Arquivo do autor Wagner Lindemberg

PorWagner Lindemberg

Novo Ransomware que criptografa apenas arquivos EXE

Um novo ransomware que criptografa apenas arquivos EXE presentes em seu computador, incluindo os apresentados na pasta do Windows, que normalmente outro ransomware não faz para garantir que o sistema operacional funcione corretamente.

Ele foi inicialmente twitado pelo MalwareHunterTeam e tem o título de Everlasting Blue Blackmail Vírus Ransomware, de acordo com as propriedades do arquivo. Não se sabe como os atacantes distribuem o ransomware.

De acordo com a análise da Bleeping Computer, ele examina o computador quanto à presença de arquivos .exe para torná-lo inutilizável. Também encerra o processo relacionado a antivírus, como Kaspersky, McAfee e Rising Antivirus.

Geralmente, o ransomware criptografa outros arquivos de mídia, como docx, .xls, .doc, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .jpeg, .csv e outros, para forçar a vítima a efetuar o pagamento. O Blackmail Virus Ransomware de Barack Obama tem como alvo apenas o arquivo .EXE.

O ransomware também criptografa as chaves do registro associadas ao arquivo EXE para ser executado toda vez que alguém inicia o aplicativo.

Como acontece com qualquer outro ransomware, ele não mostra qualquer quantia de resgate, mas pede para a vítima enviar um e-mail para “2200287831@qq.com” para detalhes de pagamento.

A nota de resgate é exibida como: Olá, seu computador está criptografado por mim! Sim, Isso significa que seu arquivo EXE não está aberto! Porque eu cifrei isso. Então você pode descriptografar, mas você tem que dar gorjeta. Isso é uma coisa grande. Você pode enviar um email para: 2200287831@qq.com e obter mais informações.

O ransomware ainda continua a ser uma ameaça global, tornou-se uma indústria de bilhões de dólares que não mostra sinais de desaparecer tão cedo.

O que fazer depois: se você está infectado

  • Desconecte a rede.
  • Determinar o escopo.
  • Entenda a versão ou o tipo de ransomware.
  • Determinar o tipo do ransomware.

Mitigação

  • Use o Strong Firewall para bloquear os retornos de chamada do servidor de comando e controle.
  • Analise todos os seus e-mails em busca de links, conteúdo e anexos maliciosos.
  • Bloqueie os acréscimos e o conteúdo desnecessário da web.
  • Impor permissão de controle de acesso.
  • Faça backups regulares de seus dados.

Fonte: gbhackers.

PorWagner Lindemberg

Governo russo trabalha em ferramenta para rastrear transações de criptomoedas

O Serviço de Monitoramento Federal da Rússia em parceria com o Departamento de Segurança e Análise da Informação (Information Security and Analysis – SPI) estão trabalhando no desenvolvimento de uma ferramenta analítica capaz de rastrear transações de criptomoedas.

O SPI é uma agência especializada na criação do Serviço de Monitoramento. O Serviço Federal de Monitoramento da Rússia, juntamente com as empresas de Segurança e Seguro na Rússia, usam uma plataforma da iRulessoftware desenvolvida pela SPI e, portanto, consideram a agencia capaz de resolver a questão do rastreamento das transações de criptomoedas.

De acordo com documentos públicos disponíveis, o governo russo está investindo 195,5 milhões de rublos (cerca de US $ 2,9 milhões) nessa nova plataforma de rastreio. O documento afirma que a ferramenta será capaz de rastrear o nome da pessoa, conta bancária, detalhes do cartão de crédito, número de celular, dados sobre a transação de criptomoeda e o número da carteira eletrônica usada.

Kimenko, um ex-assessor de Putin, explicou o cenário atual da Rússia com as criptomoedas:

“Devido ao anonimato e à incapacidade de encontrar fontes de transações, as criptomoedas são usadas em crimes. Na Darkweb para comprar armas, drogas ou vídeos violentos, por exemplo. Legisladores em muitos países estão preocupados, o que foi confirmado pela análise que conduzimos em nome do presidente [Vladimir Putin] ”, disse Kimenko.

