Essa semana li um artigo publicado na SC Magazine chamado The psycology of ransomware (A psicologia do ransomware), escrito por Nir Gaist fundador e CTO da Nyotron.

O artigo me chamou a atenção porque Nir, aponta como os criminosos têm se aproveitado de aspectos psicológicos para fazer com que suas vítimas paguem os resgates, mesmo no caso onde as empresas têm investido muito em treinamento para suas equipes.

Como o ramsonware e a engenharia social estão envolvidos nesse contexto?

Ransomware

Com o objetivo de estarmos todos na mesma página, vamos falar um poco sobre o Ransomware.

Ransonware, de acordo com a tradução do site do CERT do governo americano, é um tipo de software maliciosos ou malware, desenhado para impedir o acesso a sistemas e computadores ou dados até que um resgate seja pago.

Ransonware, tipicamente se propaga por meio de e-mails ou, visitando sites que estão infectados.

Os ataques de ransomware tem crescido muito nos últimos anos e a perspectiva para 2020 é que continue crescendo.

Em geral os ataques são simples, pode ser encontrado todo um arsenal pronto para isso na Deep Web incluindo o chamado Ransomware as a service .

O sequestro de dados tem dado resultados positivos para os criminosos que geralmente se beneficiam da utilização de criptomoedas para receber seus resgates e a característica de não ser tão facilmente rastreável.

Engenharia Social

Se o ransoware tem ganhado força nesses últimos anos a engenharia social tem estado em velocidade de cruzeiro a décadas.

Engenharia social de acordo com a definição do Wikipedia consiste na manipulação psicológica das pessoas, dentro do contexto da segurança da informação com o objetivo de obter informações ou fazer com que as pessoas executem uma ação desejada qualquer.

Se houvesse uma faculdade para criminosos digitais a engenharia social certamente faria parte do curso básico para quase todo tipo de atividade ilícita.

A parte mais frágil de todo o contexto de segurança da informação está no usuário, no indivíduo por assim dizer e os criminosos sabem disso e por meio das técnicas de engenharia social procuram atacar justamente esse elo da corrente.

As técnicas para isso são muitas e certamente cabem um post exclusivo para isso, no entanto vale a pena destacar os 6 princípios chave da personalidade que geralmente são explorados pela Engenharia Social.

1. Reciprocidade: As pessoas tendem a retornar um favor quando recebem por alguma coisa.

2. Comprometimento: As pessoas tendem a honrar seus compromissos quando concordam com ele de maneira consistente.

3. Prova social: Pessoas costumam fazer sem pensar o que outras pessoas estão fazendo.

4. Autoridade: As pessoas geralmente não questionam figuras de autoridade e tendem a obedecê-las de maneira cega.

5. Relacionamentos: As pessoas tendem a ser facilmente persuadidas por pessoas que das quais elas gostam

6. Escassez: Pessoas tendem a reagir sem pensar quando variáveis de escassez são incluídas no contexto.

Esses 6 princípios são exatamente os mesmos utilizados nas campanhas de marketing como técnicas de persuasão e com êxito absoluto, o que comprova sua eficiência tanto para levar os prospects até os produtos como para fazer com que as vítimas façam aquilo que os criminosos querem.

Como engenharia social e Ransomware tem se combinado?

Em princípio muito se comentava a respeito de como os criminosos convenciam os usuários a executar as ações necessárias para que o ransomware fosse instalado e colocado em funcionamento.

Como as formas mais comuns de propagação estão no e-mail e em sites infectados, o truque estava em fazer com que o usuário pudesse abrir os e-mails e provavelmente os arquivos que se encontram anexados a eles ou visitarem os sites onde os malwares possam ser baixados nos computadores.

As técnicas utilizadas para isso se baseiam nos 6 princípios acima, no caso dos e-mails, podemos citar os phishings (e-mails falsos) que comentam a respeito de uma promoção imperdível por tempo limitado (escassez).

Técnicas mais sofisticadas como as que mencionei no artigo sobre Ataques de compromisso de correio eletrônico empresarial vem ganhando corpo cada vez mais e consistem em e-mails fraudulentos onde o criminoso se faz passar por um alto executivo da companhia, pedindo com urgência algo que geralmente não se enquadra nos procedimentos da empresa em função de alguma emergência qualquer (autoridade).

E por ultimo para não me estender mais em uma lista quase infinita, a famosa síndrome da fila de balada (prova social), faço porque todo mundo está fazendo, se todo mundo tem visitado um site ou baixado um joguinho qualquer, vou fazer também.

Exemplo recente aquele que deixa a foto das pessoas mais velhas e misteriosamente foi bloqueado em alguns celulares por razões de segurança, além de muitas vezes o próprio individuo acabar sendo o vetor de propagação do malware justamente porque compartilha com sua cadeia de relacionamento a suposta vantagem que está recebendo sem saber que trata-se de uma bomba relógio.

Qual a novidade?

Com os recentes ataques realizados nos últimos anos, as empresas e os usuários têm se tornado um pouco mais atentos aos problemas que podem ser gerados pelo ransomware, mas por outro lado os criminosos têm explorado outras fragilidades humanas que vão além dos aspectos dos 6 princípios mencionados anteriormente.

Nesse caso, além de usar a engenharia social para fazer com que o usuário instale o malware no seu computador, paralisando suas atividades e em inúmeros casos de toda a empresa também.

Os criminosos estão desenvolvendo técnicas psicológicas para fazer com que as pessoas paguem os resgates.

Em muitos casos, uma empresa que está bem preparada e tem seus backups em dia, simplesmente, elimina a extorsão com a restauração dos dados criptografados.

No entanto, utilizando argumentos como compaixão, abandono, humilhação e responsabilidade. Tem afetado diretamente o psicológico dos usuários e os convencendo a pagar por resgates na esperança de que seus dados sejam recuperados, o que não acontece em muitos casos.

Os pontos mencionados acima foram descritos por Nir da seguinte forma:

· Compaixão: alguns sequestros têm informado que o dinheiro será destinado para obras de caridade, quando de verdade nunca ocorre.

· Abandono: apesar de algumas empresas terem investido em estrutura de backups, falta orientar os usuários quanto a quem recorrer em casos como esses. Por eles não saberem acabam pagando o resgate quando a solução poderia facilmente ser contornada pela equipe de Tecnologia ou de Segurança

· Humilhação: alguns usuários se sentem humilhados por terem sido enganados e serem os responsáveis indiretos pelos danos causados a companhia e dessa forma acabam pagando os resgates com o objetivo de se livrarem do peso dos seus atos.

· Responsabilidade: Algumas empresas encaram o pagamento ou não do resgate como uma decisão de negócios pesando o valor que está sendo pedido frente aos prejuízos causados pela paralização de suas atividades. A decisão por pagar além de não ser a recomendada pelas autoridades não garante que os dados serão recuperados e ainda por cima acaba incentivando a prática do ransomware utilizando valores de menor porte. Em outras palavras, os ataques acabam sendo mais numerosos com valores menores e portanto, mais lucrativos, porque por essa ótica compensaria muito mais pagar ao delinquente para ter seus arquivos de volta do que a paralização e o comprometimento da imagem da empresa em função do ocorrido.

