Lightning Talk sobre as recentes denúncias de espionagem relacionadas a NSA e ao governo americano. Apresentada na Co0L BSidesSP Black Hat Edition (24/11/13) e CryptoParty São Paulo (30/11/13).
A NSA e o fim da privacidade (Cryptorave 2017)Anchises Moraes
Diante da capacidade de espionagem e vigilantismo dos governos, será que conseguiremos reconquistar nossa privacidade? Palestra apresentada na Cryptorave 2017.
A maior competição esportiva do mundo. Os jogos mais conectados de toda a história. Por duas semanas, pessoas de todo o mundo pararam para assistir atletas superarem seus limites nos Jogos Olímpicos do Rio de Janeiro em agosto e setembro de 2016.
Hacktivistas de todo o mundo também se juntaram em torno da OpOlympicHacking, aproveitando o foco midiático para discutir os problemas sociais e econômicos atuais: conflito racial nos EUA, terrorismo e crise dos imigrantes na Europa, Israel versus Palestina, crise na Venezuela, coxinhas versus mortadelas no Brasil.
Só que não.
Nesta apresentação, realizada na H2HC 2016, discutimos a OpOlympicHacking e se o mundo ainda precisa do Hacktivismo.
Desde as revelações de Edward Snowden em 2013, até as mais recentes informações vazadas pelo Wikileaks sobre a CIA em Março de 2017, teorias de conspiração se mostraram reais e George Owel, quem criou o termo “Big Brother”, parece um amador frente ao nível de vigilância na nossa sociedade atual. Vamos discutir o fim da privacidade e como podemos proteger a nossa identidade no mundo digital.
The document outlines three major cyber threat scenarios that are predicted to arise in the post-pandemic period over the next two years. The threats are: 1) phishing scams offering credits and discounts to take advantage of economic recovery, 2) e-commerce fraud through fake promotions and targeting of increased online shopping, and 3) more targeted spear phishing attacks and data leaks exploiting the rise in remote work from home devices and networks. The document also discusses broader changes to business and work culture expected in the "new normal" after the pandemic.
Palestra no evento Advocacia 4.0 (OAB RJ) - Como se proteger na internet: cuidados com a segurança no exercício da advocacia
Os ciber criminosos estão aproveitando a epidemia do novo Coronavírus para espalhar mais golpes pela Internet. Nesse bate-papo vamos falar sobre os principais golpes e fraudes online que estão acontecendo atualmente, muitos dos quais aproveitando o tema da pandemia e nossa fragilidade durante o isolamento social. Esperamos ajudar todas e todos a se proteger desses golpes, identificar notícias falsas e ajudar os parentes no grupo da família.
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
O documento discute as tendências de segurança cibernética após a pandemia de COVID-19. Ele prevê que o cibercrime continuará crescendo à medida que mais serviços migram para o online e usuários permanecem vulneráveis, e analisa cinco tendências específicas, como o aumento de fraudes no comércio eletrônico e ataques direcionados a ambientes de trabalho remotos. O documento também traça paralelos com a pandemia de gripe espanhola no início do século 20.
Are existing compliance requirements sufficient to prevent data breaches? This session will provide a technical assessment of the 2019 Capital One data breach, illustrating the technical modus operandi of the attack and identify related compliance requirements based on the NIST Cybersecurity Framework. Attendees will learn the unexpected impact of corporate culture on overall cyber security posture.
This talk was presented at RSA Conference 2021 (Session RMG-T15) on May 18, 2021.
Original paper available for download at SSRN: Novaes Neto, Nelson and Madnick, Stuart E. and Moraes G. de Paula, Anchises and Malara Borges, Natasha, A Case Study of the Capital One Data Breach (28/04/2020). https://ssrn.com/abstract=3570138
A NSA e o fim da privacidade (Cryptorave 2017)Anchises Moraes
Diante da capacidade de espionagem e vigilantismo dos governos, será que conseguiremos reconquistar nossa privacidade? Palestra apresentada na Cryptorave 2017.
A maior competição esportiva do mundo. Os jogos mais conectados de toda a história. Por duas semanas, pessoas de todo o mundo pararam para assistir atletas superarem seus limites nos Jogos Olímpicos do Rio de Janeiro em agosto e setembro de 2016.
