Uma corrida com barreiras digitais nas Olimpíadas

A abertura das Olimpíadas de Londres, em 2012. Hackers tentaram causar um blecaute na cerimônia (Foto: Tim Wimborne/ REUTERS)

Evitar ataques de hackers é um grande desafio para a organização das Olimpíadas do Rio de Janeiro

Dá para imaginar o estrago se, na cerimônia de abertura das Olimpíadas de Londres em 2012, vista por 900 milhões de pessoas ao redor do planeta, o estádio ficasse às escuras. Seria terrível a ocorrência de um blecaute no meio do discurso da rainha Elizabeth II ou da apresentação de Paul McCartney. As autoridades inglesas afirmaram, um ano depois dos Jogos, que hackers atacaram o sistema de fornecimento de energia ao estádio pouco antes da cerimônia, mas foram detidos pela equipe de segurança digital a postos. Ao longo dos Jogos de Londres, foram registradas seis ameaças graves de invasão digital, num total de 97 ataques. Nenhum atingiu o alvo, mas a situação preocupa. Nos Jogos, quase tudo depende de sistemas digitais – vendas de ingressos, exibição de resultados no placar e até a definição de alguns resultados. A par da situação, o comitê organizador da Rio 2016 afirma que segurança cibernética é prioridade.

Há um ano, o comitê organizador pôs em funcionamento um laboratório de testes de integração de sistemas. Ele deve fazer 200 mil horas de avaliações para asseverar a confiabilidade da estrutura digital dos Jogos, a exemplo de uma bem-sucedida experiência realizada em Londres. Entre os objetivos está barrar ataques cibernéticos. A Agência Brasileira de Inteligência (Abin) mapeou os grupos de hackers com maior possibilidade de atuar em grandes eventos. “Os grupos nessa lista trabalham com escala maior de ataques e demonstram mais conhecimento técnico”, afirma Rodrigo Colli, profissional da área de contrainteligência cibernética na Abin. Em Londres, para perceber os 97 ataques, o aparato de defesa digital detectou quase 200 milhões de incidentes que poderiam indicar ameaças (tão prosaicos quanto a digitação errada de uma senha). Precaver-se contra esse volume de problemas é uma tarefa interminável. “Para diminuir a vulnerabilidade do sistema, fazemos testes a partir de recomendações internacionais”, diz Bruno Moraes, gerente de segurança da informação da Rio 2016. “Mas nunca se consegue chegar a 100% de segurança. É uma busca contínua.” Além da Abin, a força-tarefa conta com a colaboração do Centro de Defesa Cibernética do Exército e do Comitê Gestor da Internet no Brasil.

A estrutura digital dos Jogos cariocas se organizou ao redor de duas redes digitais. Uma funciona como grandes redes corporativas. Concentra a organização das operações da Rio 2016, permite a execução de pesquisas e uso de e-mail pelos integrantes. A outra administra as provas. É a responsável por cronometragem e resultados. Por não ser conectada à internet, é bem mais segura que a primeira.

As precauções aumentam não só no Brasil. Para as Olimpíadas de Tóquio, em 2020, o governo japonês espera treinar 50 mil pessoas no setor público e empresas, a fim de aumentar o nível de segurança digital. A preocupação cresce diante da expansão do hacker ativismo – os agressores digitais que, em vez de lucro, buscam expor suas causas. Hackers ladrões continuam na ativa. Durante os Jogos, eles poderão se aproveitar da concentração de turistas para invadir, clonar e usar cartões de crédito, celulares e tablets. Mas o elemento mais novo e imprevisível nessa equação são os hackers ativistas. Por motivação política, eles podem simplesmente querer mostrar que conseguem penetrar em qualquer rede, causar danos à infraestrutura, exibir slogans e criticar patrocinadores e governos – basta multiplicar as inimizades políticas pelos 200 países presentes. Outro alvo óbvio é o site olímpico. A expectativa dos organizadores é atingir, ao longo da competição, em torno de 15 bilhões de visualizações de páginas, quatro vezes mais que na última edição.

