[Segurança] Resumo da palestra "A Idade da Pedra na Era da Informação"

O pessoal do You Sh0t the Sheriff contratou uma equipe de facilitação gráfica que criou um desenho resumindo o entendimento das palestras do evento.

Ficou um trabalho legal, e segue abaixo o resumo visual dos principais tópicos abordados na minha palestra sobre "A Idade da Pedra na Era da Informação":

[Segurança] Um bilhão de dados vazados!!!

A que ponto chegamos, Yahoo! !?!?!?

Como se não bastasse o vazamento recorde de 500 milhões de dados de usuários do Yahoo! que foi anunciado em Setembro deste ano, agora ficamos sabendo de um novo vazamento de dados, referente ao roubo de informações de 1 bilhão de usuários do Yahoo!

O que isso significa?

• O vazamento de Setembro (500 milhões de dados) já era preocupante, pois além de informações de usuários e senhas (incluindo nada mais e nada menos do que nomes completos, datas de nascimento, endereços e números de telefone), também vazaram as perguntas secretas - aquelas perguntas e respostas que cadastramos em alguns sites para recuperar a senha. Ou seja, os ciber criminosos agora sabem qual é a sua senha e como recuperar ela!
• As senhas estavam protegidas usando o algoritmo de hash MD5, que é considerado inseguro atualmente;
• Em Agosto deste ano surgiram rumores de que um ciber criminoso estava tentando vender na Deep Web dados de 200 milhões de usuários do Yahoo!;
• Ja existiam especulações de que o número total de contas roubadas no vazamento anunciado em Setembro poderia ser bem maior do que 500 milhões, possivelmente variando entre 1 e 3 bilhões de usuários afetados;
• O Yahoo! já tinha admitido que desde o final de 2014 seus funcionários já sabiam que os sistemas da companhia haviam sido hackeados;
• Aparentemente,  o vazamento anunciado agora é outro, diferente do anunciado em Setembro. Logo, a quantidade total de usuários afetados pode variar entre 1 bilhão e 1,5 bilhão!
• O vazamento anunciado agora está relacionado a dados roubados do Yahoo! em 2013. ou seja, os ciber criminosos já tem estas senhas há cerca de 3 anos!
• 1 bilhão de usuários é, mais ou menos, 1/3 de todos os usuários Internet (considerando que o roubo de dados aconteceu em 2014, nesse ano tivemos 2,9 bilhões de usuários, e a estimativa atual é de 3,4 bilhões - segundo o site Internet Live Stats);
• Segundo a empresa InfoArmor, toda a base de dados dos mais de 1 bilhão de usuários do Yahoo foi vendida na Deep Web por US$ 300 mil;
• Os vazamentos de dados no Yahoo! já ganharam uma página na Wikipedia!!!
• A Verizon, que estava negociando a compra do Yahoo! por 4,8 bilhões de dólares (em dinheiro!), já começou pedindo um desconto de US$ 1 bilhão por conta do vazamento de dados em Setembro;
• Dando uma olhada no valor das ações do Yahoo!. percebe-se que elas vinham em alta desde o início do ano, atingindo um pico de $44,15 em 22 de Setembro (dia do anúncio do vazamento de 500 milhões de contas), e desde então começou a cair. No dia 14/11 (dia do anúncio do segundo vazamento de dados) ela foi negociada a $40,91 e no dia seguinte despencou para $38,41. 

Atualização (20/12): Não custa compartilhar a piada abaixo...

[Segurança] Ciber Fraude na Black Friday

A empresa de segurança gringa Iovation divulgou um estudo sobre o crescimento das fraudes de cartão durante a Black Friday e Cyber Monday americanas.

A empresa comparou dados de 2014, 2015 e 2016:

• houve um aumento de 20% no número de fraudes envolvendo cartões de crédito em compras online do ano passado para agora (a chamada "fraude de cartão não presente") durante a Black Friday e Cyber Monday. Entre 2014 e 2016, o aumento foi de 34%;
• Em 2016, as transações fraudulentas durante a Black Friday e Cyber Monday representaram 0,38% das transações - contra 1,13% durante o restante do ano;
• Em 2016, 59% das transações fraudulentas no comércio eletrônico durante a Black Friday e Cyber Monday foram relacionadas a fraude de cartão de crédito;
• 55% das transações realizadas no período partiram de smartphones e tablets contra 49% no restante de 2016.

