A segurança da informação está em alerta vermelho

Quando ocorreu o ataque do WannaCry, tive interesse em iniciar uma investigação  para saber a sua origem e como o ataque foi desenvolvido

seguranca-informacao-politica temproario

Jeferson Propheta (*)

O que encontrei foi que a exploração usada remonta os vazamentos de informações de um grupo hacker que aconteceram no ano passado e neste ano. Foram cinco vazamentos realizados por hackers e em um deles, conhecido como “Lost in Translation”, continha informações sobre aproximadamente 37 ferramentas/vulnerabilidades e uma dessas era a Eternal Blue, a vulnerabilidade que foi explorada pelo WannaCry.

Algumas das ferramentas divulgadas nesses vazamentos chamam a atenção pelo grande poder bélico que têm, com níveis de exploração bem diferentes do que estamos acostumados a ver no mercado. São realmente “armas cibernéticas”.

Além disso, em março deste ano, o WikiLeaks vazou cerca de 8700 documentos e dentro desses arquivos existem informações sobre novos malwares que impactam diretamente smartphones, smart TVs e sistemas operacionais. Esses malwares são diferentes do que costumamos ver, eles trazem um formato de framework, é algo muito mais elaborado e que inclui toda uma metodologia desenvolvida para orquestrar um ataque. Esses documentos disponibilizam informações de como conduzir um ataque desde o implante, a logística para que o malware infecte uma máquina, a fase de desenvolvimento do malware com a distribuição de novos executáveis dentro da máquina e a manipulação de outras vulnerabilidades, e por fim uma espécie de central de comando para orquestrar todo o ataque com sucesso.

Atualmente também ouvimos rumores de que este mesmo grupo que vazou as informações criou uma espécie de “clube de assinaturas”, chamado wine of the month club. Na deep web, esses criminosos vendem as informações e os interessados em praticar o cibercrime podem assinar um serviço e receber periodicamente kits com dados sensíveis de bancos e empresas, vulnerabilidades de roteadores, smartphones e sistemas operacionais recentes, com informações detalhadas de como usá-los. Não se sabe se este clube está realmente funcionando, mas a possibilidade é bastante assustadora.

Que existe um comércio de malwares no submundo da internet não é nenhuma novidade, mas este comércio até pouco tempo apenas vendia malwares. Agora vemos ameaças muito mais elaboradas, muito mais avançadas e muito bem documentadas, até mesmo com manual de uso. O conhecimento do crime organizado está subindo, técnicas avançadas de exploração, ocultação e manipulação de malware pouco conhecidas agora estão disponíveis para criminosos usarem em seu próprio beneficio.

O que podemos prever é que com tantas vulnerabilidades e ferramentas publicadas, é óbvio que irão acontecer novos ataques, e eles podem ter um poder destrutivo muito maior do que qualquer outro ataque já visto.

Os ataques WannaCry e Petya foram uma amostra do que pode ser feito com esse tanto de informação disponível. Muitas ideias novas ainda podem surgir, essas 37 vulnerabilidades vazadas em conjunto com esses frameworks nos colocam em um marco na história da cibersegurança global. Existe muito armamento disponível e muito conhecimento sobre como manipular este armamento.

Estamos em uma situação militar, um alerta vermelho. A qualquer momento podem acontecer novos ataques avançados e as empresas precisam estar preparadas. Para se preparar para a guerra não basta se munir de novas armas, é preciso também estratégia.

O futuro pode ser muito ruim e ele depende do que for feito a partir de agora. Não existe bala de prata e nem mágica para esta situação. O que as empresas precisam fazer é começar a construir suas defesas de forma eficiente. As que já têm uma estrutura de defesa precisam construir um plano de defesa, testar as ferramentas, fazer exercícios, entender bem qual é a postura de segurança e conhecer a sua real capacidade de reação.

(*) É diretor de serviços de segurança da McAfee para a América Latina.