O sistema de rastreamento certamente é muito útil para prender criminosos e terroristas. Mas, uma ferramenta de rastreamento pode desanimar os entusiastas das criptomoedas.

Fonte: guiadobitcoin.

PorWagner Lindemberg

Conscientização em segurança: como fazer uma campanha eficaz

Preparar os colaboradores contra todos os tipos de ameaças ainda é um bicho de sete cabeças para os gestores. Aqui você verá algumas dicas simples que podem ajudar.

Falar sobre segurança da informação dentro de uma empresa não é uma tarefa simples. Inclusive, esse assunto ganhou uma importância gigantesca em um curto intervalo de tempo — até poucos anos atrás, crimes cibernéticos não representavam uma preocupação constante para os gestores, visto que as ameaças digitais não traziam riscos significativos.

Porém, os simples vírus que deixavam uma máquina lenta ou inoperante logo se transformaram em complexos códigos maliciosos que roubam e até mesmo sequestram dados sensíveis, causando prejuízos financeiros à corporação – basta vermos as graves consequências que os ataques em massa de ransomware trouxeram às empresas em diversos lugares do mundo.

O cibercrime evoluiu e está se aprimorando constantemente, adotando novas técnicas para invadir os ambientes corporativos. Campanhas de spear phishing são cada vez mais comuns, tais como os ransomwares e uma série de fraudes online. Se antes os contraventores eram internautas que escreviam malwares por pura diversão. Hoje, os inimigos são verdadeiras quadrilhas organizadas que trocam informações entre si em fóruns obscuros e compartilham de recursos para invadir redes privadas. Não seria exagero dizer que estamos vivendo em clima de guerra.

Nesse cenário, é cada vez mais comum vermos empresas apostando todo o seu budget em soluções de segurança endpoint, como programas de antivírus e softwares derivados. De fato, esses produtos são úteis e ajudam bastante na proteção do ambiente profissional; porém, sozinhos, eles não fazem milagres.

O mais importante é blindar o elo mais fraco da segurança, que é o usuário — o alvo dos ataques de engenharia social. E é daí que a surge a importância de contar com um programa de conscientização bem estruturado, garantindo que todos os seus colaboradores estejam preparados para enfrentar novas ameaças.

É aí que surge a necessidade de uma campanha de conscientização completa para desenhar e implementar uma estratégia de capacitação, monitorar os resultados, responder de forma estruturada e planejada aos incidentes e aumentar a maturidade ao longo do tempo.

Primeiros passos…

O primeiro passo para uma campanha bem-sucedida é elaborar sua política de segurança da informação — ou seja, o conjunto de regras, procedimentos e orientações que vão nortear todas as ações educacionais a serem desenvolvidas. Uma política interna deve, entre outras coisas, descrever as prioridades de proteção de dados, definir a classificação de confidencialidade para cada tipo de informação e orientar os funcionários a respeito de processos básicos de segurança (incluindo as melhores práticas para uso do e-mail, apps de comunicação e assim por diante).

Planeje suas ações

Antes do planejamento em si, é necessário saber qual o nível de conscientização que a sua empresa possui, para então implantar ações que façam sentido para o momento – criando materiais que realmente condizem com o nível de conhecimento e não algo que seja simples ou muito complexo. Saiba também reconhecer os diferentes perfis existentes na organização, não é preciso atingir todos de uma vez. Diferentes públicos precisam de diferentes mensagens e abordagens, escolha os mais críticos primeiro, depois vá aumentando o processo e aprendendo com ele. Em seguida, é preciso planejar a melhor forma de garantir que a campanha atinja seu público-alvo, definindo as mídias que serão utilizadas e a linguagem adotada para a comunicação interna.

Objetivos em curto, médio e longo prazo

O objetivo principal de uma campanha de conscientização é transformar os hábitos dos colaboradores, fazendo com que eles tomem decisões mais seguras na sua vida profissional e pessoal.

Mas, além disso, o profissional de SI deve levar em consideração as pessoas, a cultura vigente e o momento em que a empresa se encontra, para traçar objetivos e planos que consigam atingir o público de modo certeiro.