Hacktivistas de todo o mundo também se juntaram em torno da OpOlympicHacking, aproveitando o foco midiático para discutir os problemas sociais e econômicos atuais: conflito racial nos EUA, terrorismo e crise dos imigrantes na Europa, Israel versus Palestina, crise na Venezuela, coxinhas versus mortadelas no Brasil.
Só que não.
Nesta apresentação, realizada na H2HC 2016, discutimos a OpOlympicHacking e se o mundo ainda precisa do Hacktivismo.
Desde as revelações de Edward Snowden em 2013, até as mais recentes informações vazadas pelo Wikileaks sobre a CIA em Março de 2017, teorias de conspiração se mostraram reais e George Owel, quem criou o termo “Big Brother”, parece um amador frente ao nível de vigilância na nossa sociedade atual. Vamos discutir o fim da privacidade e como podemos proteger a nossa identidade no mundo digital.
The document outlines three major cyber threat scenarios that are predicted to arise in the post-pandemic period over the next two years. The threats are: 1) phishing scams offering credits and discounts to take advantage of economic recovery, 2) e-commerce fraud through fake promotions and targeting of increased online shopping, and 3) more targeted spear phishing attacks and data leaks exploiting the rise in remote work from home devices and networks. The document also discusses broader changes to business and work culture expected in the "new normal" after the pandemic.
Palestra no evento Advocacia 4.0 (OAB RJ) - Como se proteger na internet: cuidados com a segurança no exercício da advocacia
Os ciber criminosos estão aproveitando a epidemia do novo Coronavírus para espalhar mais golpes pela Internet. Nesse bate-papo vamos falar sobre os principais golpes e fraudes online que estão acontecendo atualmente, muitos dos quais aproveitando o tema da pandemia e nossa fragilidade durante o isolamento social. Esperamos ajudar todas e todos a se proteger desses golpes, identificar notícias falsas e ajudar os parentes no grupo da família.
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
O documento discute as tendências de segurança cibernética após a pandemia de COVID-19. Ele prevê que o cibercrime continuará crescendo à medida que mais serviços migram para o online e usuários permanecem vulneráveis, e analisa cinco tendências específicas, como o aumento de fraudes no comércio eletrônico e ataques direcionados a ambientes de trabalho remotos. O documento também traça paralelos com a pandemia de gripe espanhola no início do século 20.
Are existing compliance requirements sufficient to prevent data breaches? This session will provide a technical assessment of the 2019 Capital One data breach, illustrating the technical modus operandi of the attack and identify related compliance requirements based on the NIST Cybersecurity Framework. Attendees will learn the unexpected impact of corporate culture on overall cyber security posture.
This talk was presented at RSA Conference 2021 (Session RMG-T15) on May 18, 2021.
Original paper available for download at SSRN: Novaes Neto, Nelson and Madnick, Stuart E. and Moraes G. de Paula, Anchises and Malara Borges, Natasha, A Case Study of the Capital One Data Breach (28/04/2020). https://ssrn.com/abstract=3570138
O documento discute o programa de Bug Bounty do C6 Bank e como ele se encaixa na estratégia de DevSecOps do banco. O Bug Bounty complementa outros testes de segurança ao permitir que pesquisadores independentes encontrem bugs, de forma ética. Isso traz vantagens como a identificação de vulnerabilidades diversas de forma mais custo-efetiva. Desafios incluem o alto volume de relatórios, incluindo falsos positivos e duplicados.
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
O documento discute os riscos cibernéticos durante a pandemia de COVID-19, incluindo fraudes, phishing e fake news. Também aborda os desafios de segurança com o aumento do trabalho remoto, como vazamento de dados em videoconferências. É importante educar os usuários sobre as novas ameaças relacionadas à pandemia e ao home office.
Com a pandemia de Coronavírus e seu impacto aos negócios, temos que repensar a estratégia de cyber cultura e conscientização nas empresas. Vamos discutir o novo cenário e idéias de como manter nosso time coeso e seguro em tempos difíceis.
Palestra apresentada em 15/04/2020 no Roadsec@home
Hunting Bugs - Running a Bug Bounty Program
Slide deck put together for https://c0r0n4con.com/ (April/2020)
Abstract
Security best practices can't guarantee that a system or app is 100% free of bugs, so we have to detect bugs and vulnerabilities before the bad guys were able to explore them. Join us to hear the experience (takeaways and challenges) running a Bug Bounty program in a financial institution, bringing together the hacker community, AppSec and CSIRT teams.