É interessante notar que a quantidade percentual de fraudes durante o período de compras da Black Friday e Cyber Monday foi menor do que no restante do ano. Isso vai de contra o que o mercado de segurança costuma dizer, de que deve ter mais fraudes e, portanto, as empresas devem investir mais. Esta queda na quantidade percentual de fraudes provavelmente se deve porque o fraudador não precisa se preocupar em comprar mercadorias em promoção (afinal, ele não está pagando a compra com dinheiro dele). Além do mais, o período da Black Friday representa o momento em que os sites tem muito acesso e, assim, podem estar mais lentos, com problemas de acesso, enquanto os lojistas estão de plantão e trabalhando em regime especial para garantir as vendas. Logo, há maior chance de uma compra fraudulenta não acontecer por problemas técnicos no site ou porque a área de fraudes estava de plantão especial. Ou seja, não há vantagem para os fraudadores profissionais atuarem nesse período.

[Segurança] Os maiores vazamentos de dados

O portal Information is Beautiful criou um infográfico interativo bem legal, batizado de "World's Biggest Data Breaches", que mostra os principais vazamentos de dados. É possível visualizar as estatísticas por ano, por quantidade de dados vazados em cada incidente, por tipo de vazamento (acidental, ciber ataque, segurança fraca, etc).

Por ser interativo, o infográfico permite mudar a forma de visualização e adicionar alguns filtros para facilitar. Ao passar o mouse sobre algum dos incidentes reportados, é possível ver detalhes sobre ele (quantidade de dados envolvidos e, clicando uma vez mais, um pequeno resumo do caso). Também há um link para a história original.

Além de visualizar as estatísticas nesse infográfico, o site também disponibilizou os dados brutos em uma planilha no Google.

O infográfico mostra estatísticas de casos em que o vazamento envolveu dados de pelo menos 30 mil pessoas e agrega dados dos portais DataBreaches.net e IdTheftCentre, com notícias que sairam na imprensa.

[Cyber Cultura] Cadê as mulheres palestrantes?

Nós, da Security BSides São Paulo, sempre tivemos pouca (ou nenhuma) subimissão de palestras vindas de palestrantes do sexo feminino. Isso é muito frustrante, pois eu conheço excelentes profissionais do sexo feminino e acredito que elas tem igual condições de palestrar (em termos de capacidade técnica e de comunicação), tanto quanto qualquer outro palestrante masculino.

Ou seja, nós não fazemos distinção nenhuma do sexo do palestrante que nos envia alguma sugestão de conteúdo, e assim avaliamos todas as propostas de atividades (palestras, oficinas, etc) pelo seu caráter técnico. Ë claro que em algumas ocasiões já aconteceu de recusarmos palestras de profissionais do sexo feminino por acharmos que o conteúdo sugerido não era adequado ao evento - mas mesmo assim, os casos de propostas recebidas, aceitas ou rejeitadas foram muito raros pela simples falta de ofertas de conteúdo.

A Marina, que trabalha na organização do Roadsec, escreveu um texto interessante no Facebook, aonde ela comenta que "Eventos de tecnologia costumam ser ambientes hostis com mulheres (na verdade quase todo evento costuma ser)" e destaca que, mesmo fazendo esforço para atrair mulheres para os eventos, muitas delas não enviam propostas de palestras porque "o mundo da tecnologia como um todo não é muito agradável quando uma mulher tem um microfone e a liberdade de dizer aquilo que quiser."

E ela completa: "Eu sei muito bem disso, já não foi uma só vez que escutei que devo 'controlar minha boca e minhas maneiras, agir como menina'."

Nós, da BSidesSP, já discutimos internamente algumas idéias de como atrair palestrantes mulheres, mas ainda não chegamos a uma conclusão de qual seria o modelo ideal. Algumas idéias que pensamos para atrair mulheres e fazê-las se sentir confortáveis e seguras para apresentar em um ambiente não hostil foram as seguintes:

