abril 20, 2018

[Carreira] Soletrando com o Alfabeto da NATO

Quem já andou de avião já deve ter percebido que todos os funcionários e atendentes de companias aéreas soletram sempre da mesma forma, associando cada letra com palavras que soam meio gringas. Blog, por exemplo, vira "Bravo-Lima-Oscar-Golf".

Esse é um padrão para soletrar conhecido como "NATO phonetic alphabet" (alfabeto fonético da NATO/OTAN). Criado pela OTAN (Organização do Tratado do Atlântico Norte) com objetivo de unificar a comunicação entre as forças armadas de diversos países, ele foi oficializado em 1956, em parceria com a organização internacional de aviação civil e em seguida oficializado pelo International Telecommunication Union (ITU).



O alfabeto fonético da OTAN é útil para evitar erros de ortografia ou má comunicação, especialmente quando pessoas de diferentes países estão trabalhando em conjunto, misturanto sotaques e pronúncias diferentes.

Esse alfabeto fonético, na verdade, é bem útil no dia-a-dia, pois facilita o esforço de soletrar a qualquer momento. É extremamente válido principalmente quando você está viajando para outro país. Embora nós dejamos acostumados a soletrar "A" como "A de Amor", se você está em outro país você pode demorar um tempinho até se lembrar de uma palavra que comece com a letra que deseja - ou pior, escolhe uma palavra e pronuncia erroneamente.


abril 18, 2018

[Segurança] Alguns livros indispensáveis para profissionais da segurança da informação

Em agosto do ano passado, o pessoal do Blog SegInfo publicou um artigo bem interessante, indicando aqueles que eles consideram ser os "17 livros indispensáveis para profissionais da segurança da informação e entusiastas de TI". Eu achei a lista legal, mas ao mesmo tempo alguns dos livros dessa lista, na minha opinião pessoal, estãoa longe de serem considerados "essenciais".

Quando eu vi a lista, também me lembrei que há muitos anos recebo periodicamente uma lista de livros através de um aviso automatizado da velha lista de discussão CISSP-BR, e notei que essa mensagem foi atualizada pela última vez em 2005 (13 anos atrás!).

Revisando essas duas listas, e adicionando algumas pitadas de sugestões pessoais, resolvi montar qual é a minha recomendação dos livros mais importantes para os profissionais de SI, que pode ser vista logo abaixo.
Importante: Esta é minha opinião pessoal, de forma alguma tenho a intenção de ditar quais são os melhores  ou piores livros da área. Vários livros podem não valer a pena se você não tem interesse pelo assunto específico. Esta lista pode ser (e será!) revista e atualizada a qualquer momento.
Sem mais delongas, segue a linha pequena lista de livros sobre segurança, organizada por assuntos.

Pentest
Application Security
Criptografia
  • "The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography", Simon Singh (eu gosto muito da forma didática que é escrito)
  • "Applied Cryptography", Bruce Schneier (clássico!)
  • "Handbook of Applied Cryptography", A Menezes, P van Oorschot, S Vanstone (disponível online)
Investigação e Forense
Segurança em Redes
Gestão de Segurança
  • "Gestão da Segurança da Informação", Marcos Sêmola (um clássico nacional)
Vários Assuntos
Outros
Se você sentiu falta de algum livro, fique a vontade para citar isso nos comentários.

abril 16, 2018

[Segurança] Temas propostos na BSidesSP

Nesta segunda-feira, 16/04, devemos divulgar a agenda provisória da décima-quinta conferência BSides São Paulo (BSidesSP), que acontecerá nos dias 19 e 20 de Maio deste ano na PUC da Consolação.

