agosto 16, 2017

[Segurança] Nova Buzzword: A Internet das Identidades (IoI)

Vem aí uma nova buzzword para nós:


Internet das Identidades (IoI)


A “Internet of Identies” (IoI), ou "Internet das Identidades", se propõe a tratar o problema de mapear as diversas identidades possíveis para os dispositivos no universo da Internet das Coisas (IoT). Isso inclui a gestão da identidade do dispositivo, do usuário, do aplicativo ou serviço e a identidade do recurso associado ao dispositivo.

Uma das preocupações, válidas, é como implementar uma autenticação forte para os dispositivos IoT, algo normalmente resolvido com certificados digitais X.509 associados ao dispositivo ou tecnologias biométricas quando ocorre intervenção dos usuários finais. A gestão de indentidade dos dispositicvos IoT é fundamental para garantir o acesso apenas dos dispositivos e usuários válidos, além de servir de base para implementações de controle de acesso e de soluções de seguarnça baseadas no comportamento.

agosto 14, 2017

[Cidadania] Cuidado com a depressão na adolescência

Lembram do problema social que foi o tal jogo da Baleia Azul? Há poucos meses atrás este jogo se propagou entre adolecentes através de redes sociais, e ao final estimulava o suicídio dos participantes.

Então, se houve algo de positivo nesta história, foi que ela fomentou a discussão sobre o problema da depressão e suicídio entre adolescentes e, principalmente, causou um questionamento sobre a importância os pais conversarem com seus filhos. Nesse sentido, eu vi um infográfico publicado em uma reportagem do jornal carioca Extra que achei bem instrutivo e reproduzo parcialmente abaixo:


Ou seja, os pais devem se preocupar e interagir mais com seus filhos se ocorrer algum dos comportamentos abaixo, que podem ser sinais de depressão:

  • Isolamento por longos períodos;
  • Falta de atenção;
  • Desinteresse por atividades comuns entre jovens, principalmente atividades em grupo ou com outros jovens;
  • Predominância de contato com outras pessoas pela Internet do que no mundo real (embora isso seja cada vez mais comum);
  • Desempenho escolar ruim ou em queda;
  • Descuido com a higiene pessoal;
  • Ausência de memória;
  • Alteração no apetite, para mais ou para menos;
  • Irritabilidade exagerada;
  • Apresentar machucados com frequência, principalmente se representar provável automutilação.

Os pais não podem ter medo de conversar e cuidar de seus filhos. Em caso de dificuldade, procure auxílio de parentes ou, se necessário, auxílio profissional com psicólogos. Conversar com um psicólogo (ou psicóloga) não é motivo de vergonha; é uma ótima oportunidade de consultar alguém que vai te ajudar no autoconhecimento.

agosto 10, 2017

[Segurança] Estatísticas do Ciber crime em 2016

Um artigo de Junho deste ano traz algumas estatísticas sobre ciber crime baseadas no relatório Internet Crime Report 2016, divulgado anualmente pelo Internet Crime Complaint Center (IC3), do FBI.


Veja algumas estatísticas:
  • As perdas reportadas devido ao ciber crime no ano passado totalizaram US$ 1,3 bilhão;
  • O FBI recebeu 298.728 queixas de criber crime por parte dos residentes dos EUA em 2016;
  • No ano passado, os três principais tipos de crimes relatados pelas vítimas foram o não pagamento e a falta de entrega, a violação de dados pessoais e golpes de pagamento;
  • O Departamento de Justiça estima que apenas 15% dos ciber crimes são relatados às autoridades
  • Canadá, India e o Reino unido lideram a lista de países com maior número de vítimas, além dos EUA.
Dentre as diversas categorias de ciber crime registrados pelo IC3 em 2016, o artigo destacou os principais, que também mostram os diversos tipos de golpes que acontecem na Internet:
  • Comprometimento de e-mail de negócios, ou "Business email compromise" (BEC) (US$ 360,5 milhões): os atacantes enganam um empregado para fazer um pagamento por transferência bancária;
  • Fraude de Confiança / Romance, ou "Confidence fraud / romance" (US$ 219,8 milhões): Enganar um indivíduo para pensar que eles estão em um relacionamento para extrair fundos, informações pessoais ou outra assistência;
  • Violação de dados corporativos, ou "Corporate data breach" (US$ 95,9 milhões): quando dados confidenciais ou privados do negócio vazam ou são roubados;
  • Adiantamento de taxa, ou "Advanced fee" (US$ 60,5 milhões): Scammers enganam um indivíduo para adiantar algum dinheiro, pela promessa de receber uma quantidade ainda maior em troca;
  • 419 / pagamento em excesso ou "overpayment" (US$ 56 milhões): um golpe muito associado a Nigéria, por conta das mensagens que existem há muitos anos sobre "um princípe que precisa de ajuda para recuperar seu dinheiro". O termo "419" também é usado para identificar este golpe por indicar uma seção da lei nigeriana associada à fraude. Os scammers pedem ajuda para transferir uma grande quantidade de dinheiro e oferece uma "comissão" em troca, mas primeiro pede que parte do dinheiro seja enviado para pagar alguns dos custos associados à transferência";
  • Phishing, vishing, smishing, pharming (US$ 31,7 milhões): uso de e-mails não solicitados, mensagens de texto ou chamadas telefônicas para roubar informações pessoais ou credenciais de acesso a sites;
  • Extorsão, ou "Extortion" ($ 15,8 milhões);
  • Fraude de suporte técnico, "Tech-Support fraud" (US $ 7,8 milhões): esquemas convencem os usuários de comprar ferramentas ou pagar por suporte técnico desnecessário ou falso (ineficiente, que as vezes "resolve" um problema inexistente);
  • Malware / Scareware (US$ 3,9 milhões): software malicioso projetado para roubar informações pessoais, ameaçar os usuários ou fazê-los pagar taxas e assinatura, como por exemplo em um software anti-vírus falso;
  • Ransomware (US$ 2,4 milhões);
  • Hacktivismo ($ 55.500).



Para saber mais: Internet Crime Complaint Center (IC3) website

agosto 08, 2017

[Segurança] Como proteger seus dados dos Ransomwares

Aproveitando a recente onda de grandes ataques de Ransonware, eu juntei algumas dicas de como as pessoas e empresas devem se prevenir para, assim, evitar serem mais uma vítima desse tipo de código malicioso, tão comum hoje em dia.

Para usuários finais:
  • Tenha soluções de segurança que te protejam contra códigos maliciosos e que protejam os seus dados. Isso inclui ferramentas de antivírus, backup e criptografia de  dados;
    • Mantenha o sistema operacional de seus equipamentos e suas soluções de segurança sempre atualizadas. Instale novos patches e atualizações o mais rápido possível;
    • Os antivírus tradicionais nem sempre conseguem detectar os Ransomwares mais recentes e avançados, mas mesmo assim, são a nossa primiera linha de defesa;
    • Automatize o seu backup, para que ele aconteça com frequência;
    • Mantenha uma cópia de backup atualizada em um disco externo, desconectado do seu computador. Mantenha também uma cópia de dados na Nuvem (ex: Dropbox, Google Drive, etc);
    • Tenha muito cuidado para não sobrescrever os arquivos sequestrados pelo Ransomware em seu backup!!!
  • Conscientize os funcionários sobre os principais problemas de segurança e, no que diz respeito a Ransomwares, sobre a importância de tomar cuidado com mensagens que recebe.
    • Nunca abra mensagens estranhas;
    • Somente clique em anexos e links quando estiver certo sobre a origem da mensagem.
Para empresas, além do acima, há algumas dicas específicas:
  • Além de ferramentas de antivírus, backup e criptografia de dados, tenha soluções de controle de acesso (para evitar que um usuário infectado prejudique os dados de outros usuários) e ferramentas de detecção de ataques (IPS, host IPS e SIEM);
    • Controle cuidadosamente os compartilhamentos e acessos dos usuários a dados via rede local;
  • Tenha estratégias de recuperação e continuidade de negócios. Neste caso, prepare-se para operar mesmo se o seu sistema de TI estiver paralisado por um ainfestação de Ransomware;
  • Tenha plano de resposta a incidentes;
  • Tenha uma estratégia de backup robusta, com backup de dados dos usuários e servidores;
    • Mantenha uma cópia de backup offline e, preferencialmente, armazenada externamente (offsite), pois em caso de um Ransomware, ele pode afetar cópias de seus dados acessíveis via a rede local;
    • Use a "estratégia 3-2-1": 3 cópas dos seus dados, 2 das cópias são locais em meios diferentes (discos externos, DVD, etc) e 1 cópia offsite;
    • Teste periodicamente seus backups e sua capacidade de "restore" dos dados.
    Para saber mais:

    agosto 07, 2017

    [Cyber Cultura] O Zodíaco Geek

    O Zodíaco Geek (Geek Zodiac) é uma versão nerd do zodíaco usado na astrologia tradicional, aonde os animais representados nos signos chineses foram substituidos pelos arquétipos mais emblemáticos na cultura popular. O resultado é um conjunto colorido, criativo e bonito de super-heróis aos quais todos podemos nos relacionar e aspirar.