Recomendações

O Ransomware assim como qualquer outra praga virtual é um ponto de atenção constante.

As perspectivas para o ano de 2020 apontam um incremento nesse tipo de ataque e a equipe de segurança tem que estar atenta.

Manter backups atualizados e constantes podem ser o diferencial entre uma recuperação rápida das operações ou ceder a extorsão de um criminoso sem qualquer garantia de que seus dados serão recuperados.

Um trabalho sério e constante de conscientização pode evitar muita dor de cabeça já que o elo mais fraco da cadeia também é o mais exposto e como vimos não basta apenas orientar, mas ter uma estrutura onde os usuários possam recorrer em casos como esses e outras dúvidas é fundamental, em uma palavra: amparo.

E por fim, apoiar o corpo diretivo para que as decisões sejam tomadas de maneira consciente e da melhor forma possível, ceder a chantagem não é garantia de recuperação e pior incentiva uma prática funesta que deve ser combatida a qualquer custo.

Esses e outros textos sobre segurança podem ser encontrados aqui no meu BLOG ou no meu Medium.

Se quiser saber um pouco mais sobre mim, poderá encontrar mais informações no meu Linkedin.

O que aprendi com o livro No Hero — The Evolution of a Navy Seal de Mark Owen com Kevin Maurer

No Hero é o segundo livro produzido Mark Owen o mesmo autor de “No Easy Day” .

No hero conta a estória sobre como Mark se tornou SEAL.

Durante o tempo que serviu, Mark participou de importantes destacamentos, sendo que os mais conhecidos foi resgate do capitão Phillips e a Operação Lança de Netuno no Afeganistão responsável pela capturada de nada menos que Osama Bin Laden. (Coincidência ou não Operação Netuno, foi o nome dado a operação de desembarque na Normandia).

Você que começou a ler esse artigo pode me perguntar: — Ok, Iberê. O que um livro sobre um SEAL americano pode trazer de útil na minha vida.

Na verdade, acredito que o mais importante nesse livro não está no fato de ser ou não um militar americano mas sim, nas coisas que o autor aprendeu nessa jornada e como ele compartilha essa experiencia.

Nós lemos livros, ou assistimos canal do YouTube (como o DPFN), porque com informação nos tornamos pessoas melhores.

É sobre isso que trata esse artigo.

Destaquei alguns pontos no livro que quando bem observado sem dúvida nos tornam seres humanos melhores.

Determinação

A primeira e na minha opinião a lição mais importante que Mark nos passa no livro diz respeito a determinação.

Mark vivia no Alaska e é filho de uma família bem simples, mas desde cedo se interessou por ser SEAL. Lia livros, assistia a filmes colecionava objetos relacionados aos SEALs como todo aficionado por alguma coisa, até que de fato atingiu a idade e teve a oportunidade de entrar nas forças armadas onde seus sonhos começaram a tomar forma.

Durante esse tempo teve uma série de oportunidades bem mais atrativas naquele momento de vida, mas que não o levariam para o fim que ele desejava.

Mesmo assim, manteve o foco e a determinação para buscar o que queria até conseguir.

Determinação é como um motor 12 cilindros, ele á capaz de gerar uma quantidade incrível de energia e te levar para onde você precisa, mas por outro lado precisa estar sempre sendo abastecido.

Se você deixar acabar o combustível é bem provável que a determinação acabe e você abandone tudo aquilo com que você sonhou.

Eu pessoalmente posso atestar isso, da mesma forma que Mark sonhava com os SEALs eu sonhava com aviação. Aviação militar no Brasil não ia me satisfazer, queria estar com os grandes e a aviação comercial era o meu sonho.

Ler o livro vai te mostrar o que é ser determinado, continuar lendo esse texto vai te ensinar o que você não deve fazer quando você tem um sonho.

Sempre sonhei grande e na época, 30 anos atrás (exatamente) o top era piloto de 747 da VARIG. Hoje a Varig não existe mais e acredito que nenhuma companhia nacional opere o 747.

Com 16 anos eu mal sabia tirar um carro da garagem, mas sabia decolar e pousar um monomotor sem maiores dificuldades.

Estava no caminho certo até porque na época a única rota disponível pra mim era o Aeroclube de São Paulo.

No entanto, 3 anos depois as coisas começaram a se perder quando eu passei a dar mais importância para a experiencia dos outros do que ao meu próprio sonho.

E pior, com 19 anos pensei que estava no controle de alguma coisa ou mesmo dos eventos do meu próprio futuro.

Acabei abrindo mão e de certa forma me arrependo de não ter chegado lá e somente depois de ter vivido todas aquelas boas e más coisas que ouvi, ter decidido se deveria seguir ou não.

Se você tem um sonho, uma meta ou um objetivo, tenha certeza de que se você vai abrir mão dele é em função das coisas que você controla e não daquilo que você ACHA que pode acontecer no futuro.

Temos muita dificuldade em separar as coisas que realmente conseguimos controlar das coisas que achamos que controlamos e os eventos que o futuro e a vida trazem são totalmente inesperados e incontroláveis.

Isso nos leva a outro ponto do livro do Mark.

3 foot world

3 foot world (mundo dos 3 pés) se refere aos pontos de apoio que você mantém durante uma escalada.

Nesse momento nada mais importa a não ser a estrita concentração no presente, nos procedimentos e em qual serão os próximos passos.

No livro, Mark conta como ele aprendeu isso durante um treinamento em escalada no qual ele começou a divagar sobre a possibilidade de uma queda e nos eventos que isso poderia acarretar.

A possibilidade da queda e esses eventos não estavam sob seu controle e a única coisa com a qual ele deveria de fato se ocupar é onde seria o seu próximo ponto de apoio para seguir escalando.

Esse conceito não é novidade, os estoicos na Grécia já ensinavam sobre isso:

Algumas coisas estão em nosso controle, enquanto outras não estão. Nós controlamos nossa opinião, escolha, desejo, aversão e, em outras palavras, tudo aquilo que é originado pelas nossas ações. Nós não controlamos nosso corpo, propriedade, reputação, posição e, em outras palavras, o que não é originado pelas nossas ações.

– Epictetus

Depois de milhares de anos ainda não conseguimos diferenciar o que está ou não sob nosso controle e a quantidade de problemas que isso nos traz entre medos infundados, crises de ansiedade, perda de concentração e julgamentos incorretos.

Ademais, o século XXI com esse incansável bombardeio de informações não tem facilitado em nada e é por isso que temos que ser lembrado por soldados americanos o que filósofos gregos nos ensinaram a mais de 2000 anos.

E por falar em informação, o livro do Mark traz mais um ponto no qual estamos falhando miseravelmente.

Comunicação

É impressionante como trocamos informação sem nos comunicar de forma adequada.

Somos muito bons em trocarmos uma serie de abobrinhas por meio das medias sociais e dos canais de comunicação que temos disponível, mas falhamos miseravelmente quanto ao seu conteúdo.

Nos comunicamos mal com nosso time no trabalho, com nossos filhos e com nossos pais.

No livro Mark comenta sobre uma espécie de reunião que é feita após cada missão onde de maneira aberta e sincera se comenta os pontos positivos e negativos de cada missão.