Eu resolvi aproveitar a lista de atividades que foram propostas em nosso Call For Papers e peguei algumas estatísticas:
  • Total de atividades propostas: 66
  • Atividades avaliadas (retirando algumas repetidas ou que não se aplicavam): 62
    • Atividades relacionadas a propostas de "palestras": 42
  • Atividades aceitas: 29
  • Nota  média (de 0 a 3): 1,6
  • Nota média das atividades aprovadas (0 a 3): 2,0
Além disso, no domingo (20/5) teremos...
  • 5 villages
  • 4 trilhas de palestras
  • 2 trilhas de oficinas
  • vamos usar  17 salas na PUC;
O mais interessante: eu associei algumas palavras-chave para identificar os temas de cada proposta de atividade, e assim mapear quais foram os temas mais frequentes neste ano (um deles, AppSec, me saltou aos olhos logo de início). Eu dei uma pequena generalizada as vezes, para facilitar o mapeamento.

Os temas mais frequentes foram:
  • AppSec (e temas parecidos, como DevOps), presente em 14 atividades
  • Malware (inclui temas como vírus e Ransomware): 7 atividades
  • Redes: 4 atividades
  • Inteligência Artificial (IA), Carreira, Gestão e Privacidade: 4 atividades cada
  • Ataques, Forense e Hardware Hacking: 3 atividades cada
  • Criptografia, IoT, Legislação e Pentest foram os temas dominantes em 2 atividades
Com isso em mãos, eu usei o site WordArt para criar uma nuvem de tags para representar graficamente os temas mais mencionados no Call for Papers:

Agora, fazendo um pequeno spoiler, eu também criei uma tag cloud para os temas das palestras e atividades que foram aceitas e vão compor a grade da BSidesSP:

Curiosamente, um pessoal fez um estudo de quais foram os principais tópicos nas palestras das últimas 10 edições da RSA Conference, e podemos notar que os temas mais presentes na BSidesSP também estão em destaque por lá:


OBS (18/04): A agenda da BSidesSP já está no ar e as inscrições estão abertas!

abril 12, 2018

[Segurança] Caracteres "hacker" nas senhas

Pelo jeito o grau de paranóia de algumas pessoas está bem alto.


Afinal de contas, a forma mais fácil de evitar um ataque de SQL Injection é proibir os usuários de colocar caracteres dos hackers nas suas senhas, como "#", "%", "&"", "=", "/" e "<".

abril 11, 2018

[Segurança] Os mitos de segurança da informação que CEOs ainda acreditam

Deixa eu aproveitar a carona em um artigo da Computerworld que foi tweetado pelo Luiz Felipe Ferreira  e vamos lembrar quais são os principais mitos de segurança que cegam os executivos:
  • "É impossível deter os atacantes"
  • "Os Hackers são brilhantes"
  • "A equipe de segurança da informação sabe o que precisa ser consertado" - ou pior, quando os executivos acreditam que a área de segurança recebe o investimento necessário;
  • "Compliance é suficiente para estar segurança"
  • "Os meus sistemas estão atualizados" (indicado na Computerworld como "Patch está sob controle")
  • "O treinamento de segurança para os funcionários é adequado"
  • "Nunca fomos invadidos" - quantas empresas por aí provavelmente foram invadidas e ainda não sabem?
  • "Os meus dados estão seguros" - se fosse assim, não teríamos vazamento de dados, né?
  • "Minha empresa não é atacada pois não tem nenhum atrativo para os hackers" - eu me arrisco a dizer que este é um dos principais mitos na área. Qualquer empresa pode, e é, atacada;
  • "As outras empresas não podem saber que fui atacado": esse tipo de posicionamento, muito comum, impede a troca de informações entre as empresas, e inclusive, que você receba infomações sobre novas ameaças e que aprenda com os erros dos outros. Os criminosos, por outro lado, tem a grande vantagem de trocarem informações entre si frequentemente, e com isso estão sempre atualizados sobre os mais novos ataques e quais são as vítimas mais vulneráveis;
  • "Estamos preparados para um desastre"


O artigo na Computerworld detalha os 6 primeiros tópicos acima.

