Sequestro real tem resgate pedido em criptomoeda: Quais as consequências?

Sequestro real tem resgate pedido em criptomoeda: Quais as consequências?

O ‘sequestro digital’, feito através dos códigos maliciosos conhecidos como ransomwares, já é algo assustador, especialmente para quem passou pela situação e não tinha backup. Mas nada, absolutamente nada, se compara a um sequestro real.

No caso dos ransomwares, o padrão dos cibercriminosos é exigir resgate através de alguma criptomoeda como, por exemplo, o BitCoin. Bem, agora temos um caso onde sequestradores ‘convencionais’ fizeram uma exigência similar: O equivalente a R$ 115 milhões para libertar a esposa do empresário Rocelo Lopes, dono da CoinBr, a maior empresa de comercialização de criptomoedas da América Latina.

“Nós não ‘quer’ reais, não. Nós ‘quer’ nas criptomoedas, entendeu?” na gravação liberada pela polícia os criminosos não deixam dúvidas: sabem exatamente o que querem.

O resgate, que foi negociado até o valor de R$ 5 milhões, deveria ser pago em Zcash e Monero, que diferentemente do BitCoin, não permitem visualização dos endereços (Envio/beneficiário) e o valor de todas as transações no BlockChain. Ou seja, nesse cenário assustador os sequestradores não têm exposição nenhuma na hora de receber o dinheiro, que dificilmente poderia ser rastreado.

O ponto positivo é que no último sábado (29/04/2017), a investigação criminal, que contou com policiais especialistas em cibersegurança, conseguiu identificar o cativeiro e libertar a vítima, antes do resgate ser pago. A suspeita é que uma facção criminosa esteja envolvida, há indícios de mais de 20 participantes, mas a única pessoa foi presa alega que foi contratado ‘apenas’ para vigiar o local.

(Imagem: RBS TV)

Gostaria de acreditar que isso foi um caso isolado, já que a vítima era ligada diretamente a comercialização de criptomoedas, mas com a especialização cada vez maior das facções criminosas, infelizmente não podemos desconsiderar um futuro próximo, onde mais um fantástico avanço tecnológico será desvirtuado a serviço do crime.

Fonte: G1

Comentários

Comentários

Gestão de Riscos: Encontros com cobras e lagartos (anfíbios na verdade!)

GERENCIAR RISCOS É UMA DISCIPLINA QUE REQUER UMA VISÃO REALMENTE HOLÍSTICA. Se você não consegue visualizar o todo, é bem provável que seu trabalho vá por água abaixo, pois dificilmente você vai identificar o relacionamento real entre as possíveis fontes de ameaças, vulnerabilidades, o nível de exposição e apetite de riscos. Sem isso, não é viável projetar controles efetivos e garantir a proteção necessária.

Em meu tempo como consultor, realizar análises de risco sempre foi um trabalho muito divertido que francamente me atraia bastante. Afinal, como um carinha da TI raiz, costumeiramente a maior parte das minhas atividades era sentando em frente a um monitor (ou vários), em um local climatizado. A mudança de ares mais que despertava minha curiosidade.

Nesse ponto, me sinto muito afortunado. Tive a oportunidade que tive de conhecer os mais diversos tipos de negócios e ambientes fabris durante análises de risco: indústria alimentícia, naval, têxtil, metal-mecânica, bancos, hospitais, universidades, grupos varejistas, grandes provedores de serviço de TI, são alguns dos exemplos que me vem a mente.

Durante essas análises, a metodologia mais comum é avaliamos os riscos humanos, naturais, físicos e tecnológicos. Basicamente você entra em contato com todo tipo de situação que seria engraçada se não fosse trágica. Já encontrei uma garrafa de Black Label escondida dentro de um Datacenter (a equipe tinha recebido de um fornecedor e não queria ter que sortear), em outro caso uma empresa resolveu construir uma pista de pouso particular diretamente alinhada com o Datacenter, que ficava a poucas centenas de metros da cabeceira. Reza a lenda que o site de backup ficava na outra ponta da pista, mas ai já seria demais. Em outro local havia um grande depósito de combustível ao lado do.. Dacatencer. É, nessas horas parece que não há exatamente muito amor pela proteção dos dados corporativos.

