iOT: Internet of things. Ou seria “Internet of threats”?

Saudações,

Muito tem se falado, nos últimos tempos, sobre o que o iOT nos trás de benefícios. Conectividade, facilidade, agilidade, sociabilidade, automatização, dentre outras, são algumas das muitas vantagens da possibilidade ter dispositivos inteligentes.

Imagine sua geladeira cuidar da gestão de sua feira, automaticamente, regulando o seu estoque de comida e já providenciando os pedidos, sem precisar de sua interação. Melhor que isso, só se ela arrumar as compras também, não é?

Carros conectados que já sabem o melhor trajeto e permitem um piloto automático bastante completo, permitindo momentos de relaxamento e Descanso em uma viagem longa.

Tv´s inteligentes que não só possuem um grande número de aplicativos, como também funções de jogos, navegação e outros itens legais, que nos dão a Liberdade de executar , inclusive, alguns tipos de trabalhos nelas.

E os smartphones? Compromissos, agenda, e-mail, social networking, gps, bancos e por ai vai. A lista de benefícios e possibilidades beira o infinito.

Até mesmo aquários inteligentes já temos, sendo possível controlar a temperatura da água, por exemplo.

E foi justamente um aquário inteligente que motivou esse texto.

Em julho desse ano, em um cassino nos USA, foi invadido através de um , pasme, aquário inteligente. O mesmo possuia uma série de sensores que regulavam temperatura, limpeza e até mesmo a alimentação dos peixes, enviando para um PC . À partir disso, a invasão ocorreu utilizando brechas existentes nesse Sistema, que permitiram o acesso ao computador e, depois disso, foi apenas o ato de “lateralizar” o ataque. Uma vez dentro, foi possível coletar dados sensíveis e evadir os mesmos da rede corporativa.

Você pode ler a matéria aqui: https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/?utm_term=.19c3fbf1c78f

 

Porque esse caso chamou a atenção? Porque , cada vez mais, estamos conectado dispositivos à internet, aparentemente, sem muito critério ou cuidado. Sobretudo, por parte do usuário final. O usuário quer facilidade. Usabilidade. Velocidade. Quantos de vocês trocam as senhas padrão de TODOS os sistemas de seus dispositivos inteligentes? A resposta para essa pergunta pode ser bastante assustadora.

 

Certo, Alberto. Devo então voltar à época pré internet e não utilizar nenhum dispositivo inteligente? Não, de jeito nenhum . O ponto não é esse.

Precisamos, no entanto, começar a desenvolver a cultura de alterar o padrão. Senhas e configurações. Exatamente por ser muito fácil de fazer (na maioria dos casos), poderíamos e deveríamos investir esforço nisso. E não pode ser uma iniciativa apenas de quem consome. Precisa, sobretudo, ser de quem produz e de quem dá assistência.

Sinto muita falta de iniciativas mais “user friendly” por parte dos especialistas em segurança da informação. Já ouvi de algumas pessoas, e concordo totalmente, que nós, profissionais de tecnologia, nos colocamos, por diversas vezes, um “pedestal” no melhor estilo “semi-Deus”, acreditando que todas as pessoas do mundo são OBRIGADAS a saber sobre tecnologia e os riscos associados. Considerando que, nos dias de hoje, SEQUER temos disciplinas nas escolas que capacitem nossas crianças a viver nesse mundo hyper conectado, Podemos assim perceber que o “buraco” é bem maior do que conseguimos medir nesse momento.

 

E o que fazer? Ações conjuntas. Fabricantes, especialistas e usuários. O iOT é sim um caminho sem volta. Pelo tanto de benefícios que nos trás. Mas não Podemos ignorar os riscos que o modelo trás junto com ele. Precisamos é de trabalho para mudar esse patamar.

Possível? Sim. Difícil? Muito. Não Podemos ignorar mais essa necessidade. Educação digital fará a diferença num futuro já muito próximo. E depende MUITO de nós, profissionais de tecnologia e segurança, fazer isso acontecer.

 

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

Anúncios
Publicado em Uncategorized | Deixe um comentário

BlueBorne – Vulnerabilidade Bluetooth – Atualize AGORA seu sistema!

Saudações pessoal,

Foi divulgada nos últimos dias uma vulnerabilidade de grandes proporções.