Você pode considerar também objetivos complementares aos da conscientização dos usuários, por exemplo:

  • Convencer um público específico sobre a importância do tema;
  • Diminuir conflitos com outros departamentos, como de TI e conformidade;
  • Mostrar a importância de uma área de pouca visibilidade.
  • Dito isso, é muito importante saber priorizar seus objetivos, de modo que os resultados não sejam diluídos e se tornem pouco relevantes.

Apoio de outras equipes

É importante contar, ainda, com a colaboração de todos os departamentos da empresa, principalmente de RH, Comunicação Interna e Compliance, que podem ter mais experiência em treinamentos e comunicação e podem ser de grande ajuda neste projeto. Porém, além disso, o ideal é procurar apoio de um parceiro externo que seja especializado no tema e possa prover materiais de alta qualidade.

Ações

Palestras com profissionais renomados, por exemplo, costumam ser eficazes e bem-aceitas por qualquer tipo de público. Cartazes, flyers, boletins e outros tipos de informativos, sejam eles impressos ou digitais, também são uma ótima pedida. O mais importante é garantir que a mensagem seja transmitida de um jeito fácil de entender — o uso de analogias e comparações é importante para mostrar que esse assunto faz parte do dia a dia das pessoas, que pode sim ser algo divertido e dinâmico. Além disso, os materiais devem ser criativos e atrativos e também por que não surpreender a equipe com canais e ações fora do comum?

Assuntos básicos

O ideal para uma campanha de conscientização é abordar os assuntos mais relevantes para a sua empresa, a personalização aqui é sempre um ponto positivo. Porém existem alguns assuntos que precisam ser tratados de alguma forma nas campanhas de qualquer empresa. Alguns deles são: senhas, conexões seguras, antivírus, firewall, atualizações de software, mensagens suspeitas, backup, mesa limpa, descarte seguro e computação móvel.
Tente encontrar uma maneira de incorporar todos estes assuntos para criar uma campanha completa.

Métricas

Após a implementação da campanha, é necessário aplicar análises que meçam a eficiência de todos esses materiais distribuídos aos colaboradores e até ver onde é possível melhorar para os próximos passos. Além disso, é preciso criar ações educativas a serem aplicadas periodicamente, principalmente em ambientes muito dinâmicos e com alta rotatividade, para que os usuários não se esqueçam do que foi aprendido e coloquem esses conhecimentos em prática de maneira regular.

Aprendendo todos os dias

Por fim, lembre-se que a conscientização deve estar constantemente presente na rotina dos profissionais — de nada adianta um treinamento momentâneo se os colaboradores eventualmente vão acabar se esquecendo daquilo que eles aprenderam (ou cairão em novas ameaças que até então eram desconhecidas).

Um programa eficaz deve ser contínuo, incentivando o respeito às políticas internas e criando um canal funcional para o reporte de incidentes de segurança. Afinal, temos diversos fatores que mudam ao longo do tempo como:

  • Rotatividade de pessoal
  • Evolução tecnológica permanente
  • Melhora da maturidade de SI pelo aumento e/ou aperfeiçoamento dos controles
  • Mudanças de paradigma como computação móvel ou em nuvem
  • Aumento da sofisticação e inventividade dos ataques

Bem-vindo à Conscientização em segurança da informação como processo permanente!

Fonte: flipside.

PorWagner Lindemberg

Ataques DDoS aumentam em volume

Estudo aponta que, somente no primeiro semestre do ano, houve em todo o mundo 47 ataques superiores a 300Gbps contra apenas sete durante o mesmo período em 2017; a região Ásia-Pacífico foi a mais visada.

No primeiro semestre do ano, houve em todo o mundo 47 ataques DDoS superiores a 300Gbps contra apenas sete durante o mesmo período em 2017. A região Ásia-Pacífico foi a mais visada com 35 ataques superiores a 300Gbps contra apenas cinco durante o mesmo período de 2017. As informações são do Relatório de Inteligência de Ameaças da NETSCOUT. Em nota, a fabricante afirma ter mitigado o maior ataque de DDoS já registrado, de 1,7 Tbps.

O levantamento descreve ainda as últimas tendências e atividades relativas às ameaças cibernéticas, desde a ação de grupos de ameaças persistentes avançadas (APT) ligados a estados-nação até operações de crimeware e campanhas de ataque de negação de serviço (DDoS – Distributed Denial of Service).

