junho 23, 2017

[Segurança] Como criar a senha perfeita

O pessoal do blog Minuto da Segurança compartilhou um infográfico bem legal com dicas de como criar senhas perfeitas.


Esse infográfico foi criado em 2014 pelo portal WhoIsHostingThis. No mesmo ano eles também criaram outro infográfico, com o título "Is The Password Dead?", mostrando como simples senhas são inseguras e podem ser descobertas facilmente.

Vale muito a pena dar uma olhada nas dezenas de infográficos bem legais que eles mantém no Blog deles. Dá para perder algumas horas lá :)

junho 22, 2017

[Segurança] Verizon Data Breach Investigations Report

Há vários anos a empresa americana Verizon lança regularmente um relatório chamado "Verizon Data Breach Investigations Report", que é um excelente material com estatísticas de mercado sobre como ciber ataques afetam e são tratados pelas empresas, baseados em dados reais.

O relatório é tão popular no mercado de segurança que é comum todas as empresas (mesmo as concorrentes deles) utilizarem suas estatísticas. Atualmente em sua décima edição, as suas 76 páginas são cheias de informação e dados interessantes, tais como:
  • 81% das violações exploraram senhas roubadas e/ou fracas;
  • 43% dos incidentes foram ataques sociais;
  • 51% das violações incluíam malware;
  • 66% dos malwares foram instalados via anexos maliciosos de e-mail;
  • 73% das violações eram financeiramente motivadas;
  • 21% das violações estavam relacionadas à espionagem;
  • 27% das violações foram descobertas por terceiros.


Ao final, o relatório passa algumas recomendações obvias:
  • Seja vigilante: Arquivos de log e sistemas de gerenciamento de mudanças podem dar alerta antecipadamente de uma violação;
  • Faça as pessoas sua primeira linha de defesa: Treine o pessoal para detectar os sinais de alerta;
  • Apenas mantenha os dados quando for necessário e limite os acessos somente aos funcionários que precisam fazer atividades específicas;
  • Atualize seus sistemas prontamente;
  • Criptografar dados sensíveis Faça com que seus dados sejam inúteis se forem roubados;
  • Use autenticação de dois fatores, pois isso pode limitar o dano que pode ser feito com perda de credenciais roubadas;
  • Não se esqueça da segurança física.
O relatório está disponível online em sua versão completa ou seu sumário executivo, uma versão mais curta do documento.

junho 12, 2017

[Segurança] Internet das Ameaças Bancárias

A crescente migração dos usuários Internet para os smartphones, a adoção de meios de pagamentos móveis e a nova onda de dispositivos conectados (IoT) está fomentando o surgimento de novas aplicações financeiras que prometem estimular o crescimento do uso de IoT no dia-a-dia pelos consumidores de serviços bancários. Esse movimento está criando uma nova buzzword: a “FIn-ternet of Things”.

A Internet das Coisas está começando a ser adotada em várias frentes distintas pelo setor financeiro, por bancos e principalmente pelas Fintechs, novas startups de tecnologia e serviços financeiros. Esse "boom" ocorre pois os dispositivos IoT aumentam a eficiência e abrangência do processo de coleta, tratamento e monitoramento de dados financeiros e comportamentais dos clientes, e traz novas possibilidades de interação.