Que atinge todos os dispositivos que possuem a capacidade de se comunicar via Bluetooth.

O nome é BlueBorne.

A principal característica desta vulnerabilidade é a possibilidade de utilização de seus dispositivo, sem que haja a necessidade de interação por parte do dono do dispositivo. Bastando apenas que o Bluetooth esteja ativo.

Há um risco eminente da exploração dessa vulnerabilidade em worms e afins, que se espalhariam pelo ar, apenas pela proximidade dos dispositivos.

RECOMENDO que você DESABILITE suas conexões Bluetooth e não volte a utilizar, até o fabricante de seu dispositivo Bluetooth lançar a correção para o problema.

 

A Microsoft já disponibilizou os updates necessários para a correção.

Você pode encontrar os mesmos aqui: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628

 

 

Atualize seus sistemas o quanto antes!!!

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

Publicado em Uncategorized | Deixe um comentário

Host Resource Protection no Hyper-V 2016

Olá pessoal,

 

O Windows Server 2016 possui uma série de mudanças e novidades que vieram para melhorar, ainda mais, a segurança e confiabilidade dos ambientes virtualizados.

Uma das funcionalidades que considerei muito interessante e gostaria de compartilhar com vocês é a Host Resource Protection.

Basicamente, essa nova funcionalidade impede que uma VM utilize mais recursos do que deveria, monitorando os níveis de atividade da mesma.

Essa funcionalidade é desativada por padrão. Para ativar ela, utilize o seguinte comando:

 

Set-VMProcessor -EnableHostResourceProtection $true

Após executar o comando, será solicitado o nome da VM que você gostaria de monitorar. Basta digitar ela e clicar no enter. Você pode monitorar quantas VM´s quiser e tiver. Basta ir adicionando seus nomes ao monitoramento.

Caso não queira mais utilizar esse recurso, basta utilizar o seguinte comando:

Set-VMProcessor -EnableHostResourceProtection $false

Enjoy!!

Abraços,

Alberto Oliveira, CISSP

Microsoft MVP, Datacenter Management and Cloud

 

 

 

Publicado em Uncategorized | Deixe um comentário

Guia rápido de criação de senhas

Saudações Pessoal.

 

Hoje gostaria de falar sobre um tema que costuma tirar o sono dos sysadmins e, com toda certeza, dos usuários: A criação de senhas.

Complexidade, caracteres especiais, letras e números. E o famoso “post it” colado na tela do monitor para garantir que não vamos esquecer dela. Quem nunca? Todo mundo, invariavelmente, já teve essa dificuldade um dia.

Sendo assim, resolvi compartilhar uma maneira que considero acessível e relativamente simples, para que todos possam criar suas senhas com relativa facilidade e tenham , ao menos, uma dor de cabeça a menos nesse mundo , muitas vezes complexo, da tecnologia.

 

Vamos lá!

 

Passo 1: Crie uma frase simples, sobre algo que você dificilmente esqueceria.

Exemplos:

Meu filme favorito é batman begins

Gosto de pizza de calabresa

Sushi é minha comida favorita

 

Passo 2: Retire os espaços (se quiser) entre as palavras

 

Exemplos:

Meufilmefavoritoébatmanbegins

Gostodepizzadecalabresa

Sushiéminhacomidafavorita

 

Passo 3: Use substituição de vogais por números, seguindo a seguinte tabela:

A =4

E = 3

I = 1

O = 0 (zero)

U = U (u mesmo, rs)

 

Exemplos:

M3uf1lm3f4v0r1t03b4tm4nb3g1ns

G0st0d3p1zz4d3c4l4br3s4

Sush13m1nh3c0m1d4f4v0r1t4

 

Passo 4: Adicione pontuação a sua frase senha

 

Exemplos

M3uf1lm3f4v0r1t03b4tm4nb3g1ns!

G0st0d3p1zz4d3c4l4br3s4?

Sush13m1nh3c0m1d4f4v0r1t4.

 

Pronto! Sua senha fácil de lembrar e difícil de advinhar está devidamente criada!

Obs: Nos exemplos utilizei a primeira letra de cada frase maiúscula. Isso não é obrigatório. Pode usar minúscula, se quiser.