A julgar pelos Jogos de Londres e Pequim, neste exato momento há muitos hackers em ação, mirando nas Olimpíadas. “A Copa do Mundo no Brasil foi mais atacada que a anterior, na África do Sul, e a tendência é que nossas Olimpíadas sejam também mais alvejadas que as de Londres”, diz Paulo Pagliusi, especialista em segurança cibernética. Será um teste ótimo para a competência cibernética de organizações e para os profissionais de segurança digital no país.

Fonte: Revista Época, 24.04.2016

Como não se perder com senhas

E-mail, conta de banco, redes sociais... Em meio a tantas exigências, vale seguir dicas de especialistas, como as do Dr. Paulo Pagliusi nesta entrevista ao jornal "O Globo"

Fonte: "O Globo - Economia & Tecnologia - 09Fev2016.

Por causa de uma senha esquecida, o professor Luiz Guilherme Santos perdeu o acesso a uma conta de e-mail que mantinha há dez anos, e sofreu com as consequências de ficar temporariamente sem um dos seus principais canais de comunicação. Mensagens de trabalho ou recados de amigos se perderam em algum servidor inacessível, provocando broncas e reclamações. E o pequeno drama vivido por Santos é cada vez mais comum, dado o crescente número de códigos para se guardar. Conta de banco, cartão de crédito e e-mails pessoal e profissional. Redes sociais aos montes, Netflix, programa de milhagem e outros serviços. Tudo protegido por senha, tudo passível de ser esquecido ou hackeado.

— Eu tenho o costume de deixar a conta conectada no computador e no celular, mas tive que alterar a senha há cerca de dois meses, e esqueci a senha nova. Tentei recuperar, mas não tinha cadastrado o meu número de telefone. Acabei tendo que criar uma nova conta — diz o professor. — As pessoas achavam que eu não estava respondendo às mensagens de propósito, mas não era o caso. Agora está tudo resolvido. Pelo menos eu recebo menos spams.

Para evitar os problemas com a memória, muitas pessoas escolhem o caminho mais simples: usar senhas fáceis. Um levantamento realizado pela firma de segurança digital SplashData apontou que as cinco piores senhas do ano passado foram “123456”, “password” (senha em inglês), “12345678”, “qwerty” e “12345”. A análise foi feita com a compilação de aproximadamente duas milhões de contas vazadas na internet ao longo de 2015. Pela primeira vez, a sequência “1234567890” apareceu na lista das 25 piores senhas, o que mostra que a exigência de mais caracteres nem sempre aumenta a segurança.

AJUDA DE APLICATIVOS

Além das sequências de números e letras, muitas pessoas recorrem a datas e informações pessoais para criarem suas senhas, o que também não é recomendado por especialistas. Elas são fáceis de lembrar, mas também são fáceis de serem descobertas por criminosos.

— As pessoas tendem a utilizar senhas que façam parte do seu universo, como time favorito, tendência política, nome do cachorro e datas especiais. O problema é que os criminosos cibernéticos também sabem disso — diz Paulo Pagliusi, diretor de Gestão de Riscos Cibernéticos da Deloitte. — Uma senha forte precisa ter maiúsculas, minúsculas, números e pontuação, com tamanho mínimo de oito caracteres. E a linguagem não pode ter nexo. Um hacker consegue varrer um dicionário em minutos usando força bruta.

Mas o problema das senhas seguras é lembrar. Anotá-las em um papel guardado embaixo do teclado não é recomendado, tampouco armazená-las em um arquivo de texto no computador. Pagliusi explica que é comum hackers utilizarem a chamada engenharia social para arquitetarem seus crimes, e essa técnica envolve espionagem. O hábito de usar a mesma senha para diferentes serviços também deve ser abandonado, pois se uma conta for comprometida, todas ficarão vulneráveis.

TÉCNICAS

Existem algumas técnicas que podem ajudar, como o uso de frases em vez de palavras. Edward Snowden, conhecido por ter vazado documentos sobre o esquema de vigilância global do governo americano, fez essa recomendação em entrevista no início do ano passado, brincando que uma boa chave seria “MargaretThatcheris110%SEXY”. Outra saída é o uso de aplicativos desenvolvidos especialmente para este fim, como Last Pass e F-Secure Key. Eles prometem armazenar de forma segura todas as senhas, que são acessadas por uma senha mestre.

