[Segurança] Retrospectiva: Segurança como prioridade mundial

Em 2019 nós vimos o World Economic Forum (WEF) tratar a ciber segurança como um tema de prioridade entre os líderes mundiais. Segundo o relatório anual de riscos do WEF ("The Global Risks Report 2019"), os ciber ataques passaram a representar, em 2019, a pior coisa que pode acontecer, logo após os desastres naturais - em termos de probabilidade e impacto.

Dando um zoom no canto superior direito, vemos os ciber ataques em 4a posição:

Fazendo uma comparação no que mudou nos últimos 10 anos, os ciber ataques representam o 4o e 5o maiores riscos em termos de probabilidade. E, há 10 anos atrás, nem os ciber ataques nem os desastres naturais estavam nessa lista - uma mudança que foi fruto das mudanças climáticas e da nossa crescente dependência das tecnologias:

Por fim, outra coisa que eu achei bem legal nesse relatório foi um gráfico que mostra como os riscos são inter-relacionados:

Nele podemos ver que os riscos de ciber ataques estão muito relacionados aos problemas de ordem econômica e social:

[Humor] Entendendo os riscos

A charge abaixo ajuda a entender a diferença entre a probabilidade o impacto, as duas variáveis normalmente utilizadas ao calcular o risco:

[Segurança] IoT espião

Já não devia ser novidade para ninguém o risco de sermos monitorados inadivertidamente pelos diversos dispositivos tecnológicos que nos cercam, desde o vazamento irresponsável de dados coletados por brinquedos inteligentes até Smart TVs sendo infectadas pela CIA para espionagem.

Desde a famosa "webcam no notebook" (que preocupa o Mark Zuckerberg e até mesmo o Papa), frequentemente vemos notícias que nos mostram o risco representado pelos equipamentos e dispositivos conectados na Internet e que ficam constantemente "vendo" e "ouvindo" o ambiente. Tal onda tecnológica começou provavelmente com os smartphones que reconheciam comandos de voz (ou transcrevem textos a partir da voz) e atualmente tal recurso está espalhado por diversos dispositivos no mundo IoT, como aparelhos domésticos (centrais de multimídia, por exemplo), carros e até mesmo brinquedos.

Veja, por exemplo o Amazon Echo: a partir de 49 dólares, você pode ter um dispositivo doméstico que reconhece comandos de voz para tocar músicas, controlar sua smart TV ou gerenciar a automatização de toda a sua casa.

O problema começa porque estes aparelhos "ouvem demais" - intencionalmente ou não! Geralmente, eles ficam captando sons do ambiente o tempo todo, a espera de reconhecer alguma frase específica, que vai indicar o início de um comando (como "Oi Siri" do iPhone, o "OK Glass" que era comum no Google Glass e o "Alexa" no Amazon Echo). Além disso, muitas empresas utilizam um serviço externo de reconhecimento de voz, via Internet, então por isso todo som capturado pelo dispositivo tem que ser enviado para algum lugar na Internet.

Ou seja: a princípio, tudo o que o seu aparelho ouve é enviado para um servidor de alguma empresa.

E alguns casos recentes nos mostram o quanto isso pode representar de risco a nossa privacidade:

• Acabamos de saber, através do Wikileaks, que a CIA consegue invadir Smart TVs, smartphones e carros para capturar sons, imagens e até mesmo mensagens de texto através destes dispositivos. No caso das Smart TVs, uma ferramenta da CIA consegue colocar ela em um modo batizado de "Fake-Off": a vítima pensa que desligou a TV, mas ela continua ligada, gravando sons e enviando-os para servidores da CIA;
• Crianças tiveram sua privacidade exposta através de problemas de segurança nos Cloud Pets, da empresa Spiral Toys, bichinhos de pelúcia que ouvem e reproduzem mensagens para seus pequenos donos. Além de ser possível conectar qualquer dispositivo Bluetooth neles, para capturar o som ambiente, também foi identificada uma base de dados exposta na Internet com 2.2 milhões de arquivos de áudio gravados por pais e crianças, além de senhas de 821.000 contas;
• Segundo documentos da justiça americana, por pelo menos 15 anos o FBI tem utilizado recursos de conectividade em carros (como localização e áudio dentro do carro) para vigiar ou rastrear criminosos. Isso nos dá uma nova buzzword: "Cartapping";
• Em um caso de assassinato em Arkansas (EUA), a polícia exigiu que a Amazon cedesse todo o áudio capturado pelo Echo durante o provável horário do homicídio. O mais interessante é que a Amazon não cedeu os dados, mas a polícia percebeu pelo smart meter que houve um grande consumo de água de madrugada, que poderia ter sido utilizada pelo suspeito para limpar a cena do crime;
• A fabricante de Smart TVs Vizio foi multada em US$ 2,2 milhões por coletar dados de seus clientes secretamente e revendê-los a terceiros, tudo isso sem o conhecimento e muito menos sem o consentimento dos clientes.