Esses mitos cegam os executivos, impedem que eles tomem as melhores decisões estratégicas que podem fazer diferença em sua postura de segurança.

abril 09, 2018

[Segurança] E assim você é raquiado no Feice

O Carlos Ruas fez uma excelente tirinha para mostrar, resumidamente, como ele teve a sua página no Facebook hackeada:


Esta charge nos lembra que devemos ter muito cuidado ao clickar em links que recebemos, e mais cuidado ainda ao fornecer nossos dados pessoais ou credenciais de acesso. Esse tipo de enganação é muito comum no mundo online, e chamamos esse golpe de "engenharia social".

abril 05, 2018

[Segurança] Mais vazamentos de dados no Brasil

A notícia de vazamento de dados da Netshoes no final do ano passado abriu as portas do inferno no Brasil. Desde então, estamos começando a ver notícias frequentes de outras empresas brasileiras que tiveram seus dados roubados e expostos.

Veja os principais incidentes de vazamento de dados que afetaram empresas no Brasil, em ordem cronológica de quando foi noticiado:
  • Dez. 2017: dados de 0,5 milhão de clientes da Netshoes;
  • Jan. 2018: dados de 10 milhões de clientes do Buscapé;
  • Fev. 2018: dados de 2 milhões de clientes do Netshoes;
  • Fev. 2018: dados de 0,5 milhão de alunos e ex-alunos da FMU;
  • Mar. 2018: dados de 2 milhões de clientes da Movida;
  • Abr. 2018: dados de 2 mil clientes e funcionários da Porto Seguro;
  • Abr. 2018: uso ilegal de dados de 73 milhões de clientes da Vivo.


No caso da FMU, em que uma falha no site expunha os dados de alunos e ex-alunos, há uma notícia interessante (e polêmica): segundo o advogado do aluno que divulgou a falha de segurança, a FMU pode expulsar esse aluno que descobriu e revelou a falha que pode causar o vazamento de dados.

Aproveitando o embalo, recentemente divulgou-se a notícia de que o Ministério Público do Distrito Federal e Territórios (MPTDF) está investigando se as grandes redes de farmácias repassam os dados privados de seus clientes para outras empresas. A suspeita é que informações como o histórico e a frequência de compra de remédios possam ser usadas sem o consentimento dos consumidores para planos de saúde e empresas de avaliação de crédito.

abril 03, 2018

[Segurança] Preço das informações pessoais no Underground

O pessoal de inteligência da RSA fez um infográfico bem legal que mostra o valor médio cobrado por dados de cartões de crédito de diversos países, que são roubados e comercializados em mercados criminosos no underground.

O gráfico mostra o preço médio nos 20 principais países, em termos de maior quantidade de cartões comercializados no underground, incluindo o Brasil.

Uma outra pesquisa, do site Top10VPN levantou quanto vale, em média, uma credencial roubada em lojas da dark web. O resultado é impressionante: com menos de US$ 1,2 mil (ou cerca de R$ 3,8 mil) é possível comprar diversas credenciais necessárias para se passar totalmente por algum indivíduo, falsificando sua identidade.


O estudo do site Top10VPN indica um custo médio dos dados de cartão de crédito bem acima do apontato pela RSA: US$ 50.

Para saber mais:


abril 02, 2018

[Cyber Cultura] Quem gosta de Emoticons?

Num domingo a noite eu estava zapeando na Internet e achei um vídeo curto e bem divertido aonde o Marcelo Tas e o gerador-de-lero-lero Mario Sergio Cortella discutem a utilidade dos Emoticons. O título do vídeo resume a opinião do Cortella: "Eu odeio Emoticons". Gravado em Campinas em maio de 2017, durante uma edição especial na CPFL do evento Café Filosófico, esse é um trecho de uma conversa divertida entre os dois, que ao todo dura cerca de 1h30. Eles falaram sobre vários assuntos incluindo o uso de redes sociais, a troca de informação na Era Digital, isentões e... Emoticons (aos 42 minutos do vídeo completo).


