[Segurança] A BSidesSP 0xF em números

A décima-quinta Security BSides São Paulo (BSidesSP), que aconteceu no final de semana de 19 e 20 de maio, foi épica e superou nossas expectativas: recebemos 1.245 participantes!

Vejam mais alguns números que representam essa edição:

• 29 horas seguidas de evento
• 90h55 de atividades entre Oficinas, Palestras e Villages
• 42 atividades simultâneas em 13 salas, no Domingo (20/05)
  
  
  
  
  
• 6 villages
  
  
  
  
• 1.245 pessoas presentes
  
  
  
  
  
• 2.051 inscritos
• 28 anos foi a idade média dos participantes
• 35 speakers (só 1 speaker faltou, e foi substituído por uma excelente palestra do Nelson Brito)
  
  
  
  
  
  
  
  
• 250 pessoas vieram em 9 caravanas
• 8 horas foi o tempo de viagem do pessoal da caravana de Uberaba
• 2 super-heróis, 3 dinossauros, 1 flamingo e 1 unicórnio estavam presentes
  
  
  
  
  
  
  
  
• 33 voluntários ajudaram a realizar o evento
• 13.915 foi a média de passos dados pelos organizadorese voluntários no domingo
  
  
  
  
  
  
  
  
• 34 participantes do CTF divididos em 9 Times, que comeram 24 pizzas e beberam 120 latinhas de Red Bull;
• 17 participantes no CTF da Village de Forense!
  
  
  
  
  
• 11 participantes na competição de robótica
• 18 robôs construídos na arena 4 kidz
• 4 robôs funcionando
  
  
  
  
  
• 1 Banda e 5 DJs:
• Banda MD5 - Melhor de Cinco, e os DJs Daniel Lima, Razors Die, SHIMAZ, The Seventh God
  
  
  
  
  
• 2.460 latinhas de cerveja foram consumidas
• 450 kg de espetinhos foram servidos (quase o peso de 2 bois)
• 700 cachorros quentes foram servidos em apenas 1h30
  
  
  
  
  
• 8 caminhões e 2 motos de bombeiros foram mobilizados para descobrir que o incêndio na PUC era um churrasco!
  
  
  
  
  
• 0 acidentes com nenhuma hospitalização necessária
• 7 Empresas Patrocinadoras
• 14 Apoiadores
• 35 Doadores Jedi, que juntos contribuiram com um valor quase equivalente ao de uma cota de patrocínio!

Além disso, o evento aconteceu em um final de semana particularmente muvucado:

• Choveu um pé d'água no sábado de manhã, e justamente neste que foi o mês de Maio mais seco nos últimos 18 anos!
• Foi o final de semana da Virada Cultural, e várias ruas perto da PUC foram bloqueadas (inclusive a Consolação!);
• Tivemos um casamento real, no sábado! ;)

A BSidesSP não aconteceria sem os patrocinadores, pois sem eles jamais teríamos feito um evento totalmente gratuito para a galera: a BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e a Trend Micro. Várias empresas também apoiaram o evento em várias ações específicas: a Cipher, que ofereceu o café gourmet, a Daryus Educação, Grifa Filmes, a Imaginario Nerd com sua lojinha super legal, a Novatec, Pride Security, Roadsec, Robocore, e a RSA, que patrocinou o prêmio do CTF: 4 Pineapple Nano. Outras empresas também apoiaram as Villages.

E, principalmente, obrigado a todas e todos que vieram e prestigiaram o evento!

OBS: Post atualizado em 01/06 para reorganizar algumas fotos e adicionar outras. Outra pequena atualização em 07/06.

OBS/2: Veja aqui mais estatísticas sobre  décima-quinta BSidesSP.

[Segurança] Coletânea de artigos sobre crimes cibernéticos

Recentemente, o Ministério Público Federeal (MPF) disponibilizou online sua 3ª Coletânea de Artigos sobre Crimes Cibernéticos, composta por diversos artigos que misturam assuntos técnicos e com outros que tratam de questões legais e temas práticos no processo de investigação de ciber crimes.