Estes dispositivos conectados, muitos dos quais desenvolvidos sem cuidados básicos de segurança, podem ser usados contra nós a partir do momento em que representam diversos pontos de entrada a nossas empresas ou residências, que podem ser explorados por empresas, governos, agências de espionagem e ciber criminosos.

[Segurança] Riscos de Ciber Segurança nas Olimpíadas

Faltam pouco menos de 100 dias para o início dos Jogos Olímpicos de 2016 no Rio de Janeiro e, por isso mesmo, resolvi aproveitar a data para reciclar um antigo post meu, que publiquei em 2014, falando sobre os riscos de ciber ataques na Copa do Mundo.

Os dois eventos são, sem dúvida, os eventos esportivos mais importantes do mundo, e que movimentam milhões de dólares em termos de patrocínios, ingressos, e gastos. Que me desculpem os fãs do SuperBowl (o final do campeonato de futebol americano), mas a Copa e as Olimpíadas são eventos globais, os quais parcicipam atletas representando dezenas de países diferentes.

Pelo dinheiro que movimentam e visibilidade que atraem, a Copa e as Olimpíadas acabam sendo alvo de diversos ciber criminosos, fraudadores online e ciber ativistas. Na minha opinião, as Olimpíadas de Verão (lembre-se que existem duas Olimpíadas, a de Verão e de Inverno, sem falar nas Paralimpíadas) são um evento muito mais globalizado e visado do que a Copa do Mundo, o que acaba representando um maior risco também. Além disso, não custa lembrar que as Olimpíadas já foram alvo de um dos episódios mais tristes e emblemáticos de terrorismo, durante a fatídica Olimpíada de 1972 em Munich.

Os potenciais cenários de crimes, fraudes e protestos relacionados com as Olimpíadas representam diversos riscos de segurança para as empresas, governos, os patrocinadores, atletas, comerciantes e usuários finais, tais como:

• Protestos, Hacktivismo e Ciber Terrorismo: Os grandes eventos atraem a atenção de ativistas e terroristas que querem aproveitar a chance de visibilidade global para chamar a atenção para uma causa específica, através de diversas formas de protesto. Potenciais alvos são, principalmente, o governo brasileiro, os demais governos, e as entidades que organizam e patrocinam estes eventos. Tais protestos podem ter motivação política, religiosa ou ideológica. Do ponto de vista doméstico, o Brasil vive atualmente uma grave crise política e econômica, causando grande insatisfação entre as pessoas e, principalmente, grande tensão social. Isto pode incluir protestos contra o governo Brasileiro, contra escândalos de corrupção ou super faturamento nas obras, etc. É muito provável que grupos hacktivistas aproveitem as Olimpíadas para realizar ataques contra partidos políticos e membros do governo (federal, estadual e municipal).
• Há o risco real de ataques de terrorismo e ciber terrorismo durante a Olimpíada, principalmente direcionados a delegações de países que tradicionalmente já enfrentam este tipo de problema (ou seja, EUA, países Europeus, Russia e diversos países do Oriente Médio). Para piorar, o mundo atual vive um momento de grande tensão por causa dos atos de terrorismo realizados pelo ISIS e por outros grupos Islâmicos e que, inclusive, realizaram alguns ataques terroristas recentes na Europa. Ataques ciber terroristas podem, eventualmente, visar a infra-estrutura tecnológica dos jogos ou da cidade do Rio de Janeiro, causando danos ou interrupções nos sistemas de controle das infra-estruturas críticas da cidade ou dos serviços públicos (causando problemas no abastecimento de energia e água, no funcionamento de aeroportos, meios de transporte, empresas de telecom, etc);
• eu desconheço a existência de algum caso real de ciber terrorismo que já tenha ocorrido até hoje. Infelizmente, uma Olimpíada seria uma ótima oportunidade para termos o primeiro caso :(
• a nossa vantagem é que a infra-estrutura brasileira é pouco automatizada. Estamos longe da realidade dos EUA e Europa, aonde já se falam de Smart Cities, sensores inteligentes, smart meters, automação residencial, etc. 
• Protestos nas ruas com ataques físicos a empresas, agências bancárias e caixas eletrônicos, com destruição e roubo de patrimônio;
  