Outline
We have been heard a lot about Bug Bounty (BB) programs and how security researchers has been making a lot of money by reporting bugs. Too much has been said from the researchers’ perspective, and too little from the companies running a BB program. An evolution of the endless Responsible Disclosure discussions and Vulnerability Report Programs, Bug Bounty programs have become a new trend in the information security industry, providing a valid communication channel for external entities to report the existence of bugs and vulnerabilities in a company’s platform and services. In this talk we will discuss the experience of a Brazilian Bank on implementing a bug bounty program as part of its application security strategy. From the point of view of an organization running a bug bounty program, we will present the challenges and benefits (expected and unexpected ones). BB program also brings the researcher community closer to the industry, representing a relevant initiative to strengthen relationship with the information security community. Running a BB program also demands strong commitment on having the issues fixed and also improves the information security visibility across the organization. Since a vulnerability can represent severe losses, detection and response are critical for the business. In order to have a proper response time for reported vulnerabilities , the CSIRT and AppSec teams play a key role in the BB program, by leading the remediation efforts whenever necessary.
O documento discute os desafios de segurança para as fintechs no contexto da inovação bancária digital. Ele destaca alguns desafios principais como: 1) a necessidade de novas arquiteturas de open banking e nuvem; 2) a gestão de novas identidades digitais; e 3) a necessidade de lidar com ciberataques e fraudes em novos cenários.
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
Este documento fornece 5 passos para as organizações se prepararem para a Lei Geral de Proteção de Dados (LGPD) no Brasil. O documento explica: 1) Garantir auditoria e controles básicos de privacidade de dados; 2) Mapear o ciclo de vida dos dados e revisar controles de acesso; 3) Implementar novos controles sobre como os usuários acessam e gerenciam seus dados; 4) Revisar compartilhamentos de dados com terceiros; e 5) Garantir transparência e preparar planos
"Indo além do Pentest" / Palestra apresentada na CPBR12 (Fev/2019)
Muito se fala hoje em dia do Pentest, que já se tornou uma prática comum quando as empresas precisam testar a segurança de um site ou aplicação. A quantidade frequente de ataques bem sucedidos, resultando em fraudes e vazamentos de dados, mostram entretando que as empresas estão falhando em manter a segurança de seus sites, aplicações e bases de dados. Embora o "pentest" seja uma técnica muito comum de testar a segurança de um site, hoje temos a disposição um conjunto de ações que podem e devem ser adotadas de forma complementar para testar e corrigir aplicações desde a sua concepção até a produção. Vamos conversar um pouco sobre as diferenças e vantagens de adotar práticas de testes de segurança, scan de vulnerabilidades, pentest, políticas de vulnerability disclosure e programas de bug bounty.
A quantidade frequente de ataques bem sucedidos, fraudes e vazamentos de dados mostram que as empresas estão falhando em manter a segurança de seus sites, aplicações e bases de dados. Embora o "pentest" seja uma técnica muito comum de testar a segurança de um site, hoje temos a disposição um conjunto de ações que podem ser adotadas de forma complementar para testar e corrigir aplicações desde a sua concepção até a produção. amo conversar um pouco sobre as diferenças e vantagens de adotar práticas de testes de segurança, scan, pentest, vulnerability disclosure e bug bounty.
Palestra realizada o Meetup OWASP São Paulo, 30/11/2018
O documento discute a carreira em segurança da informação, destacando que existem 780.000 profissionais de segurança da informação e 350.000 vagas em aberto nos EUA. Apresenta as principais áreas da segurança como gestão, auditoria, suporte, pesquisa, engenharia reversa e inteligência. Também discute os desafios da área, como novas tecnologias e ameaças, e as características desejadas em profissionais, como conhecimentos técnicos e características pessoais como domínio de idiomas e é
IoT Fofoqueiro
Nossos dispositivos IoT não sabem guardar um segredo!
Nesta palestra vamos rever vários casos recentes sobre dispositivos de Internet das Coisas que, deliberadamente ou não, revelavam dados pessoais de seus usuários.
A Internet das Coisas (do inglês Internet of Things, ou IoT) está cada vez mais presente em nosso dia-a-dia em dispositivos pessoais, computação vestível, automação residencial, carros inteligentes e muito mais. Conforme eles se proliferam, crescem tambem os casos de exposição de dados pessoais. Nessa apresentação vamos rever alguns casos interessantes de dispositivos IoT que não tinham os devidos cuidados com privacidade.