Nesse momento não há hierarquia e nem ressentimento só a troca sincera e aberta de informações com o único objetivo de melhorar individualmente em grupo com os erros e acertos.

No dia a dia de uma vida regular, evitamos o conflito ou os temas que não gostamos, tudo em nome de evitar situações desagradáveis e manter relacionamentos que no tempo se tornam cada vez mais artificiais depois de tanto ressentimento varrido para debaixo do tapete.

Por outro lado, comunicação não é simplesmente falar, mas também ter a capacidade de ouvi, sem se sentir ofendido ou ameaçado com a opinião alheia, mas tentar extrair o melhor para si ou para todos com base no que estão dizendo sobre você. Reconhecer seus erros com humildade e tentar ser cada vez melhor naquilo que faz e como pessoa.

Afinal é para isso que estamos aqui.

Agindo dessa forma você constrói confiança ao seu redor tanto de você para as pessoas como das pessoas com você.

Saber que você pode contar com sua equipe (seus filhos e família) e vice versa certamente é um aliado para os desafios que a vida trará.

E por falar em confiança isso nos traz para o último ponto que eu gostaria de destacar sobre o livro.

Swin buddy

Swin buddy é a versão da marinha para o melhor amigo.

Não estou falando dessa versão água com açúcar que os adolescentes de hoje em dia chamam de BFF (Best friend forever) e que geralmente vem seguindo de um coraçãozinho ou com mãozinhas fazendo coraçõezinhos.

Estou falando de amigos que podem enfiar o dedo na sua cara e dizer que está fazendo uma baita cag…. e que você é um grande FDP por estar fazendo ou agindo dessa ou dessa forma.

A via funciona nos dois sentidos, obviamente você deve fazer o mesmo com ele porque ele não espera nada menos do que isso da sua parte.

Essa não é uma tarefa fácil atualmente, se você tem alguém que possa fazer isso com você de forma sincera, livre de interesses ou segundas intenções, tente mantê-lo por perto o máximo que sua vida permitir.

A superficialidade dos relacionamentos de hoje em dia e a fragilidade emocional que existe, torna muito difícil construir relações dessa natureza.

Tentar apontar ou emitir uma opinião sincera fica sempre limitada ao risco de atingir certas suscetibilidades e acaba-se criando mais inimizades do que amizades sólidas que supostamente esse tipo de atitude poderia trazer.

Imagino que em situações militares onde os relacionamentos são essenciais para a manutenção da própria vida em campos de batalha é muito mais fácil ter o swin buddy. O interesse é único, manter vivo a ambos.

Pense sobre isso, você de fato tem um swin buddy na sua vida ou você está a altura de ser um swin buddy de alguém? Vale a reflexão.

Em resumo

Gostei bastante do livro.

Não é um livro de auto-ajuda e tão pouco pode ser considerada propaganda americana (ao menos não vi assim).

Achei muito interessante conhecer a experiencia do Mark desde o momento da decisão em se tornar SEAL até o momento de sair.

Estórias de determinação sempre me atraíram e o mundo está cheio de exemplos.

Obviamente que nem tudo deve estar escrito, mas os pontos que destaquei no texto, valem muito a reflexão.

Recomendo a leitura do livro e procurar extrair o que é positivo da experiencia dele.

Esse e outros textos também podem ser encontrados no meu Blog, onde falo algumas coisas sobre Segurança da Informação e Fotografia.

Não deixe de visitar meu canal do Youtube, tem bastante assunto interessante por lá.

Conheça também o ILRanieri Photography, um site dedicado a venda de imagens de algumas das minhas viagens e fotografias street.

Também pode me encontrar no Instagram e no Facebook.

E se quiser saber mais sobre meu lado profissional pode me encontrar no Linkedin.

Livro: Nômade Digital. Um guia para você viver e trabalhar como e onde quiser

Finalmente um livro que de fato agrega informação para quem busca saber um pouco mais sobre a vida do Nômade Digital.

Como um ex-gerente de segurança da informação que vive no Chile nos últimos dois anos foi se interessar por um livro de Nomadismo Digital?

A resposta, é bem mais óbvia do que parece. Minha mudança no Chile ocorreu em função de uma nova posição que minha mulher assumiu aqui em Santiago.

Depois de ficar praticamente 2 anos em uma ponte aérea infernal entre São Paulo e Santiago, a cada 15 dias, resolvi apostar na vida em outro país e quando se fala em América do Sul o Chile é a joia da coroa ou pelo menos era antes do tal estalido social ou primavera chilena (isso é tema para outro blog).

Uma baita oportunidade, estava em um momento da vida em que tinha recurso para bancar uma espécie de um sabático e buscar uma forma de trabalho que não fosse aquela do mundo corporativo.

Lamentavelmente só fui encontrar o livro Nômade Digital. Um guia para você viver e trabalhar como e onde quiser do Matheus de Souza depois de dois anos.

Não tenho como mudar o passado e não me arrependo de todas as coisas que tenho feito aqui no Chile, mas certamente posso fazer um futuro melhor e esse livro juntamente com as dicas do site da Rock Content, ajudam bastante.

Afinal o que é um Nômade Digital?

De acordo com a definição dada pela RockContent:

“Nômade digital é um profissional que trabalha online e, portanto, não precisa estar presente em um escritório, cidade ou país em particular. Ele pode trabalhar em qualquer lugar do mundo, desde que tenham uma boa conexão à internet.”

Os nômades digitais, em geral são freelancers, empreendedores, trabalhadores remotos ou um mix de todos eles.

Enfim, se alguém tem condição de por intermédio de tecnologia conseguir trabalhar sem a necessidade de estar presente no seu ambiente de trabalho, pode ser considerado como nômade digital.

Sobre o livro

Chega de papo furado, vamos aos pontos importantes.

O Matheus quebra alguns paradigmas a respeito da ideia que se faz sobre ser Nômade Digital e seguramente de todas elas a mais emblemática é o estereótipo do carinha de bermuda, camisa com estampas florais e chapéu panamá, sentado na praia com um notebook no colo e trabalhando.

Tirando a parte do trabalhando o resto é fake, obvio que depois de mais de 20 anos de informática, praia, água salgada e computador sempre foram coisas que me arrepiavam até os ossos.

Sempre desconfiei dessa imagem.

Nunca pensei em colocar meu precioso notebook em um ambiente inóspito como esse e ter a confirmação do Matheus de que isso era lenda já foi super importante e de fato deu muita credibilidade ao livro.

O Matheus não tenta vender o sonho, mas passa uma boa dose de realidade para quem quer viver o sonho do nômade digital.

Alias, dentro do estereótipo acima a parte que o Matheus mais reforça e o “trabalhando”.

O fato de você se dedicar ao nomadismo digital não quer dizer que você vive férias intermináveis, como qualquer autônomo, precisa trabalhar e muito.

Vale lembrar que comida, hospedagem e deslocamento não caem do céu, tem que pagar por ele e como todo autônomo, se você não trabalhar no final do mês, o dinheiro não vai brotar na sua conta.

O lado positivo é que você consegue trabalhar em qualquer lugar do mundo (com boa internet), seja de Santiago, São Paulo, Bangkok, Budapeste ou San Francisco. E pra muita gente isso não tem preço.