  
  
  
  
• Protestos online através de defacement, ataques DDoS ou roubo e divulgação de dados (DOX), normalmente associadas a alguma "operação" específica, tais como as tradicionais operações criadas pelo grupo Anonymous:
• defacement de sites como forma de protesto contra as Olimpiadas;
• o roubo e divulgação de dados (DOX) das empresas visa promover o descrédito da organização através da exposição de informações confidenciais, incluindo planos estratégicos, informações de negócio ou dados pessoais de clientes, executivos e funcionários;
• ataques de negação de serviço (DDoS) tradicionais, baseados em redes, como parte de grandes campanhas de hacktivismo contra o evento ou contra alvos específicos (empresas ou governos). Os ataques DDoS atualmente podem chegar facilmente a mais de 500 Gbps (meio Terabyte de dados por segundo!!!), um volume que pode facilmente tirar grandes sites do ar;
• ataques de DDoS ou DoS aproveitando lógica de negócio, tal como o uso de scripts automatizados para executar um número excessivo de acessos ao site da empresa com objetivo de simplesmente impedir o acesso ao site ou, em última instância, bloquear contas de usuários;

• Ciber Fraude e Ciber Crime
• Envio de mensagens de SPAM relacionadas a Olimpíadas, para enganar usuários finais e infectá-los com malwares em geral, incluindo os malwares destinados a roubo de dados pessoais;
• Sites de Phishing imitando sites dos Jogos Olímpicos ou de patrocinadores dos Jogos, divulgando, por exemplo, promoções e concursos falsos com o objetivo de roubar dados pessoais;
• Sites falsos para venda de ingressos dos jogos, enganando usuários e fazendo vendas fraudulentas (vende, obtém o dinheiro da vítima e/ou dado de cartão de crédito e não entrega nada);
• Diversas fraudes de cartão de crédito e débito, aproveitando o grande fluxo de turistas extrangeiros com cartões de crédito de outros países:
• Clonagem de cartões de crédito: muitos países ainda não adotaram cartões com tecnologia de Chip, e assim são bem mais fáceis de serem clonados;
• Aumento de casos de transações e compras fraudulentas com cartões clonados no comércio online e no comércio físico: um dos problemas é que os turistas de outros países utilizam cartões de bancos ou empresas de cartões que os logistas não conhecem, logo estes logistas terão maior dificuldade para identificar visualmente um cartão clonado.

Pelos motivos expostos acima, diversas empresas trabalham constantemente para evitar fraudes atreladas a estes grandes eventos. Um investimento importante tem sido feito em equipes de segurança cibernética para trabalhar durante os jogos.

Para saber mais, veja as reportagens abaixo:

• IT threats during the 2016 Olympic Games in Brazil (Securelist)
• Rio Olympics pose security risks to travelers
• Cyber Scams to Beware of at the 2016 Summer Olympics
• Fake Olympic tickets and Zika news apps scam users
• Quatro pessoas ligadas ao terrorismo tentaram se credenciar para Rio 2016
• Hackers are targeting the Rio Olympics, so watch out for these cyberthreats
• Jogos Olímpicos de 2016 viram tema de campanhas de phishing ao redor do mundo
• Riscos e Micos de Cibersegurança nas Olimpíadas do Rio de Janeiro
• The Risks at Play at the Summer Olympics

Notas:

• Post atualizado em 11/07/16 para incluir algumas reportagens como referência;
• Atualização em 20/07/16 para pequena revisão no texto sobre terrorismo e ciber terrorismo, e para incluir alguns link extras, incluindo a reportagem do fantástico sobre risco de terrorismo nas Olimpíadas. Mais dois links foram adicionados em 21/07.
• Incluí duas imagens em 29/07, para ilustrar mais o post e incluí um link para o artigo no portal IOPub.
• Atualizado em 08/08 com o artigo "The Risks at Play at the Summer Olympics" da empresa Stratfor

[Segurança] Segurança em tempos de crise

No final do Global Risk Meeting (GRM) eu participei de um painel aonde discutimos, entre outras coisas, o impacto da crise econômica na área de segurança. Na ocasião eu comentei pouco sobre o assunto, pois fui pego de surpresa pelo tema, mas desde então comecei a pensar melhor nos vários aspectos em que somos afetados.