Palestra apresentada em 04/05/2018 na CryptoRave #CR2018
Uma pessoa enviou uma carta ao sindicato se opondo à contribuição assistencial de 2018. A carta inclui o nome, RG, CPF e email da pessoa, informando que ela não é sócia do sindicato e está exercendo seu direito de oposição à contribuição conforme deliberações de assembleias gerais extraordinárias realizadas em novembro e dezembro de 2017.
O documento discute a segurança na internet, incluindo a necessidade de segurança devido aos riscos crescentes no mundo digital, exemplos de ataques reais a sites famosos, e recomendações para empresas e profissionais de TI melhorarem a segurança.
Palestra "Como se tornar um Jedi na área de Segurança" apresentada no RoadSec São Paulo 2017:
Você sempre sonhou em entrar na área de segurança, em ser um hacker famoso, ryco, ter as empresas disputando a sua contratação, e ser um sex-simbol?
Venha conhecer algumas dicas de como ter sucesso profissional e se tornar um mestre Jedi, dominando a cyber força que existe dentro de você.
Diversos mercados underground alimentam o crime cibernético em todo o mundo. Nesta apresentação vamos discutir como o crime cibernético se organiza, como funciona a Deep Web Dark Web e como os ciber criminosos se comunicam intensamente para permitir a constante evolução das fraudes cibernéticas.
The document discusses security challenges for the Internet of Things (IoT). It notes that IoT involves connecting physical devices to information systems through networks. However, IoT presents security risks like privacy issues, malicious use of devices, ransomware attacks and physical damage. The document outlines various initiatives for improving IoT security from groups like ISO, CSA, OWASP, and governments. It provides 13 steps for developing secure IoT products and discusses principles for vehicle cybersecurity. In summary, the document covers security challenges with IoT, ongoing work to address them, and recommendations for building secure IoT systems.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive function. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms.
Dicas de Segurança em Viagens e Eventos para nerdsAnchises Moraes
Ao sair de nossa zona de conforto, podemos nos expor a diversos riscos – físicos e cibernéticos. Ciber criminosos, ciber espiões e até trolls podem aproveitar um momento de distração para obter acesso a nossas informações. Vamos aproveitar alguns exemplos para discutir como podemos proteger a privacidade nossa, de nossos executivos e de nossas companias durante viagens e eventos externos.
Palestra apresentada no Roadsec João Pessoa 2017
Respondendo rapidamente a incidentes de segurançaAnchises Moraes
Qualquer empresa pode sofrer um incidente de segurança. Na verdade, qualquer empresa vai sofrer um incidente de segurança, se é que já não sofreu. O cenário é favorável aos ciber criminosos e espiões digitais: empresas altamente dependentes de tecnologia, parques tecnológicos grandes e diversificados, sistemas corporativos expostos, incontáveis pontos de entrada a rede e a lista segue infinitamente. Até mesmo tecnologias avançadas de ciber espionagem governamental estão nas mãos de crimiinosos. Nesse cenário, as empresas devem investir igualmente na proteção e na rápida capacidade de detecção e resposta, e vamos discutir como fazê-lo.
Palestra apresentada no Roadsec BH em 2017.
Apresentação sobre cultura hacker e hackerspaces, realizada no Roadsec de Salvador (Jun. 2017).
Nesta palestra vamos discutir a importância dos hackerspaces para fomentar a cultura hacker e o espírito de comunidade, além de discutir as principais dificuldades em se manter um espaço colaborativo e coletivo.
O documento discute o programa de Bug Bounty do C6 Bank e como ele se encaixa na estratégia de DevSecOps do banco. O Bug Bounty complementa outros testes de segurança ao permitir que pesquisadores independentes encontrem bugs, de forma ética. Isso traz vantagens como a identificação de vulnerabilidades diversas de forma mais custo-efetiva. Desafios incluem o alto volume de relatórios, incluindo falsos positivos e duplicados.
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
O documento discute os riscos cibernéticos durante a pandemia de COVID-19, incluindo fraudes, phishing e fake news. Também aborda os desafios de segurança com o aumento do trabalho remoto, como vazamento de dados em videoconferências. É importante educar os usuários sobre as novas ameaças relacionadas à pandemia e ao home office.
Com a pandemia de Coronavírus e seu impacto aos negócios, temos que repensar a estratégia de cyber cultura e conscientização nas empresas. Vamos discutir o novo cenário e idéias de como manter nosso time coeso e seguro em tempos difíceis.