    Os 12 signos do Geek Zodiac são:
    1. Robot (Robô)
    2. Wizard (Mago)
    3. Alien
    4. Superhero (Super herói)
    5. Undead / Slayer (Morto-vivo / Assassino)
    6. Pirate (Pirata)
    7. Daikaiju ("Monstro Gigante")
    8. Time Traveler (Viajante no tempo)
    9. Spy (Espião)
    10. Astronaut (Astronauta)
    11. Ninja/Samurai
    12. Treasure Hunter (Caçador de tesouros)
    O site GeekZodiac.com tem uma descrição precisa de cada signo.

    agosto 04, 2017

    [Carreira] Porque 8 horas de trabalho nunca são suficientes

    Recentemente me deparei com o infográfico abaixo que nos mostra, claramente, porque atualmente não conseguimos mais produzir em "apenas" 8 horas de trabalho por dia.


    Afinal, facilmente passamos pelo menos 12 horas por dia online :)

    Brincadeiras a parte, as redes sociais e os comunicadores instantâneos são os grande vilões da nossa produtividade. Além disso, os comunicadores como o Whatsapp e Telegram estão rapidamente substituindo o e-mail e a ligação telefônica como meio principal de comunicação no trabalho. O resultado é uma demanda contínua de comunicação instantânea, pois o uso do Whatsapp pressupõe uma resposta rápida, sem a demora tradicional do e-mail nem a linha ocupada do telefone. E, consequentemente, somos obrigados e ficar verificando os comunicadores o tempo todo, para não atrasar nenhuma resposta. Além de causar distração, essa situação nos obriga a ficar conectados constantemente.

    agosto 03, 2017

    [Segurança] O blog virou meme!

    Depois de mais de 10 anos no ar (mais de uma dúzia, na verdade) e mais de 1000 posts, o meu blog virou meme :)


    Eu me esforço bastante para manter o blog ativo, com posts tratando de assuntos que possam servir de ajuda para o pessoal que trabalha na área de segurança.

    agosto 01, 2017

    [Segurança] As novidades da Defcon 2017

    Acabamos de ter mais uma edição da Defcon, o maior evento de hacking do universo conhecido. E não foi uma Defcon qualquer: neste ano ela comemorou sua 25a edição, e fez isso em grande estilo: pela primeira vez eles ocuparam o centro de convenções do suntuoso e enorme cassino Caesars Palace, em Las Vegas.

    Parece ótimo, não é? Mas mesmo indo para um lugar bem maior, que até há poucos anos atrás hospedava a Black Hat, a impressão era de evento lotado: em alguns momentos mesmo as salas gigantes ficavam totalmente cheias, com filas enormes para entrar (que andavam rápido, a propósito), os corredores ficavam congestionados e era difícil andar no espaço das lojinhas. Na quinta-feira, data de entrega das credenciais, fiquei cerca de 2 horas na fila para a loja oficial do evento!

    Os principais destaques que eu mais gostei neste ano foram:
    • A nova "village" para discutir segurança em eleições e nas urnas eletrônicas, que chamou muito a atenção de todos e fez bastante sucesso; As primeiras máquinas de votação foram hackeadas em cerca de 90 minutos;
    • A moeda comemorativa de 25 edições da Defcon: bem legal, de prata, mas esse foi a única coisa diferente por ser uma edição comemorativa do evento. Não vi mais nada de especial ou de diferente das edições anteriores;
    • Muitos Goons, em todo o lugar, o que ajudou muito na cirulação e orientação do pessoal;
    • Tinha 4 carros na Car Hacking Village! Um deles (um dodge) foi usado como vídeo game e outros dois deles eram para ser hackeados;
    • Duas trilhas de palestras ficaram em salas gigantes (mas mesmo assim eu sinto saudades do auditório que era usado quando a Defcon era no cassino Rio).


    O evento também teve alguns micos e problemas. Na minha opinião, os principais foram:
    • Crachá de borracha: certamente essa foi a maior decepção do evento, para todo mundo. Eles não conseguiram produzir os tradicionais, famosos e cobiçados crachás eletrônicos a tempo e, como plano B, fizeram um crachá simples, tosco, de borracha, que era uma reprodução de crachás antigos. O mais comum deles era a réplica da 1a edição da Defcon, mas mesmo assim todos ficaram muito decepcionados. Pelo menos eu dei a sorte de ter o meu crachá autografado pelo Jeff moss :)
    • Cadê a comemoração? Na verdade, eu não vi nada de especial para indicar uma edição comemorativa, nem nada que remetesse a comemoração desse fato;
    • Escadas rolantes em obras: em vários momentos as escadas rolantes ficavam congestionados e com fila. Sim, fila para pegar escada rolante, igual no metrô no centro de São Paulo as 18h;
    • A dificuldade de se encontrar e se deslocar durante o evento: a defcon estava espalhada em 3 andares diferentes do centro de convenções, então era necessário ter muito deslocamento para ir de um lugar (ou atividade) para outro. Sobe e desce de escada rolante, caminhar por corredores longos e lotados eram desafios comuns. Embora houvessem mapas do evento espalhados por todo o lado, e goons dispostos a ajudar, era fácil se perder entre um andar e outro; eu só achei algumas vilas no segundo dia de evento;
    • A área do CTF diminuiu e ficou apertadinha, com cerca de metade ou 1/3 do espaço que ocupava anteriormente, algo bem frustrante para essa competição que é uma das atrações da defcon. pela sala ser apertada, não era possível ficar muita gente circulando pelo espaço. Outra atraçào tradicional, que eram as projeções realizadas no espaço, sumiram :(
    • Assim como o CTF, diversas áreas de vilas também ficaram bem menores e os espaços das Villages estavam bem apertados e alguns escondidos. A área da Car Hacking, Evidence Tampering e Lockpicking villages estava em uma sala escondida e mal sinalizada), e a sala dedicada para o Wall of Sheep também estava apertada.

    O Caesars Palace é grande, mas parece que ele não é grande o suficiente para a Defcon, que no ano passado recebeu 20 mil pessoas e neste no ouvi comentários de que chegou a 26 mil. As salas de palestras eram eram enormes (principalmente nas trilhas 1 e 2, que eram gigantescas), mas as salas das trilhas 3 e 4 estavam constantemente lotadas.

    A Defcon, como sempre, foi sensacional. Muitas atividades legais, muitas palestras boas, muito networking e 4 dias muito intensos para todo mundo, com muita energia. É um evento que eu recomendo a todos ir, independente dos problemas que eu citei acima.

    julho 31, 2017

    [Segurança] Criptografia do Acre

    Baseado na história do jovem do Acre que sumiu e deixou vários textos escritos de forma criptografada, alguns tipógrafos criaram uma fonte em homenagem à criptografia do Manual do Escoteiro Mirim, batizada de "Tipografia aCReMisT".


    Após baixar e instalar a fonte "Tipografia aCReMisT", que é grátis, qualquer um pode escrever seus próprios textos criptografados!


    Quando surgiu a história do Bruno de Melo Silva Borges, que sumiu deixando inscrições criptografadas nas paredes do seu quarto e 14 livros escritos à mão, rapidamente foi especulado que os textos foram escritos no alfabeto de criptografia que foi publicado no Manual do Escoteiro Mirim, e lá batizado de "Código Secreto Marciano", que é uma cifra parecida com a Cifra Maçônica.


    Lançado em 1971, o Manual do Escoteiro Mirim trazia muitos ensinamentos sobre escotismo, com técnicas e táticas nos acampamentos, mas também falava sobre códigos secretos, heráldica e até como socorrer animais feridos. Recentemente a Editora Abril decidiu lançar uma reedição do livro.