Para pensar nos impactos que uma crise econômica podem causar na área de segurança, gostaria de basear a minha linha de raciocínio nos impactos que ela causa no negócio e na sociedade, a partir daí, como isto se reflete na área de segurança.

Durante períodos de crise, como a crise político e econômica que vivemos atualmente no Brasil, qual é a reação das empresas (riscos internos) e qual é o potencial impacto na sociedade (riscos externos)?

• Câmbio desfavorável e redução de investimento em TI e SI: devido a nossa grande dependência tecnológica, a grande maioria dos equipamentos e soluções de TI e de segurança são importadas. Desta forma, a desvalorização do real pode causar grande impacto na capacidade de investimento das empresas em tecnologia. Afinal, o custo de aquisição de novos equipamentos (hardware e software) tende a crescer proporcionalmente ao Câmbio. Uma empresa que fez a sua estimativa de orçamento para 2015 no ano passado, quando o dólar estava a R$ 2,35, enfrentou uma redução inesperada na sua capacidade de investimento, agora que o dólar está a R$3.81 (seria como se o budget tivesse sofrido um corte de quase 30%). Além disso, um mês que a empresa postergue uma decisão de compra pode fazer com que um projeto seja cancelado pelo aumento no valor do produtoimportado, a ponto de não caber mais no budget. Ou seja: menos investimento, projetos parados, equipamentos e infra-estrutura desatualizadas, não conseguindo acompanhar a necessidade de negócio;
• Incertreza econômica, desaceleração nas vendas e redução de despesas: uma crise pode causar forte impacto nas vendas das empresas, obrigando a redução de custos e cortes nas empresas, o que pode causar paralisação nos investimentos e adiamento de novos projetos. Além disto, diante da incerteza as empresas tendem a tomar uma postura mais conservadora, preventiva, evitando gastos e cortando custos. Novos projetos podem ser engavetados, a espera de tempos melhores. Isso se aplica, principalmente, para as áreas não voltadas diretamente ao core business da empresa - ou seja, áreas administrativas e de infra-estrutura de TI podem ser as primeiras a sofrer cortes de orçamento. Você queria atualizar o seu Firewall? Xi, talvez só no ano que vem...
• Redução de pessoal e aumento no risco do fator humano: demissão é uma das ações mais comuns para redução dos custos, uma vez que parte significativa das despesas de qualquer empresa vai para a folha de pagamento. Nestas horas,as empresas que tem "gordura" aproveitam para demitir os empregados que tem pior performance. Outras podem ser obrigadas a cortar bons funcionários, além de congelar qualquer processo de contratação que não seja essencial ao negócio. O impacto na redução do quadro de pessoal pode ser facilmente sentido com colaboradores mais sobrecarregados e desmotivados (o que potencializa problemas e incidentes causados por falha humana em função de fadiga e stress), ou empregados menos comprometidos com a empresa (o que, no extremo, pode estimular alguns empregados a agirem de forma desonesta, fraudando a empresa - nem que seja para compensar a redução no contra-cheque causada pelo congelamento das horas extras, por exemplo);
• Aumento do desemprego e da criminalidade: um súbito aumento do desemprego pode forçar uma parcela desempregada a partir para o crime, como forma extrema de garantir sua subsistência - crimes de pequeno (como roubar um pacote de macarrão no mercado) ou grande porte. Além do aumento de roubos e fraudes, profissionais desempregados com formação em tecnologia podem optar por participar de esquemas de fraudes online, uma vez que esta é uma modalidade de fácil acesso para uma pessoa capacitada em TI e que pode representar grandes ganhos financeiros a curto prazo com um risco muito menor do que comparado com o crime tradicional. Crimes cibernéticos como phishing, fraude em Internet Banking e e-commerce, roubo de dados e esquemas de ciber extorsão podem aumentar;
• Problemas econômicos e sociais causando aumento de protestos: Atualmente, um aumento de protestos contra os governos é facilmente acompanhado de ações hacktivistas. Desta forma, a insatisfação popular quanto ao governo vigente e com crise econômica pode causar um aumento de ataques de DDoS e roubo de dados contra empresas e órgãos de governo - principalmente contra empresas que podem ser associadas de alguma forma ao grupo governante (por exemplo, empresas que participaram de esquemas de financiamento de campanha ou empresas associadas a projetos governamentais, tais como a patrocinadoras dos Jogos Olímpicos). Em todo o mundo, empresas do setor financeiro são normalmente associadas aos problemas econômicos e vistos como causadores e beneficiadas pela crise, o que as tornam alvo constantes de protestos (isto aconteceu no auge da crise financeira Européia).