Uma das situações mais engraçadas foi quando estava realizando um trabalho para uma indústria de geração de energia eólica. A empresa possuía vários sites para seus aerogeradores, que obviamente contavam com infra de TI, em meio a locais razoavelmente inóspitos. Na maioria dos casos a estrutura ficava em meio a dunas, muito calor, compensando por uma bela visão do mar.

Em uma visitas nesses locais, quando fui inspecionar um rack de telecom, um funcionário gritou: PARE! NÃO MEXE NESSE RACK! Eu meio que tomei um susto, estava acompanhado por uma pessoa da empresa e devidamente autorizado a realizar a inspeção. Esse não era o problema. Me explicaram que nas ultimas semanas haviam encontrado vários ofídios no local.

Bem, como profissional de segurança, eu consigo ver o valor de proteção para um ambiente de TI que usa cobras passando em meio aos cabos de rede, mas realmente não acho que seja algo muito prático no momento de manutenções. O engraçado é que em outro site do cliente descobrimos uma infestação de rãs. Sim! Os pequenos sapinhos haviam tomado conta do sistema de ar condicionado local, estavam presentes em todos os racks e ameaçavam causar danos sérios aos equipamentos de TI. Duvida? Segue ai uma pequena evidência do causo:

Sim, são rãs infestando o ar-condicionado e o rack

Enfim, a época, não encontramos exatamente uma solução que fosse além sugerir entrar em contato com o IBAMA e fechar qualquer fresta que desse acesso a tubulação. Ambos locais ficavam em uma área de proteção ambiental e não existia qualquer possibilidade de remover a fauna local ou de usar as cobras para solucionar os problemas com as rãs.

Fica ai a dica, em se tratando de gestão de riscos, TI pode ser o menor dos seus problemas, muitas vezes é preciso um olhar que está fora, muito fora da caixa.

Comentários

Comentários

10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

Se algum dia eu resolver escrever sobre o que eu aprendi apenas após ter tentado e errado, provavelmente será um longo, muito longo artigo, capaz de rivalizar com mais da metade do conteúdo da Wikipédia. E o melhor: Eu não vejo nada de errado com isso!

Desde basicamente sempre eu me vi um fã do método da tentativa e erro para descobrir como o mundo funciona. Isso é um instinto que temos desde pequenos, afinal foi o que usamos para aprender as coisas mais básicas como, por exemplo, andar, falar, nadar. Conforme chegamos a fase adulta, perdemos muito dessa aptidão, mas acredito que como um bom gamer, fui influenciado a testar, errar, perder vidas, usar contiues até conseguir salvar a princesa no último castelo.

Bem, se aprender com os próprios erros é algo bom, ter a oportunidade de aprender com os erros de outrem é significativamente melhor. É isso que busco passar aos meus alunos em cursos de gestão de serviços de TI, governança e segurança da informação. Nessa era onde existem inúmeras opções para se buscar conteúdo básico, acredito que trocar experiências é bem mais enriquecedor do que simplesmente discutir o material padrão em sala de aula.

Foi assim que pensei nesse artigo. Lá se vão mais de 10 anos que já atuo com Segurança da Informação e uma das perguntas mais frequentes de colegas/alunos/amigos em redes sociais é “como faço para começar a trabalhar com segurança?”. Bem, esse é um tema que certamente rende outro texto bem legal, mas hoje gostaria de compartilhar com vocês alguns pontos que eu realmente gostaria de ter conhecido antes de ingressar na área. A lista não está em nenhuma ordem específica e, obviamente, essa foi/está sendo uma jornada bem pessoal que agora partilho com vocês.

1.      Segurança da informação é bem mais abrangente do que segurança de TI (cibersegurança): Quando iniciei com segurança da informação eu imaginava que passaria o resto da minha carreira basicamente trabalhando com tecnologias como firewalls, roteadores, hardening de sistemas operacionais, correções de vulnerabilidades técnicas. Foi com um certo espanto (para não dizer receio) que me vi responsável pela segurança física de ambientes críticos para as operações da empresa, atuando junto a equipe jurídica na definição de aspectos legais e gastando boa parte do meu tempo na “simples” tarefa de educar pessoas sobre o tema. Hoje em dia gasto boa parte do meu dia de trabalho em atividades que buscam mudar a “cultura corporativa”, algo que é essencial a implantação de uma segurança da informação efetiva.