O exemplo mais simples nesse mercado é o uso de smartwatches para visualizar seus dadods bancários. De fato, é fácil encontrar aplicativos bancários para celulares que possuem alguma interface embutida para os relógios digitais. Fazendo uma pequena pesquisa no mercado, eu consegui identificar esta tendência surgindo em várias áreas mais diversas, tais como:
  • Serviços bancários
    • Interação bancária através de dispositivos vestíveis ("weareables"): o exemplo mais óbvio e que já faz parte do nosso dia-a-dia é o acesso aos dados da conta bancária via SmartWatches;
    • Meios de pagamento através de dispositivos vestíveis e NFC
    • Interação com caixas eletrônicos (ATM)
    • Educação e orientação financeira através de aplicativos e gamificação
    • Novos meios de visualização e interação com seus dados bancários, como o "Citi HoloLens"
  • Novos meios de pagamento
    • Transações financeiras e pagamentos a partir ou para dispositivos: uma área com várias possibilidades de dispositivos efetuarem compras e pagamentos. Podemos ter media centers comprando conteúdo automaticamente, refrigeradores (smart fridges) fazendo compras domésticas, carros autônomos ("self-driving car") fazendo pagamentos em trânsito, uma caneca de café integrada com meio de pagamento, como a australiana SmartCup, etc
    • Uso de dispositivos IoT como meio de pagamento seguro, principalmente através da coleta de dados comportamentais e biométricos para autneticar os clientes;
  • Seguros
    • Gestão de seguros através da monitoração de carros, identificando hábitos dos motoristas e adequando a tarifa ao perfil deles, localização de carros em caso de sinistro, sensores para evitar colisões, etc
    • Monitoramento de casas cobertas por seguro residencial, incluindo monitoração de segurança, contra incêndio, etc
  • Segurança
    • Autenticação de clientes
Vejam alguns exemplos de aplicações novas que estão surgindo no mercado bancário:
  • "Self-paying car": assim como teremos o "self-driving car", o automóvel pode eventualmente fazer pagamentos, como pedágios, além do próprio carro se abastecer em um posto de gasolina e ele mesmo pagar pelo seu abastecimento. A Daimler, por exemplo, no início do ano adquiriu a empresa PayCash com o objetivo de lançar o serviço de pagamento "Mercedes Pay”. Inicialmente, este serviço será integrado com alguns serviços móveis, como o servico de compartilhamento de automóveis car2go e o aplicativo de taxi mytaxi;
  • O aplicativo para celular QAPITAL, que ajuda os clientes a economizar dinheiro no dia-a-dia para atingir sonhos através de monitoração de sua economia diária e objetivos financeiros;
  • A pulseira Pavlok, utilizada para reeducação, que dá um pequeno choque no usuário quando o usuário faz gastos excessivos;
  • Pulseira OurocardLançada em Junho de 2017, é um dispositivo vestível à prova d’água do BB que funciona como um meio de pagamento, sendo um espelho do cartão de crédito ou débito principal (Visa Platinum ou Visa Infinite). O acessório permite ao cliente fazer pagamentos por aproximação, utilizando a tecnologia Near Field Communication (NFC). As operações são realizadas por meio de um chip localizado na parte interna da pulseira e quem opera toda a transação é o lojista. O Bradesco lançou uma pulseira similar para uso durante os Jogos Olímpicos do Rio de Janeiro.


Isso significa melhores serviços bancários on-line e móveis, melhor coleta de dados e contextualização, melhores sistemas de pagamento e melhor segurança financeira on-line, todas as áreas visadas pela melhor das atualizações de Fintech de hoje,

Por outro lado, com a adoção de dispositivos IoT no mercado financeiro, a superfície de ataque cresce vertiginosamente. E, como lembrou o meu colega Paulo Pagliusi, “A indústria financeira terá que encarar problemas como credenciais com senha padrão, falta de atualização em firmware, falta de suporte de fornecedores, portas abertas desnecessárias, protocolo transmitindo senhas em texto claro, aberturas ao DDoS”. Isso acontecerá porque os fabricantes de dispositivos IoT são empresas acostumadas a atuar no mercado de hardware, que têm pouca ou nenhuma experiência em software e muito menos em segurança no ambiente Internet.

Tudo isso eu resumi na apresentação abaixo, que utilizei recentemente em um painel sobre "" durante o Ciab, evento organizado pela Febraban.




Para saber mais:

junho 02, 2017

[Segurança] MC Hackudao e o Ransomware

No finalzinho de Abril o MC Hackudao lançou uma música nova em homenagem aos Ransomwares, que está disponível no Soundcloud e no YouTube.



Em tempos de infestação massiva do WannaCry, a música RANSOMWARE (DJ KALI LINUX) [#wannacry] poderia embalar as noites em vários datacenters por aí.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.