Os exemplos acima mostram como um cenário de crise pode causar diversos impactos nas empresas e podem influenciar o cenário de riscos. Não podemos negar que uma crise econômica pode influenciar negativamente a área de segurança em vários aspectos, principalmente na sua capacidade de investimento e no aumento dos riscos internos e externos.

[Segurança] Internet das Coisas

A Internet das Coisas (em inglês "Internet of Things", ou "IoT") é uma tendência tecnológica que prevê a inclusão de poder computacional e conectividade em diversos objetos e equipamentos do dia-a-dia, tais como carros e aparelhos domésticos (automação residencial, geladeiras e TVs são os exemplos mais comuns).

Isso significa que, a cada dia, teremos mais dispositivos ao nosso redor coletando dados, acessando a Internet e compartilhando informação. Ou seja, já começamos a imaginar centenas, milhares ou milhões de novos dispositivos expostos na Internet, aguardando para serem hackeados.

Um pequeno artigo publicado recentemente no blog da RSA cita três preocupações sobre a adoção da IoT:

• Segurança: geralmente a segurança não é priorizada no desenvolvimento de novos dispositivos ou serviços. Mas, quando pensamos em um equipamento doméstico que executa um programa, pode coletar dados e se conectar à Internet, surge o risco deste aparelho ser invadido ou comprometido, por falta de controles básicos de segurança. Isto pode facilitar o roubo de dados ou uso malicioso do dispositivo. Por exemplo, no início deste ano foi descoberta uma geladeira conectada a Internet que foi invadida e, por isso, fazia parte de uma botnet e enviava SPAMs. Recentemente pesquisadores de segurança conseguiram controlar uma lâmpada inteligente, pois ela era cntrolada via WiFi sem criptografia e com autenticação fraca, facilitando a re-engenharia de seus protocolos de comunicação e de controle. Idealmente, a segurança deveria fazer parte de um produto desde a sua concepção;
• Interface e configuração limitadas: Muitos dos novos aparelhos da IoT não têm interface direta com o usuário, o que limita a capacidade do usuário de customizar configurações de privacidade e segurança, ou mesmo instalar softwares adicionais de segurança (como, por exemplo, anti-vírus);
• Privacidade e guarda de dados: não sabemos como e onde os dados coletados por estes aparelhos serão armazenados, e assim surge a preocupação com a possibilidade destes dados serem roubados ou se a empresa que produziu o equipamento irá compartilhá-los com terceiros. Pense na situação em que o seu refrigerador pode conter dados sobre seus hábitos de consumo, que podem ser vendidos para empresas do setor alimentício. Ou pior: no início desde ano um pesquisador de segurança descobriu que as SmartTVs da LG coletavam dados dos clientes e os enviava para a LG.

Um sério problema é a invasão de um equipamento doméstico de forma que seja possível tomar controle dele, alterando seus comandos. Isto já aconteceu de forma até mesmo engraçada no ano passado: pesquisadores descobriram que uma "privada inteligente" muito popular no Japão (que pode ser controlada por um aplicativo no Android via Bluetooth) usava uma senha fraca para ser acessada, e assim qualquer pessoa poderia alterar os comandos da privada do vizinho.