• Criar uma trilha específica na programação para palestrantes mulheres - assim, todo mundo que for nessa trilha sabe que lá vai encontrar palestrantes do sexofeminino. Talvez isso atraia mais público feminino também, aumentando assim a simpatia entre a platéia e a palestrante. Talvez isso iniba eventuais comportamentos sexistas por parte de participantes da platéia;
• Limitar o acesso apenas de mulheres as palestras oferecidas por mulheres - certamente isso tornaria o ambiente mais confortável para as mulheres, mas eu receio que esta segregação só aumentaria o problema, em vez de resolvê-lo, pois não tenho certeza que essa segregação em feudos torne todo o ambiente do evento mais amigável. Eu receio que forçar essa separação por sexos pode trazer mais reações negativas do que positivas;
• Oferecer trilhas de palestras de nível básico pode atrair mais palestrantes do sexo feminino. Como poucas mulheres palestram, a maioria delas tem pouca ou nenhuma experiência de falar em público. Oferecer uma trilha de atividades de nível básico pode ser mais atraente para palestrantes com pouca experiência (de ambos os sexos, a propósito!)
• Sempre convidar mulheres para mesas de debate - essa talvez seja a solução mais fácil de ser adotada e de atrair a participação feminina. Em uma mesa de debates formada por vários participantes, não há dificuldade nenhuma em incluir partici[pantes de ambos os sexos. Como a conversa e as discussões são diluídas entre os participantes, eu acredito que dimunuimos o risco de pessoas da platéia direcionarem comentários negativos a participante mulher.

Enfim, nós ainda estamos conversando sobre como ajudar as profissionais de TI a ter um ambiente agradável dentro de um evento de tecnologia, e qualquer idéiaou sugestão é bem-vinda. Isso não é algo fácil pois um simples comentário inadequado de uma única pessoa pode levar por água abaixo meses de trabalho para promover a igualdade e respeito entre os sexos. Além do mais, é muito difícil para um homem entender todos os problemas de segregação, preconceito e sexismo que as mulheres sofrem diariamente - e é igualmente difícil para um homem encontrar uma solução para isso.

O fato é que todos nós nos beneficiamos de um ambiente de trabalho diversificado e equalitário.

[Cyber Cultura] A tabela periódica do mundo IoT

O pessoal da CB Insights criou há poucos anos atrás a "Tabela Periódica do IoT", aonde eles desenharam as principais empresas e investidores no mercado de Internet das Coisas. Embora isso me pareça meio bizarro, não deixa de ser bonitinho.

Mas, para ser sincero, eu veria muito mais utilidade se essa fosse uma tabela periódica que mostrasse as tecnologias e usos de IoT, em vez de mostrar as empresas que estão envolvidas nesse mercado.

Como mérito da iniciativa, a tabela identifica as principais sub-áreas relacionadas com o mundo IoT:

• Wearable Tech
• Connected Home
• Building Blocks & Platforms (empresas que criam e fornecem tecnologias para o mundo IoT)
• Industrial Internet
• Healthcare
• In-store Retail
• Connected Car

[Cyber Cultura] Hackers como "Personalidade do ano"

Anualmente a revista americana Time eleje a personalidade mais marcante daquele ano. O Donald Trump acabou de ser eleito a personalidade de 2016, mas o interessante mesmo é dar uma olhada na lista final de nomeados para esse prêmio:

• Hillary Clinton
• Os Hackers
• Recep Tayyip Erdogan, o presidente da Turquia
• Os pesquisadores que criaram um tel de CRISPR, aparentemente uma técnica na medicina para manipulação de DNA
• A cantora diva superpoderosa Beyoncé

Não é que os Hackers quase foram escolhidos como "a personalidade do ano"!? Há alguns anos atrás, em 2011, quando os protestos e ciber protestos estavam em alta no mundo todo, a Time elegeu "The Protesters" como a personalidade mais influente daquele ano. No ano seguinte, o Grupo Anonymous foi incluído na lista das 100 personalidades mais influentes do mundo em 2012,

Neste ano, os Hackers ganharam destaque na opinião da Time pelos maus eventos associados aos hackers, principalmente sobre os incansáveis casos de roubos e vazamentos de dados (dados pessoais, senhas de diversos sites grandes ou pequenos, além de segredos de empresas e governos), pelos ataques DDoS em grande escala e pelos problemas causados pelos Ransomwares.

Como se isso tudo não bastasse, os americanos estão assustados com a possibilidade de ciber ataques e ciber espionagem terem afetado a recente eleição americana. Imagina se eles tivessem as nossas urnas eletrônicas!

Um fator que não foi citado pela reportagem é que agora, mais do que nunca, ser hacker é ser "cool". A série televisiva Mr. Robot trouxe a cultura hacker para o grande público, justamente numa época em que estamos hiper conectaos e que a tecnologia permeia a vida de todos. Ou seja, ser hacker (do bem ou do mal) está virando modinha e está na ponta da língua do grande público.