O estudo aponta que atividades patrocinadas por Estados se desenvolveram a ponto de descobrirem-se regularmente campanhas patrocinadas por um grupo crescente de nações. Os envolvidos que lançam essas ações também estão usando intrusões na escala da internet, como NotPetya, CCleaner, VPNFilter para campanhas direcionadas e altamente seletivas.

Inspirados no ataque WannaCry, de 2017, os principais grupos voltados ao crimeware estão adotando métodos de autopropagação que permitem ao malware espalhar-se de maneira mais rápida e fácil. Eles também estão intensificando o foco na mineração por criptomoeda.

As informações foram coletadas por meio do sistemas ATLAS, um projeto colaborativo reunindo centenas de clientes provedores de serviços, que concordaram em compartilhar dados de tráfego anonimizados equivalentes a aproximadamente um terço de todo o tráfego da internet.

Fonte: globalmask.

PorWagner Lindemberg

Peritos da Polícia Federal iniciam inspeção dos códigos-fonte da urna eletrônica

Verificação vai durar uma semana e faz parte de processo que garante transparência ao sistema eletrônico de votação.

Três peritos do Departamento de Polícia Federal estiveram na manhã desta segunda-feira (27) na sede do Tribunal Superior Eleitoral (TSE) para participar da inspeção dos códigos-fonte das urnas eletrônicas que serão utilizadas nas Eleições de 2018. A ação faz parte do processo de validação do Sistema Eletrônico de Votação e continua até está sexta-feira (31), na Sala de Lacração do TSE, localizada no subsolo do edifício-sede do Tribunal.

Para o assessor de Tecnologia da Informação do TSE Elmano Amâncio de Sá Alves, essa é uma etapa importante no preparo do sistema de voto eletrônico. “No que diz respeito à urna, o TSE trabalha com dois pilares: o da transparência e o da segurança. A visita da Polícia Federal é um dos eventos que dão sustentação à questão da transparência”, explicou.

Os peritos da Polícia Federal já haviam participado dos Testes Públicos de Segurança da urna eletrônica em 2017 e vão aproveitar a oportunidade para se inteirarem ainda mais sobre o sistema eletrônico de votação. Ao longo da semana eles verificarão se os códigos estão aptos para as funções para as quais foram desenvolvidos.

Segundo o perito da Polícia Federal Ivo de Carvalho Peixinho, essa etapa da validação é tão importante quanto complexo, porque compreende o domínio de sistemas vitais para o funcionamento da urna, como os que enviam os boletins de urna para o TSE e o que totaliza os votos.

Peixinho também chama atenção para a importância da ação para a própria Polícia Federal. “Se por um lado ajudamos o TSE em possíveis melhorias, o contato mais direto com os códigos-fonte também nos torna mais preparados para eventuais demandas no processo eleitoral”, afirmou.

Ao final do processo de análise, a equipe de peritos vai gerar um relatório para ser entregue ao TSE e à Polícia Federal.

Assinatura Digital e Lacração

Segundo a Resolução TSE n° 23.550/2017, que regula a matéria, podem ter acesso antecipado aos programas de computador a serem utilizados nas eleições os técnicos indicados pelos partidos políticos e pelas seguintes instituições: Ministério Público, Ordem dos Advogados do Brasil (OAB), Supremo Tribunal Federal (STF), Congresso Nacional, a Controladoria-Geral da União (CGU), Polícia Federal, Sociedade Brasileira de Computação, Conselho Federal de Engenharia e Agronomia (Confea) e departamentos de Tecnologia da Informação de universidades. Esse acesso é destinado exclusivamente para fins de fiscalização e auditoria.

A Sala de Lacração está aberta das 10h às 18h até o dia 5 de setembro. No período de 29 de agosto a 5 de setembro, os sistemas desenvolvidos serão compilados, assinados digitalmente, gravados em mídia não regravável, lacrados fisicamente e acondicionados na sala-cofre da sede do TSE.

