agosto 16, 2017

[Segurança] Nova Buzzword: A Internet das Identidades (IoI)

Vem aí uma nova buzzword para nós:


Internet das Identidades (IoI)


A “Internet of Identies” (IoI), ou "Internet das Identidades", se propõe a tratar o problema de mapear as diversas identidades possíveis para os dispositivos no universo da Internet das Coisas (IoT). Isso inclui a gestão da identidade do dispositivo, do usuário, do aplicativo ou serviço e a identidade do recurso associado ao dispositivo.

Uma das preocupações, válidas, é como implementar uma autenticação forte para os dispositivos IoT, algo normalmente resolvido com certificados digitais X.509 associados ao dispositivo ou tecnologias biométricas quando ocorre intervenção dos usuários finais. A gestão de indentidade dos dispositicvos IoT é fundamental para garantir o acesso apenas dos dispositivos e usuários válidos, além de servir de base para implementações de controle de acesso e de soluções de seguarnça baseadas no comportamento.

agosto 14, 2017

[Cidadania] Cuidado com a depressão na adolescência

Lembram do problema social que foi o tal jogo da Baleia Azul? Há poucos meses atrás este jogo se propagou entre adolecentes através de redes sociais, e ao final estimulava o suicídio dos participantes.

Então, se houve algo de positivo nesta história, foi que ela fomentou a discussão sobre o problema da depressão e suicídio entre adolescentes e, principalmente, causou um questionamento sobre a importância os pais conversarem com seus filhos. Nesse sentido, eu vi um infográfico publicado em uma reportagem do jornal carioca Extra que achei bem instrutivo e reproduzo parcialmente abaixo:


Ou seja, os pais devem se preocupar e interagir mais com seus filhos se ocorrer algum dos comportamentos abaixo, que podem ser sinais de depressão:

  • Isolamento por longos períodos;
  • Falta de atenção;
  • Desinteresse por atividades comuns entre jovens, principalmente atividades em grupo ou com outros jovens;
  • Predominância de contato com outras pessoas pela Internet do que no mundo real (embora isso seja cada vez mais comum);
  • Desempenho escolar ruim ou em queda;
  • Descuido com a higiene pessoal;
  • Ausência de memória;
  • Alteração no apetite, para mais ou para menos;
  • Irritabilidade exagerada;
  • Apresentar machucados com frequência, principalmente se representar provável automutilação.

Os pais não podem ter medo de conversar e cuidar de seus filhos. Em caso de dificuldade, procure auxílio de parentes ou, se necessário, auxílio profissional com psicólogos. Conversar com um psicólogo (ou psicóloga) não é motivo de vergonha; é uma ótima oportunidade de consultar alguém que vai te ajudar no autoconhecimento.

agosto 10, 2017

[Segurança] Estatísticas do Ciber crime em 2016

Um artigo de Junho deste ano traz algumas estatísticas sobre ciber crime baseadas no relatório Internet Crime Report 2016, divulgado anualmente pelo Internet Crime Complaint Center (IC3), do FBI.