Palestra apresentada em 15/04/2020 no Roadsec@home
Hunting Bugs - Running a Bug Bounty Program
Slide deck put together for https://c0r0n4con.com/ (April/2020)
Abstract
Security best practices can't guarantee that a system or app is 100% free of bugs, so we have to detect bugs and vulnerabilities before the bad guys were able to explore them. Join us to hear the experience (takeaways and challenges) running a Bug Bounty program in a financial institution, bringing together the hacker community, AppSec and CSIRT teams.
Outline
We have been heard a lot about Bug Bounty (BB) programs and how security researchers has been making a lot of money by reporting bugs. Too much has been said from the researchers’ perspective, and too little from the companies running a BB program. An evolution of the endless Responsible Disclosure discussions and Vulnerability Report Programs, Bug Bounty programs have become a new trend in the information security industry, providing a valid communication channel for external entities to report the existence of bugs and vulnerabilities in a company’s platform and services. In this talk we will discuss the experience of a Brazilian Bank on implementing a bug bounty program as part of its application security strategy. From the point of view of an organization running a bug bounty program, we will present the challenges and benefits (expected and unexpected ones). BB program also brings the researcher community closer to the industry, representing a relevant initiative to strengthen relationship with the information security community. Running a BB program also demands strong commitment on having the issues fixed and also improves the information security visibility across the organization. Since a vulnerability can represent severe losses, detection and response are critical for the business. In order to have a proper response time for reported vulnerabilities , the CSIRT and AppSec teams play a key role in the BB program, by leading the remediation efforts whenever necessary.
O documento discute os desafios de segurança para as fintechs no contexto da inovação bancária digital. Ele destaca alguns desafios principais como: 1) a necessidade de novas arquiteturas de open banking e nuvem; 2) a gestão de novas identidades digitais; e 3) a necessidade de lidar com ciberataques e fraudes em novos cenários.
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
Este documento fornece 5 passos para as organizações se prepararem para a Lei Geral de Proteção de Dados (LGPD) no Brasil. O documento explica: 1) Garantir auditoria e controles básicos de privacidade de dados; 2) Mapear o ciclo de vida dos dados e revisar controles de acesso; 3) Implementar novos controles sobre como os usuários acessam e gerenciam seus dados; 4) Revisar compartilhamentos de dados com terceiros; e 5) Garantir transparência e preparar planos
"Indo além do Pentest" / Palestra apresentada na CPBR12 (Fev/2019)
Muito se fala hoje em dia do Pentest, que já se tornou uma prática comum quando as empresas precisam testar a segurança de um site ou aplicação. A quantidade frequente de ataques bem sucedidos, resultando em fraudes e vazamentos de dados, mostram entretando que as empresas estão falhando em manter a segurança de seus sites, aplicações e bases de dados. Embora o "pentest" seja uma técnica muito comum de testar a segurança de um site, hoje temos a disposição um conjunto de ações que podem e devem ser adotadas de forma complementar para testar e corrigir aplicações desde a sua concepção até a produção. Vamos conversar um pouco sobre as diferenças e vantagens de adotar práticas de testes de segurança, scan de vulnerabilidades, pentest, políticas de vulnerability disclosure e programas de bug bounty.
A quantidade frequente de ataques bem sucedidos, fraudes e vazamentos de dados mostram que as empresas estão falhando em manter a segurança de seus sites, aplicações e bases de dados. Embora o "pentest" seja uma técnica muito comum de testar a segurança de um site, hoje temos a disposição um conjunto de ações que podem ser adotadas de forma complementar para testar e corrigir aplicações desde a sua concepção até a produção. amo conversar um pouco sobre as diferenças e vantagens de adotar práticas de testes de segurança, scan, pentest, vulnerability disclosure e bug bounty.
Palestra realizada o Meetup OWASP São Paulo, 30/11/2018
O documento discute a carreira em segurança da informação, destacando que existem 780.000 profissionais de segurança da informação e 350.000 vagas em aberto nos EUA. Apresenta as principais áreas da segurança como gestão, auditoria, suporte, pesquisa, engenharia reversa e inteligência. Também discute os desafios da área, como novas tecnologias e ameaças, e as características desejadas em profissionais, como conhecimentos técnicos e características pessoais como domínio de idiomas e é
IoT Fofoqueiro
Nossos dispositivos IoT não sabem guardar um segredo!