 

É importante lembrar que a Segurança da sua senha também está relacionada a não divulgação dela. NÃO distribua suas senhas para outras pessoas! Elas são de uso Pessoal e intransferível!!

 

O fato de criar um senha mais forte, como as descritas acima, não isenta a possibilidade da mesma ser descoberta ou capturada. Mas essa técnica de criação de senha deve, com toda certeza, auxiliar vocês nesse processo tão chato e complexo .

 

Uma última dica: EVITEM usar a mesma senha para TUDO!!!!! Por que?

Pela seguinte razão: Se alguém descobre nossa senha, e usamos APENAS UMA para tudo, esse alguém terá acesso à TUDO que aquela senha permitir. E nós não queremos isso, não é?

Então usem senhas diferentes para serviços diferentes!

 

Abraços,

Alberto Oliveira, CISSP

Microsoft MVP

 

 

 

 

Publicado em Uncategorized | Deixe um comentário

Serei eu um alvo em potencial para um “ataque cibernético”?

Saudações Pessoal!

Hoje resolvi abordar um assunto que, vez por outra, perguntam-me. Será que eu, individuo “comum” e “desinteressante”, posso ser um alvo para um atacante mal intencionado? A grande maioria das pessoas acredita não ser.

Infelizmente, posso afirmar que é sim. Vamos entender melhor.

Desde a popularização dos Smartphone, a quantidade de dispositivos conectados à internet aumentou absurdamente. Temos alguns milhões de equipamentos que hoje possuem acesso “irrestrito” aos recursos da web. Considere que, como eu disse em um texto anterior , não somos educados, do ponto de vista de Segurança da Informação, para o mundo como ele atualmente é. Então, na proporção que aumentou a quantidade de dispositivos, aumentou, também, a quantidade de pessoas com sistemas sem atualizações, softwares “piratas” ou simplesmente usuários sem um mínimo de preparação para utilizar as potencialidades dos equipamentos que possuem. Resultado? Milhares e milhares de sistemas vulneráveis às mais diversas ameaças, seja por falta de configurações adequadas, seja por ausência de atualizações de Segurança.

Certo, Alberto, mas eu cuido bem do(s) meu(s) dispositivo(s). Não sou famoso. Ninguém me conhece. Por que devo me preocupar?

Deixe-me exemplificar de modo a ficar mais claro, antes de entrarmos na questão que levantei acima (quantidade). Imagine que você, desinteressante que é, fez uma ótima viagem para conhecer a Argentina, ou um outro país de sua preferência e desejo. Passeio delicioso, boas companhias e fotos incríveis, que, obviamente, ficarão guardadas em suas lembranças e nas pastas mais queridas de seu computador, certo? E se, de repente, você simplesmente não pudesse mais acessar essas fotos, porque alguém as “sequestrou”?

-Como assim sequestrou, Alberto? No meu computador? Sem minha autorização?

Exatamente assim.

Existe uma nova forma de ameaça que vem crescendo assustadoramente. Um tipo de software chamado ramsomware. Ele, basicamente, *criptografa os dados de uma determinada pasta e, como apenas o indivíduo que promoveu o ataque possui a chave para desfazer esse processo, é “cobrado” um valor pelo resgate.

*Podemos dizer que criptografia é, de forma bem simplificada, um processo que embaralha os dados, utilizando uma chave específica, proibindo o acesso aos mesmos para quem não possui a chave.

Essas fotos são importantes para você, não é? Talvez não o suficiente para te fazer pagar para ter acesso a elas. Mas, certamente, existe alguma informação que você possui que te faria pagar um “resgate” assim. É de assustar, não é? Pois bem, esse é um pedaço do que é o nosso mundo, nos dias de hoje. Da mesma forma que existe essa ameaça, temos muitas outras presentes com outros tipos de abordagem. Não seria didático nem proveitoso descrever todas elas, tecnicamente falando. São muitas, com muitas formas de atuação e podemos, com alguns bons cuidados gerais, evitar a grande maioria delas. Incluindo o próprio ransonware.

Uma vez que entendemos a questão mais específica, vamos ao geral. Eu falei sobre a quantidade de pessoas conectadas e seus dispositivos, certo?