    Dois pesquisadores de segurança, Igor Rincon e Renoir dos Reis, deram uma olhada nas imagens que foram disponibilizadas na imprensa com os textos do jovem do Acre e criaram um site, chamado de "Decifre o livro", para ajudar a desvendar os textos com base nas chaves deixadas por Bruno.

    Para saber mais:

    julho 29, 2017

    [Cyber Cultura] A lingua de sinal dos nerds

    Se você usa língua de sinais (Libras) para falar com seus amigos, como você vai dizer que o seu computador roda Ubuntu e que você prefere programar em Perl?



    Seus problemas acabaram!!! Eu estava buscando imagens de geeks e nerds no Google Images e achei uma imagem com alguns sinais para coisinhas nerds: Ubuntu, Windows, Perl, C, C++, Raskell, Apple, etc.



    Divirta-se!

    A propósito, quer aprender sobre a língua de sinais? Veja esse post aqui.

    julho 25, 2017

    [Segurança] As Tretas na área de Segurança

    O texto de Call for Papers (CFP) da Alligator Security Conference deste ano traz um resumo sarcástico das principais tretas que aconteceram recentemente na área de segurança brazuca. Esse texto ilustra bem o espírito hostil, segregatório e pouco colaborativo de algumas das comunidades do nosso mercado.

    Como eu achei que o texto ficou engraçado devido ao seu alto nível de sarcasmo e trolagem, eu decidi reproduzir aqui as partes que descrevem as principais tretas que surgiram recentemente em nosso mercado, que eles batizaram de "HackTrospectiva" e deram a cada caso um nome de filme:
    • "A Queda": O drama narra os últimos dias de arrogância e empáfia de um pedante e pernóstico garçom, cuja megalomania resultou em um wipe generalizado sem precedentes na história do hacking nacional. Aclamado pela crítica blogueira, resultou em uma enxurrada de mimimis e chororôs entre os pseudo-formadores de opinião da cena. É uma verdadeira obra prima com direito a lágrimas, risos e frases memoráveis como: "Como profissional de SI e certificado CISSP, eu gostaria de deixar meus sentimentos por todos aqueles que, de certa forma, foram afetados" (eu abordei este caso neste meu post);
    • "O Homem que Ripava": Estrelando o ilustríssimo Foguinho Pernambucano. O filme também é indicado ao prêmio shame of the year 2017 e conta a estória de um menino humilde, jogador de CTF de várzea, que começou a ganhar notoriedade ripando writeups de outrem. Durante a trama, o jovem percebe o quão ridícula, incipiente e vexatória era sua ação, culminando em uma eloquente e emocionante destruição de provas, na tentativa inócua de ocultar sua majestosa e suntuosa cagada;
    • "O Golpe": Um famoso diretor de grandes produções, demonstra como conseguiu enganar centenas de idiotas durante 2 anos consecutivos, com a promessa de trazer um palestrante internacional para o seu evento. A trama, produzida em 10 camadas (segundo a interpretação do protagonista para Modelo OSI), ilustra a possibilidade de conseguir usurpar reais de alguns imbecis, de maneira simples, através de mentiras, promessas e frases megalomaníacas. Uma verdadeira aula de charlatanismo, que promete deixar o professor Marco Aurélio Thompson de cabelos em pé!
    • "Corram que taviso vem ai!": A narrativa conta a estória de um pesquisador de segurança que vem destroçando as empresas de antivírus em uma caçada implacável. O curta mostra que os produtos que deveriam proteger os indefesos cidadãos são na verdade uma grande piada. Revelando ao público o grande circo que é a indústria de segurança atual;
    • "O poderoso cagão": A estória conta a trajetória de um pesquisador de malware que, em busca de notoriedade e pressionado pela própria empresa, divulga problemas de segurança em um banco no sul, e por consequência disso, acaba pegando em merda! Um prato cheio para aqueles que adoram ações judiciais e cenas de presídio. (eu abordei este caso neste meu post)

    julho 24, 2017

    [Segurança] Global Cybersecurity Index (GCI)

    No início de Julho foi lançada a edição 2017 do Global Cybersecurity Index (GCI), um estudo que mede o compromisso dos 193 Estados-Membros da UIT com a segurança cibernética. Ele foi criado em 2014 pela International Telecommunication Union (ITU) para ajudar os países a promoverem a cultura de ciber seguranca.

    Ele é formado através de 25 indicadores que formam 157 perguntas, e servem para medir o que o índice considera serem os 5 pilares de seu modelo conceitual de segurança: Legal, Técnico, Organizacional, Capacidade e Cooperação.


    A edição de 2017 do GCI foi elaborada com base nas respostas de 134 países e de dados obtidos dos países que não responderam, de forma que o relatório aborda todos os 193 países membros do ITU. O mapa abaixo sumariza os resultados em termos de nível de compromisso com ciber segurança, do verde (mais alto) ao vermelho (menor).


    Em geral, a Europa foi a região aonde a pontuação média nos scores foi alta em todos os 5 pilares. Os 10 países mais comprometidos com segurança, segundo a ITU, são:

    • Singapura
    • Estados Unidos
    • Malasia
    • Oman
    • Estônia
    • Ilhas Mauricio
    • Austrália
    • Georgia
    • França
    • Canadá

    O Brasil está posicionado em 38o lugar, em um grupo de países que o relatório considera que ainda estão amadurecendo. Singapura é o país melhor classificado no estudo. Ees tem uma longa história de iniciativas de segurança cibernética, sendo que lançou seu primeiro plano diretor de segurança cibernética em 2005. A Agência de Segurança Cibernética de Singapura foi criada em 2015 como uma entidade dedicada para supervisionar a segurança cibernética e o país emitiu uma estratégia abrangente em 2016.

    Um dos indicadores mais fortes do estudo representa se o país possui uma estratégia de segurança cibernética descrevendo como ele irá se preparar e responder a ciber ataques contra suas redes, alo que só um pouco mais de 1/3 dos países possuem. Vehja algumas estatísticas do estudo:
    • Apenas 38% dos países possuem uma estratégia pública de segurança cibernética, enquanto metade dos Estados membros não tem uma estratégia de segurança
    • 61% dos países têm uma equipe de resposta de emergência com responsabilidade nacional (por exemplo, CIRT, CSRIT e CERT);
    • Pouco mais de um quinto (21%) dos países publica métricas de incidentes de segurança;
    • 32% dos países pussuem uma indústria de cibersegurança local



    julho 21, 2017

    [Segurança] Hacking: uma História

    Recentemente o Anderson Ramos foi convidado a palestrar no TEDxMauá, aonde ele aproveitou para contar a sua visão da história da cultura hacker, desde os anos 60 até os dias atuais. Assim, ele resumiu décadas de história em pouco mais  de 20 minutos, com várias informações interessantes na palestra "Hacking: uma História".


    A palestra ficou bem interessante, cobrindo desde o surgimento da cultura hacker no "Tech Model Railway Club" do MIT. Pelo curto espaço de tempo, o Anderson foi obrigado a resumir e simplificar muita coisa, ainda mais porque é impossível contar a evolução da cultura hacker sem falar também da evolução da tecnologia pessoal e das telecomunicações desde os anos 60. Mas isso não desmerece a sua palestra :)

    julho 20, 2017

    [Cyber Cultura] Hacker Camps

    Nesta segunda metade de 2017 temos um belo calendário de Hacker Camps pela frente:
    • 04 a 08/08: SHA2017 na Holanda - Evento que acontece a cada 4 anos, intercalado com o CCCamp. Será em uma cidade a 55 kilômetros a leste de Amsterdã;
    • 05 e 06/08: Dumont Hacker Camp em Paranapiacaba (SP) - Pela primeira vez iremos realizar um encontro de hackerspaces durante a V SteamCon, um encontro bem legal sobre a cultura cyber punk;
    • 29/09 a 01/10: Garoa Hacker Camp (Santana de Parnaíba, SP) - Este já é o terceiro Hacker Camp organizado pelo Garoa e o segundo neste ano. Será em um sítio perto de São Paulo.
    Os "Hacker Camps" são eventos de tecnolgia e cultura hacker que acontecem em um ambiente externo, de camping ao ar livre, aonde os participantes ficam em um ambiente totalmente descontraído. Por serem feitos em um local externo, eles favorecem a integração dos participantes.