Nesta palestra vamos rever vários casos recentes sobre dispositivos de Internet das Coisas que, deliberadamente ou não, revelavam dados pessoais de seus usuários.
A Internet das Coisas (do inglês Internet of Things, ou IoT) está cada vez mais presente em nosso dia-a-dia em dispositivos pessoais, computação vestível, automação residencial, carros inteligentes e muito mais. Conforme eles se proliferam, crescem tambem os casos de exposição de dados pessoais. Nessa apresentação vamos rever alguns casos interessantes de dispositivos IoT que não tinham os devidos cuidados com privacidade.
Palestra apresentada em 04/05/2018 na CryptoRave #CR2018
Uma pessoa enviou uma carta ao sindicato se opondo à contribuição assistencial de 2018. A carta inclui o nome, RG, CPF e email da pessoa, informando que ela não é sócia do sindicato e está exercendo seu direito de oposição à contribuição conforme deliberações de assembleias gerais extraordinárias realizadas em novembro e dezembro de 2017.
O documento discute a segurança na internet, incluindo a necessidade de segurança devido aos riscos crescentes no mundo digital, exemplos de ataques reais a sites famosos, e recomendações para empresas e profissionais de TI melhorarem a segurança.
Palestra "Como se tornar um Jedi na área de Segurança" apresentada no RoadSec São Paulo 2017:
Você sempre sonhou em entrar na área de segurança, em ser um hacker famoso, ryco, ter as empresas disputando a sua contratação, e ser um sex-simbol?
Venha conhecer algumas dicas de como ter sucesso profissional e se tornar um mestre Jedi, dominando a cyber força que existe dentro de você.
Diversos mercados underground alimentam o crime cibernético em todo o mundo. Nesta apresentação vamos discutir como o crime cibernético se organiza, como funciona a Deep Web Dark Web e como os ciber criminosos se comunicam intensamente para permitir a constante evolução das fraudes cibernéticas.
The document discusses security challenges for the Internet of Things (IoT). It notes that IoT involves connecting physical devices to information systems through networks. However, IoT presents security risks like privacy issues, malicious use of devices, ransomware attacks and physical damage. The document outlines various initiatives for improving IoT security from groups like ISO, CSA, OWASP, and governments. It provides 13 steps for developing secure IoT products and discusses principles for vehicle cybersecurity. In summary, the document covers security challenges with IoT, ongoing work to address them, and recommendations for building secure IoT systems.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive function. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms.
Dicas de Segurança em Viagens e Eventos para nerdsAnchises Moraes
Ao sair de nossa zona de conforto, podemos nos expor a diversos riscos – físicos e cibernéticos. Ciber criminosos, ciber espiões e até trolls podem aproveitar um momento de distração para obter acesso a nossas informações. Vamos aproveitar alguns exemplos para discutir como podemos proteger a privacidade nossa, de nossos executivos e de nossas companias durante viagens e eventos externos.
Palestra apresentada no Roadsec João Pessoa 2017
Respondendo rapidamente a incidentes de segurançaAnchises Moraes
Qualquer empresa pode sofrer um incidente de segurança. Na verdade, qualquer empresa vai sofrer um incidente de segurança, se é que já não sofreu. O cenário é favorável aos ciber criminosos e espiões digitais: empresas altamente dependentes de tecnologia, parques tecnológicos grandes e diversificados, sistemas corporativos expostos, incontáveis pontos de entrada a rede e a lista segue infinitamente. Até mesmo tecnologias avançadas de ciber espionagem governamental estão nas mãos de crimiinosos. Nesse cenário, as empresas devem investir igualmente na proteção e na rápida capacidade de detecção e resposta, e vamos discutir como fazê-lo.
Palestra apresentada no Roadsec BH em 2017.
Apresentação sobre cultura hacker e hackerspaces, realizada no Roadsec de Salvador (Jun. 2017).