Os emoticons e são uma constante em nossa comunicação nas redes sociais e aplicativos de mensagem instantânea, e é comum vermos discussões se eles contribuem ou prejudicam a capacidade de comunicação online. Que nunca viu a charge abaixo?


Além de permitir agilizar a comunicação online, na minha opinião, a principal vantagem do uso dos emoticons é que eles são uma forma de transmitir alguma tipo de sentimento junto a mensagem, ou como disse o Marcelo Tas, uma forma de "humanizar a conversa". Eu, pelo menos, uso muito os emoticons com esse objetivo ;)

março 29, 2018

[Segurança] Deus Hackeado!

Recentemente ficamos sabendo que o Carlos Ruas, o cartunista autor da excelente série de quadrinhos Um Sábado Qualquer, perdeu o acesso ao seu grupo no Facebook, que ele usava para divulgar suas charges, vídeos e produtos, e tinha cerca de 2,8 milhões de seguidores.


Segundo uma reportagem do UOL, o Um Sábado Qualquer é o site de tirinhas mais acessado do Brasil. Ele publica tirinhas humorísticas em sua maioria com conteudo religioso, e não raramente mistura vários personagens em uma mesma estória: Deus, Jesus, Adão e Eva, Luci, Odin, Oxalá, Orus, Maomé, Darwin, etc. As vezes suas charges são mais críticas, mas eu acredito que em sua grande maioria elas não ofendem nem criticam ninguém.


Segundo um vídeo divulgado pelo próprio Ruas no dia em que o incidente aconteceu, ele conta que foi procurado por um suposto candidato a anunciante, utilisando um perfil fake e que o convenceu a assinar um serviço falso de "Facebook Instant Articles", supostamente uma nova tecnologia para anunciantes em páginas. Mesmo tomando vários cuidados (como verificar o perfil da pessoa, entrar em contato com conhecidos dela e verificar que o suposto site do facebook "tinha cadeado"), ele foi convencido a acessar essa página para assinar o serviço. No mesmo instante em que forneceu seus dados na página falsa, a pessoa o bloqueou no Facebook, teve acesso a sua página, deletou todo o conteúdo e apagou o perfil.


A única forma que ele teve para tentar recuperar a página foi notificar o Facebook e enfrentar as exigências burocráticas deles, um processo que já se extende por quase uma semana (o incidente aconteceu no dia 25/3 e até 29/3 a página ainda estava fora do ar.


Há vários aspectos preocupantes nessa história:
  • O nível de esforço e sofisticação que alguém tem para conseguir roubar o acesso a uma página no Facebook;
  • A dificuldade de acesso ao Facebook para suporte e atendimento de emergências, mesmo você sendo dono de uma página com milhões de seguidores (e que, portanto, gera conteúdo e tráfego para o próprio Facebook);
  • A burocracia e a demora para conseguir recuperar acesso ao seu próprio conteúdo no Facebook;
  • O atacante simplesmente apagou a página, sendo que na verdade ele poderia ter roubado o controle da página para fazer vários outros golpes, como chantagear o Ruas, postar mensagens com código malicioso ou propaganda aproveitando a audiência de quase 3 milhões de pessoas, ou renomear a página, aproveitando a audiência.
O último ponto que eu citei acima, da página ter sido apagada, leva a crer que o ataque foi algum tipo de vingança, talvez realizada por algum grupo de intolerância religiosa que ficou ofendido com o conteúdo das charges.

O episódio também serve para refletirmos o quanto os produtores e consumidores de coteúdo estão dependentes do Facebook. Ele é, muito provavelmente, a principal forma de divulgação e compartilhamento de conteúdo hoje em dia.

Resta agora torcer para que o Ruas recupere a sua página com o s eu conteúdo, e volte a nos divertir com suas tirinhas.

Atualização (03/04): Após mais de uma semana de sofrimento, na segunda-feira 02/04 a tarde a página do USQ no Facebook foi recuperada!



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.