Vamos fazer uma analogia. Imagine que eu sou um terrorista. Eu quero causar um impacto em uma ação que quero fazer. Quero atingir o maior número possível de pessoas. Sendo assim, eu devo ir a um shopping center em minha cidade ou em um posto de gasolina em uma BR para realizar meu atentado?

Trazendo esse exemplo para a realidade da internet , hoje. Se eu tenho a intenção de conseguir roubar dados e cobrar resgate por eles, onde eu vou fazer isso? Onde eu tiver mais dispositivos. E, claro, onde eu entender que eles estão mais vulneráveis. Entende porque você pode, sim, ser um alvo em potencial??

-Certo, Alberto. Entendi. E o que eu faço?

Essa é uma ótima pergunta com uma resposta que não é necessariamente simples, porque envolve muitas coisas. Principalmente o fato de não sermos educados para utilizar a internet. Sabemos segurar um garfo, um copo, uma colher. Mas não sabemos , pelo menos nem todos de nós, que devemos manter nossos dispositivos atualizados e com as atualizações de Segurança mais recentes. E sim, eu comparei usar um Smartphone ao ato de utilizar utensílios domésticos para se alimentar e se hidratar. Porquê? Pelo simples fato de que falar no WhatsApp é tão ou mais comum do que comer de garfo e faca, nos dias de hoje.

Para não deixar vocês sem “nada”, deixo aqui a cartilha (http://cartilha.cert.br/)  que o cert.br disponibiliza, e que possui algumas dicas bem interessantes sobre como devemos proceder no uso de dispositivos conectados.

Volto a reforçar esse ponto. Precisamos nos educar, o quanto antes, para utilizar esse “mundo” de recursos que temos à disposição. Corremos riscos dos quais não nos damos conta. Precisamos, no mínimo, conhecê-los para saber como agir nesse complexo mundo conectado.

 

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

Publicado em Uncategorized | Deixe um comentário

A geração “mimimi”. Será mesmo?

Saudações Pessoal,

Dentro dos interesses que possuo no âmbito de Segurança da Informação, uma coisa que sempre me faz refletir e chama minha atenção, nos dias de hoje, é a velocidade com a qual a informação se propaga no mundo. Para o bem ou para o mal, a internet e, mais especificamente, as mídias sociais digitais, tornaram possível uma informação “navegar” pelo mundo em alguns poucos minutos. Às vezes, até segundos.

Considero, inclusive, que somos, sem exceção, uma sociedade despreparada, em nossa maioria, para lidar com isso. A velocidade da informação é algo tão absurdo que supera, em muitas vezes, a capacidade de abstração que muitos de nós temos sobre isso.

Tendo isso tudo em vista, vamos falar sobre o comportamento da chamada “geração mimimi”, que dá o título do nosso texto.
Continuar lendo

Publicado em Uncategorized | 1 Comentário

A polêmica do “Pokémon Go”

 

 

Saudações Pessoal,

 

Nas últimas semanas, o assunto do momento tem sido o Pokémon Go e suas “capacidades” de captação de informação do usuário. Existe até um texto que viralizou, falando sobre algumas possíveis teorias da conspiração sobre o assunto. Isso foi abordado, inclusive, pelo e-farsas .

Obviamente foi criado um certo “pânico” entre as pessoas sobre as possibilidades de suas informações (fotos internas de suas casas, apartamentos, etc) estarem a caminho de “mãos erradas”. Li, e li muita gente falando sobre isso.

Bem, temos motivo para isso? Talvez. Mas não por causa do Pokémon.

Sempre em minhas aulas e palestras gosto de usar a seguinte expressão:” Informação é poder. Se eu tenho informação sobre algo ou alguém, tenho poder sobre ela”. Exemplos recentes disso são as delações premiadas que vem ocorrendo nas operações da PF. Bem, se informação é poder, e o jogo coleta informações, ele está adquirindo poder, certo? Certo. Mas não é só ele.

Facebook, Instagram, Hotmail, Gmail e outros tantos aplicativos e redes sociais fazem a mesma coisa: Coletam informações e as usam para os mais diversos propósitos. Direcionar vendas, identificar grupos de interesse, criar conteúdo, gerar propagandas e por aí vai. Nessa mesma linha segue o Pokémon.

Temos o péssimo hábito de aceitar os contratos dos softwares que usamos e instalamos em nossos dispositivos sem os ler. Feito isso, ficamos espantados com essas “novidades”.