São 13 artigos distribuídos em 278 páginas, que falam sobre vários aspectos da investigação e combate a crimes civernéticos. Destes artigos, 5 deles tratam de crimes relacionados a pornografia infantil, mas também há artigos sobre diversos assuntos interessantes, como investigação e obtenção de provas, um artigo sobre criptomoedas, outro sobre ransomwares, e um sobre educação digital nas escolas.

[Segurança] Infográficos sobre a GPDR

O escritório Opice Blum publicou 5 Infográficos resumindo as principais informações sobre o GPDR, para ajudar a entender a legislação e seus impactos.

Eu gostei principalmente do infográficos sobre os "aspectos gerais", que lista os ptincipais artigos dessa norma, e também ficaram legais os infográficos sobre  "direitos dos titulares de dados" e "incidentes de segurança e notificações".

[Segurança] Quem tem medo da GPDR?

É hoje!!!

De repente, não se falava em outra coisa no mercado de segurança: "como as empresas devem se preparar para a GPDR". A sigla GDPR está em praticamente todas as conversas, palestras e eventos, além de ser item obrigatório no discurso de marketing de qualquer fornecedor!

E nesses últimos dias, tornou-se comum receber e-mail de vários serviços online que estão atualizando os seus termos de privacidade.

O General Data Protection Regulation (GDPR) é uma reguulamentação européia, criada pelo Parlamento Europeu, que trata sobre a coleta, manipulação e tratamento de dados pessoais dos cidadãos da Comunidade Européia. Essa norma foi promulgada em Abril de 2016, com um prazo de dois anos para as empresas estarem em acordo com os requisitos estabelecidos pelo GDPR. E o prazo acaba agora, 25 de maio deste ano.

Timeline:

• Janeiro/2012: Início da iniciativa de Reforma de Proteção de Dados ("EU Data Protection Reform");
• 15/dezembro/2015: divulgado o acordo com relação a iniciativa de reforma nas legidslações européias de proteção da dados;
• 27/Abril/2016: Promulgada a regulamentação do GPDR (2016/679)
• 25/Maio/2018: O GPDR entra em vigor.

E todo esse bafafá no mercado se deve por três motivos, na minha opinião: a proximidade do prazo para as empresas aderirem a norma (sob pena de uma multa severa), pela abrangência global da norma (sim, isso mesmo, ela é uma norma européia que pode valer para empresas em todo o mundo) e pelas altas multas que ela impõe.

Embora a GDPR seja uma norma Européia, que trata sobre dados de cidadãos europeus, ela se aplica a qualquer empresa que colete e armazene esses dados, independente de sua localização.

O GPDR diz respeito ao tratamento de informações pessoais de cidadãos da União Europeia. Ela foi criada com objetivo de exigir que os processos de negócios que lidam com dados pessoais devem ter a privacidade por design, ou seja, o tratamento dos dados pessoais deve respeitar a privacidade dos mesmos. Por exemplo os dados devem ser armazenados usando pseudonimização ou anonimato completo e usar as configurações de privacidade mais altas possíveis por padrão, para que não estejam disponíveis publicamente,. Nenhum dado pessoal pode ser processado a menos que haja o consentimento explícito do proprietário dos dados.

O GPDR trata assuntos como:

• Responsabilidade das empresas
• Proteção de dados por design e por default (Artigo 25)
• Pseudonimização: os dados devem ser armazenados de forma a não permitir a identificação do indivíduo, usando técnicas como, por exemplo, criptografia e tokenização;
• Direito de acesso (Artigo 15): os cidadãos tem o direito de acessar seus dados pessoais e exigir informações sobre como esses dados pessoais são processados;
• Direito de remoção (Artigo 17), que no GPDR representa uma variação mais ampla ao "direito ao esquecimento". Os usuários tem o direito de exigir a remoção de seus dados
• Registros das atividades de processamento 
• Data protection officer (DPO), o "Oficial de proteção de dados", responsável dentro da empresa a tratar as questões relacionadas a gestão dos dados pessoais. Será responsável pela implementação de medidas técnicas e organizacionais para assegurar e comprovar que os dados pessoais mantidos pela empresa estão em conformidade com os requisitos da GDPR;
• Violações de dados (Artigo 33): As empresas tem obrigação de notificar qualquer violação ou vazamento de dados em até 72 horas;
• Sanções: As punições podem chegar a €20 milhões, ou 4% do faturamento da empresa (o que for maior).