74 vagas para programa de trainees

A Tata Consultancy Services (TCS), empresa líder em serviços de TI, consultoria e soluções de negócios, está com 74 vagas abertas para seu programa de trainees em São Paulo (SP), Belo Horizonte (MG), Vitória (ES) e Itatiaia (RJ). As contratações terão início em agosto e os alunos selecionados passarão por dois meses de treinamento antes de entrar diretamente nos projetos, que irão envolver diversas áreas de atuação da empresa, como: Assurance, SAP, Oracle, Infraestrutura, Java, Agile, dotNet e tecnologias digitais.
Os candidatos precisam estar no penúltimo e último ano da faculdade - ou ter concluído o curso em 2016 ou 2017 - e ter inglês intermediário ou avançado. Os cursos buscados são Ciências da Computação, Análise de Sistemas, Tecnologia da Informação, Administração e Engenharias em geral. Também são imprescindíveis características como capacidade analítica, visão sistêmica, proatividade, capacidade de trabalhar em grupo e vontade de aprender.
O processo de seleção dos jovens terá três etapas. A primeira será a inscrição através do site do Vagas.com no link: www.vagas.com.br/v1549219, até final de agosto, e contará com testes de português, inglês e raciocínio lógico. A segunda fase incluirá dinâmicas de grupo e redação (em inglês e português) na própria TCS. Já a terceira e última será um painel de entrevista com executivos da companhia.
Os selecionados serão contratados em regime CLT, com direito a vale transporte, vale alimentação, assistência médica e odontológica, seguro de vida, cursos de capacitação em parceria com escolas e universidades.
“Nós estamos sempre em busca de bons profissionais com vontade de aprender e queremos investir no potencial dos jovens que estão entrando no mercado de trabalho. Essa iniciativa, por exemplo, já faz parte do calendário anual da TCS. Ano passado o programa foi voltado para o treinamento de jovens talentos e esse ano estamos mirando a contratação”, explica Parameswaran R., Head de Recursos Humanos da TCS Brasil.

Você já é 4G+?

EE-4 temproario

Existe um ditado sobre os telefones celulares: o seu celular favorito é sempre o seu próximo. Então, se você estivesse trocando de celular, o que você teria em mente? É claro, o telefone mais rápido sempre será a primeira opção. Enquanto diversos telefones modelo Plus estão em alta, você já começou a procurar o seu próximo celular 4G+?
A única maneira de dominar o mundo móvel após a 4G é pavimentá-lo com as experiências mais rápidas de navegação na Internet e chamadas em alta definição. Os chips SC9860, o SC9861 e o SC9850 series da Spreadtrum, por exemplo, já oferecem suporte total para conectar diversos aparelhos ao 4G+. Abaixo, listo 3 tópicos sobre o 4G+ para ajudar todos a entenderem o que há de melhor nesta tecnologia.

1. 4G+ e a Internet com velocidade flash
Os celulares 4G+ usam uma tecnologia conhecida como agregação de operadora (CA, na sigla em inglês), que funciona como uma cola que une duas ou mais operadoras a fim de fornecer aos usuários maiores larguras de banda e taxas pico multiplicadas. Já existem soluções que agora podem suportar agregação de operadoras bidirecional e com banda total CAT 7, bem como rede híbrida TDD+FDD com velocidades de downlink de até 300Mbps e velocidades de uplink de até 100 Mbps para possibilitar uma experiência de Internet 4G+ com velocidade ultrarrápida. De agora em diante, a transmissão de vídeo será sempre perfeita e a conexão não cairá mais para interromper o seu jogo online.

2. 4G+, chamada online ultraclara e navegação em alta velocidade
“Alô... o que você disse? Não consigo escutar...” é um fato comum que muitos de nós já experimentaram. Mas as chamadas de áudio e vídeo em alta definição 4G+ VoLTE colocam um ponto final nessa história e você pensará que a outra parte está bem ao seu lado. A VoLTE é um tipo de tecnologia de transmissão de dados IP onde tudo é levado por uma rede 4G usando um canal da rede dedicado para dados móveis, atingindo a fusão dos serviços de voz e dados em uma única rede. Assim, a VoLTE pode fornecer melhor qualidade de voz e estabilidade, além de uma taxa de amostragem de áudio 2,2 vezes melhor. Isto significa que você pode navegar na Internet em alta velocidade e fazer uma chamada online ao mesmo tempo, com a chamada de vídeo em alta definição também sendo suportada.

3. 4G+, 3 segundos para conectar
Além disso, a VoLTE na 4G+ reduz o tempo de conexão drasticamente. Celulares normais levam 8 segundos para concluir o processo de discagem e recepção, enquanto um VoLTE leva apenas 3 segundos, reduzindo significativamente o tempo de espera, além da taxa de queda de chamadas ser praticamente zero. Nesses dias de movimentação rápida, o 4G+ permite que você reserve um tempo precioso para as pessoas que realmente importam para você.

(Fonte: Onofre Tamargo, diretor da Spreadtrum na América Latina).

O investimento no certificado digital

Antonio Sérgio Cangiano (*)

À certificação digital se tem, injustamente, atribuído a fama de ser uma infraestrutura cara. Levando em conta o valor médio dos certificados, de R$350 e considerando que a validade média é de 3 anos, significa dizer que o preço está em anuais R$ 116,70 por ano ou cerca de somente R$ 10 por mês.