2.      Você não precisa ser um expert em tecnologias específicas: Ainda ligado ao item anterior, meus primeiros trabalhos na área de segurança foram relacionados ao uso de firewalls mas conforme evolui profissionalmente, me descobri mais e mais afastado do conhecimento técnico puro. Segurança da Informação é uma disciplina que permeia todos os níveis hierárquicos da empresa, do mais operacional até (esperamos!) decisões estratégicas. Um dos primeiros passos para se tornar um bom gestor é aprender a delegar ações operacionais a sua equipe e focar nos resultados e entrega de valor ao negócio. Entenda, existem vários cargos que vão exigir um profundo conhecimento técnico como, por exemplo, quando for necessário realizar um teste de intrusão baseado em exploits que você mesmo construiu ou fazer engenharia reversa de algum novo malware. Se isso é o que você quer fazer, ótimo! Existem diversas opções de carreira! Apenas não se sinta limitado. Um bom gestor precisa focar muito mais em construir equipes confiáveis, compreender como a tecnologia funciona e, especialmente, como ela se encaixa dentro da visão geral de sua arquitetura de segurança, do que saber simplesmente “meter a mão na massa”.

3.      As normas da família ISO 27000 basicamente explicam basicamente tudo que você precisa saber para entender o que é segurança da informação: Sim, eu vou admitir um crime! Eu sequer havia ouvido falar da ISSO 27001 quando comecei a trabalhar com segurança. Meus primeiros passos foram muito mais focados em seguir as regras impostas pela política corporativa que, na época que eu trabalhava em uma empresa multinacional, já fazia referência a termos como Sarbanes-Oxley 404, ISO 27001, CobiT, ITIL. Não, eu realmente não sabia o que eram nenhum deles e perdi muito tempo por conta disso. Um colega mais experiente me presenteou com algumas publicações da ISO e um livro introdutório da ITIL (eu já era responsável pelos processos de configuração e mudança na minha empresa, e nem sabia o que era gestão de serviços de TI!). Só posso dizer que foram leituras bem esclarecedoras e tive vários momentos de “Ahhh, é por isso que eu faço dessa forma.”. Se tiver oportunidade, não perca tempo e leia! A ISO 27000 pode ser obtida gratuitamente nesse link! O CobiT é gratuito para associados da ISACA, as demais normas e outras publicações, infelizmente só comprando.

4.      Esteja preparado para se decepcionar com algumas pessoas: Na primeira vez que implantei um serviço de proxy/filtro web, passei vários dias espantado com a quantidade de material inapropriado que as pessoas tentavam acessar, bem como sua “criatividade” quanto ao tipo de assunto pesquisado na internet. Bem, isso realmente me surpreendeu, mas o triste foi ter a vivencia de participar de investigações onde descobri que pessoas bem próximas não eram exatamente honestas. O primeiro instinto sempre foi o de perguntar diretamente, pedir uma explicação, pois os resultados só podiam estar errados. Felizmente, alguns colegas mais experientes, especialmente das áreas de auditoria, me ajudaram muito a manter uma postura imparcial e ética.

5.      Você vai descobrir quem realmente são seus amigos: Talvez esse ponto esteja um pouco relacionado ao item anterior. No meu primeiro ano como Security Officer, quando tive que implantar uma série de controles bem restritivos, percebi que várias pessoas se afastaram do meu convívio e, algumas semanas depois de termos iniciado o controle de acesso a internet, meu carro misteriosamente apareceu com pneus vazios e alguns arranhões nada acidentais (não se sintam mal, a empresa me ressarciu!). Muitas vezes a área de segurança é percebida de maneira bem negativa dentro da empresa, afinal “bloqueamos” e “monitoramos” tudo, pessoas podem chegar ao ponto de ser demitidas quando violam algum controle, isso definitivamente não vai contribuir para sua popularidade dentro da empresa. Felizmente, conforme a disciplina evolui, eu percebo que esse cenário tem mudado nos últimos anos (meu carrinho passa muito bem, obrigado!).