Veja algumas estatísticas:
  • As perdas reportadas devido ao ciber crime no ano passado totalizaram US$ 1,3 bilhão;
  • O FBI recebeu 298.728 queixas de criber crime por parte dos residentes dos EUA em 2016;
  • No ano passado, os três principais tipos de crimes relatados pelas vítimas foram o não pagamento e a falta de entrega, a violação de dados pessoais e golpes de pagamento;
  • O Departamento de Justiça estima que apenas 15% dos ciber crimes são relatados às autoridades
  • Canadá, India e o Reino unido lideram a lista de países com maior número de vítimas, além dos EUA.
Dentre as diversas categorias de ciber crime registrados pelo IC3 em 2016, o artigo destacou os principais, que também mostram os diversos tipos de golpes que acontecem na Internet:
  • Comprometimento de e-mail de negócios, ou "Business email compromise" (BEC) (US$ 360,5 milhões): os atacantes enganam um empregado para fazer um pagamento por transferência bancária;
  • Fraude de Confiança / Romance, ou "Confidence fraud / romance" (US$ 219,8 milhões): Enganar um indivíduo para pensar que eles estão em um relacionamento para extrair fundos, informações pessoais ou outra assistência;
  • Violação de dados corporativos, ou "Corporate data breach" (US$ 95,9 milhões): quando dados confidenciais ou privados do negócio vazam ou são roubados;
  • Adiantamento de taxa, ou "Advanced fee" (US$ 60,5 milhões): Scammers enganam um indivíduo para adiantar algum dinheiro, pela promessa de receber uma quantidade ainda maior em troca;
  • 419 / pagamento em excesso ou "overpayment" (US$ 56 milhões): um golpe muito associado a Nigéria, por conta das mensagens que existem há muitos anos sobre "um princípe que precisa de ajuda para recuperar seu dinheiro". O termo "419" também é usado para identificar este golpe por indicar uma seção da lei nigeriana associada à fraude. Os scammers pedem ajuda para transferir uma grande quantidade de dinheiro e oferece uma "comissão" em troca, mas primeiro pede que parte do dinheiro seja enviado para pagar alguns dos custos associados à transferência";
  • Phishing, vishing, smishing, pharming (US$ 31,7 milhões): uso de e-mails não solicitados, mensagens de texto ou chamadas telefônicas para roubar informações pessoais ou credenciais de acesso a sites;
  • Extorsão, ou "Extortion" ($ 15,8 milhões);
  • Fraude de suporte técnico, "Tech-Support fraud" (US $ 7,8 milhões): esquemas convencem os usuários de comprar ferramentas ou pagar por suporte técnico desnecessário ou falso (ineficiente, que as vezes "resolve" um problema inexistente);
  • Malware / Scareware (US$ 3,9 milhões): software malicioso projetado para roubar informações pessoais, ameaçar os usuários ou fazê-los pagar taxas e assinatura, como por exemplo em um software anti-vírus falso;
  • Ransomware (US$ 2,4 milhões);
  • Hacktivismo ($ 55.500).



Para saber mais: Internet Crime Complaint Center (IC3) website

agosto 08, 2017

[Segurança] Como proteger seus dados dos Ransomwares

Aproveitando a recente onda de grandes ataques de Ransonware, eu juntei algumas dicas de como as pessoas e empresas devem se prevenir para, assim, evitar serem mais uma vítima desse tipo de código malicioso, tão comum hoje em dia.

Para usuários finais:
  • Tenha soluções de segurança que te protejam contra códigos maliciosos e que protejam os seus dados. Isso inclui ferramentas de antivírus, backup e criptografia de  dados;
    • Mantenha o sistema operacional de seus equipamentos e suas soluções de segurança sempre atualizadas. Instale novos patches e atualizações o mais rápido possível;
    • Os antivírus tradicionais nem sempre conseguem detectar os Ransomwares mais recentes e avançados, mas mesmo assim, são a nossa primiera linha de defesa;
    • Automatize o seu backup, para que ele aconteça com frequência;
    • Mantenha uma cópia de backup atualizada em um disco externo, desconectado do seu computador. Mantenha também uma cópia de dados na Nuvem (ex: Dropbox, Google Drive, etc);
    • Tenha muito cuidado para não sobrescrever os arquivos sequestrados pelo Ransomware em seu backup!!!
  • Conscientize os funcionários sobre os principais problemas de segurança e, no que diz respeito a Ransomwares, sobre a importância de tomar cuidado com mensagens que recebe.
    • Nunca abra mensagens estranhas;
    • Somente clique em anexos e links quando estiver certo sobre a origem da mensagem.
Para empresas, além do acima, há algumas dicas específicas:
  • Além de ferramentas de antivírus, backup e criptografia de dados, tenha soluções de controle de acesso (para evitar que um usuário infectado prejudique os dados de outros usuários) e ferramentas de detecção de ataques (IPS, host IPS e SIEM);
    • Controle cuidadosamente os compartilhamentos e acessos dos usuários a dados via rede local;
  • Tenha estratégias de recuperação e continuidade de negócios. Neste caso, prepare-se para operar mesmo se o seu sistema de TI estiver paralisado por um ainfestação de Ransomware;
  • Tenha plano de resposta a incidentes;
  • Tenha uma estratégia de backup robusta, com backup de dados dos usuários e servidores;
    • Mantenha uma cópia de backup offline e, preferencialmente, armazenada externamente (offsite), pois em caso de um Ransomware, ele pode afetar cópias de seus dados acessíveis via a rede local;
    • Use a "estratégia 3-2-1": 3 cópas dos seus dados, 2 das cópias são locais em meios diferentes (discos externos, DVD, etc) e 1 cópia offsite;
    • Teste periodicamente seus backups e sua capacidade de "restore" dos dados.
    Para saber mais:

    agosto 07, 2017

    [Cyber Cultura] O Zodíaco Geek

    O Zodíaco Geek (Geek Zodiac) é uma versão nerd do zodíaco usado na astrologia tradicional, aonde os animais representados nos signos chineses foram substituidos pelos arquétipos mais emblemáticos na cultura popular. O resultado é um conjunto colorido, criativo e bonito de super-heróis aos quais todos podemos nos relacionar e aspirar.


    Os 12 signos do Geek Zodiac são:
    1. Robot (Robô)
    2. Wizard (Mago)
    3. Alien
    4. Superhero (Super herói)
    5. Undead / Slayer (Morto-vivo / Assassino)
    6. Pirate (Pirata)
    7. Daikaiju ("Monstro Gigante")
    8. Time Traveler (Viajante no tempo)
    9. Spy (Espião)
    10. Astronaut (Astronauta)
    11. Ninja/Samurai
    12. Treasure Hunter (Caçador de tesouros)
    O site GeekZodiac.com tem uma descrição precisa de cada signo.

    agosto 04, 2017

    [Carreira] Porque 8 horas de trabalho nunca são suficientes

    Recentemente me deparei com o infográfico abaixo que nos mostra, claramente, porque atualmente não conseguimos mais produzir em "apenas" 8 horas de trabalho por dia.


    Afinal, facilmente passamos pelo menos 12 horas por dia online :)

    Brincadeiras a parte, as redes sociais e os comunicadores instantâneos são os grande vilões da nossa produtividade. Além disso, os comunicadores como o Whatsapp e Telegram estão rapidamente substituindo o e-mail e a ligação telefônica como meio principal de comunicação no trabalho. O resultado é uma demanda contínua de comunicação instantânea, pois o uso do Whatsapp pressupõe uma resposta rápida, sem a demora tradicional do e-mail nem a linha ocupada do telefone. E, consequentemente, somos obrigados e ficar verificando os comunicadores o tempo todo, para não atrasar nenhuma resposta. Além de causar distração, essa situação nos obriga a ficar conectados constantemente.

    agosto 03, 2017

    [Segurança] O blog virou meme!

    Depois de mais de 10 anos no ar (mais de uma dúzia, na verdade) e mais de 1000 posts, o meu blog virou meme :)


    Eu me esforço bastante para manter o blog ativo, com posts tratando de assuntos que possam servir de ajuda para o pessoal que trabalha na área de segurança.

    agosto 01, 2017

    [Segurança] As novidades da Defcon 2017

    Acabamos de ter mais uma edição da Defcon, o maior evento de hacking do universo conhecido. E não foi uma Defcon qualquer: neste ano ela comemorou sua 25a edição, e fez isso em grande estilo: pela primeira vez eles ocuparam o centro de convenções do suntuoso e enorme cassino Caesars Palace, em Las Vegas.