A Lei nº 9.504/1997 (Lei das Eleições) determina que a Cerimônia de Assinatura Digital e Lacração dos Sistemas deve acontecer até 20 dias antes do pleito, na sede do TSE. Na cerimônia, aberta ao público, os sistemas eleitorais serão lacrados e assinados digitalmente pela presidente do TSE, ministra Rosa Weber, e por representantes do MP, da OAB, dos partidos políticos, do Congresso Nacional, do STF, do Ministério da Transparência, Fiscalização e Controle e de universidades, entre outros.

A lacração encerra a fase de compilação dos códigos-fonte que compõem o Sistema Eletrônico de Votação. A assinatura digital assegura que não haverá modificação no software da urna, comprovando a autenticidade e a integridade do programa oficial final gerado pelo TSE.

Fonte: tse.

PorWagner Lindemberg

Segurança de e-mail perdendo de goleada

Saiu o relatório trimestral da MimeCast sobre as ameaças que chegam pelo e-Mail e o cenário é bem ruim.

Uma das principais constatações é de que subiu em 80% o número de ataques com falsos remetentes dirigidos a empresas (chamados pelo FBI de BEC ou business e-Mail compromise). Quando são bem sucedidos, esses ataques resultam em grandes perdas. O nome do remetente em geral é de algum executivo poderoso na empresa. E o do destinatário o de alguém que pode movimentar dinheiro dentro da companhia – fazendo transferências bancárias por exemplo. O conteúdo do e-mail pode ser do tipo “fulano, transfira tanto para a conta xis da empresa tal”. Se o destinatário cair, pronto, é lucro certo. Já aconteceu com muitas e continua acontecendo (procure no Google “BEC scam Austria” e veja como se perdem 50 milhões de euros).

O objetivo da pesquisa da MImeCast é entender melhor o número e o tipo de ameaças transmitidas por e-mail que estão conseguindo furar as defesas atuais das empresas. A pesquisa varreu perto de 142 milhões de mensagens que passaram pela segurança de e-mail das organizações pesquisadas. Infelizmente os sistemas deixaram passar 203 mil links maliciosos contidos em 10,07 milhões de e-mails – isso quer dizer um link malicioso a cada 50 e-mails verificados.

Na inspeção, 19.086.877 eram de spam, 13.176 continham arquivos perigosos e 15.656 tinham anexos comprovadamente de malware. Mas TODOS passaram e chegaram às caixas de entrada dos usuários. Os falsos remetentes dirigidos a empresas foram 41.605.

Fonte: cibersecurity.

PorWagner Lindemberg

Ransomware Ryuk Ataca Várias Redes Empresariais e Já Soma $640.000 Em Resgates

Ransomware Ryuk está se espalhando visando várias redes corporativas em todo o mundo e criptografando vários dados em dispositivos de armazenamento, computadores pessoais e data centers.

O atacante ganhou mais de US $ 640.000 de várias vítimas, exigindo 15 BTC a 50 BTC, a fim de recuperar seus arquivos. Empresas dos EUA e outros países estão severamente afetados pelo Ransomware Ryuk.

Curiosamente, uma análise mais aprofundada revelou que o Ransomware Ryuk usou alguns dos recursos do Ransomware HERMES, que é distribuído pelo Grupo Note-Coreano APT Lazarus.

Os pesquisadores acreditam que o Ryuk pode ser outra campanha direcionada do Grupo Lazarus ou derivado do código-fonte do Malware HERMES.

Nesse caso, os invasores selecionam cuidadosamente o alvo e ele é criado intencionalmente para redes corporativas de pequena escala e para ataques realizados manualmente pelos invasores.

Fluxo de Ataque d0 Ransomware Ryuk

Inicialmente, o Ryuk foi distribuído através de campanhas de spam massivas, kits de exploração e algumas operações específicas, como mapeamento extensivo de rede, hacking e coleta de credenciais necessárias antes de cada operação.

Os invasores que usam a mesma lógica de criptografia encontrada no ransomware HERMES. As semelhanças da lógica do processo de criptografia são quase as mesmas que do Ryuk.

O Ryuk Ransomware elimina mais de 40 processos do Windows e para mais de 180 serviços, executando taskkill e net stop em uma lista de nomes de serviços e processos predefinidos.