Planejamento

Há muito tempo aprendi que planejamento é o que diferencia entre realizar uma jornada ou atividade de forma consciente de uma aventura.

O capítulo que fala sobre planejamento é mais uma razão para se levar o livro a sério.

Nesse ponto, Matheus destaca a importância de ter um planejamento pessoal, ter uma meta e se dedicar a ela.

Por outro lado, talvez o conselho mais importante seja conhecer a si mesmo. Conhecer suas forças e limitações, saber quais são seus pontos fracos e as oportunidades que você tem nesse momento de vida fará toda a diferença para aqueles que gostariam de abraçar a vida do Nomadismo.

Se você for uma pessoa que tem muito apego pelo lugar que vive e o contato constante com parentes e amigos, pode ser que essa não seja a sua praia.

O mesmo serve para pessoas que gostam da rotina do mundo corporativo e da ilusão da estabilidade.

Agora, para os mais desapegados, certamente ter a oportunidade de passar um bom tempo as margens do Mar Egeu e ainda seguir produzindo e ganhando para isso pode ser um convite bastante tentador.

O que fazer?

Bom essa, parte está diretamente relacionada com a anterior.

Obviamente você precisa se conhecer muito bem para saber o que fazer e do que gosta.

Tem muita gente que coloca a vida em uma espécie de piloto automático, principalmente quando você trabalha no mundo corporativo, os desafios e os problemas já vêm prontos e embalados nos pacotes motivacionais das empresas.

Um amigo meu costuma dizer que, na empresa quando você tem muitos problemas e não sabe por onde começar geralmente seu chefe te liga e resolve esse dilema por você rapidinho.

Quando se é nômade não tem um chefe para te ajudar ou incentivar a decidir por onde começar e tampouco existe um piloto automático. É você e você mesmo.

Se você, como muitos, tem dificuldade em descobrir o que fazer pode tentar se basear em uma outra metodologia que encontrei recentemente chamado IKIGAI.

Não vou entrar muito a fundo nisso aqui, não é o foco, mas em linhas gerais é descobrir:

· Aquilo que você ama;

· Aquilo que você é bom;

· Aquilo que o mundo precisa;

· Aquilo que você pode ser pago para fazer;

Se você encontrar algo que combine as 4 descobertas acima, certamente você vai encontrar o que fazer e é muito provável que o fará de maneira feliz.

Conexões

Criar boas conexões é outro ponto bem salientado no livro do Matheus e vamos combinar que isso não é novidade.

Em qualquer atividade que você esteja desenvolvendo ter as conexões certas ajudam muito o seu trabalho.

Funciona tanto no ambiente corporativo como com no nomadismo digital. A menos que você queira ser um eremita digital, esse ainda não sei como funciona e nem sei se existe.

A troca de experiencias parece ser mais intensa quando se trata de nomadismo digital.

O que entendi é que quando você encontra outros nômades existe uma certa afinidade automática que não se limita aos aspectos de negócios, como acontece nos ambientes corporativos.

Alguns aspectos e experiencias pessoais entram no contexto, o que acaba enriquecendo essas conexões. Obvio que, oportunidades de negócios podem surgir, mas as relações se tornam mais sólidas porque há um reconhecimento instantâneo de que todos estamos no mesmo barco.

Como esse reconhecimento surge de maneira intrínseca e não porque alguém está dizendo. Existe uma legitimidade e um comprometimento maior com essa troca de experiências e a construção dessa rede de contatos.

Por fim

Não estou recebendo nada de ninguém que mencionei aqui nesse texto, não conheço o Matheus nem pessoal e nem digitalmente. Até gostaria porque gostei muito da abordagem e de como ele transmitiu a realidade do que é ser um nômade digital.

Queria muito ter tido contato com esse material antes, certamente teria me ajudado a focar em uma serie de pontos que comecei a me atentar somente agora.

Recomendo muito a leitura, principalmente para aqueles que buscam uma vida de nômade digital ou mesmo para aqueles que procuram ter uma forma mais virtual ou remota de trabalho.

Esse e outros textos também podem ser encontrados no meu Medium, onde falo algumas coisas sobre Segurança da Informação e Fotografia.

Não deixe de visitar meu canal do Youtube, tem bastante assunto interessante por lá.

Conheça também o ILRanieri Photography, um site dedicado a venda de imagens de algumas das minhas viagens e fotografias street.

Também pode me encontrar no Instagram e no Facebook.

E se quiser saber mais sobre meu lado profissional pode me encontrar no Linkedin.

Impossível me esconder hoje em dia. Rsrsrs

Já mordeu a língua alguma vez na vida ou como dizem por aí pagou a língua?

Pois é, foi justamente o que aconteceu comigo nessa viagem à China.

Como eu vi em um quadro de um restaurante na Patagônia: Viajar é descobrir que todo mundo está errado sobre outros países.

Pesquisando um pouco mais descobri que a frase é de Aldous Huxley autor de alguns livros como Admirável Mundo Novo.

Huxley faleceu em 1963 mas a frase atribuída a ele nunca foi tão presente como nessa viagem à China.

Em se tratando de China duas semanas é muito pouco.

Passar somente duas semanas naquele país e dizer que conhece alguma coisa é o mesmo que cumprimentar aquele velhinho do outro lado da rua que você nunca viu e achar que sabe algo sobre ele.

Saímos do Chile e a viagem do Chile até a China é extremamente longa foram 9 horas de Santiago a Atlanta, mais uma conexão de 10 horas e mais 15 horas de vôo de Atlanta até Xangai.

Diferente do estilo de viagem que estamos acostumados, nossa viagem foi toda feita com o acompanhamento de guias.

Honestamente não sei como poderia ser diferente. Na China você se torna um semi-analfabeto. A diferença que falta para se tornar um total analfabeto são algumas sinalizações que você encontra em inglês.

Cordialidade rara

A primeira surpresa que tivemos foi a cordialidade do povo chinês. O chinês que conhecemos dos comércios de falsificados do Brasil ou daqueles grupos barulhentos de viajantes que encontramos não tem nada a ver com os chineses que encontramos na viajem.

Na sua grande maioria foram educados e atenciosos e super atentos com o que os filhos estavam fazendo ao redor. Tivemos a impressão até de um certo rigor na educação das crianças, bem diferente da geração de vidro que está surgindo no ocidente.

O governo tem investido na educação e na formação do povo e o reflexo disso é que ao menos nas cidades, encontramos com um nível de educação bem diferente.

É um processo de transformação longo e não conseguimos ver se se estende ao campo também, mas o fato é que está acontecendo.

Xangai

Xangai a primeira cidade da nossa jornada é uma mega cidade é a China do futuro como disse um dos nossos guias, apesar de suas raízes históricas a Xangai que conhecemos é uma cidade centenária e quando se trata de China, um país com mais de 5.000 anos de história ter algumas centenas de anos é pouco.

A vista do distrito financeiro (Pudong), uma das partes mais novas da cidade é para lá de impressionante. A comparação com Nova York, o centro financeiro do mundo é imediata e honestamente não fica para traz.

Xangai está localizada na costa central da China na foz do rio Huangpu além de ser a maior cidade da China com mais de 20 milhões de habitantes, também possui o maior porto.

Ahhh e o maior Starbucks também.