Mas os problemas de segurança não se aplicam somente a aparelhos domésticos, na nossa cozinha ou no banheiro de casa. Os problemas começam a ficar especialmente graves quando tratamos de aparelhos médicos ou vislumbramos a crescente automatização de automóveis e pensamos nos riscos que podem surgir caso alguém obtenha acesso remoto a um marca-passo, uma bomba de insulina ou um carro.

E isto não é ficção científica. Recentemente, por exemplo, pesquisadores chineses conseguiram hackear um carro da Tesla Motors e, com isso, controlar funções vitais (incluindo abrir portas e janelas) enquanto o carro estava em movimento. O vídeo abaixo, de 2013, mostra dois pesquisadores de segurança demonstrando para um jornalista da Forbes como eles conseguiram obter controle total de um carro.



De vez em quando ouvimos notícias de problemas de segurança em aparelhos domésticos conectados na Internet. A tendência é cada vez surgirem mais desses problemas na medida em que popularizarem as tecnologias e produtos relacionados a IoT. Isso porque os fabricantes de software e hardware ainda não se acostumaram a aplicar boas práticas e cuidados básicos de segurança durante o projeto e desenvolvimento de novos produtos. O OWASP (Open Web Application Security Project), por exemplo, tem muito material que descreve boas práticas no processo de desenvolvimento, que eliminam pelo menos os erros mais rudimentares.

[Segurança] Black list para user-agents suspeitos

De acordo com o protocolo HTTP, os user-agents são informações enviadas no cabeçalho de uma requisição web para identificar o navegador utilizado pelo usuário. Desta forma, o servidor web sabe qual é o tipo e versão do navegador web e, desta forma, pode até mesmo customizar a formatação da página web para que ela seja melhor visualizada.

A maioria dos browsers web utilizam um User-Agent de acordo com o formato "Mozilla/[versão] ([informação do sistema e browser]) [plataforma] ([detalhes]) [extensões]". Por exemplo, um usuário utilizando o navegador Safari no seu iPad enviaria a seguinte informação para o servidor web:

Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405

Mas, da mesma forma que o user-agent identifica se um usuário tem um browser IE, Chrome ou Firefox, ele também pode conter informações que utilizamos para identificar se o usuário está navegando na Internet com um navegador malicioso, comprometido ou, no mínimo, suspeito ou que possa apresentar um certo nível de risco.

Pensando nisso, o site Perishable Press publicou uma lista bem grande de user-agents maliciosos, que podem indicar a presença de um Bot, Adware ou malwares. Eles podem indicar um acesso arriscado, realizado por um usuário com más intenções ou um usuário com seu computador infectado, e por isso, poderiam ser bloqueados por ferramentas ou recursos de segurança.

A blacklist está disponível como uma lista em texto puro que pode ser incluída em um arquivo de configuração .htaccess do seu servidor web.

Outras referências interessantes:

• quer saber qual é o user-agent do seu browser atual? Veja aqui;
• no site useragentstring.com é possível colar um user-agent e ver o que ele significa;
• o site user-agents.org possui uma lista completa de user-agents em ordem alfabética, incluindo os user-agents válidos e os maliciosos;
• quer trocar o user-agent do seu browser? Existem várias extensões que fazem isso, tais como o User Agent Switcher para Firefox ou o User Agent Switcher para Chrome.

[Segurança] Riscos de Segurança na Copa do Mundo

Daqui a poucos dias começará a Copa do Mundo de Futebol, e daqui a dois anos teremos as Olimpíadas de 2016 no Rio de Janeiro. Estes dois eventos que acontecerão no Brasil já tem estimulado protestos no mundo físico e virtual, mas na verdade, esta é só a ponta do iceberg: existem vários riscos de segurança relacionados a Copa do Mundo e as Olimpíadas que podem afetar a empresas, governos, os patrocinadores dos eventos, atletas, comerciantes, usuários finais, etc.