    Normalmente com a maioria dos participantes acampam em barracas. Mas, dependendo do evento, quem não curte dormir dentro de uma barrada pode se alojar em pousadas, chalés, barco ou trailer ("motor home"), dependendo da infra-estrutura do local.


        

    Outros hacker camps famosos são o Chaos Communication Camp, que acontece na Alemanha a cada 4 anos (a edição passada foi em 2015), o ToorCamp nos EUA e o Hacking at Random.


    julho 18, 2017

    [Cyber Cultura] Steampunks e Cyberpunks

    Os Steampunks e Cyberpunks são manifestações culturais que encontram inspiração na literatura de ficção científica com uma mistura de tecnologia com o passado e o futuro.

    Aproveitando o verbete da Wikipedia, o Cyberpunk é um subgênero de ficção científica focado em um cenário de alta tecnologia e baixa qualidade de vida ("High tech, Low life"), que combina a ciência avançada, como as tecnologias de informação e a cibernética, junto com algum grau de desintegração ou mudança radical na ordem social. São cenários futurísticos aonde a vida é impactada pela rápida mudança tecnológica.

    O Steampunk (que podemos traduzir como "Tecnavapor", derivado de 'Tecnologia a Vapor''), é um subgênero da ficção científica ambientada no passado, misturando tecnologias e vestimentas associadas a era Virotiana (Inglaterra do século 19) com os paradigmas tecnológicos modernos, como se eles tivessem ocorrido naquela época ou reimaginando a ciência já disponível naquela época. Este gênero ganhou fama no final dos anos 1980 e início dos anos 1990. No universo Steampunk, a tecnologia a vapor teria evoluído até níveis impossíveis, reimaginando como seriam máquinas e até mesmo robôs movidos a vapor naquela época.

    Um exemplo popular no cinema é o filme "As Loucas Aventuras de James West" ("Wild Wild West​") de 1999, com o ator Will Smith. Os amantes da cultura steampunk e cyberpunk costumam usar adereços de moda futuristas.


    Segundo um artigo no portal buzzfeed, "The Steampunk longs for a time where technology was romanticized rather than mass manufactured. He scoffs at the minimalism of homogenized modern devices and attempts to make them his own. Displaying an unhealthy fascination with steam, valves and gears, the Steampunk will spend hours in his workshop crafting accessories for his wardrobe. Custom timepieces, goggles and Nerf guns are often overly customized to the point that they obscure the item’s original purpose. Modern day electronic devices are modified to look like rusted antiques."

    Para saber mais:


    julho 17, 2017

    [Segurança] Preparativos para a Defcon 2017

    Falta um pouco mais de uma semana para a Defcon deste ano, que comemora a sua 25a edição. Por isso, vale a pena lembrar algumas dicas rápidas e curiosidades:


    Curiosidades:
    • Em 2016, a Defcon atingiu o público record de 20.000 participantes!
    • Neste ano eles anunciaram a Voting Machine Hacking Village, um espaço para discutir segurança nas eleições e que promete ter algumas urnas eletrônicas para os participantes testarem;
    • Eu já disse que esta é a 25a edição do evento, né?
    Lembretes:
    • Neste ano o ingresso do evento custará US$ 260. Esse valor deve ser pago em dinheiro vivo, pois eles não aceitam cartões;
    • Pela primeira vez o evento será no centro de convenções do cassino Caesars Palace. A Defcon começou no Alexas Park, em 1993, depois passou pelo cassino Riviera (que foi fechado no ano passado), pelo Rio e recentemente no Paris e Bally's;
    • Revise a sua agenda para a semana da Defcon:
      • Black Hat: de Sáb. a 5a (22 a 27/7) - Treinamentos de 22 a 25/7 e evento dias 26 e 27/7;
      • BSides Las Vegas:  3a e 4a (25 e 26/7) - ótima opção para quem não vai na BlackHat;
      • Defcon: 5a a Dom. (27 a 30/7) - 6a e Sábado são os dias principais. Na 5a é feito o registro e tem poucas atividades, e o Domingo a tarde é dedicado para a cerimônia de encerramento (a partir das 15h);
    • Para garantir o seu ingresso na BSides Las Vegas, você deve amanhecer na fila (25/07);
    • Chegue cedo para se registrar na Defcon, na 5a feira (27/7). A fila é enorme, mas os últimos podem ficar sem o crachá bonitão do evento;
    • Veja algumas dicas sobre a Defcon nesse meu post. Neste ano eu criei uma versão dele no Medium também;
    • Em 2015 eu escrevi uma pequena FAQ


    Acompanhe as novidades pelo site do evento, pelo Twitter @defcon ou pela página deles no Facebook.

    Post atualizado em 20/07/17 para incluir o novo vídeo teaser da Defcon 25.

    julho 13, 2017

    [Segurança] Defcon Documentary

    A Defcon é a maior conferência hacker do mundo, realizada todo ano em Las Vegas, Nevada, desde 1999. Para quem deseja entender um pouco sobre o que é o evento, sua história, e como é a experiência de frequentar, em 2013 foi lançado um documentário muito bom sobre o evento, o "DEFCON: The Documentary", que é possível ser visto no YouTube.

    O documentário foi gravado em 2012, ano da vigésima edição da Defcon, em que o evento foi realizado no cassino Rio.


    Embora a conferência possua políticas rigorosas de não-filmagem, a organização permitiu que uma equipe de documentaristas tivesse acesso total ao evento. O filme começa contando a história da Defcon desde o surgimento da idéia e sua primeira edição, como ela cresceu e se tornou mitológica nos anos em que foi realizada no Alex Park e depois sua grandeza a obrigou a ser realizada em cassinos. A minha primeira vez na Defcon foi no cassino Riviera, e de lá ele já passou pelo Rio, Paris + Bailys e neste ano chega no Caesars Palace.

    O documentário cobre os quatro dias da conferência, os diversos eventos e atividades que acontecem em paralelo, fala muito sobre os organizadores, sobre os frequentadores do evento e também o pessoal do staff. O documentário é bem interessante e consegue trazer a sensação que temos ao participar od evento.


    Neste ano, a Defcon está na sua 25a edição e acontecerá nos dias 27 a 30 de Julho, no cassino Caesars Palace pela primeira vez.

    Eu, particularmente, sou um grande fã da Defcon. Ela é um grande zoológico, que atrai todo tipo de gente interessada na cultura hacker. As palestras costumam ser muito boas e trazer muita idéia inovadora, além do clima de festa que reina nos corredores.

    julho 12, 2017

    [Segurança] A Cifra Macônica

    Fuçando na Amazon, eu encontrei alguns objetos bem legais usados para implemeentar cifras de cripitografia antigas, como um disco que representa a Cifra de César e um anel usado para representar a Cifra Maçõnica.



    A Cifra Maçônica (conhecida em Inglês como "Pigpen cipher" ou "Freemason's cipher"), é uma cifra criptográfica de substituição aonde cada caractere do alfabeto é trocado por um símbolo, previamente definido, de acordo com a sua posição em duas matrizes 3x3 e 2 cruzes, aonde as letras são dispostas para representar como deve ser feita a substituição. A letra é representada pela imagem que ilustra a sua posição nessas matrizes ou cruzes.

    Normalmente esta cifra é representada da seguinte forma:


    Assim, cada letra é representada pelas arestas em sua volta, indicando a sua posição de tro da matriz 3x3 ou na cruz. Por exemplo, a letra A é representada pelo símbolo e a letra X pelo símbolo .

    Aproveitando um exemplo disponível na Wikipedia, a mensagem "X marks the spot" (ou seja, "O X indica o lugar") ficaria codificada da seguinte forma:



    A cifra é normalmente conhecida como "Cifra Macônica" pois era muito utilizada no século XVIII pelos membros da maçonaria. Segundo a wikipedia em Português, essa cifra foi descrita em 1533 por Heinrich Cornelius Agrippa von Nettesheim, no livro 3 capítulo 30 da obra De occulta philosophia. A tradução literal do nome da cifra é "chiqueiro" e vem do fato de que cada uma das letras (os porcos) é colocada em uma "casa" do chiqueiro.

    julho 10, 2017

    [Segurança] Eventos de Segurança no segundo semestre de 2017

    Já está na hora de nos planejarmos para os principais eventos de segurança neste segundo semestre de 2017, ainda mais sabendo que todos os anos o segundo semestre é bem mais cheio de eventos do que o primeiro semestre. De fato, mal o segundo semestre começou e nem apagamos a fogueira das festas juninas, e já tivemos o primeiro evento do período, o Roadsec João Pessoa (PB) no dia 01 de julho.