A maioria dos serviços e processos pertence ao software de antivírus, banco de dados, backup e edição de documentos.

De acordo com pesquisa da Checkpoint, a técnica de injeção de código contém a principal funcionalidade usada pelo ransomware para criptografia de arquivos. Ele é iniciado pela descriptografia de uma lista de strings de nome de função de API usando uma chave predefinida e uma matriz dos comprimentos de string que são usados ​​para carregar dinamicamente as funções correspondentes.

Duas amostras diferentes foram descobertas e as notas de resgate de ambas as versões são muito semelhantes as enviadas à vítima.

“Nota mais longa, bem redigida e bem formulada, que levou ao maior pagamento registrado de 50 BTC (cerca de US $ 320.000) e uma nota mais curta e mais direta, que foi enviada para várias outras organizações e também levou a alguns pagamentos de resgate. entre 15-35 BTC (até US $ 224.000). ”

Depois de concluir todas as primitivas criptográficas, ele criptografa todas as unidades e compartilhamentos de rede no sistema de vítimas, exceto o arquivo ou diretório contendo o texto de uma lista de desbloqueio codificada, que inclui “Windows”, “Mozilla”, “Chrome”, “RecycleBin”. e “Ahnlab”

Isso com o propósito de deixar o navegador da vítima intacto, pois pode ser necessário para ler a nota de resgate, comprar a criptomoeda e assim por diante.

Os atacantes usam várias carteiras e as vítimas precisam pagar a carteira específica que receberam dentro das notas do Ransomware.

O pesquisador acredita que esse Ransomware é um ataque completamente direcionado e que visa especificamente redes de empresas.

Fonte: GBHackers.

PorWagner Lindemberg

Um Oásis Em Meio Ao Desemprego

Num País com mais de 13 milhões de desempregados, startups que tentam revolucionar o mercado contam com milhares de vagas abertas. O que essas empresas querem e esperam de um profissional?

Dados do Instituto Brasileiro de Geografia e Estatística (IBGE) referentes ao segundo trimestre de 2018 revelaram que o desemprego atingiu 12,4% da população brasileira economicamente ativa. Mesmo alarmante, o índice não chega a surpreender. Desde 2015, o indicador vem refletindo a crise na economia do País. O que espanta é que, em um segmento específico, sobram vagas na terra dos desempregados. Em um contraponto às 13,2 milhões de pessoas sem trabalho, a consultoria americana IDC estima que existem 250 mil posições em aberto para profissionais de tecnologia no Brasil, um setor que movimentou US$ 38 bilhões em 2017.

Melhor: o número de vagas disponíveis deve triplicar até 2020. Engana-se, porém, quem pensa que apenas gigantes do calibre de Apple, Google e Microsoft estão à caça de desenvolvedores, cientistas de dados, engenheiros de software e companhia. Ao mesmo tempo em que desafiam mercados tradicionais, startups brasileiras como Nubank, Movile, GuiaBolso e PSafe estão acelerando o ritmo das contratações para acompanhar o crescimento de seus negócios. “Somente neste ano, contratamos 470 profissionais para manter a velocidade do desenvolvimento de novos produtos”, disse David Vélez, fundador da Nubank, em entrevista à DINHEIRO há menos de um mês.

Fundada em 2013, a fintech recebeu, desde então, cerca de US$ 520 milhões em cinco rodadas de investimento e alcançou o status de unicórnio, como são chamadas as novatas avaliadas em US$ 1 bilhão ou mais. Com a mesma velocidade que atraiu aportes de fundos como Sequoia Capital, a empresa ampliou sua equipe. Atualmente, a companhia tem cerca de 1,2 mil funcionários. Desse quadro, mais de 800 profissionais foram contratados nos últimos doze meses. Os cargos incluem desde posições mais generalistas, como aquelas dedicadas à experiência do cliente, até funções mais específicas e que exigem capacitação diferenciada, como cientistas de dados e desenvolvedores. Hoje, essa última frente corresponde a 15% do total de funcionários.