— Basicamente, as pessoas têm que guardar apenas uma senha — explica Ariel Torres, gerente de serviços técnicos da F-Secure para a América Latina. — É como uma caixa virtual, todas as senhas ficam armazenadas lá dentro, criptografadas. Para entrar no aplicativo, basta lembrar uma senha.

Outra dica é criar códigos que mesclem letras e números para formar palavras e frases.

— Torres, por exemplo, se tornaria “T0RR3S” — diz o especialista.

Essa simples mudança faz com que os termos sejam mais difíceis de serem descobertos em ataques de força bruta, quando o criminoso cibernético usa poder computacional para testar milhões de combinações. Alguns sites na internet oferecem testes de força das senhas, como o “How Secure Is My Password” (http://bit.ly/Kz6V00).

FIM DAS SENHAS?

A preocupação com as senhas não é apenas dos usuários, mas também das empresas. Muitos prestadores de serviços on-line oferecem a autenticação de dois fatores, uma camada adicional de segurança para a entrada em contas, além do login e senha. Redes sociais, como Twitter e Facebook, por exemplo, usam o sistema de código por SMS. Bancos e outros serviços financeiros apostam nos tokens, que geram códigos temporários.

— A senha como conhecemos hoje tende a acabar. Existem outras formas de você provar que é você — prevê Pagliusi. — A tendência é que serviços críticos ofereçam a autenticação de dois fatores. Eles exploram não apenas algo que você sabe, no caso, a senha, mas o que você possui e o que você é, com códigos transmitidos por SMS e tokens e biometria.

O ‘ABC’ DAS SENHAS

FORÇA: Os especialistas recomendam, para ter uma senha “forte”, usar no mínimo 8 caracteres, se possível mais. O ideal é mesclar letras maiúsculas, minúsculas, números e caracteres especiais. Não se deve usar sequências óbvias ou pessoais como, por exemplo, datas de aniversário

PARA MEMORIZAR: Há aplicativos que guardam todas as senhas e são acessados por apenas uma chave. Outra dica é criar frases, em vez de palavras. Ou mesclar letras e números para formar palavras. Um exemplo: se seu nome é Sérgio, use uma mescla de letras maiúsculas e minúsculas e números que, escritos, formarão a palavra Sérgio, como na sequência S3rGl0

EVITAR: Os especialistas orientam a não anotar senhas em papéis ou arquivos no computador. Deve-se evitar usar informações pessoais e usar a mesma chave para diferentes serviços.

Webinar: Inteligência de Ameaças - Como Identificar os ataques que mais importam

Apresentador: Scott Simkin, Palo Alto Cybersecurity. Realização: ISACA CSX.

Para a grande maioria das equipes de segurança, há uma enorme quantidade de alertas a lidar em um determinado dia. Passando pelos vários dispositivos de segurança, feedback de terceiros até as fontes de inteligência de ameaças, o mar de informação gerada faz com que seja praticamente impossível para as organizações responderem rapidamente aos alertas antes que qualquer dano ocorra.

Como as equipes de operações, análise e investigação de segurança podem eliminar todo este ruído e acertar em cheio quais são os eventos de segurança que mais importam?

Junte-se ao Scott Simkin e à equipe da ISACA CSX (CyberSecurity Nexus), responsável pela realização desta apresentação, em um webinar que se concentrará em descobrir como a inteligência de ameaças à segurança cibernética pode ajudar as equipes de segurança a:

• Determinar que ataque é único, crítico e direcionado;

• Adicionar a (muito necessária) análise de contexto aos indicadores de comprometimento; e

•  Adotar indicadores de malícia (maliciousness) e transformá-los em novos mecanismos de proteção.