Nesta palestra vamos discutir a importância dos hackerspaces para fomentar a cultura hacker e o espírito de comunidade, além de discutir as principais dificuldades em se manter um espaço colaborativo e coletivo.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
... o escritor inglês George Orwel (pseudônimo de Eric Arthur Blair,25 June 1903 – 21 January 1950) imaginoucomoseria um governototalitárioquecontrolasse a população “a mão de ferro”…Foto: http://en.wikipedia.org/wiki/File:George_Orwell_press_photo.jpg
... no futurístico ano de 1984, e assim lançou um de seus livros mais famosos...Picture source: http://en.wikipedia.org/wiki/File:1984first.jpg
... Nesse mundo futurístico, um governo monta uma estrutura para controlar a população....Picture source:http://www.sxc.hu/photo/1389644http://www.sxc.hu/photo/1389529
George Orwell imaginou uma estrutura aonde todo edifício, casa e local público teria uma TELETELA, uma espécie de televisor bidirecional, que ao mesmo tempo monitorava as pessoas e anunciava mensagens e propagandas escolhidas (ié, manipuladas e censuradas) pelo governo...Picture source:http://www.sxc.hu/photo/1389644http://www.sxc.hu/photo/1389529http://www.sxc.hu/photo/1370369
... E asssim ele criou um mundo marcado pela onipresença do Grande Irmão, o líder supremo que ao país governa e a todos vigia.E cunhou, para sempre, o termo “Big Brother” (“Grande Irmão”).Picture source:http://www.sxc.hu/photo/1389644http://www.sxc.hu/photo/1389529http://www.sxc.hu/photo/1370369
Vamos faazer um “Fast Forward”...
... para 2013...
Hoje o governo não precisa ir na casa das pessoas buscar as informações.... Com a popularização e onipresença da Internet, dos smartphones e dos computadores (e talblets), as pessoas disponibilizam suas informações online, que na prática são concentradas em alguns grandes sites e provedores...Picture source:http://www.sxc.hu/photo/1389644http://www.sxc.hu/photo/1389529http://www.sxc.hu/photo/1432157http://www.sxc.hu/photo/1403785
... E assim, basta o governo ter acesso a estes serviços e a infra-estrutura de comunicação para conseguir monitorar milhões de usuários de uma única vez. Ficou muito mais fácil do que previa George Orwel, não?Picture source:http://www.sxc.hu/photo/1389644http://www.sxc.hu/photo/1389529http://www.sxc.hu/photo/1432157http://www.sxc.hu/photo/1403785
E aqui entram as denúncias de Edward Snowden, tornadas públicas desde Junho/2013...Picture Source: http://en.wikipedia.org/wiki/File:Edward_Snowden-2.jpg
... De que o governo americano através da sua agência de espionagem, a NSA...Picture Source: http://en.wikipedia.org/wiki/File:Boundless_Informant_data_collection.svghttp://en.wikipedia.org/wiki/File:National_Security_Agency.svg
... Criou uma estrutura global de espionagem e monitoração...Picture Source: http://en.wikipedia.org/wiki/File:Boundless_Informant_data_collection.svghttp://en.wikipedia.org/wiki/File:National_Security_Agency.svgEFF: https://www.eff.org/nsa-spying
Que foi descrita, por MikkoHypponen, da F-Secure, como “Our worst fears might have been something like this, but we didn't know this was happening.” (“Nossos piores temores poderiam ser algo assim, mas não sabíamos que isso estava acontecendo”)Picture Source: TEDxhttp://www.ted.com/talks/mikko_hypponen_how_the_nsa_betrayed_the_world_s_trust_time_to_act.html
Mas, porque o espanto? Qual é a novidade?A NSA não é uma agência de espionagem? Logo, ela não deveria espionar?
Primeiro, porque o esquema de espionagem americano é indiscriminado...Ou seja... É direcionado a qualquer pessoa, e não somente a suspeitos ou alvos específicos...
... Como terroristas.As revelações levaram por água abaixo o argumento de que o esquema de espionagem foi montado para proteger os EUA contra ameaças terroristas!Afinal, empresas como a Petrobrás e líderes mundiais como o papa Francisco e a chanceler alemã Angela Merkel também foram espionados (só para citar alguns exemplos).Picture source:http://en.wikipedia.org/wiki/File:Francisco_(20-03-2013).jpghttp://en.wikipedia.org/wiki/File:AM_Juli_2010_-_3zu4.jpghttp://en.wikipedia.org/wiki/File:Petrobras_horizontal_logo_(international).svg
entre 08 de fevereiro e 8 de Março de 2013, a NSA coletou 124,8 bilhões de informações de telefonia em todo o mundo e 97,1 bilhões de informações oriundas de dados de informática.Fonte: http://www.theguardian.com/world/2013/oct/21/us-french-surveillance-legitimate-questions
Segundo, porque a NSA explora nossa dependência tecnológica...