Não é só a modernidade que move Xangai. tem muita religiosidade também.

As maiores religiões na China são o Budismo, o Taoismo e o Islamismo.

O Budismo originário da Índia é a maior das três, seguido pelo Taoísmo, essa já originária da China, mas por ser uma religião mais discreta não se encontram muitos templos a vista como os do Budismo.

Saímos de Xangai com destino a Pequim tomando um trem de alta velocidade onde começou a segunda parte de nossa viagem.

Pequim

Pequim é uma cidade bem diferente de Xangai.

Em Pequim não se vê muito a modernidade de Xangai concentrada em apenas um local, mas sim em vários pontos da cidade.

O turismo em Pequim é diferente, aqui encontramos a China de ontem. A cidade sede do governo há centenas de anos presenciou dinastias de imperadores, revoluções e o surgimento de governos até chegar na China que conhecemos.

Na praça da Paz celestial (Tinaman) encontra-se a entrada para a Cidade Proibida, leva esse nome porque na época dos imperadores era proibido a entrada no local. Hoje em dia é praticamente um museu a céu aberto.

E cheio, muuuuiiiito cheio de turistas em sua grande maioria chineses.

Também conhecemos o Palácio de Verão do Imperador que é de longe um dos parques mais bonitos que já vimos.

A outra grande atração da cidade de Pequim é a Muralha da China, mais de 20.000 km de Muralha construído durante milhares de anos para proteger a China da Invasão dos Mongóis.

A viagem me deixou com uma curiosidade muito grande sobre a história da China, mas o pouco que ouvimos e baseado nos comentários dos guias que conhecemos. É que a China sempre foi um país pacato (ao menos no passado).

O espírito chinês parece que sempre foi mais de proteger-se do que atacar e se isso estiver de acordo a Muralha da China é um grande exemplo.

A religiosidade marca sua presença em Pequim, e lá conhecemos o templo do Lama com a maior estátua de Madeira de Buda já construída, 18 metros esculpido em uma peça única.

Aquela rua de comidas exóticas (com escorpião, grilos e etc….) não existe mais e o nosso guia nos garantiu que isso é só pra turistas e que os chineses gostam mesmo é da boa e velha carne de porco.

Xian

A terceira e última cidade da viagem foi Xian, novamente um trem de grande velocidade nos levou de Pequim até lá.

Se você quer chegar no horário nas cidades da China vá de trem, os horários são de precisão Suíça, agora se você não fizer questão de horário pode ir de avião, esses não têm muita precisão não.

O aeroporto é mais arrumadinho, mas atrasa, o trem não atrasa mas a estação parece com as rodoviárias de São Paulo.

Xian é o passado do passado se Pequim tem séculos, Xian tem milênios, é a casa dos guerreiros de Terracota (argila mesmo). O primeiro guerreiro foi encontrado na década de 70 por um camponês que estava cavando um poço em busca de água. Depois de relatar o achado, o governo e uma equipe de cientistas e pesquisadores identificaram outros 2000 que foram desenterrados e parece que existem mais uns 6000 que são intencionalmente mantidos enterrados para conservação. Os guerreiros são coloridos e geralmente estão fragmentados por conta dos sismos na região, já as suas cores duram apenas 3 horas quando expostas ao ar e a luz e leva quase 1 ano para se remontar um guerreiro completo.

Fim de viagem

Com isso terminamos nosso olá pela China, um país realmente surpreendente. Posso garantir que saí de lá com mais curiosidades do que cheguei.

Uma das nossas guias disse:

Viajar é como ler um livro, cada lugar que visitamos são páginas que vamos lendo durante toda uma vida.

Se isso for verdade tenho certeza de que duas semanas na China não deram nem pro primeiro parágrafo da orelha da capa.

Não deixe de visitar a China, ainda que duas semanas não seja suficiente para entender ou conhecer boa parte de sua cultura e suas belezas a experiência valeu muito a pena.

Não deixe também de ver o vídeo que fiz sobre a China no YouTube.

E se quiser ver as fotos da viagem podem encontrar no meu site: ILRanieri Photography ou no Facebook e Instagram.

BYOD — Bring Your Own Device

BYOD é um conceito onde os colaboradores podem utilizar seu próprio dispositivo (computador, celular, tablet e qualquer “outro etc.” que possa existir) em atividades profissionais dentro da empresa.

Em outras palavras, se a empresa disponibiliza um notebook i3 com 4gb de RAM e 250 GB de HD que atende perfeitamente a necessidade do negócio, mas ao invés disso o geek do departamento de marketing gosta do top tecnológico e prefere ir trabalhar com um Alienware i9 de 64GB de RAM 2TB de disco e placa de vídeo de última geração (nem sei se existe), sem problemas, também pode.

Você vai perguntar: É isso mesmo? Virou festa?

Agora qualquer um pode trazer o que bem quiser e acessar os dados da empresa?

Pois é. É isso aí, em um mundo onde fuga de dados, ramsoware, vírus, phishing são uma constante dor de cabeça para segurança da informação como isso pode ser concebível?

E celulares então, em alguns casos acaba envolvendo o ego da pessoa no processo. O negócio demanda um celular simples, mas você quer ter o último modelo do Iphone e obviamente não quer andar com dois telefones.

O tema não é recente o acrônimo BYOD, veio das festas BYOB (Bring your own Beer/Bottle) traga sua própria bebida. Para festa funciona que é uma maravilha, (bom, nem sempre as vezes o aparece cada cerveja que era melhor não trazer) e para empresas trazer cerveja realmente não daria certo, mas mesmo trocando o B (Beer) pelo D (Device) no acrônimo, ainda tenho minhas dúvidas.

Como maior parte das coisas da vida, o BYOD tem suas vantagens e desvantagens.

As vantagens são que empresas que tem adotado o BYOD, reportaram ganho de produtividade e redução de custos, além de parecerem mais atrativas por passarem a impressão de uma empresa mais flexível e portanto, uma imagem mais positiva, principalmente quando se trata de usar o próprio celular e o próprio tablet.

- E as desvantagens? Você me pergunta.

Bom. Você tem tempo? Porque a lista é grande.

Com os funcionários trabalhando em qualquer lugar e a qualquer hora a empresa precisa investir em medidas de segurança que impeçam que seus dados acabem onde não deve (em um leilão na deepweb por exemplo).

Outro ponto, questões trabalhistas podem ser levantadas alegando disponibilidade do colaborador em função do acesso aos dados da empresa a qualquer hora do dia incluindo fora do horário regular de trabalho. No Brasil isso pode ferir o Direito de Repouso previsto na Constituição Federal e na CLT.

Celulares são frequentemente perdidos e roubados, e com isso vão juntos dados ou o acesso a rede corporativa. Ainda nessa linha os colaboradores pedem demissão ou são demitidos e junto com isso podem levar os dados da empresa, já que o celular é dele, ele não tem que devolver o aparelho.

Celulares e Tablets também são compartilhados com membros da família e hoje são a ferramenta universal de distração de crianças durante o jantar ou quando os pais não querem ser importunados.

Se uma criança de 3 anos apertando os botões aleatoriamente em um celular consegue fazer uma chamada ou até mudar o idioma do aparelho para algo incompreensível. Qual a garantia que por um mero acidente, dados relevantes também não poderão ser apagados.