Os potenciais cenários de crimes, fraudes e protestos relacionados com a Copa do Mundo e as Olimpíadas representam diversos riscos de segurança, tais como:

• Protestos e Hacktivismo: Desde a Copa das Confederações no ano passado, estes grandes eventos tem itensificado uma série de protestos contra o governo brasileiro, contra as entidades que organizam e patrocinam estes eventos e, inclusive, protestos direcionados as instituições financeiras em geral. E a tendência natural é que estas manifestações devem se intensificar durante a Copa.
• Não custa lembrar o risco real de terrorismo e ciber terrorismo na Copa e na Olimpíada, principalmente entre grupos de outros países que tradicionalmente já enfrentam este tipo de problema (ou seja, EUA, países Europeus, Russia e diversos países do Oriente Médio);
• Protestos nas ruas com ataques físicos a empresas, agências bancárias e caixas eletrônicos, com destruição e roubo de patrimônio;
• Protestos online através de defacement, ataques DDoS ou roubo de dados:
• defacement de sites como forma de protesto contra a Copa do Mundo
• o roubo e divulgação de dados das empresas visa promover o descrédito da organização através da exposição de informações confidenciais, incluindo planos estratégicos, informações de negócio ou dados pessoais de clientes, executivos e funcionários;
• ataques de negação de serviço DDoS tradicionais, como parte de grandes campanhas de hacktivismo contra os grandes eventos ou contra alvos específicos;
• ataques de DDoS ou DoS aproveitando lógica de negócio, tal como o uso de scripts automatizados para executar um número excessivo de acessos ao site da empresa com objetivo de simplesmente impedir o acesso ao site ou, em última instância, bloquear contas de usuários (por exemplo, realizando diversas tentativas de login com senhas inválidas a ponto de causar o bloqueio das contas);

• Ciber Fraude e Ciber Crime
• Envio de mensagens de SPAM relacionadas a Copa do Mundo, para enganar usuários finais e infectá-los com malwares ou roubar dados pessoais. Esse tipo de ataque já está acontecendo e, por exemplo, o Catálogo de Fraudes da RNP já lista alguns casos;
• Sites falsos para venda de ingressos para os jogos, enganando usuários e fazendo vendas fraudulentas (vende, obtém o dinheiro da vítima e não entrega nada);
• Diversas fraudes de cartão de crédito e débito, aproveitando o grande fluxo de turistas extrangeiros com cartões de crédito de outros países
• Clonagem de cartões de crédito: muitos países ainda não adotaram cartões com tecnologia de Chip, e assim são bem mais fáceis de serem clonados
• Aumento de casos de compras fraudulentas com cartões clonados no comércio online e no comércio físico: um dos problemas é que os turistas de outros países utilizam cartões de bancos ou empresas de cartões que os logistas não conhecem, logo estes logistas terão maior dificuldade para identificar visualmente um cartão clonado

Conforme dito pela Reuters em uma excelente reportagem publicada em fevereiro deste ano, o Brasil possui um cenário de ciber crime desenfreado, com empresas despreparadas, uso disseminado de software pirata e baixo investimento em segurança. Diante deste cenário, enfrentamos o sério risco de sofrer grandes ataques e fraudes cibernéticos durante a Copa.

[Segurança] O perigo está dentro de casa

Três notícias recentes mostram a evolução da computação para uso pessoal e doméstico e, ao mesmo tempo, o crescimento dos riscos que essas tecnologias trazem para todos nós:

• A Intel anunciou o Edison, um mini PC do tamanho de um cartão de memória SD, com um processador de 2 cores e comunicação Wi-Fi e Bluetooth integradas, que deve ser disponibilizado para venda em meados desse ano;
• O pesquisador britânico Jason Huntley descobriu que SmartTVs da LG espionavam os clientes, coletando dados de uso e enviando para a LG mesmo quando esta função estava desabilitada. Estas informações são utilizadas para exibir vídeos de anúncios aos donos de TV. Para piorar, estas informações são enviadas para a LG em texto claro (sem criptografia) toda vez que o usuário muda de canal;
• A empresa Proofpoint anunciou a descoberta de uma geladeira conectada a Internet que fazia parte de uma botnet e era utilizada para enviar SPAM. Esta botnet é formada por mais de 100 mil equipamentos infectados e incluía computadores, roteadores domésticos, media centers e Smart TVs - ou, como destacou a reportagem da BBC, era direcionada a equipamentos que fazem parte da "Internet das coisas". Em poucas semanas (entre 23/12/2013 e 06/01), a botnet enviou cerca de 750 mil mensagens, 25% das quais enviadas por dispositivos domésticos - equipamentos com processadores e servidores web embarcados - e mal configurados (incluindo senhas default).