6.      Pessoas são bem mais importantes que tecnologias e processos: Quando comecei a estudar segurança da informação, logo conheci os pilares básicos: Confidencialidade, Integridade e Disponibilidade. Mas muitas vezes não lembramos que eles são apoiados diretamente por Pessoas, Processos e Tecnologias. Desses três últimos, certamente as pessoas são o ativo estratégico mais importante a segurança da informação, bem como o que vai demandar mais esforço para garantir a proteção corporativa. Não é a toa que uma das frases mais comuns é dizer que pessoas “são o elo fraco” da segurança, isso é uma verdade que não mudou ao longo dos anos e que dificilmente vai se alterar no futuro próximo. Paradoxalmente, sem pessoas preparadas, você pode contar com a melhor tecnologia e os mais bem definidos processos, ainda assim existe uma grande chance de falha. Investir tempo dialogando, explicando, conscientizando e condicionando os colaboradores da sua empresa é uma ação estratégica que, a longo prazo, entrega muito mais valor do que a implantação de qualquer tecnologia.

7.      Controlar é diferente de bloquear, dialogar é diferente de simplesmente dizer não: Cada vez que crio uma campanha de conscientização parte do foco vai para tirar a imagem negativa que nós, profissionais da área, criamos para segurança da informação. Por muito tempo fomos percebidos como a equipe do NÃO. Posso colocar minha empresa na internet? Não, é inseguro. Posso permitir que meus colaboradores tenham acesso remoto? Não, é inseguro. Posso permitir uso de equipamento pessoal no ambiente de trabalho? Não, é inseguro. Posso levar meu sistema crítico para a nuvem? NÃO! JÁ FALEI, É INSEGURO! Sim, ao longo dos últimos anos, conforme a tecnologia evoluía e se tornava onipresente, cada vez mais vi profissionais responderem negativamente antes de pensar se aquilo traria um benefício ao negócio. Precisamos aprender a dialogar com as diversas áreas corporativas, explicar que é possível fazer praticamente qualquer operação de maneira segura, desde que a empresa esteja disposta a fazer os investimentos necessários para garantir a implantação de controles e seguir regras básicas de segurança. Da mesma forma que não é possível eliminar todos os riscos ao negócio, não é possível (nem necessário) bloquear tudo. Um ambiente adequadamente controlado consegue conviver harmoniosamente com os riscos persistentes e, ao mesmo tempo, estar preparado para situações adversas como crises e desastres.

8.      Saber dialogar no idioma da alta direção: Não é possível se fazer segurança da informação sem o apoio direto da alta direção (diretores, donos, acionistas, conselho administrativo ou qualquer outra entidade que se aplique a sua empresa!). Uma das maiores dificuldades que profissionais que possuem conhecimentos eminentemente técnicos tem é garantir uma boa comunicação com executivos. Invista tempo e esforço para tentar entender os valores da sua empresa, quais são seus objetivos estratégicos e como a segurança da informação pode agregar aos resultados da organização. Essa é a natureza da entrega de valor e, no final do dia, é o que vai garantir que segurança não seja percebida como um peso morto, mas sim vista como um facilitador do negócio, uma disciplina estratégica, alinhada a visão e missão corporativa.

9.      Inglês ainda é indispensável: Talvez eu devesse ter colocado esse ponto no início, dada sua importância. Como meu pai era tradutor-interprete e eu herdei uma facilidade com idiomas, apreendendo inglês basicamente por osmose, é provável que eu não tenha valorizado tanto esse conhecimento. Mas a realidade é que diversas oportunidades profissionais foram facilitadas pelo fato de eu ser bilíngue. Na minha primeira auditoria internacional eu não era o profissional mais experiente, mas dominava perfeitamente o inglês, além de conseguir fingir razoavelmente bem falar castelhano (Saludos a mis amigos en Chile!) em uma época onde não havia Google Translator. É claro que essa foi uma vivencia pessoal, mas com a quantidade de material de estudo em inglês, além de provas de certificação que não foram traduzidas e um mercado internacional bem atraente, não dá para argumentar. Ter um segundo idioma (escolhas obvias: inglês, espanhol, alemão, francês, chinês) é uma obrigação para um profissional que quer se destacar no mercado.