Precisamos aceitar um fato, até o presente momento, imutável: não temos mais privacidade. Pelo menos não como tivemos um dia. Ou, digitalmente falando, sem ter algumas perdas. Todos os sites (ou pelo menos a grande maioria) hoje se utilizam dessas técnicas de coleta de informações. O próprio Netflix tem seu modo de fazer essa coleta  .

Bem, se todos coletam e não é de hoje, o que eu posso fazer? A principio, não muita coisa. Os modos de coleta existem. As ferramentas, idem. Existem, sim, técnicas e formas de se ter uma navegação “próxima” do que seria essa privacidade. Mas não é tão simples e nem tão acessível para todo mundo. E nem é o objetivo desse texto.

 

Queria, no entanto, levantar um outro ponto sobre o jogo, que considero pertinente. Sempre, em todos os aspectos mais habituais da tecnologia, vemos as pessoas cada vez mais enfurnadas em seus “universos particulares”, interagindo socialmente cada vez menos e, pior, saindo cada vez menos de suas casas. O ato de precisar sair de casa para a caça aos pokémons, caminhar às vezes por 5 a 10 km para poder “chocar” os ovos faz com que as pessoas sejam “obrigadas” a se movimentar. Sendo o sedentarismo um mau da nova sociedade, estaria o Pokémon Go e as novas tecnologias de realidade aumentada na contramão disso? Apoiando uma vida de mais movimento? Na minha visão, sim. Em detrimento ao fato de que não temos , hoje, condições de Segurança suficientes para esse tipo de “esporte” nas capitais e interior aqui no Brasil , ainda assim o jogo veio para revolucionar, inclusive, isso. A forma de interação com a tecnologia.

Bem, Alberto. Devo me sentir “ok” com todo esse monitoramento?

“Grandes poderes trazem grandes responsabilidades, (Ben, Tio. Spiderman).”

Conseguir determinar tudo o que será feito com essa massa de informação é impossível. Temos as atuais tendências. E existem, pelo menos em outros paises, leis que garantem a privacidade de determinadas informações. As médicas, por exemplo. A HIPPA (Healt Insurance Portability and accountability)  é um exemplo disso, mas existe apenas nos Estados Unidos. De forma resumida, protege as informações relacionadas a saúde das pessoas, de forma a não ser possível coletar ou compartilhar as mesmas sem a devida permissão. No Brasil, até onde sei, não temos nada muito específico. E, infelizmente, temos pessoas sem o devido conhecimento criando as legislações e julgando os casos. Vide os casos recentes de bloqueio de whatsapp em nosso país. Já passou da hora de atentarmos para o fato de que o mundo mudou de forma absurda e que o que entendemos por “justiça” e “lei” talvez não se adeque a esse novo mundo. É preciso rever, estudar, pontuar, ponderar e mudar. A era digital veio para ficar. Cada vez mais temos nossa vida dependente desses meios e cada vez menos estamos preparados para lidar com todos esses desafios. É preciso parar. E iniciar a mudança. Não pode ser amanhã ou depois. PRECISA ser agora.

Não sei de que modo isso poderia ser feito. Talvez, com uma maior participação da comunidade dos profissionais de Segurança da informação no Brasil, que é vasta e possui indivíduos com MUITA qualidade profissional e técnica. Pessoas “do Mercado”, que entendem as ameaças e vulnerabilidades. E, obviamente, suas contra medidas. Não para depender apenas dos nossos legisladores. Eles não tem, e nem são obrigados a ter, o conhecimento necessário para esse tipo de ação. Precisa ser conjunta. Não é responsabilidade DELES. É NOSSA.

Enfim, ainda estamos engatinhando nesse sentido. E exatamente por isso considero saudável fomentar esse tipo de debate. Vindo do jeito “certo” ou não, polêmicas como a do Pokémon go servem para trazer a população para essa realidade: A realidade digital, que faz parte , de forma completa, de nossas vidas hoje e que a grande maioria de nós ainda desconhece bastante.

A privacidade , como conhecemos um dia, acabou. É preciso aceitar e aprender a lidar com isso. E depende muito de todos nós o entendimento e aprendizado de como bem viver com esse novo cenário.

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

 

 

Publicado em Uncategorized | Deixe um comentário