Mas a reportagem e a escolha da Time se concentrou nos aspectos negativos e nos problemas de segurança ocorridos neste ano. Como resumiu o artigo da Time...

"They made vulnerability the new normal and took aim at democracy itself" 

[Carreira] Perguntas ao final de uma entrevista de emprego

Normalmente uma entrevista de emprego termina com o entrevistador fazendo a derradeira pergunta "tem algo que você gostaria de perguntar".

Nessa hora, após ser sabatinado, sobreviver a tensão da entrevista e estar com os neurônios fritos, nos resta poucas energias e nenhuma inspiração para perguntar algo. eu, particularmente, raramente perguntava algo, pois geralmente eu estudo um pouco sobre a empresa e pego referências antes da entrevista.

Mas, recentemente, eu estava conversando com um amigo que passou por um processo de recrutamento e ele comentou que fez algumas perguntas ao final que impressionaram o executivo com quem ele conversou - e nessa hora, eu percebi que fazendo perguntas inteligantes ao final de uma entrevista é algo surpreendente até mesmo para o entrevistador - e, portanto, /e a oportunidade de encerrar o processo deixando uma ótima impressão.

Portanto, qual não foi a minha surpresa ao ver uma reportagem na Exame sobre a importância de encerrar uma entrevista com uma "prgunta de ouro".

Veja alguns exemplos de perguntas interessantes, que eu tirei da reportagem da Exame e da conversa que tive com o meu amigo:

• “Qual foi o seu melhor momento aqui na empresa?” - Essa é a pergunta indicada pela Exame, pois eles alegam que assim você estimula o entrevistador a buscar boas memórias e associar isso a sua entrevista;
• "Como você me vê daqui a 5 anos, aqui na empresa" - assim, você joga a tradicional pergunta "como você se vê aqui na empresa" para a perspectiva do entrevistador e, também, da cultura da empresa em promover um plano de carreira e o crescimento dos proficcionais;
• "O que te mantém nesta empresa?" - Esta pergunta vai estimular o entrevistador a te dizer quais características da empresa e da cultura dela que ele consideram mais importante, e assim o tornam motivado a continuar nesta empresa - e isso pode valer para você também. Tem o apelo extra de cutucar os sentmentos do entrevistador;
• "Eu costumo <fazer tal coisa>, e qual é a política da empresa com relação a isso?" - Esta é uma oportunidade para você destacar um hobby ou alguma atividade que você faça fora do horário do expediente e que você considere interessante reforçar. Por exemplo, se você gosta de pesquisar novas tecnologias, palestrar em eventos, participar de associações profissionais ou fazer trabalhos voluntários. Todas estas atividades podem ter passado desapercebidas durante a entrevista, mas nesse final, você pode aproveitar para dar um destaque a isso.

Se pararmos para pensar, nós temos a tendência natural de relembrar com mais facilidade das coisas mais recentes, e assim, o que você fizer no final de uma entrevista pode se tornar a sua "assinatura", ou seja, a principal lembrança que vão ter de você.

[Segurança] Como vai ser a Guerra Cibernética

Um artigo curto, porém interessante, do USA Today comenta como poderia ser um cenário atual de Guerra Cibernética e suas consequências.

Possivelmente, uma guerra cibernética envolverá os seguintes cenários:

• Blackout da Internet de um país
• Ciber ataque contra a capacidade de comando e controle do adversário
• Ciber ataques causando danos a infraestrutura crítica de um país, causando blackouts de energia, problemas de comunicação, etc

O artigo também destaca que, em muitos aspectos, os ciber ataques representam uma forma dos países se envolverem em conflitos sem precisar chegar a ponto de se envolver em ataques armados, no mundo físico. Através de ciber ataques, governos podem impactar outros governos adversários ou cidadãos vazando documentos sensíveis e informações privadas, causando danos a imagem ou anulando ações de seus adversários.

[Segurança] Cartilhas sobre Segurança online e práticas seguras

Aproveitando, o Instituto Coaliza mantém uma página com várias cartilhas de conscientização dispníveis para download. São 44 cartilhas produzidas por diversas entidades, englobando assuntos como dicas básicas de segurança online, práticas de segurança, ciber bullying, combate a pedofilia, direitos humanos, uso de redes sociais, compras online com segurança, etc. Vale a pena dar uma olhada.