Tanto em termos de conectividade global através de redes de telecomunicações...Picture source: http://www.sxc.hu/photo/1389651/?forcedownload=1
...e também quanto os serviços online que utilizamos no nosso dia-a-dia.A NSA conseguiu ter acesso aos grandes e principais serviços online, como mostram os materiais divulgados por Snowden.Picture source:http://en.wikipedia.org/wiki/File:Prism_slide_5.jpghttp://en.wikipedia.org/wiki/PRISM_(surveillance_program)
Terceiro, porque a NSA força várias empresas a colaborar com ela, empresas baseadas nos EUA e sujeitas as leis americanas e a pressões do governo.
Como denunciaram a CEO do yahoo! E o CEO do Facebook, que disseram que foram obrigados a atender as solicitações da NSA e não podem revelar informações sobre isso sob risco de serem acusados de traição.Source: http://rt.com/news/yahoo-google-nsa-jail-treason-754/“Yahoo was unable to release classified data on the NSA as it would have amounted to treason, CEO Marissa Mayer told reporters. Speaking at a conference, Mayer and Facebook CEO Mark Zuckerberg described how they were obliged to comply with the NSA.The CEOs of the two tech giants sought to dispel accusations of complicity in the NSA’s global spy program at a San Francisco Techcrunch press conference. Yahoo CEO Marissa Mayer addressed criticism that tech companies had done too little to resist NSA spying, stating that “it makes more sense to work within the system.”She referenced Yahoo’s unsuccessful attempt to sue the foreign intelligence surveillance (FISA) in 2007. FISA is the official body that provides the legal backing for the NSA’s mass surveillance programs."When you lose and you don't comply, it's treason," said Mayer, stressing that the release of classified information is punishable with jail. She did, however, say that Yahoo has been “very skeptical” of the NSA requests that it has received to release user information.”
Quarto, porque a NSA explorou as tecnologias que usamos, e comprometeu a segurança para fazer isso
Através de: Backdoors instalados em produtos comerciaisEscutas em cabos submarinosPara permitir o acesso remoto ou a interceptação de dados
E até mesmo invadiu redes de grandes empresas para conseguir ter acesso aos dados trafegados internamente.No caso do Google, por exemplo, a NSA percebeu que, embora o Gmail seja protegido por HTTPS, a comunicação entre os servidores da Google dentro dos seus datacenters não é criptografada, e assim ela invadiu a rede da Google e do Yahoo para interceptar esses dadosSource: http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html
Segundo relatórios divulgados pelo Snowden, a NSA tem mais de 50 mil redes em todo o mundo que foram invadidas e que eles usam para capturar dados e espionar pessoasSource: http://www.zdnet.com/nsa-malware-infected-over-50000-computer-networks-worldwide-7000023537/
E aí, eu pergunto....
E agora, quem poderá nos defender?Picture source: http://commons.wikimedia.org/wiki/File:El_Chapul%C3%ADn_Colorado_logo.svg
Uma primeira opção é começarmos a adotar cada vez mais sistemas Open Source em vez de softwares proprietários – afinal, com eles é possível ter ao menos a mínima possibilidade de auditoria de código (pela comunidade)Picture sourceLhttp://en.wikipedia.org/wiki/File:Richard_Stallman_by_gisleh_01.jpg
Outra opção é usarmos cada vez mais Criptografia em nossas comunicações e nossos dados.Mesmo que a NSA possa interceptar algumas informações, eles tem mais trabalho para obter dados que estão criptografados. Assim, podemos tentar vencê-los pelo cansaço.Picture source:http://commons.wikimedia.org/wiki/File:Bundesarchiv_Bild_183-L24655,_Polen,_Funker_mit_Verschl%C3%BCsselungsger%C3%A4t_%22Enigma%22.jpg
E ooutra coisa que podemos fazer é protestar. Nos EUA, diversas personalidades públicas e organizações já começaram a protestar contra o poder exagerado de espionagem e vigilância da NSA.Na ONU, o governo Brasileiro e Alemão já estão protentando.Picture source:http://commons.wikimedia.org/wiki/File:Stop_watching_us_0563.JPG
Outras opções:Maior cuidado com nossa provacidade e evitar divulgar informações pessoais na redeUso de servidores e serviços próprios, in-house, em vez de serviços públicos (ex, e-mail, servidores de arquivo, etc)