    Seguindo a tradição destes meus posts, aqui eu estou listando apenas os eventos na área de segurança que eu considero serem relevantes para o nosso mercado e que merecem a visita. Há dezenas de eventos e ninguém consegue acompanhar todos, por isso eu acredito que é importante se planejar para conseguir participar de, pelo menos, os mais relevantes, os que mais interessem ou contribuam verdadeiramente para a sua área de atuação.

    Quando não houver indicação em contrário, o evento acontecerá em São Paulo.
    • Julho/2017
      • 01/07: Roadsec João Pessoa (PB) (twitter @roadsec) - O segundo semestre já começa com um Roadsec, o último deste ano no Nordeste, em João Pessoa, Paraíba (ou "Jampa" para os íntimos). Esta é a edição tradicional (também batizada por alguns de "Roadsec Kids", em contraposição ao "Roadsec Pró" que é realizado em algumas cidades). Realizado no sábado, o evento conta com palestras, oficinas, cursos e competições, incluindo a etapa local do HackaFlag;
      • 15/07: Classificatória do Hackaflag São Paulo (twitter @roadsec) - Etapa paulista da competição de CTF do Roadsec, terá duas palestras no período da manhã e a competição após o almoço;
    • Agosto/2017
      • 08 e 09/08: Gartner Security & Risk Management Summit - Evento anual de segurança do Gartner, com uma grade formada por um mix de palestras de patrocinadores, de analistas do Gartner e de convidados. Este é um evento para os diretores e CSOs, o evento que eles realmente vão. Se você quer ver altos executivos, este é o lugar !!! Esqueça qualquer outro evento como o Security Leaders, Mind the Sec, YSTS, etc. Para não deixar dúvidas sobre "quem manda", o evento traz como Keynote o jornalista britânico Glenn Greenwald, que ajudou o Edward Snowden a trazer a tona as histórias de espionagem e vigilância global da NSA;
      • 18/08: Roadsec Pro Rio de Janeiro (RJ) (twitter @roadsec) - A cidade maravilhosa recebe o seu Roadsec, inicialmente na versão "Pró", com palestras voltadas para o público corporativo, finalizando com um Happy Hour para os presentes;
      • 19/08: Roadsec Rio de Janeiro (RJ) - A edição tradicional, no sábado, tem o evento completo, com palestras, oficinas, cursos e competições, com destaque para o HackaFlag;
    • Setembro/2017
      • 01/09: Roadsec Pro Vitória (ES) (twitter @roadsec) - Versão "profissional" do Roadsec em Vitória, voltado para o público corporativo e realizado no sábado imetiatamente anterior ao evento tradicional;
      • 02/09: Roadsec Vitória (ES) (twitter @roadsec) - Ótima oportunidade para comer uma moqueca capixaba e curtir o Roadsec com seu formato original, com diversas palestras, oficinas e competições;
      • 12/09: Global Risk Meeting (GRM) - Evento focado principalmente em gestão de riscos para o público gerencial, realizado pela Daryus desde 2005, sempre próximo a emblemática data de 11/setembro;
      • 12 e 13/09: Mind The Sec - Mega-evento organizado pela Flipside com foco em profissionais de mercado, atendendo tanto o público técnico e gerencial. É um dos principais eventos brasileiros para o público corporativo. São 2 dias de evento e 3 trilhas de palestras (divididas em gestão, tecnologia e soluções), com presença de keynote speakers internacionais. Neste ano teremos a presença do Stuart McClure, autor do bom e velho bestseller Hackers Expostos;
      • 14 e 15/09: 6º Fórum Brasileiro de CSIRTs - evento técnico para profissionais de resposta a incidentes, organizado pelo CERT.br e NIC.br;
      • 16/09: Security Day (Natal, RN): evento muito bacana que acontece (quase) todo ano em Natal, sempre com palestras muito boas. Uma ótima opção para opessoal do Nordeste;
      • 21/09: Security Leaders Recife - Mini edição regional do Security Leaders, com um dia de debates vazios em um palco lotados de painelistas, transmitidos ao vivo. Atrai o público corporativo e patrocinadores, que se encontram em sua área de exposição;
      • 25 e 26/09: CNASI - 26ª edição do Congresso de Segurança da Informação, Auditoria e Governança de TIC (CNASI), com palestras e painéis de debates sobre gestão, auditoria de TI, governança e segurança da informação, com conteúdo mais voltado para o público gerencial. O evento também conta com uma área de expositores;
      • 29/09: Roadsec Pro Porto Alegre (RS) (twitter @roadsec) - Versão corporativa do Roadsec em terras gaúchas;
      • 30/09: Roadsec Porto Alegre (RS) (twitter @roadsec) - Roadsec de sábado para o público geral, com palestras, oficinas, drones, robôzinhos de Lego, competição de CTF, etc;
      • 30/09: Broken Wall Security Conference (BWCON) (Recife, PE) - Evento com foco bem técnico, que já está em seu segundo ano;
    • Outubro/2017
      • 07/10: Roadsec Curitiba (PR) (twitter @roadsec) - O Roadsec chega em Curitiba apenas com a edição de sábado, com palestras, oficinas, HackaFlag, etc;
      • 18 a 20/10: Latinoware (Foz do Iguaçu) - em sua 14ª edição, o Latinoware (Congresso Latino-americano de Software Livre e Tecnologias Abertas) é um evento enorme, com cunho técnico, voltado para discussões e reflexões sobre a utilização do Software Livre e todas outras Tecnologias Abertas na América Latina. O evento será realizada no Parque Tecnológico Itaipu (PTI), localizado na Usina Hidrelétrica de Itaipu;
      • 19 e 20/10: Sacicon - Evento de segurança que antecede a H2HC. O evento começa a noite com uma festa e continua no dia seguinte com palestras após um "hangover brunch". A língua oficial do evento é o Inglês;
      • 20/10: Roadsec Pro Florianópolis (SC) (twitter @roadsec) - A bela Florianópolis recebe o Roadsec, primeiro em sua versão corporativa na sexta-feira;
      • 21/10: Roadsec Florianópolis (SC) (twitter @roadsec) - Floripa é a última cidade a receber o Roadsec de sábado em 2017. O evento é aberto para o público em geral, com suas palestras, oficinas e competições;
      • 21 e 22/10: H2HC (twitter @h2hconference) - A H2HC é o mais importante e mais tradicional evento brasileiro sobre hacking, pesquisa em segurança, vulnerabilidades e novos ataques;
      • 25/10: CNASI Brasília - Mini versão do CNASI, com palestras e painéis de debates sobre gestão, auditoria de TI, governança e segurança da informação. O evento também tem uma pequena área de expositores;
    • Novembro/2017
      • 06 a 09/11: XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) Brasília, DF) - Este é o principal evento científico e acadêmico sobre Segurança no Brasil, promovido anualmente pela Sociedade Brasileira de Computação (SBC), a cada ano em uma cidade distinta. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais;
      • 10 e 11/11: Roadsec São Paulo - Mega-evento de encerramento do RoadSec, que neste ano acontecerá em 2 dias. O evento ocupa o espaço enorme do Audio Clube com duas trilhas de palestras, diversas oficinas, fru-frus (food trucks, stands patrocinados, lojas) e, principalmente, com a final do campeonato de CTF (Hackflag) e um super show de encerramento, que neste ano promete trazer os Raimundos;
      • 11/11: Dia Internacional de Segurança em Informática (DISI) - evento realizado anualmente pelo pessoal da RNP para educar e conscientizar usuários finais sobre segurança, com atividades e palestras de conscientização gratuitas, abertas ao público e transmitidas online;
      • 13 e 14/11: Security Leaders São Paulo - Evento formado principalmente por painéis de debates transmitidos ao vivo e com uma área de exposição. Embora atraia muitos patrocinadores e um pouco de público, eu considero este evento bem baba-ovo, direcionado a atrair gestores de segurança (gerentes, diretores, CSOs, etc) mas que na prática somente aparecem na hora de participar do debate ou para receber um prêmio no final do evento. Os painéis tem conteúdo fraco, pois a organização lota o palco com convidados e representantes de fornecedores, sem que necessariamente tenham conhecimento no assunto. Apesar da baixa qualidade do conteúdo, é um evento que atrai muitos patrocinadores;
      • 18/11: NullByte (Salvador, BA) - Excelente evento destinado a movimentar a cena do hacking na capital Baiana, com palestras de grande qualidade técnica.
      • 18 e 19/11: BHack (Belo Horizonte, MG) - Evento de segurança com foco técnico e palestras de qualidade;
    • Dezembro/2017
      • Data a confirmar: GTS.
    Além dos eventos brasileiros citados acima, existem vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro:
    • 23 a 30/Julho/2017: BSides Las Vegas, Black Hat e Defcon - três eventos importantíssimos e gigantes que acontecem em Las Vegas (EUA). A Black Hat (22 a 27//07) é um dos mais importantes eventos de segurança do mundo e a Defcon (27 a 30/07) é considerada a maior "conferência hacker" do mundo, com dezenas de palestras e atividades simultâneas. A BSides Las Vegas (dias 25 e 26/07, na véspera da Defcon) é uma excelente opção gratuita para quem quer aproveitar a viagem para a Defcon mas não vai na Black Hat. Eles não vendem ingresso, então você tem que chegar cedo no primeiro dia para pegar o crachá e poder entrar;
      • Para saber mais dicas sobre a Defcon, Black Hat e BSidesLV, veja este post;
    • Vale a pena visitar as edições da Security BSides aqui na América Latina e, porque não, em Portugal:
    • Ago/2017: SHA 2017 (04 a 08/08) em Zeewolde, a 55 km a leste de Amsterdam. Hackercamp que acontece uma vez a cada 4 anos na Holanda;
    • Set/2017: Ekoparty (27 a 29/09) em Buenos Aires, Argentina. A Eko é um excelente evento de segurança, certamente o melhor da América Latina. Evento com foco principal em pesquisa em segurança com excelentes palestras técnicas;
    • Out/2017: 8.8 (26 e 27/10): Principal evento de segurança no Chile, que acontece em Santiago;
    • Dez/2017: CCC, em Leipzig, Alemanha: 34a edição desse evento gigantesco realizado na Alemanha na semana entre o Natal e o Ano Novo, atraindo hackers de toda a Europa. Tem foco muito técnico em hacking, com uma pegada também política. É o mais antigo evento da atualidade, ocorrendo desde 1984.
    Neste segundo semestre também teremos alguns Hacker Camps para visitar:
    Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site nacional Agenda de TI e no gringo concise-courses.com. O calendário completo de eventos da Flipside (Roadsecs e MindThesecs) está disponível em http://www.flipside.com.br/calendario.

    Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.

    Notas:
    • Veja quais foram os eventos no primeiro semestre de 2017;
    • Lembre-se: a lista acima contém apenas os eventos que eu considero serem os mais relevantes para o mercado e/ou que merecem a visita, baseado na minha opinião pessoal.
    • Post atualizado em 17/07 para incluir o Security Day, em Natal.

    julho 07, 2017

    [Cyber culture] O poder feminino nos CTFs

    De repente, o Roadsec teve duas garotas vencendo nesta temporada 2017 do HackaFlag, a maratona de competições de CTF que acontecem em cada edição regional do Roadsec, e que terá a grande final no evento de encerramento, em São Paulo.

    Os mineiros tiveram a oportunidade de conhecer a primeira vencedora (feminina) de uma etapa do HackaFlag no Roadsec Belo Horizonte. A Ingrid Spangler foi a campeã da competição local, com os méritos extra de ficar em 5a colocada na CriptoRace e de obter a maior pontuação do hackaflag neste ano, até então. A Ingrid foi a primeira garota a vencer um hackaflag em toda a história da competição, que teve 43 etapas até aquela data.


    Para melhorar ainda mais, o Roadsec seguinte, em João Pessoa, teve uma vencedora pela segunda vez consecutiva. A Aghata Sophia de Campina Grande e com  apenas 19 anos, venceu na modalidade individual do Hackaflag. Esta competição teve 8 participantes, dos quais 3 eram garotas.



    O que isso significa?

    • As mulheres tem as mesmas condições do que os homens de participar do mercado e, neste caso, de competições técnicas;
    • Se tivermos mulheres competindo, teremos mulheres ganhando

    Na verdade, na minha opinião, isso não deveria significar nada diferente do normal. Eu gostaria que isso fosse um caso rotineiro, mas em um mercado predominantemente masculino e preconceituoso com as mulheres, essas duas vitórias são emblemáticas.

    Vamos torcer para que a Ingid e a Aghata sejam exemplos que motivem as demais mulheres a participar mais do mercado. Vamos torcer para que venham mais competidoras e mais vencedoras de CTF.

    julho 05, 2017

    [Segurança] Dicas de Segurança em Eventos para nerds

    Ao sair de nossa zona de conforto, podemos nos expor a diversos riscos – físicos e cibernéticos. Os eventos de tecnologia e de segurança, por sua vez, são um prato cheio para bandidos, ciber criminosos, ciber espiões e trolls, que podem aproveitar um momento de distração para obter acesso a equipamentos e dados dos participantes.

    O problema começa pelo fato de que nós, Nerds e Geeks, temos o péssimo hábito de carregar diversos equipamentos e gadgets conosco o tempo todo: smartphones, tablets, notebooks, pen drives, HDs externos, smart watches, etc. E nos acostumamos a fazer isso o tempo todo, mesmo que não precisemos utilizar tais equipamentos. Afinal, vai que preciso levantar uma VM do Kali enquanto espero a minha água de coco no kioske da praia, né?


    Sabendo que eventos de tecnologia atraem esse público, pessoas mal intencionadas acabam se infiltrando entre os participantes para aproveitar algum momento de distração e obter acesso e vantagens ilícitas. Pior ainda: o fato de estar em um evento com acesso controlado (isto é, aonde é necessário se inscrever e identificar previamente), acaba trazendo uma falsa sensação de segurança para os participantes.

    Por isso, é bom prestar atenção a alguma sdicas básicas de segurança, para evitar nos expor desnecessariamente:
    • Antes de sair de casa
      • Faça Backup dos seus dados;
      • Guarde o disco de backup em casa ou no escritório. Nunca leve ele com você, pois o backup não terá adiantado de nada se o seu disco e o notebook estiverem na mesma mochila que acabou de ser roubada!
      • Faça criptografia de disco;
      • Atualize o sistema operacional e os aplicativos do seu notebook e smartphone; não queira ser invadido por uma aplicação vulnerável que todo mundo já conhece e que tem um patch;
      • Revise o conteúdo da sua mochila e retire dela tudo o que for desnecessário;
      • Revise a configuração de rede wi-fi de seu celular e desabilite todas as redes conhecidas que você não use nem pretenda usar (veja mais dicas  abaixo);
    • Como diz o mestre Masterchef Henrique Fogaça, “Menos é Mais”:
      • Pense bem se você precisa mesmo levar um notebook no evento. Será que um tablet não pode ter o mesmo uso, mas expondo menos dados? Será que apenas um smartphone não é suficiente?
      • Em alguns casos, em vez de usar o seu notebook ou smartphone do dia-a-dia, pense em carregar consigo um notebook e celular “descartáveis”, ou seja, um equipamento mais simples, mais barato, “zerado” (com o mínimo de dados pessoais e profissionais, ou com os dados que você possa precisar copiados apenas para um pendrive externo);
    • Muito cuidado com os recursos de acesso as redes de telefonia e dados
      • Jamais conecte em redes Wi-Fi públicas, por maior que seja a sua vontade de ficar conectado no Whatsapp para ver as mensagens do grupo da família e fazer checkin no Facebook;
      • Em caso de eventos, jamais conectar nas redes Wi-Fi abertas do evento (ou qualquer rede aberta);
      • Se o evento ou sua empresa disponililizar uma rede autenticada, ou se você precisar realmente se conectar em uma rede pública (e saiba que você está correndo sério risco), imediatamente utilize uma VPN para garantir um pouco de segurança ao seu acesso;
      • Revise a configuração de redes de dados em seu smartphone para limitar o acesso dos seus aplicativos "não essenciais" a rede de dados, e assim, diminuir a exposição de sua comunicação em redes hostis;
      • Desabilite o Bluetooth e não, você não vai usar o seu fone de ouvido Bluetooth!!!
    • Quando estiver em eventos que considere hostis, com risco de captura de dados pela rede Wi-Fi ou de telefonia, coloque o seu celular em modo avião;
      • Se você for extremamente paranóico, desligue o celular, retire a bateria e o chip GSM;
    • Se você realmente precisar usar seu celular para verificar os e-mails, Whatsapp ou ligar para alguém, saia do local do evento e desative o modo avião somente o tempo necessário para ler suas mensagens e fazer a sua ligação. Fazendo isso, você consegue pelo menos diminuir bastante a sua exposição.