A equipe de TI tem que começar a monitorar a utilização de um dispositivo pessoal tomando um cuidado enorme para não invadir a vida privada do usuário e lembrando que essa separação pode ser bem tênue dentro do aparelho.

Muitas dessas ferramentas têm a capacidade de rastreio e pode ser que o celular com o sem o indivíduo seja encontrado em lugares pouco convencionais a um estilo de vida corporativo.

Tudo isso pode trazer consequências bem amargas para a organização em âmbito jurídico. Principalmente, se por meio de MDM (Mobile Device Management) a empresa resolve zerar (wipe) o celular inteiro do ex-funcionário para garantir a segurança das suas informações.

Atualizações são outra dor de cabeça, a imensa maioria das ferramentas de MDM não acompanha as constantes atualizações de versão dos sistemas operacionais dos telefones (pelo menos não imediatamente) e uma vez que o telefone pertence ao individuo ele certamente vai querer ter a ultima versão de sistema operacional instalada para poder usar os últimos e-mojis ou qualquer outro implemento.

Brilhante, lá se foi o sincronismo e o monitoramento com MDM por alguma incompatibilidade entre a versão nova do S.O. e o agente do MDM ou um eventual container.

Se o celular pertence a empresa, ela dita as regras (ainda que as vezes isso seja descaradamente ignorado), mas as políticas podem ser bem mais incisivas com respeito a utilização do dispositivo, o que não ocorre quando o celular pertence ao próprio indivíduo.

Se entre uma reunião ou outra ou entre um relatório ou outro ele resolve conferir as ultimas imagens enviadas pelo Whatsapp dos amigos do futebol ele estará livre para fazer, ainda que isso traga consequências catastróficas para ele, para sua conta bancária e para os dados da empresa caso acabe navegando por lugares pouco recomendados.

Sem falar no número do telefone, que indiscutivelmente pertence aos usuários e com um eventual desligamento dele da empresa todo o direcionamento dos contatos continua sendo para ele.

Outro aspecto está relacionado ao consumo de dados, quem paga a conta? Se for a empresa e o usuário estourar de tanto assistir os vídeos da SecAdvisory sobre segurança ou do DPFN e por conta disso tornar sua própria operação indisponível, como fica? Ou se for o próprio dono do aparelho, como fica a conta dele após aquela conferência de 4 horas com o cliente internacional via vídeo?

Os exemplos são intermináveis aqui, já vi casos de contas astronômicas de telefone porque o colaborador resolveu tirar férias e esqueceu de fazer uma gestão correta de Roaming Internacional e a conta do celular era paga pela empresa.

Parece que a lista de desvantagens dá de 7x1 (maldade com os brasileiros) na lista de vantagens.

Então porque temos números superiores a casa dos 50% em termos de adoção da prática do BYOD?

Porque é um movimento natural, assim como a nuvem e muitos outros que surgiram e irão surgir a muitas delas as custas do sono dos administradores de segurança.

E como disse um dos Diretores que tive: “O time de segurança não tem que parar o rio, mas sim mostrar qual o melhor caminho para ele correr.”

Porque ele vai correr quer o time de segurança queira ou não.

Li muitos artigos chamando BYOD de tendência, mas acredito que algo que exista a mais de cinco anos no mundo de hoje já deixou de ser tendência a muito tempo, é um fato.

As empresas que têm visto isso como tendência, certamente já estão tendo que correr atrás do prejuízo tanto em termos de imagem como em termos de segurança porque certamente seus colaboradores já estão usando seus próprios dispositivos e sem as capas de proteção ou o treinamento necessário para isso.

- OK. Iberê e como eu saio dessa então?

Como tudo em tecnologia (e no mundo) não tem uma solução única e mágica para todos os tipos de problemas.

A equipe de TI, juntamente com a equipe de segurança de informação e riscos (se existir), devem entender o que está por traz da necessidade de um BYOD e principalmente. QUAIS OS RISCOS ENVOLVIDOS para não ficarem expostos a ataques cibernéticos, problemas legais e de reputação que a sua implementação pode trazer.

Pode ser que determinados departamentos sejam mais amigáveis ao BYOD do que outros.

Lançar mão de uma política bem escrita, MDM e criptografia de dados confidenciais pode ser um começo, mas nada disso deve ficar sem entendimento prévio.

Já existem soluções disponíveis no mercado que vem com o pacote completo, desde monitoramento passando por anti-virus, criptografia, anti-jailbreak até o full wipe do celular. Mas tem que ser acordado, o dono do dispositivo tem que estar ciente de que SE ele quer usar o dispositivo dele (serve para o notebook e o tablet também) ele arrumou um sócio e bem mandão e que de uma hora pra outra poderá requisitar o controle de algumas funções relacionadas ao negócio ou limitar a liberdade de uso do próprio aparelho.

É uma troca. Se todos estiverem de acordo, segue o jogo, do contrário melhor revisar o apetite de risco da empresa relacionado a implementação do BYOD ou até onde ela quer deixar isso ir adiante.

Esse texto também pode ser encontrado no meu Linkedin ou no meu Blog

Seus dados não tiram férias.

Com a proximidade das férias de final e início de ano, estamos em um bom momento para falar sobre segurança da informação em hotéis. Tudo bem, se você não é um desses privilegiados que nos próximos meses estará em algum hotel no nordeste do Brasil e muito pelo contrário, vai estar em algum hotelzinho mais ou menos, ralando em um projeto pessoal ou profissional, esse texto também serve para você.

Faz muito tempo que um pré-requisito para se escolher hotel é ter Wifi e de igual forma faz muito tempo que os hotéis oferecem esse tipo de serviço, a menos que seja um daqueles hotéis estilo, desconecte-se do mundo e odiamos tecnologia. (Um terror para Nerds ou pseudo-nerds como é o meu caso.)

- Pô Iberê, vai azedar minhas férias com esse papo de segurança mesmo?

É…, vou, na verdade se você levou tudo mas esqueceu de levar a pulga da segurança que fica atrás da orelha. É ela que vou colocar de volta.

Existem dois aspectos referente a segurança da informação em hotéis que precisam ser levados em consideração.

O primeiro deles é menos tangível aos clientes mas fica sempre sendo um ponto de atenção e se trata de como o hotel mantém suas informações pessoais. Geralmente você fornece um caminhão de informações para os hotéis no momento do check-in por meio do preenchimento de um papel ou uma entrevista que depois são carregados em algum sistema de gestão de clientes ou de reservas. Incluindo dados relacionados ao seu passaporte e cópias de documentos.

- Tá mas eu só fico em hotéis grande e de redes conhecidas, corro esse risco também?

A rede Marriot revelou esse ano que 383 milhões (é muito zero) dos seus clientes, tiveram os seus dados comprometidos em função de um vazamento em seus sistemas de reserva.

Hilton em 2017 tiveram que pagar mais de 700.000 para Nova York e Vermont para resolver dois vazamentos de dados que comprometeram mais de 363.000 cartões de crédito.

Se quiser mais, pode ver esse artigo: What have hotels done on Cybersecurity since the Marriot Hack?