    Parece ótimo, não é? Mas mesmo indo para um lugar bem maior, que até há poucos anos atrás hospedava a Black Hat, a impressão era de evento lotado: em alguns momentos mesmo as salas gigantes ficavam totalmente cheias, com filas enormes para entrar (que andavam rápido, a propósito), os corredores ficavam congestionados e era difícil andar no espaço das lojinhas. Na quinta-feira, data de entrega das credenciais, fiquei cerca de 2 horas na fila para a loja oficial do evento!

    Os principais destaques que eu mais gostei neste ano foram:
    • A nova "village" para discutir segurança em eleições e nas urnas eletrônicas, que chamou muito a atenção de todos e fez bastante sucesso; As primeiras máquinas de votação foram hackeadas em cerca de 90 minutos;
    • A moeda comemorativa de 25 edições da Defcon: bem legal, de prata, mas esse foi a única coisa diferente por ser uma edição comemorativa do evento. Não vi mais nada de especial ou de diferente das edições anteriores;
    • Muitos Goons, em todo o lugar, o que ajudou muito na cirulação e orientação do pessoal;
    • Tinha 4 carros na Car Hacking Village! Um deles (um dodge) foi usado como vídeo game e outros dois deles eram para ser hackeados;
    • Duas trilhas de palestras ficaram em salas gigantes (mas mesmo assim eu sinto saudades do auditório que era usado quando a Defcon era no cassino Rio).


    O evento também teve alguns micos e problemas. Na minha opinião, os principais foram:
    • Crachá de borracha: certamente essa foi a maior decepção do evento, para todo mundo. Eles não conseguiram produzir os tradicionais, famosos e cobiçados crachás eletrônicos a tempo e, como plano B, fizeram um crachá simples, tosco, de borracha, que era uma reprodução de crachás antigos. O mais comum deles era a réplica da 1a edição da Defcon, mas mesmo assim todos ficaram muito decepcionados. Pelo menos eu dei a sorte de ter o meu crachá autografado pelo Jeff moss :)
    • Cadê a comemoração? Na verdade, eu não vi nada de especial para indicar uma edição comemorativa, nem nada que remetesse a comemoração desse fato;
    • Escadas rolantes em obras: em vários momentos as escadas rolantes ficavam congestionados e com fila. Sim, fila para pegar escada rolante, igual no metrô no centro de São Paulo as 18h;
    • A dificuldade de se encontrar e se deslocar durante o evento: a defcon estava espalhada em 3 andares diferentes do centro de convenções, então era necessário ter muito deslocamento para ir de um lugar (ou atividade) para outro. Sobe e desce de escada rolante, caminhar por corredores longos e lotados eram desafios comuns. Embora houvessem mapas do evento espalhados por todo o lado, e goons dispostos a ajudar, era fácil se perder entre um andar e outro; eu só achei algumas vilas no segundo dia de evento;
    • A área do CTF diminuiu e ficou apertadinha, com cerca de metade ou 1/3 do espaço que ocupava anteriormente, algo bem frustrante para essa competição que é uma das atrações da defcon. pela sala ser apertada, não era possível ficar muita gente circulando pelo espaço. Outra atraçào tradicional, que eram as projeções realizadas no espaço, sumiram :(
    • Assim como o CTF, diversas áreas de vilas também ficaram bem menores e os espaços das Villages estavam bem apertados e alguns escondidos. A área da Car Hacking, Evidence Tampering e Lockpicking villages estava em uma sala escondida e mal sinalizada), e a sala dedicada para o Wall of Sheep também estava apertada.

    O Caesars Palace é grande, mas parece que ele não é grande o suficiente para a Defcon, que no ano passado recebeu 20 mil pessoas e neste no ouvi comentários de que chegou a 26 mil. As salas de palestras eram eram enormes (principalmente nas trilhas 1 e 2, que eram gigantescas), mas as salas das trilhas 3 e 4 estavam constantemente lotadas.

    A Defcon, como sempre, foi sensacional. Muitas atividades legais, muitas palestras boas, muito networking e 4 dias muito intensos para todo mundo, com muita energia. É um evento que eu recomendo a todos ir, independente dos problemas que eu citei acima.

    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.