Devemos analisar esse preço à luz dos investimentos envolvidos. Preferimos por isso dizer “investimento” no lugar de custo, porque segurança é investimento, mesmo sabendo que parte dos "entendidos nas empresas" formem a opinião de que é custo. Para nós, cuidar da segurança representa buscar efeito positivo direto nos negócios, o que se tem demonstrado irreal com as novas tecnologias. Vejamos: se um carro pudesse tirar o valor agregado do airbag, um item essencial de segurança, custaria mais barato, mas colocaria em risco a vida das pessoas.
Analisemos o outro lado da certificação digital para entender que o preço até hoje cobrado é fruto da instalação de uma infraestrutura privada, e também pública, da ordem de centenas de milhões de reais, iniciada há mais de 15 anos no Brasil se considerarmos a indústria privada, e cerca de 20 anos quando consideramos a infraestrutura pública. O nome já diz uma parte do que queremos expor: Infraestrutura de Chaves Púbicas do Brasil (ICP- Brasil), que significa, sem necessitar de profundos conhecimentos, em ativos imobilizados e ativos intangíveis, de alto valor agregado, que só com os anos são conquistados.
A ICP-Brasil é centrada em padrões de segurança internacionais e garante interoperabilidade em todo território nacional e em todo mundo, na rede mundial de computadores. Hoje, cada Autoridade Certificadora (AC) deve possuir, e garantir, duas salas cofres, ou seja, para garantir cerca de 99,98% de disponibilidade contínua e a não interrupção de serviço de validação de certificados digitais, 7 dias da semana, 24 horas por dia. Afinal, as normas internacionais exigem redundância e tempos mínimos entre falhas (MTTR em inglês).
Esse “airbag” que é a certificação digital, para a segurança de todos, ainda para funcionar exige investimentos de mais de U$ 2 milhões em equipamentos e instalações técnicas, adicionando-se a isso os custos operacionais relativos a aluguéis de instalações prediais, pessoal direto e indireto, redes de computadores, energia elétrica etc.. O que podemos estimar milhões de reais por ano.
Além disso, hoje a certificação digital conta com biometria, o que tornou outra infraestrutura necessária para coleta das minúcias biométricas, armazenamento e recuperação online, também com redundância e disponibilidade 99% ao ano e serviço ininterrupto, providos pelos pontos de serviços biométricos. Estamos falando em um investimento milionário.
Mas a segurança oferecida pela certificação digital não para por aí. Para a emissão de certificados, a infraestrutura conta com mais de 11 mil agentes de registros e mais de 15 mil funcionários na administração direta e indireta. Atualmente, há 14 Autoridades Certificadoras de 1º nível, 61 AC´s de 2º nível, 613 Autoridades de Registro que oferecem mais de 5 mil pontos de atendimento por todo território nacional, com mais de duas mil instalações técnicas, todas conectadas à internet por VPN´s privadas e com tunelamento criptografado para segurança das emissões de certificados. Tudo isso conforma ativos da ordem de mais de U$ 4 bilhões.
Essas infraestruturas no Brasil, que têm garantido índices de fraudes da ordem de 0,008%, ou seja, próximas de zero, têm um custo elevado. Têm suportado transações da ordem de valores monetários equivalente a 71% do Produto Interno Bruto (PIB). Só no agronegócio, que hoje com a crise é o carro-chefe na composição do PIB, a certificação suporta 90% das transações. A certificação digital permite uma economia fabulosa com os sistemas de emissão de notas fiscais eletrônicas e a escrituração fiscal, garantindo arrecadação e mitigação da sonegação. Em 2016, 50 mil contribuintes do Imposto de Renda de Pessoa Física fizeram suas declarações com certificados digitais, um crescimento de 8,5% em relação a 2015 e que proporcionalmente tende a se ampliar ainda mais.
O preço do certificado digital, nesse contexto todo, se tem mantido baixo, por anos, graças justamente aos ganhos de escala e à entrada de novos players no mercado. Essa conjuntura de fatores e a concorrência tem permitido equilibrar preços baixos com níveis 5 de segurança padrão internacional. Por tudo isso, quando pensar em comprar um certificado digital, lembre-se que estará comprando serviços de segurança 24X7, com garantia de disponibilidade de 99%, que garantem 0,008% de fraudes mitigadas. Portanto, você usufruirá da segurança lógica, física (criptografia) e jurídica que só a certificação digital oferece.
Pense nessa tecnologia que já é presente no Brasil e que é a ligação com o futuro desburocratizado. Para nós, não resta dúvida de que a vida digital pressiona para facilitar e reduzir consumo de recursos naturais e de tempo hoje e com vistas no futuro.

(*) É diretor-executivo da ANCD (Associação Nacional de Certificação Digital).