalmente da comunicação oral entre os nossos familiares. Em breve, nossos netos, bisnetos e tataranetos poderão acessar nosso perfil "antigo" no LinkedIn ou no Facebook, ver fotos nossas online e ler o nosso Blog para conhecer quem fomos.

Dizem os especialistas que qualquer mudança cultural demanda algumas gerações para se estabelecer (pelo menos 3 gerações), e hoje ainda mal temos duas gerações que estão totalmente adaptadas ao mundo online. O uso da Internet, tanto o bom e o mau uso, ainda não faz parte da cultura popular.

[Segurança] O Futuro do Mercado de Segurança

Nota: Este artigo é o primeiro de uma série sobre o futuro do mercado de segurança.

Na semana passada eu tive a feliz oportunidade de participar de um painel no IV Congresso sobre Crimes Eletronicos e Formas de Proteção da FECOMERCIO sobre "O futuro do mercado de infosec", junto com o Willian Caprino, Fernando Mercês, o Luiz Eduardo dos Santos (Le) e o Domingo Montanaro.

O debate fluiu muito bem, com várias discussões interessantes e alguns pontos de vista divergentes. Na ocasião, eu aproveitei para compartihar uma opinião bem polêmica que eu tenho sobre o nosso mercado, e que certamente deixou algumas pessoas incomodadas ou com a pulga atrás da orelha:

Os usuários e executivos não tem que se preocupar com segurança e a tendência é que o nosso mercado deve perder importância na medida que as tecnologias amadurecem e as práticas de segurança são incorporadas pelas demais áreas.

Para explicar melhor esta minha opinião, eu decidi escrever uma série de posts sobre este assunto, que serão divididos em alguns posts justamente para que eu evite escrever um texto muito grande e massante.

Em resumo, eu tenho a seguinte opinião sobre o futuro do nosso mercado de Segurança da Informação, que será detalhada em alguns posts separadamente:

• Antes de pensarmos no Futuro, temos que entender o Presente. E o Presente é simples: estamos vivendo a "pré-história" da Era da Informação. E, consequentemente, o nosso mercado também está engatinhando, totalmente imaturo, e ainda vai sofrer muitas mudanças radicais com o passar dos anos.
• Os incidentes de segurança já viraram "carne de vaca", e o impacto para a imagem das empresas é minimo. Salvo raras excessões, os clientes não se assustam mais com as histórias de invasões e roubos de dados e não trocariam de fornecedor porque ele sofreu um ataque.
• Os usuários finais não entendem nada de tecnologia, não entendem nada de segurança e não precisam nem querem entender. A segurança tem que fazer parte das tecnologias que os usuários tem acesso, e não devem ser algo que eles são obrigados a entender e saber usar.
• Exceto em alguns segmentos de mercado específicos, os executivos também não tem que se preocupar com segurança. A segurança deveria fazer parte da infra-estrutura que faz a empresa funcionar, e não algo que tem que ser contratada a parte. Por isto, o cargo de CSO não terá razão de existir no futuro na maioria das empresas.
• A indústria de segurança não consegue acompanhar a evolução das ameaças e está dominada por buzzwords e FUD. Por isso, os usuários e as empresas tem dificuldade de identificar as soluções mais adequadas, os melhores fornecedores e nem mesmo os consultores capazes de ajudá-los.
• A área de segurança tem uma certa importância hoje em dia justamente porque as tecnologias ainda estão imaturas e, por isso, ficamos apagando incêndio o tempo todo.
• No futuro, segurança deve fazer parte natural do processo e da infra-estrutura. No futuro ela será transparente, algo que vem junto com a infra-estrutura da sua empresa, e não algo que você é obrigado a contratar a parte.

Nota: Este post ainda será atualizado algumas vezes, na medida em que eu escrever os demais textos relacionados a este assunto.