10.  Certificações te ajudam, mas não substituem experiência: Ah, certificações, ainda esta semana li aqui no linkedin um artigo sobre como elas estavam matando o “mercado de segurança da informação”. Bem, se você viu meu perfil, acho que não preciso explicar que não concordo com essa visão. Investi muito do meu tempo direcionando estudos para certificações na área de segurança. Pessoalmente o resultado foi espetacular. Novamente, muitas portas se abriram, o último exemplo é o razoável sucesso que tenho tido como escritor freelancer para empresas nos EUA, Canadá e EU. Nenhum dos clientes me conhecem pessoalmente, mas tanto meu portfólio profissional, quanto a sopa de letrinha das certificações contribuíram muito na hora de fechar o primeiro trabalho. Entenda, um título é apenas o seu cartão de visita, ele pode até te render uma boa oportunidade, mas é o seu esforço, compromisso, atitude e competência que vão garantir a manutenção dessa posição. Meu conselho é investir sim em cursos e certificações, especialmente aquelas que são independentes de fabricante como as da EXIN, ISACA, ISC2, CompTIA e similares. Entretanto, esteja atento: por mais que os seus instrutores se esforcem para passar conhecimento prático, nada substitui experiência. Sempre que possível procure colocar em prática aquilo que você aprendeu em sala de aula ou estudando sozinho, caso contrário, será conhecimento perdido.

Bem, aí está, foram 10 pontos que considero muito importantes e que sinceramente gostaria de ter sabido quando comecei a trabalhar com segurança da informação. Se você teve paciência e leu até aqui, bem, segue o 11º como um bônus: Não consigo imaginar uma área mais desafiadora, enriquecedora, em ampla fase de crescimento, carente de profissionais qualificados e que remunera muito bem. Não tenha medo de abraçar essa carreira, as oportunidades são enormes e a recompensa, além da jornada em si, é bem pragmática.

Comentários

Comentários

1° de abril deveria ser o dia internacional da cibersegurança!

1° de abril deveria ser o dia internacional da cibersegurança!

Sempre gostei do 1° de abril. Desde criança, nunca perdi a mania de fazer algum tipo de brincadeira boba. Algumas foram razoavelmente divertidas, como quando publiquei um check-in (obviamente falso) no topo do Everest e avisei que iria me atrasar para uma reunião importante. Outros casos meio que me colocaram em uma situação complicada, tipo quando mudei a data do meu aniversário em redes sociais para 01/04, passei o dia recebendo “parabéns” e meus colegas acabaram fazendo aquela velha boa vaquinha para uma festinha no trabalho. Alguns não ficaram exatamente felizes em saber que tudo não passava de uma brincadeira, mas no final demos boas risadas.

Você pode estar se perguntando: O que isso tem haver com cibersegurança? Bem, o fato é que – mesmo através dessas pequenas brincadeiras em redes sociais – tenho visto que no dia primeiro de abril as pessoas estão mais céticas em relação ao mundo digital. Viu uma notícia que o Google vai imprimir e enviar as mensagens do gmail para sua casa? Opa, isso deve ser mentira. A Google vai lançar um buscador “pet-friendly” para seu bichinho? Claro que não! O Subway vai lançar uma linha de sorvetes “subzero” nos sabores atum, frango tikka e almondegas marinara? Divertido, mas não é sério, serve apenas para rir.

Homer aprovaria 🙂

E é isso mesmo, por um dia adotamos uma visão crítica e atitude cética que despreza a ideia de que “se está na internet deve ser verdade! ”. Agora pergunto, por que não adotar essa mesma postura quando recebemos uma “comunicação do banco” pedindo para revalidar sua tabela de senhas para não ter a conta bloqueada? Por que não agimos da mesma forma quando um documento de Word ou Excel, baixado de um site não-inteiramente-confiável, pede para ativar macros? Por que, como dizia Bruce Schneier, os usuários sempre escolhem os porquinhos dançando ao invés de pensar em segurança? Com a atitude de primeiro de abril isso pode mudar!