A Nubank projeta abrir mais 200 vagas até o fim de 2018. Para preencher esses postos, uma das estratégias é buscar candidatos fora de São Paulo. Recife é uma das cidades no radar, pelo fato de ter um polo de tecnologia bem estruturado, o Porto Digital, e uma boa oferta na universidade federal. Outra iniciativa recente foi a abertura de um escritório em Berlim, na Alemanha, dedicado à infraestrutura de dados. “É um mercado mais maduro e que tem profissionais mais sêniores nessa área”, diz Silvia Kihara, líder de recrutamento da Nubank. Quatro brasileiros foram transferidos para a operação, que conta com um time de 15 pessoas. Ao mesmo tempo, outros funcionários do País têm passado algumas semanas no local. “É uma forma de a pessoa se desenvolver e ter acesso à experiência internacional, sem que para isso precise sair da empresa”, afirma Silvia.

Com 15 escritórios em sete países e mais de 1,6 mil funcionários empregados, a Movile parece seguir à risca os passos da companhia de Vélez para se tornar o próximo unicórnio verde e amarelo. Dona dos aplicativos iFood e PlayKids, a companhia comandada por Fabrício Bloisi já recebeu US$ 395 milhões em aportes capitaneados principalmente pelos fundos Naspers e Innova Capital e, desde março, iniciou uma expansão em sua força de trabalho. A expectativa é aumentar em mais de 60% o número de profissionais atuando em diferentes aplicativos que fazem parte da empresa. Para isso, até março de 2019, serão contratados 1 mil profissionais pela Movile. “É um desafio para a gente por conta da alta demanda”, diz Bárbara Camargo, gerente de gente da Movile. Para driblar essa dificuldade, a empresa adotou um programa de indicação interno em que existe reconhecimento financeiro para indicações que venham ser contratadas. Outra solução é formar profissionais “em casa”. “Para suprir a falta de um conhecimento técnico específico, criamos programas de aprendizado dentro da empresa.”

Enquanto a Movile diz não prospectar candidatos que estão empregados em outras companhias, outras startups mantêm contatos com consultorias especializadas para buscar profissionais no mercado. Uma delas é a PSafe. Fundada em 2011 no Rio de Janeiro, a companhia comandada por Marco DeMello está com o radar ligado nos principais profissionais de segurança. “A PSafe foi montada trazendo profissionais que estavam em outras companhias”, diz Apolo Doca, vice-presidente de tecnologia da companhia. Segundo o executivo, há um princípio de migração de profissionais de grandes empresas para startups. Algo que, no passado, era o contrário. “Muitas startups têm remunerações maiores do que de companhias tradicionais.” É uma estratégia agressiva, mas necessária. “Hoje existem muitas vagas e poucas pessoas”, afirma Amure Pinho, presidente da Associação Brasileira de Startups “É comum ouvir que encontrar um chefe de tecnologia é uma das coisas mais difíceis de se fazer quando se está montando uma nova empresa.”

PROCURA-SE Fundada em Porto Alegre, a e-Core é uma empresa especializada em softwares que atende grandes companhias do mercado, como Uber e Airbnb. Em 2017, ela faturou US$ 58 milhões e planejou dobrar sua força de trabalho para 500 profissionais até o fim do ano que vem. O problema é que, para cada contratação, a e-Core afirma que tem sido preciso fazer mais de 50 entrevistas. “O mercado de trabalho não tem acompanhando os avanços tecnológicos na mesma velocidade”, afirma Edna Batista, gerente de recursos humanos da empresa. “Contratar é um desafio.”

Para fontes consultadas pela DINHEIRO, o aumento substancial da demanda por tecnologia é o principal fator por trás das boas perspectivas de colocação nesse mercado. Alguns elementos ajudam a explicar esse contexto. O primeiro deles é o avanço dos aplicativos, um movimento capitaneado, inicialmente, por startups e que se disseminou para empresas de maior porte, inclusive de outros setores. Da mesma forma, conceitos como computação em nuvem, internet das coisas e inteligência artificial estão ganhando escala nas estratégias de companhias dos mais variados segmentos nos últimos anos. A própria crise econômica é mais um ingrediente. Sob um cenário instável, a busca por eficiência operacional e redução de custos está na ordem do dia. “E a tecnologia é um componente essencial nesses processos”, diz Caio Arnaes, gerente sênior da consultoria americana de recrutamento Robert Half.Dados da consultoria americana de recrutamento mostram que a quantidade de vagas abertas na área de tecnologia cresceu 32% no primeiro semestre de 2018, na comparação com igual período do ano passado. Os profissionais mais procurados são os desenvolvedores e os especialistas em segurança da informação. Diversos fatores poderiam explicar o fato de que mesmo com 13,2 milhões de desempregados no País, existem centenas de milhares de vagas abertas. Um deles é o próprio problema enfrentado pela e-Core. Uma tecnologia em alta em 2011 já pode ser considerada defasada cinco anos depois, por exemplo.