O texto da norma é enorme! Sua versão em PDF tem 261 páginas, ou seja: a leitura é longa, bem massante, chata e difícil. Talvez a parte mais importante começa na página 116, no Capítulo II, que define os Princípios.

O pessoal do site TechPrivacy criou um infográfico (whiteboard) que resume em uma única página as principais informações sobre o GPDR:

Uma outra iniciativa interessante na Europa é a "Second Payment Services Directive (PSD2)", que exige que bancos europeus abram os mercados de pagamentos para empresas oferencendo serviços baseado no acesso a informações de pagamento dos clientes. Ou seja, os bancos devem deixar seus dados sobre clientes acessíveis para terceiros - um paraíso para as Fintechs (startups tecnológicas do setor financeiro).

Para saber mais:

• Texto do GPDR (2016/679)
• Página da iniciativa de Proteção de Dados (Data Protection) da União Europeia
• Página do GPDR na wikipedia
• EU GDPR Readiness Study
• Como o GPDR se aplica no Brasil
• Tudo o que você deve saber sobre a lei europeia de privacidade de dados
• O que diz o novo Regulamento Europeu de Proteção aos Dados Pessoais
• Novas regras europeias de proteção de dados afetam negócios no Brasil

[Segurança] Blogs de segurança na Europa

O pessoal na Europa tem uma premiação dos melhores blogs de segurança ("European Security Blogger Awards") e, pelo site aonde está sendo feita a votação online, podemos retirar uma boa lista de blogueiros a serem seguidos:

Blogs Corporativos

• BH Consulting SecurityWatch
• BitDefender Business Insights
• Digital Shadows
• DomainTools Blog
• Eperi Blog
• IT Security Guru
• Malwarebytes Labs
• Security Now
• Sophos Naked Security Blog
• The AlienVault Blogs

Security Podcasts

• Down the Security Rabbithole
• Jenny Radcliffe, The Human Factor
• Risky Business Podcast
• Security Now
• Security Weekly
• Smashing Security
• Sophos Podcast
• The Securing Business Podcast

Security Video Blog

• IT Security Guru
• Javvad Malik
• Leigh Anne Galloway
• Security Now
• Sophos Security

Personal Security Blog

• Brian Krebs
• Graham Cluley
• Javvad Malik
• Leigh-Anne Galloway

Outros blogs

• Bad Packets
• Claire Tills
• Comparitech
• ESET WeLiveSecurity Blog
• Hacker Not Found by Sophia McCall
• Host Unknown TV
• Scott Helme Blog

[Segurança] A BSides 0xF foi épica!

Obrigado a todas e todos que vieram na décima-quinta Security BSides São Paulo (BSidesSP), que aconteceu neste final de semana, dias 19 e 20 de maio.

O evento foi épico, surreal!

Daqui a pouco soltamos os números exatos desta edição, mas lotamos a PUC-SP com mais de 1.200 pessoas, e mesmo assim a PUC nos recebeu novamente de braços abertos! Foram cerca de 2.500 latinhas de cerveja e 450 kg de espetinhos (quase o peso de 2 bois).

O CTF encheu no sábado e virou a noite adentro (apesar de alguns probleminhas... coff,, coff..). As palestras, oficinas e villages estavam lotadas, e o show nos intervalos bombou!