Estas notícias mostram que a computação está invadindo o nosso dia-a-dia, através dos aparelhos domésticos e, em breve, de pequenos equipamentos que podem ser instalados em qualquer lugar. Mas, ao mesmo tempo que a tecnologia evolui e nos cerca cada vez mais, estas novas aplicações precisam ter uma preocupação de segurança por parte dos desenvolvedores e dos usuários finais, para evitar que elas sejam exploradas por usuários maliciosos ou comprometam nossa privacidade.

[Segurança] A invasão é inevitável?

Em mais um depoimento curto, objetivo e marcante, o CSO da Intel discute se a invasão de uma empresa é inevitável e como os gestores devem encarar esta possibilidade.

No vídeo "Information Security: Is Compromise Inevitable?", Malcolm Harkins defende que devemos acreditar que o comprometimento é inevitável devido a evolução da complexidade dos ambientes de TI e das ameaças. Para gerenciar o risco, Harkins sugere que as empresas devem repensar a arquitetura de segurança, uma vez que o modelo baseado na defesa de perímetro é insuficiente. Devemos adotar um modelo de confiança mais granular para o gerenciamento de risco, baseado na confiança, necessidade e segurança dos usuários finais.

[Segurança] Social Computing e Segurança

O Chief Information Security Officer (CISO) da Intel, Malcolm Harkins, publicou um vídeo curto e ao mesmo tempo bem interessante aonde ele comenta como as empresas devem encarar os riscos associados ao chamado "Social Computing", ou seja, o uso de redes sociais e das mídias sociais e de seus respectivos mecanismos de comunicação e interação.



Segundo Malcolm Harkins, o uso das redes sociais é inevitável, e mesmo que as empresas tentem limitar ou proibir o seu uso no ambiente de trabalho, os funcionários inevitavelmente irão dar um jeito de acessar as redes sociais, seja usando seus smartphones ou em suas residências. Por isso, ele acredita que a melhor forma das empresas lidarem com isso é aceitar que os funcionários querem usar estas ferramentas, pois elas já fazem parte da cultura atual.

Com isso, cabe as empresas orientar e treinar seus funcionários a usar as redes sociais de forma responsável e segura. Isto inclui orientações sobre como garantir sua privacidade online, controles adequados de autenticação e, claro, orientar que tipo de informação as pessoas devem ou não compartilhar online.

[Segurança] Dados sobre desastres no Brasil

Estava assistindo uma palestra do Jeferson D'Addario sobre Continuidade de Negócios durante o 3o Global Risk Meeting e ele citou dados sobre desastres do CENACID (Centro de Apoio Científico da Situações de Desastre), uma unidade da Universidade Federal do Paraná (UFPR).

É um trabalho interessante, que tem por objetivo proporcionar apoio científico e técnico a comunidades em situações de emergências. O site deles tem algumas informações úteis, como artigos, textos, notícias sobre desastres e uma pequena coleção de links. A página com os dados sobre desastres no Brasil em dezembro de 2007 (embora antigo), ilustra bem o tipo de informação que eles tem (mas é uma pena que não estão disponíveis dados mais recentes abertamente no site).

Estas informações são muito úteis para profissionais de segurança da informação que trabalham com gestão de riscos e continuidade de negócio.

[Segurança] Seminário Internacional: Internet & Compliance

Na próxima quarta-feira, dia 18/06, a CLM e a Relatório Bancário vão organizar o Seminário Internacional: Internet & Compliance no Hotel Sonesta Ibirapuera (Av. Ibirapuera, 2534 em Moema) com o apoio institucional da ISSA Brasil.

O evento vai discutir as novidades sobre o assunto com especialistas, inclusive tecnologias que permitem um melhor controle do uso da Internet, de forma a minimizar o risco inerente, no que tange a produtividade, vazamento de informações confidenciais e outras.

A inscrição pode ser feita online no site da CLM e todos os associados ativos da ISSA Brasil tem direito a inscrição gratuita.

[Segurança] Metodologias de análise de risco

Li hoje uma mensagem do Marcello Mezzanotti na lista CISSP-BR sobre uma página com informações básicas sobre as principais metodologias de análise de risco:

http://ismspt.blogspot.com/2005/11/metodologias-de-anlise-de-risco.html


Uma opção que não está citada neste documento é o "Guia de Gerenciamento de Riscos de Segurança" da Microsoft. É um material bem interessante e extenso.