Segurança digital nos jogos Rio 2016

Saiba quais são as principais preocupações dos especialistas

O Programa "Tema Livre" da Rádio Nacional do Rio | Rádio MEC FM promoveu uma discussão sobre segurança digital durante os Jogos Olímpicos Rio 2016. A menos de um ano para a realização das Olimpíadas no Rio de Janeiro, quando a cidade vai receber, além do grande público, 10.500 atletas, de 206 países e mais de 100 mil pessoas envolvidas em sua organização, entre voluntários e funcionários, a segurança de toda a informação que será gerada é uma questão de grande preocupação.

Para esta edição do programa, gravado em 12Ago e que foi ao ar em 03Nov2015, estiveram presentes Paulo Pagliusi, especialista em Gestão de Risco Cibernético, militar da reserva, doutor em Segurança da Informação, Diretor da Consultoria em Gestão de Riscos Cibernéticos da Deloitte, Vice-Presidente da CSA BR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association) Rio de Janeiro; Guilherme Caselli, inspetor da Polícia Civil do Estado do Rio de Janeiro, representante da Delegacia de Repressão a Crimes de Informática; e Alexandre Knoploch, analista de sistemas e presidente da Associação Brasileira de Profissionais e Empresas de Segurança da Informação e Defesa Cibernética.

Ouça esta edição do Programa na íntegra clicando aqui ou na imagem acima!

MPSafe agora chama-se Pagliusi Cibersegurança

Informamos que a MPSafe CyberSecurity & CounterEspionage alterou o nome para Pagliusi Cibersegurança.

Os novos endereços do site e das redes sociais da empresa são:

www.pagliusi.com.br

twitter.com/PagliusiCyber

www.facebook.com/PauloPagliusi

www.linkedin.com/company/pagliusi-cybersecurity


As mensagens ao CEO poderão ser encaminhadas para:

ceo@pagliusi.com.br

Para entrar em contato com a área de Comunicação e Marketing:

marketing@pagliusi.com.br

Para contatar, respectivamente, a área de Suporte Técnico e Relacionamento com Clientes, utilize:

ciberseguranca@pagliusi.com.br e

contato@pagliusi.com.br

Abraços e bons ventos!

MPSafe patrocina a it-sa Brasil

A MPSafe CyberSecurity tem a honra de patrocinar a it-sa Brasil – The IT Security Conference and Corporate Networking. A NürnbergMesse Brasil (NMB) realiza a segunda edição da Conferência it-sa Brasil, nos dias 01 e 02 de setembro de 2015 no Clube Transatlântico – São Paulo – SP, em virtude do sucesso do lançamento da it-sa Brasil em 2014.

A it-sa Brasil é uma plataforma de conteúdo e negócios única, que permite que executivos tomadores de decisão dos mais variados segmentos discutam o tema Segurança da Informação, com exclusividade, em painéis compostos por especialistas nessa área. É, portanto, um espaço voltado a conectar pessoas e compartilhar conhecimento, visando esclarecer e desenvolver o mercado na busca constante de soluções em Segurança da Informação. 

O evento apresenta tópicos de vanguarda apoiado em temas idôneos, relevantes e com qualidade, promovendo um entendimento estratégico em seus painéis de discussão. Obtenha aqui a grade da programação.

O conteúdo dos painéis é estruturado por um Advisory Committee, formado por profissionais do mercado envolvidos diretamente em atividades voltadas à Segurança da Informação. Paulo Pagliusi, CEO da MPSafe e integrante do Comitê de Serviços da it-sa, é debatedor no painel "Cloud II: Segurança e Privacidade na Nuvem", dia 01Set2015, das 15:30 às 16:30.

Como evitar fraudes ao fornecer dados na Internet

Ouça a entrevista de Paulo Pagliusi, Doutor em Segurança da Informação, à repórter Priscila Rangel, da Radioagência Nacional - Empresa Brasil de Comunicação – EBC - Rádio Nacional de Brasília, em 05/08/2015.
Ao acessar a internet para fazer compras, entrar em redes sociais ou ouvir músicas, o consumidor quase sempre precisa preencher um cadastro. Saiba os cuidados que você deve tomar ao fornecer seus dados pessoais para não ser alvo de fraudes virtuais.