Obviamente como toda grande empresa DEPOIS do incidente tomou as medidas cabíveis e investiu nos devidos sistemas de proteção que segundo eles são auditados, mas não foram revelados ( e na minha opinião nem deveriam, isso só da satisfação para quem não entende e adianta o processo de reconhecimentos dos hackers para um próximo ataque).

O volume de informações manipulado pelos hotéis e uma abordagem no mínimo insuficiente em termos de segurança da informação os tem transformado em um alvo gigantesco para esse tipo de ataque.

Mas, como eu disse quanto a isso não há muito o que fazer a não ser cobrar providências caso você tenha sido premiado com o seu nome na lista de informações vazadas por ataques como esse e monitorar pela internet como tem sido as reações frente aos último problemas.

Empresas sérias costumam reagir de maneira séria.

Você vai me dizer. — Ah. Iberê, mas eu não devo nada pra ninguém, minha vida é um livro aberto e meus dados estão por aí mesmo.

Dados são sempre valiosos, você pode não saber para que ou para quem, mas eu posso te garantir que são.

Esse é o problema da mentalidade do latino americano, nós nos importamos somente quando o problema atinge proporções financeiras, mas em nenhum momento paramos para pensar que esses vazamentos de dados podem trazer riscos reais a nós, nossa família e até mesmo serem usados como informações para uma posterior fraude financeira.

O outro aspecto é mais palpável está relacionado com a rede WIFI dos hotéis.

A rede WIFI no hotel pode e deve ser considerada como uma rede pública, portanto deve ser revestida de todos os cuidados necessários para utilização desse canal.

Turistas, principalmente os que viajam para o exterior veem na rede wifi do hotel o paraíso para desafogar o período de abstinência em que foram mantidos por força das caríssimas taxas de uso de dados cobrados pelas operadoras.

Chegar no hotel de volta de um passeio antigamente era momento de relaxamento, banho e drinks no bar, atualmente é a hora de voltar a se conectar com o mundo, mandar os selfies que ficaram entalados e saber das últimas notícias via Whatsapp.

De acordo com informações (do que parece ser o único país no mundo preocupado em medir as coisas), somente nos Estados Unidos foram reportados que mais de 22 milhões de viajantes foram vítimas de cyberataques em hotéis.

Os viajantes acabam se tornando alvo fácil porque estão sempre buscando por redes abertas e nesse momento acabam encontrando um Evil Twin (redes que imitam redes legitimas) ou um Rogue Access Point (para encurtar, vamos dizer que é um roteador do mal) onde hackers podem passar a monitorar o tráfego de dados dos seus dispositivos ou baixar algum malware de captura de dados e coletar dados bem mais sensíveis que simplesmente o seu nome.

Portanto para não ter suas férias comprometidas ou ter uma desagradável surpresa na volta da viagens, muito cuidado com as conexões que fizer, busque sempre por redes confiáveis, de preferência que não sejam abertas ou que possam aportar algum tipo de confiança no momento da conexão.

Caso contrário é melhor deixar para mandar aquela selfie tomando água de coco uma outra hora.

Mais uma vez. PARE. PENSE. CONECTE.

Esse texto também pode ser encontrado no meu Linkedin ou no meu Blog

Se está conectado, tem que estar atento.

Sempre desconfiei que cedo ou tarde alguém faria uma matéria sobre isso, desde que mudei para um apartamento novo no Brasil e via meus vizinhos colocando aquelas fechaduras super chiques com números e biometria ao invés de chave, pensava que cedo ou tarde ia ter problema. — Eu fiquei com a boa e velha chave.

Uma matéria da SC Magazine de 18 de dezembro de 2019 traz um alerta sobre o risco das câmeras de campainha.

A reportagem conta o caso de uma pessoa que teve sua câmera de campainha sequestrada — do ponto de vista digital, óbvio — e passou a sofrer ameaças raciais.

Na mesma matéria a um outro breve comentário sobre o sequestro de uma dessas câmeras de berço e novamente houve ameaças sobre a possibilidade de sequestro dos bebês.

Isso não é novidade e tampouco é algo que somente hackers russos (ou brasileiros, lembrando que lamentavelmente também estamos na crista da onda com o tema) conseguem fazer.

Basta uma visita rápida ao Shodan.io e buscar pelo seu país preferido e sua câmera preferida que certamente você vai encontrar um IP disponível e com aquelas famosas senhas básicas (admin, 123456, amor, love, etc…) e a partir daí pode passar a curtir seu Reality Show sem que o dono do dispositivo perceba.

Aqui é o momento onde o barato acaba saindo caro. Nem sempre comprar aquelas câmeras de segurança baratinhas fabricadas naquela país oriental superpopuloso é um excelente negócio. A maioria delas faz um roteamento das suas imagens sei lá onde antes de chegar no seu computador ou celular. (Basta perder um tempinho e dar uma olhada no tráfego que entra e saí de lá). E segundo, que as camadas de proteção beiram ao ridículo, quando existem.

Se você chegou ao ponto de estar preocupado com a sua segurança e da sua família, não vá tapar o sol com a peneira.

ACHAR que está seguro é muito pior do que ter certeza de que não está.

Invista em um equipamento que tem um fabricante conhecido por traz, que você pode encontrá-lo e que pode te dar algum suporte e atualização em caso de problema. Afinal é sua segurança que está em jogo.

Ainda falando na sua segurança e na de sua família.

Esse ano na conferência de Segurança 8.8 que ocorre aqui em Santiago foi apresentado um estudo feito por Cecilia Pastorino e Denise Giusto ambas da welivesecurity.com, sobre a vulnerabilidade existente em brinquedos sexuais.

Primeiro, eu não tinha a menor ideia de que existia tanta variedade de itens assim. Segundo que existem uns que se conectam pela internet e terceiro talvez o mais inusitado, que alguns desses podem se conectar entre casais onde cada um estimula a ferramenta do parceiro por internet.

Funciona igual uma sala de bate-papo. Você combina um horário, cada um se conecta no dispositivo do outro e começa a brincadeira virtual.

E é aí que mora o perigo como dizemos no Brasil. Foram encontrado falhas de segurança nas conexões de bluetooth, ou seja, é possível interceptar a troca de dados entre o dispositivo e o celular e alterar as parametrizações do dispositivo. É como se o dispositivo tivesse definido para operar numa velocidade 3 e de repente fosse alterado para trabalhar em velocidade 10. Ou mesmo alterar o schedule de funcionamento da coisa para um outro horário qualquer do dia.

Já no caso das conexões via Internet a coisa fica mais grave ainda, porque é possível assumir o controle de uma sessão aberta entre os parceiros que supostamente iriam começar a brincadeira e passar a participar do jogo sem que nenhum dos dois saiba do que está acontecendo.

Como fica isso? Será que pode ser considerado como um estupro?

Os IoTs, assim como todas essas modernidades do século XXI chegaram para trazer benefícios, no entanto os usuários das facilidades dos IoTs e outros dispositivos conectados a rede tem que ter a consciência do que estão fazendo.

Como mencionei em um artigo anterior. PARE. PENSE. CONECTE.

Uso consciente é o melhor uso que existe.

