Sérgio Leal | Criptógrafo, Pesquisador e Colunista do Crypto ID
Aconteceu na semana passada a primeira edição do Mind The Sec no Rio de Janeiro, e como poderíamos esperar correspondeu às expectativas criadas pelas ótimas edições de São Paulo.
Por Sergio Leal
Devido a questões de saúde não tivemos a presença do lendário-polêmico-criador do antivírus Jonh Macafee, e o evento se reorganizou em torno do devastador ataque WannaCry.
WannaCry
As discussões foram muitas e os múltiplos pontos de vista incendiaram o debate.
Ficou claro que essa ‘arquitetura PC/Windows’, que se arrasta cambaleante por algumas décadas, não é capaz de sobreviver em 2017.
Ninguém conseguiu propor nada melhor do que continuar remendando os múltiplos buracos do queijo suíço e aceitar viver correndo atrás da próxima atualização do antivírus, anti-ransomware, anti….
Existe solução?
Será que não é hora de aposentar esse modelo ‘vintage’ e partir para algo totalmente novo? Pensar numa migração integral para a Nuvem? Uma solução como o Google Docs seria a saída? Quantos documentos ou planilhas do Google Docs foram afetados pelo WannaCry? Nenhum!
Até um backup feito em tempo real através do Dropbox, já seria um passo na direção correta. A máquina do usuário final precisa ser ‘descartável’ podendo ser reinstalada do zero a qualquer momento sem perdas.
Um dos pouco pontos consensuais é de que o WannaCry foi o primeiro de uma sequência crescente e infinita de ataque, e devemos questionar se no mundo ‘ultra conectado 24 horas’ ainda existirá um lugar pro PC tradicional .
O Cyber Crime Brasileiro
Outro ponto em destaque foi a comparação do cyber crime no Brasil com o resto do mundo. Enquanto no exterior a sofisticação crescente é marca registrada dos ataques, ficou claro que no Brasil é fácil obter sucesso com ataques simples.
Vimos um exemplo onde o hacker mandou um email falso das Loja Americanas com uma promoção de TV junto com um boleto para pagar no banco. Por mais incrível que pareça muitas pessoas pagam o boleto falso sem questionar e ficam em casa esperando a chegada da TV.
O analfabetismo digital
Devido ao baixo nível de ‘educação digital’ do brasileiro, esse tipo de ataque funciona com um nível de eficiência muito mais alto que nos países do ‘primeiro mundo’.
O sucesso de ataques tão simplórios num país com rápida adoção de tecnologia como o Brasil, nos deixa sentado sobre um barril de pólvora.
Fraud As A Service
Os serviços ofertados profissionalmente para quem quer cometer uma fraude, também precisam ser destacados.
Hoje quem deseja viver do crime cibernético não precisa de nenhum conhecimento de tecnologia, nada parecido com os lendários hackers de tempos passados e frequentemente imaginados por Hollywood.
Nos dias atuais, basta ao hacker alugar uma botnet e lançar um ataque DDOS ou apertar um botão para enviar um SPAM que lança seu ataque de phishing. Tudo está fartamente disponível e pode ser contratado e utilizado com facilidade.
Dentre os serviços mais curiosos ofertados atualmente, destaca-se o ‘ataque interno’. Nestes casos estão amplamente disponíveis anúncios do tipo ‘Trabalho na empresa X e por US$ 5.000,00 roda seu vírus na rede interna”.
Você já tinha pensado nesse tipo de ataque? Está preparado pra ele? Será que algum funcionário da sua empresa está oferecendo um serviço assim?
Segurança em rápida evolução
O Mind The Sec mostrou a velocidade com que os problemas de segurança surgem e precisam ser tratados. Caso o evento acontecesse um mês antes ou depois, provavelmente teria um conteúdo completamente diferente. Prepare-se para fortes emoções digitais nos próximos meses.
*Sérgio Leal
Ativista de longa data no meio da criptografia e certificação digital.
Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
Bacharel em Ciências da Computação pela UERJ desde 1997.
Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
Sérgio Leal é colunista e membro do conselho editorial do CRYPTO ID.