Obrigado aos patrocinadores, pois sem eles não conseguiríamos ter feito um evento totalmente free para a galera: da BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e da Trend Micro. Obrigado também as empresas que nos apoiaram em várias ações específicas: a Cipher, que ofereceu o café gourmet para o pessoal, a Daryus Educação, Grifa Filmes, a Imaginario Nerd com sua lojinha super legal, a Novatec, Pride Security, Roadsec, Robocore, e a RSA, que patrocinou 4 Pineapple Nano como prêmio do CTF.

O evento não seria o mesmo sem o esforço dos palestrantes e organizadores das Villages, que trouxeram conteúdo de altíssima qualidade, e aos voluntários que mantiveram o evento bem organizado. Pela primeira vez tivemos um exército de "BSiders" que deram um show de eficiência e profissionalismo!

E, principalmente, obrigado a todas e todos que vieram e prestigiaram o evento! Tivemos caravanas que enfrentaram 8 horas de estrada para vir na BSidesSP (obrigado!!!), pais que trouxeram seus filhos, bombeiros acionados para apagar um "incêndio" (que era, na verdade, a fumaça da churrasqueira), e muitas outras histórias individuais e emocionantes. Vocês são a razão de continuarmos nessa vida loka!!!

[Segurança] Testando a qualidade da cifra SSL usada em seu site

Existem dezenas de combinações possíveis para as cifras de criptografia e troca de chave que podem ser utilizadas em uma comunicação SSL/TLS. Estão disponíveis desde as mais seguras até algumas com algoritmos de criptografia e assinatura digital mais fracos.

A nomenclatura adotada por padrão, para esses conjuntos de cifra, indicam o algoritmo de troca de chaves (ex: RSA, ECDHE), o algoritmo de assinatura, o de criptografia simétrica (utilizado para a comunicação de dados) e de autenticação de mensagem.

Isso acontece porque o protocolo SSL/TLS permite que o servidor e o cliente negociem que cifras vão utilizar para troca de chaves, assinatura, criptografia e autenticação da mensagem, dentro das várias suportadas por padrão. Sempre é escolhido o conjunto de cifras mais seguro entre as cifras suportadas por ambas as partes (cliente e servidor). Isso faz parte do "SSL Handshake" que acontece no início de uma conexão SSL.

Um navegador web, por exemplo, pode se conectar a um servidor usando qualquer uma das opções de cifras que o servidor fornece e que também sejam suportadas pelo navegador. Assim, se o site oferecer algumas opções seguras (por exemplo, troca de chave com ECDH), mas também algumas opções fracas (como a velha criptografia DES), os usuários podem se conectar com qualquer uma das opções disponíveis. Normalmente o browser e o servidor web negociam a cifra mais forte que seja comum entre os dois, mas um atacante, nesse caso, pode tentar forçar o uso de algoritmos fracos para explorar a conexão da vítima.

O tipo de cifra usada no SSL é algo que pode (e deve!) ser configurado nos servidores, seja ele um servidor Web Apache, a comunicação com um host com VMware, uma API, o pacote Schannel da Microsoft, etc.

A melhor forma que eu conheço para avaliar se a configuração SSL do seu site fornece opções seguras é através do site SSL Test, mantido pela Qualys (https://www.ssllabs.com/ssltest/). Ele avalia as cifras aceitas por padrão em seu site Web, simula os handshake desde vários browsers diferentes, verifica se estão sendo usadas cifras frágeis ou combinações associadas a vulnerabilidades conhecidas, e no final, gera uma pontuação para indicar se a configuração está boa ou ruim. O ideal, claro, é obter nota máxima, "A".

Entre outras informações interessantes, o SSL Test identifica quais são os conjuntos de cifras suportadas pelo servidor web e simula o handshake com diferentes versões de browser, para identificar que cifra cada browser irá adotar como padrão.

[Segurança] Os números da RSA Conference

Os números da última RSA Conference, que aconteceu em Abril em São Francisco (EUA), mostram que este é o maior evento do nosso mercado:

• Cerca de 42.000 participantes;
• 600 empresas expositoras;
• 550 atividades;
• 17 keynotes;
• 154 palestrantes do sexo feminino, mostrando a diversidade do evento.