    Seguindo as dicas acima e um pouco de bom senso, podemos proteger a privacidade nossa, de nossos executivos e de nossas companias durante viagens e eventos externos.

    Para saber mais:



    OBS: Post atualizado em 14/07/2017.

    julho 03, 2017

    [Segurança] Eventos de segurança são um ambiente hostil

    Podemos dizer que alguns eventos de segurança oferecem um ambiente hostil para seus participantes. Isso pode ocorrer por vários motivos, mas em geral por onta de espionagem, roubo de dados, ganho financeiro, exposição e humilhaçào da vítima, ou zoeira. Os principais riscos são roubo físico dos equipamentos (notebooks, smartphones) e ciber ataques tais como infecção e invasão aos computadores e smartphones dos participantes, interceptação de tráfego de dados, invasão de contas e o vazamento de informações pessoais e corporativas.
    Quanto maior o evento, maior o risco, pois há uma maior quantidade de alvos, o que tende a atrair naturalmente mais atacantes. Mas há também alguns eventos pequenos que, por sua temática mais negativa, normalmente escondida sobre o disfarce de "underground", acabam motivando o discurso de ódio e a realização de ciber ataques.

    Em geral estas ações são incidentes individuais e não são apoiadas nem fomentadas pelos organizadores dos eventos, salvo raras excessões. Em vez de desmerecer tais eventos, é importante aos participantes terem consciência dos riscos para diminuir sua exposição e, assim, minimizar a chance de tornar sua experiência em um evento algo negativo ou traumático.

    Basta relembrar alguns incidentes famosos para vermos os tipo de riscos que existem em eventos de tecnologia, e em especial, nos eventos de segurança:
    Baseado nisso, eu criei um infográfico simples aonde listei os principais eventos nacionais e internacionais que representam risco aos seus participantes, baseado na minha percepção de risco de tas eventos.



    Para fazer o gráfico acima, eu considerei os seguintes critérios:
    • Campus Party Brasil (São Paulo, Brasil): É um evento aonde frequentemente ouvimos relatos de roubo de equipamentos, embora a organização faça esforços constantes para evitar isso, como cadastramento dos notebooks, validados na revista e raio X na saída do evento. Mesmo com tais ações, os relatos de roubo são comuns. Entretanto, do ponto de vista de ciber ataque, eu considero o risco baixo;
    • Roadsec e BSides São Paulo (Brasil): são dois eventos que eu considero "paz e amor", principalmente pela postura positivista e inclusiva deles. Entretanto, mesmo nesses eventos podem acontecer roubos e ciber ataques eventualmente. Nas 15 edições da BSides São Paulo, já tivemos um caso de roubo de notebook;
    • H2HC (São Paulo, Brasil): é um evento hostil aonde podem acontecer ciber ataques contra participantes e são comuns vazamentos de dados de membros da comunidade de Segurança. Eu considero que a motivação da maioria destes ataques é o vandalismo, vingança e zoeira. Do ponto de vista de roubo de equipamentos, eu acho o risco um pouquinho alto, pela quantidade de nerds carregando equipamentos de valor, embora eu nunca tenha ouvido relatos de que isso já aconteceu;
    • RSA Conference (EUA): pelo seu tamanho gigantesco e grande público, é um ambiente propício para ataques massivos de ciber espionagem e, eventualmente, ciber crime. Acredito que roubos físicos são raros;
    • Black Hat e Defcon (EUA): pelo seu alto nível de sofisticação técnica, são eventos aonde os participantes podem ser alvos de ataques extremamente avançados, normalmente motivados por ciber espionagem (governamental e corporativa) ou eventualmente ciber crime. Acredito que nesses dois eventos os roubos físicos também são raros;
    • Alligator (Recife, Brasil): Este é um evento pequeno, só para convidados, aonde reina o interesse em criticar e, eventualmente, promover ataques a comunidade de segurança. Por estimular os participantes a fazer ataques e expor outras pessoas, eu considero este evento bem hostil. Mas, do ponto de vista de segurança física, eu imagino que o carater restrito e exclusivo do evento faça que a chance de roubo de equipamentos entre os participantes seja muito pequena;
    • Ekoparty (Buenos Aires, Argentina): Embora eu adore e recomende a Ekoparty pela altíssima qualidade técnica do evento e organização caprichada, infelizmente este é o evento que eu considero mais hostil em todo o mercado. Frequentemente ouvimos notícia de roubo de equipamentos,  eeu tenho dois colegas da área que já tiveram seu notebook roubado (um deles era palestrante naquela edição e seu computador foi roubado no palco). Além disso, a alta sofisticação técnica dos participantes também se traduz em ameaças igualmente sofisticadas. É o tipo evento aonde corremos o risco de ter nosso acesso celular interceptado por antenas GSM falsas. pior ainda: em 2016 um grupo de hackers Argentino estava ameaçando realizar ciber ataques contra os patrocinadores do evento. Ou seja, as mesmas empresas que apoiam e viabilizam o evento são hostilizadas. Conheço uma empresa que, por este motivo, decidiu não mais patrocinar o evento.


    A minha intenção é que este artigo e este gráfico sirvam como alerta para as pessoas de que devemos ter cuidado ao participar de atividades ecxternas eventos. Não quero, de forma alguma, depor contra os eventos citados, pois em grande maioria são excelentes e muito importantes em nossa área. Mas, para evitar problemas desnecessários, é muito importante que os participantes avaliem os riscos previamente e se preparem para poder participar de eventos de tecnologia de forma segura, minimizando a chance de sofrer qualquer tipo de inconveniente.

    junho 30, 2017

    [Cyber Cultura] E-mail ou whatsapp?

    Eu tenho a impressão de que os aplicativos de comunicação instantânea (principalmente o Whatsapp e Telelegram) estão rapidamente acabando com o uso do correio eletrônico. Mesmo profissionalmente, eu vejo que os grupos de discussão por e-mail dos quais eu participava estão a cada dia com menos troca de mensagens, enquanto já tenho quase uma dezena de grupos que participo no WhatsApp e Telegram que ficam pipocando mensagens o tempo todo. Alguns grupos de e-mail de uso profissional que participo me parecem quase extintos, com raras mensagens sendo trocadas.

    Em uma reportagem do UOL há poucos meses atrás, entretanto, os especialistas defenderam que as duas tecnologias de comunicação vão coexistir por muito tempo. E, na verdade, eles tem um ponto interessante: "As mensagens instantâneas e as redes sociais ganham na agilidade, mas são muito fracas na formalidade de conteúdo e registro".

    Ou seja, provavelmente as mensagens instantâneas irão se consolidar como meio de comunicação rápida, enquanto os e-mails serão utilizados provavelmente para comunicação formal.

    A reportagem também traz algumas estatísticas:

    • Neste ano, calcula-se que 3,7 bilhões de usuários serão responsáveis por 269 bilhões de e-mails enviados e recebidos por dia no mundo, chegando a 319,6 bilhões de e-mails em 2021;
    • O Whatsapp possui 1,2 bilhão de usuários ativos que enviam em média 50 bilhões de mensagens por dia, com pico de 63 bilhões de mensagens trocadas to dia mais movimentado do ano, que é justamente na virada de ano;
    • Já o Facebook Messenger é usado ativamente por mais de 1,2 bilhão de pessoas.

    junho 29, 2017

    [Segurança] Estatísticas sobre o WannaCry

    Passado mais de um mês da infestação global pelo malware Wannacry, já podemos coletar algumas estatísticas sobre a extensão do ataque.

    Na verdade, eu não encontrei muitas estatísticas confiáveis. Quase nenhuma, na verdade. Uma reportagem no site The Hacker News, publicada este mês, indica que o Wannacry infectou mais de 300 mil computadores em mais de 150 países em apenas 72 horas.

    O mapa de rastreamento do Wannacry, criado pela MalwareTech, por sua vez, indica que o WannaCry chegou a atingir...