Boa segurança da informação depende de PESSOAS, processos e tecnologias, você já deve ter ouvido repetidas vezes que “pessoas são o elo fraco”. Infelizmente essa afirmação tem se mantido impiedosamente verdadeira nas últimas décadas. De nada adianta investirmos na melhor tecnologia, quando não se tem processos maduros e, principalmente, pessoas treinadas e conscientes de suas responsabilidades quanto a segurança da informação.

No final do dia, em se tratando de pessoas, o que realmente precisamos é garantir um bom CHA: Conhecimento, Habilidades e Atitude. Novamente, essa atitude cética e olhar crítico que adotamos no 1° de abril, se replicada o ano todo, teria um resultado espetacular em termos de proteção contra ameaças que vem atormentando profissionais da área e causando enormes prejuízos a empresas em todo mundo: Engenharia social (presencial, telefônica ou mesmo com uso de tecnologia), phishing, spear-phishing, infecções por ransomwares e outros códigos maliciosos, a lista é extremamente grande.

Quando o assunto for segurança da informação, invista em uma visão crítica e abordagem cética. Pensar antes de clicar não te custa nada, mas protege bastante. Passe essa mensagem para seus colaboradores ou colegas de trabalho, essa atitude pode poupar você e sua empresa de muita dor de cabeça 🙂

Deixo aqui um último desejo: Que o primeiro de abril dure o ano todo!

Comentários

Comentários

ISO: Que tal baixar mais de 600 normas graça? (e não é pirataria!)

Normas ISO legítimas e de graça me fazem MUITO feliz!

As normas ISO são, sem sombra de dúvida, uma das melhores fontes de conhecimento prático quando se quer adotar padrões testados e estabelecidos internacionalmente, aplicáveis a empresas de todos os portes e setores. Existem normas ISO focadas em várias áreas de conhecimento, incluindo qualidade, meio ambiente, tecnologia, segurança da informação, continuidade de negócios, governança corporativa, dentre outros muitos assuntos.

Algum tempo atrás, eu republiquei no Linkedin uma postagem feita originalmente aqui no blog, descrevendo como baixar uma cópia legítima da norma ISO 27000:2014 (já foi atualizada para versão 2016), que apresenta basicamente uma visão geral do que é um SGSI e outros conceitos relacionados a segurança da informação. No Brasil a norma continua sendo vendida, atualmente custando absurdos R$ 627,90!

A boa notícia é que essa não é a única norma que a ISO publica gratuitamente. Existe um site oficial onde você pode baixar 610 publicações! Claro, algumas são bem antigas, indo até 1988, e provavelmente estão desatualizadas, mas também existem normas novas folha, publicadas ainda em 2016 e falando de assuntos extremamente relevantes como TI, Segurança da Informação, Gestão de Serviços de TI e Computação na Nuvem, veja alguns exemplos:

  • ISO/IEC 2382:2015 Information technology — Vocabulary
  • ISO/IEC 2382-37:2017 (E) Information technology — Vocabulary — Part 37: Biometrics
  • ISO/IEC 17788:2014 Information technology — Cloud computing — Overview and vocabulary
  • ISO/IEC 17789:2014 Information technology — Cloud computing — Reference architecture
  • ISO/IEC 19395:2015 Information technology — Sustainability for and by information technology — Smart data centre resource monitoring and control
  • ISO/IEC 19678:2015 Information Technology — BIOS Protection Guidelines
  • ISO/IEC TR 20000-10:2015 Information technology — Service management — Part 10: Concepts and terminology
  • ISO/IEC TR 20000-11:2015 Information technology — Service management — Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL
  • ISO/IEC TR 20000-12:2016 Information technology — Service management — Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC
  • ISO/IEC 27036-1:2014 Information technology — Security techniques — Information securityfor supplier relationships — Part 1: Overview and concepts
  • ISO/IEC 27000:2016(E) Information technology — Security techniques — Information security management systems — Overview and vocabulary

A maioria das publicações está em inglês, com algumas versões em francês ou russo. A lista completa você pode acessar aqui: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

Boa leitura!!

Comentários

Comentários