Esse texto também pode ser encontrado no meu Linkedin ou no meu Blog

De acuerdo con el informe anual de la empresa Pindrop de 2014 hasta 2108 las fraudes por intermedio de voz tuvieron un incremento de 350%, siendo que el año de 2018 fue uno de los más fuertes.

Los principales tipos son los fraudes sobre seguros, seguido de las empresas de retail, bancos y empresas de crédito.

La utilización de la voz tiene crecido en los últimos años, aunque los usuarios las tengan utilizado para temas más triviales como controles de aparatos domésticos el crecimiento apunta para formas de autenticación por voz también.

Como de costumbre todo el desarrollo tecnológico trae nuevos retos para la ciberseguridad y nuevas posibilidades de explotación generalmente vienen junto con dichos incrementos.

La Ingeniería social es uno de los temas que además de los avances tecnológicos sigue presente, justamente porque busca explotar el enlace más débil de toda la cadena, el ser humano. El incremento del uso de voz en diversas actividades de nuestras vidas ha suministrado un pasto farto para los estafadores expertos en las técnicas de ingeniería social.

En términos de empresas, los principales blancos obviamente son los call centers. Acá encontramos dos problemas muy comunes:

· El primero es la baja inversión en capacitación para los temas de seguridad de información para los ejecutivos

· Segundo un gran giro de personas. Obvia y lamentablemente cuando se tiene que poner un ejecutivo al trabajo lo mas pronto posible se va a priorizar los aspectos operacionales y la atención al publico dejando los puntos de seguridad en segundo plano, en los casos que dejan porque muchas veces no se dedican a eso,

Las prácticas más comunes de ataque a los call centers son:

1. Reinicio de Contraseña: donde el estafador se pasa por el titular de la cuenta afirmando que se olvidó de su contraseña

2. Minoración de informaciones: en este caso los estafadores buscan aprender como es la forma de operación de los call centers para buscar puntos débiles de ataque, tanto los call center con interacciones humanas cuanto los digitales.

3. Ingeniería Social: un de los temas mas amplios que existen, con un sinfín de técnicas.

4. Uso de información personal: prácticamente no pasa un mes en que no ocurra una filtración de informaciones masiva que son muy prontamente expuestas en internet. Los estafadores que utilizan esas informaciones pueden hacer pasarse por otra persona fraudando los procedimientos de identificación automática por medio de suministro de informaciones personales.

5. Tomar el control de las cuentas personales y cambiar número de teléfonos y contraseña

6. Identidades Sintéticas, creación de una nueva identidad mezclando datos reales y datos ficticios de una persona para crear una nueva.

Cómo siempre en los temas de seguridad no hay una formula única para arreglar toda la cuestión, cada caso y cada operación deben ser analizada en busca de los puntos mas débiles del proceso para implementar mejoras positivas en todos los escenarios y con un justificativa razonable en términos de inversión.

Solamente herramientas no arreglan el problema, solamente rever procesos y formación tampoco son suficientes. El balanceo de todos eses puntos y una gestión activa de todo lo que está pasando dentro y fuera de la organización son las mejores estrategias de defensa.

Abajo sigue el link para el reporte.

https://www.pindrop.com/wp-content/uploads/2019/11/Pindrop-2019-Voice-Intelligence-Report-Final-Layout.pdf

Se você acredita nisso, pode ter certeza de duas coisas:

1 — Parabéns, você poderia estar numa situação bem pior e

2 — Isso está bem longe de ser o suficiente.

Nesse ponto no mínimo você deve estar pensando: “Pronto, lá vem outro terrorismo sobre segurança da informação e que a qualquer momento posso ter meus dados ou meu rico dinheirinho roubado.”

Bem, você acertou, em parte é um pouco de terrorismo sim, mas também tem uma grande parcela de reflexão. — Não fuja fique até o final do texto, já está aí mesmo.

Alguns aspectos de segurança da informação funcionam como campanha de vacinação, todo ano alguns governos iniciam campanhas contra determinadas doenças com o objetivo de buscar uma melhor imunização da população e manter o controle de determinadas doenças que poderiam ter consequências catastróficas.

A consciência sobre os riscos e as boas práticas em termos de segurança da informação tem o mesmo efeito. Ela busca criar uma camada de proteção em no elo mais fraco da cadeia, o próprio usuário.

Da mesma forma que acontece com as campanhas de vacinação, se não alcançar um grau razoável de imunização, toda a comunidade (nesse caso podemos pensar em empresas) pode continuar em risco de ter suas atividades paralisadas, graves perdas financeiras ou até o fim das suas operações (já vi isso acontecer.)

Em outras palavras, se você é alguém que faz o seu dever de casa e se mantém atento as melhores práticas relacionadas aos programas de conscientização da empresa como:

· questionar a origem de determinados e-mails,

· ter sempre em mente que não existe lanche de graça quando se trata de promoções e

· principalmente manter-se atento a qualquer desvio de processo ou funcionalidade anormal dos seus dispositivos e processos diários

· tem cuidado ao se conectar em wifi publico

· mantem seus dispositivos atualizados e

· etc….

Mas por outro lado o seu vizinho de mesa acha isso puro papo furado, coisa de filme que dificilmente pode acontecer com ele (geralmente esse tipo também não participa das campanhas de vacinação de gripe). — ok, sem ser tão pesado como dizem aqui no Chile — vamos dizer que ele é simplesmente distraído. Não importa, esse individuo continua sendo uma porta que pode ser explorada, porque através dele todo o cuidado que você está tomando pode vir abaixo e acabar por comprometer todo o ambiente.

Vivemos em um mundo interconectado e um equipamento infectado, infecta a outros e podem comprometer sistemas inteiros de organizações e do governo também. Vejam o caso que passou com New Orleans recentemente relacionado a um ramsonware. Certamente os exemplos não param por aqui.

Existem aproximadamente 7 billões de dispositivos conectados e estima-se que até 2025 esse número vai triplicar principalmente em função do IoT.

O êxito dos ataques relacionados a spear phishing e as práticas de engenharia social são enormes e em função disso sua utilização tem sido cada vez mais difundidas.

É preciso que os temas de conscientização de uso seguro das tecnologias estejam diariamente na mente das pessoas para que o elo mais fraco da cadeia possa ser fortalecido e mantido assim.

Durante os eventos do mês de conscientização sobre os temas de Segurança da Informação que geralmente acontecem em Outubro. Algumas organizações que fomentam esse evento procuram lembrar as pessoas de 3 Coisas.

PARE. PENSE. CONECTE.

PARE: Antes de usar a Internet, tome um tempo para entender os riscos e quais os potenciais problemas que estará exposto.

PENSE: Tome um tempo para ter certeza de que o caminho está limpo e principalmente tenha consciência de que o que você fará não irá expor você, sua família ou sua empresa a riscos.

CONECTE: Disfrute a conexão com a Internet com a convicção de que você tomou as medidas corretas para proteger a você, seu computar ou qualquer outro dispositivo.

Uma excelente mensagem que precisa ser dita constantemente até que seja realmente fixada na cabeça de todos.

Diferente da campanha de vacinação que acontece somente uma vez ao ano, os problemas relacionados a segurança acontecem durante todos os 365 dias.

• Fonte:https://www.techradar.com/news/the-cyber-security-rebellion

Esse texto também pode ser encontrado no meu Linkedin ou no meu Blog