    570 mil hosts infectados


    Tudo isso, tanto trabalho e tanto barulho, para um lucro relativamente pequeno. Segundo estatística do bot @actual_ransom, que monitora as carteiras bitcoins associados ao Wannacry, até 24 de Junho, mais de um mês depois do início do ataque, as vítimas pagaram aos ciber criminosos um total de...

    51,9 bitcoins


    Esse valor, convertido em dólares, representa aproximadamente...

    US$ 142 mil



    junho 27, 2017

    [Segurança] Petya é responsável pelo novo ataque global de Ransomware

    Aproximadamente um mês e meio depois da grande infestação mundial causada pelo Ransomware WannaCry, estamos novamente enfrentando um novo caso de ransomware se espalhando rapidamente pelo mundo.

    Há relatos de que esse novo Ransomware, chamado Petya (também chamado de "PetrWrap", ou "NotPetya", "nPetya" e, mais raramente, "SortaPetya", "ExPetr", "GoldenEye" ou "Nyetya"), afetou fortemente empresas na Europa, começando pela Ucrânia, chegando até os EUA e já atingiu inclusive empresas brasileiras. Um caso curioso foi do sistema de monitoramento de radiação em Chernobyl, que foi desligado, forçando os funcionários a usar contadores portáteis para medir os níveis de radiação na zona de exclusão da antiga usina nuclear.

    O governo da Ucrânia, por sua vez, já deu sinais de que acredita que o governo Russo está por trás desse malware.

    No Brasil, a vítima mais conhecida do Petya foi o Hospital do Câncer de Barretos. Segundo o diretor clínico do hospital, Paulo de Tarso, todos os mil computadores foram infectados às 9h da manhã. Com isso, o atendimento de novos pacientes teve de ser feito manualmente e 350 pacientes em tratamento radioterápicos não puderam realizar suas sessões de radioterapia.

    A Kaspersky relatou mais de 2.000 computadores infectados e a Microsoft, por sua vez, contabilizou 12.500 máquinas em 65 países - um número bem baixo, se comparado com o WannaCry.


    O ataque que surgiu hoje foi causado por uma nova variante do Petya, um malware existente desde Abril de 2016 e que chegou a ser comercializado como "Software as a Service". O fato de ser uma variante tem causado um pouco de confusão, pois alguns relatórios e notícias disponíveis online com análise do ransomware se confundem ao tratar as características do ataque, e misturam informações das duas versões.

    Assim como o WannaCry, o Petya também explora o exploit EternalBlue da NSA e a vulnerabilidade no SMBv1 para se espalhar rapidamente. Mas, na verdade, esta á só uma das formas de propagação que o malware utiliza (veja mais abaixo).

    Entretanto, diferente do WannaCry que apenas encripta os arquivos da vítima, o Petya sequestra todo o computador: ele criptografa as tabelas do sistema de arquivos ("master file table", ou MFT), os arquivos em si, e altera o Master Boot Record (MBR) do computador, para garantir que o malware seja iniciado antes do sistema operacional. Esse comprometimento do MBR torna o computador totalmente fora de uso.

    Devido as características destrutivas essa nova versão do Petya, associado ao fato de que a Ucrânia foi o país mais atingido, há vários pesquisadores de segurança que acreditam que este ataque foi, na verdade, um ataque destrutivo direcionado a Ucrânia, um "wiper" em vez de um "ransomware".



    Então, vamos rapidamente identificar quais são as principais características desse malware, para que as empresas possam tomar alguma ação para evitar ou identificar a infestação.

    Como o Petya funciona

    Segundo os relatótios da Trend e da Kaspersky, entre outros, o Petya funciona da seguinte forma:
    • Inicialmente o ransomware entra no sistema através de alguma das formas abaixo:
      • usando o exploit EternalBlue, que explora aquela vulnerabilidade já conhecida no Server Message Block (SMB) v1;
      • o exploit EternalRomance, direcionado a equipamentos Windows do XP ao Windows 2008 (atualizado com o MS17-010);
      • ele extrai credenciais de usuários do processo lsass.exe na máquina invadida e utiliza a ferramenta PsExec ou WMIC (Windows Management Instrumentation Commandline) para acessar outros computadores Windows;
      • atacando o software Ucraniano MeDoc;
    • Ele baixa a ferramenta PsExec, um utilitário da Microsoft, que usa para executar processos remotamente, e assim se propagar lateralmente em outras máquinas na rede local;
    • Após infectar o sistema, o Petya usa o processo rundll32.exe para executar;
    • Imediatamente a máquina infectada começa a buscar a rede local por outras máquinas, a serem infectadas, buscando hosts na porta TCP 445;
      • Ele consulta o servidor DHCP para identificar qual é a rede atual e, em seguida, tenta acessar os endereços IP da rede local usando SMB e RPC;
      • Diferente do Wannacry; o Petya não tenta se propagar pela Internet;
    • Ele adiciona uma tarefa agendada, para reiniciar o sistema após uma hora;
    • Para gerar a chave de criptografia e o id único do usuário (que ele usa para identificar os pagamentos e recuperar os arquivos), o Petya usa o algoritmo Elliptic Curve Diffie-Hellman (ECDH);
    • O Master Boot Record é modificado para que o sistema operacional não reinicie e seja exibida a nota de resgate;
    • O computador é reiniciado e uma notificação falsa do CHKDSK é exibida, enquanto a criptografia dos arquivos é realizada;
    • Após o reboot do equipamento, aparece a mensagem de resgate do Ransomware e o computador fica inacessível.

    A Trend e a Microsoft criaram uns diagramas para ilustrar o processo de infecção:




    Após infectar a máquina, ele também exige o pagamento de 300 dólares, em bitcoins, para a vítima recuperar seus dados.

    Já criaram um site para acompanhar o valor que já foi pago os autores do Petya, para conseguir resgatar os arquivos encriptados: até agora, os ciber criminosos já arrecadaram um pouco mais de 3 bitcoins (US$ 7.400).

    Mas os usuários infectados não devem pagar o resgate, pois os ciber criminosos responsáveis pelo ransomware não podem mais receber e-mails, já que o provedor de e-mail suspendeu o endereço que está divulgado na mensagem de resgate do Petya (wowsmith123456@posteo.net). Assim, as vítimas não tem como avisar os criminosos que pagaram e, assim, também não podem obter as chaves de descriptografia.

    Indicadores de comprometimento (IOCs)
    • Hashes SHA256 de samples associados a esse ransomware:
      • 27cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
      • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
    • Sample MD5 hash: 17c25c8a7c141195ee887de905f33d7b
    • E-mail: wowsmith123456@posteo.net
    • IPs:
      • 84.200.16.242
      • 95.141.115.108
      • 111.90.139.247
      • 185.165.29.78
    • Domínios:
      • coffeinoffice.xyz
      • french-cooking.com
      • sundanders.online
    • Bitcoin wallet: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
    • A Trend Micro já tem detecção para o ransomware, como RANSOM_PETYA.SMA
    • A Kaspersky detecta como Trojan-Ransom.Win32.PetrWrap e PDM:Trojan.Win32.Generic.
    Nota: O e-mail informado pelo criminoso para receber notícia do pagamento de resgate foi cancelado pelo provedor alemão aonde ele está cadastrado.

    Como Mitigar

    Seguem algumas recomendações:
    • Aplicar o patch de segurança da Microsoft MS17-010
    • Desabilitar tráfego na porta TCP 445
    • Restringir acesso de contas dentro do grupo Administrator
    • Desabilite o WMIC (Windows Management Instrumentation Command-line)
    • Há quem diga que o Petya também tem um "kill switch": basta criar o arquivo "C:\Windows\perfc".
    Como o Petya criptografa o computador da vítima de reiniciá-lo, se o sistema estiver infectado com o ransomware e ele tentar reiniciar, recomenda-se desligá-lo rapidamente e não ligá-lo novamente. Talvez seja possível recuperar o sistema operacional ou os dados com o uso de um disco de boot.

    Ainda não foi descoberta uma forma para recuperar os dados criptografados sem que seja feito o pagamento do resgate. Existe como recuperar os arquivos da versão original do Petya, mas a versão atual utiliza novas técnicas de criptografia.

    No início de Julho os autores do ransomware Petya original (de 2016) liberaram a chave mestre de descriptografia, uma semana depois dos autores do "novo Petya" pedirem 100 bitcoins para liberar a chave mestre.

    Para saber mais:

    Nota: Vou manter este post atualizado assim que descobrir novidades. Última atualização: 10/07.
    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.