Anote na sua agenda: no próximo ano, a RSA Conference acontecerá nos dias 4 a 8 de Março de 2019.

[Segurança] A BSides São Paulo está chegando!

Daqui a pouco teremos a décima quinta edição da conferência Security BSides São Paulo (BSidesSP), uma confêrencia gratuita sobre segurança da informação e cultura hacker.

Para esta edição, preparamos várias atividades acontecendo em paralelo no Domingo (20/05), para receber um público estimado em 1.200 pessoas na PUC-SP:

• 3 trilhas de palestras, 2 de oficinas e uma trilha no mini-auditório com a Hacker Carreer Fair, Lightning Talks e mais palestras;
• Teremos vários palestrantes excelentes, incluindo o Diego Aranha, Fernando Mercês, o Kretcheu. Vamos começar o evento com uma palestra bem interessante do Marcio Seixas, o dublador que faz a voz do Batman, Spock, James Bond e vários outros personagens bem conhecidos;
• A BSides 4 Kidz, com atividades para crianças e jovens;
• Teremos 5 Villages: de AppSec, Biohacking, Hacking, Hardware Hacking e de Perícia Forense Computacional;
• Uma atividade de "Interaja Com os Especialistas", para os participantes tirar dúvidas e trocar ideias com especialistas de Segurança
• Várias competições durante todo o evento:
• Nosso CTF com 24 horas initerruptas de competição (das 15h de sábado até 15h de domingo);
• Competição de Robótica: robores seguidores de linha e sumô de robôs;
• Desafio "Defuse the Bomb" na AppSec Village: Cada equipe tem que desarmar uma bomba em até 15 minutos!!! (é necessário se inscrever previamente para garantir lugar);
• Diversos desafios de investigação e forense na Village de Perícia Forense Computacional;
• Desafios e um CTF de ataque e defesa na Hacking Village.

Também teremos lojinhas do Garoa Hacker Clube, Imaginario Nerd e da Novatec.

No sábado (19/5) teremos os mini-workshops gratuitos e o início da competição de CTF, que vara a noite adentro até Domingo.

Também teremos as campanhas Bloody Hacker e Good Hacker! As 20 primeiras pessoas que chegarem com atestado de doação de sangue e as 10 primeiras que levarem calçados, roupas e agasalhos em bom estado, ganham uma camiseta exclusiva!

A Security BSides São Paulo faz parte do circuito global de conferências Security BSides, presentes em mais de 25 países. O evento acontecerá nos dias 19 e 20 de Maio de 2018 (Sábado e Domingo), na PUC Consolação (ao lado da nova estação Higienópolis-Mackenzie da Linha Amarela).

Esta edição da BSidesSP conta com o patrocínio da BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e da Trend Micro. Além disso, conta com o apoio da Cipher (que estará fornecendo café gourmet para os presentes), a Daryus Educação, Grifa Filmes, Imaginario Nerd, Novatec, Pride Security, Roadsec, Robocore, e da RSA (que está patrocinando alguns dos prêmios do CTF).

Para mais informações e inscrições, visite o site do evento.

[Segurança] Fundamentos de Engenharia Reversa

O portal Mente Binária acabou de disponibilizar online, e gratuitamente, o livro "Fundamentos de Engenharia Reversa", com um conteúdo que cobre os conhecimentos fundamentais sobre o assunto. A leitura é fácil, pois o texto é bem escrito, objetivo e didático.

Este livro é o resultado do trabalho do Fernando Mercês, ministrando centenas de horas de aulas sobre engenharia reversa de software. Algumas seções ainda estão em construção.

É possível apoiar o livro, colaborando com o portal Mente Binária e enviando sugestões, perguntas e avisando se encontrar algum erro.

Se você gosta do assunto, não deixe de acompanhar o Curso de Engenharia Reversa Online (CERO) no canal do Papo Binário.