 

Dessa forma, há uma dificuldade cíclica das instituições de ensino de acompanharem o ritmo do mercado. O desafio mais relevante, contudo, se dá pela falta de investimentos no desenvolvimento científico e tecnológico do País. “A gente está um pouco atrás de outros países que têm políticas voltadas para o setor de tecnologia”, diz Luis Ruivo, sócio da consultoria PwC Brasil. “Não temos a mesma competitividade de uma Índia, por exemplo. Lá, o governo investiu para que o país se tornasse um pólo tecnológico.” Para piorar, não há perspectivas de melhora. Ao menos, em ações tomadas pelo governo. Para 2019, o orçamento previsto para o Ministério da Ciência, Tecnologia, Inovações e Comunicações será de R$ 3,75 bilhões. Em 2018, o valor foi de R$ 4,6 bilhões.

O volume de oportunidades e a dificuldade de formar profissionais com a mesma velocidade para preenchê-las já estão provocando algumas mudanças na relação entre empresas e funcionários. “Com mais opções e até para acelerar a absorção de capacidades, muitos profissionais têm optado por se dedicarem a projetos de curto prazo, em diferentes empresas”, afirma Arnaes. Ao mesmo tempo, como reflexo da disputa por esses profissionais, as companhias estão oferecendo mais benefícios para atrair e reter os melhores talentos. A Robert Half forneceu com exclusividade à DINHEIRO dados de uma pesquisa realizada em junho deste ano, com 1.128 diretores de tecnologia de 12 países, entre eles o Brasil. O estudo mostra que, nos últimos três anos, 35% dos contratantes no País introduziram horários mais flexíveis para os funcionários; 49% passaram a oferecer treinamento e desenvolvimento adicional; e 30% aumentaram os níveis de remuneração, incluindo expedientes como o pagamento de bônus. “O mercado está aquecido e tem salários bastante atraentes”, diz Diônes Lima, vice-presidente da Associação para Promoção da Exce-lência do Software Brasileiro (Softex). “As empresas vão precisar ser cada vez mais flexíveis na relação com os funcionários.”

A GuiaBolso, dona de um aplicativo de controle de finanças pessoais que já atraiu US$ 74 milhões em aportes, é uma das startups que vêm testemunhando esse novo cenário. “O mercado está inflacionado e os candidatos estão mais seletivos. Enquanto em outros setores há 100 pessoas para uma vaga, em tecnologia, é exatamente o oposto”, diz Inajá Azevedo, diretor de tecnologia da companhia. Ele observa que a novata foi obrigada a rever sua política de remuneração. Os salários pagos pela empresa tiveram um aumento que varia de 20% a 30%, dependendo da posição, na comparação com dois anos atrás. Nesse intervalo, a equipe de tecnologia saiu de 30 para os atuais 90 profissionais.

Boa parte das contratações foi feita na virada de 2017 para esse ano, quando a GuiaBolso passou a oferecer novos serviços, como a recomendação de investimentos. Atualmente, outras dez vagas estão abertas na área. Aos 41 anos, Azevedo ressalta a principal diferença do mercado da década de 1990, quando começou a programar, para os dias de hoje. Ele observa que o sonho de todos os profissionais na época era trabalhar em uma empresa grande. “Hoje, se você quiser trabalhar de terno e gravata em um banco ou em uma consultoria, você consegue”, afirma. “Mas se preferir trabalhar de chinelo e levar o seu cachorro até a empresa, também é possível. O mercado está muito mais plural. Há oportunidades para todos os perfis.”

Fonte: istoedinheiro.

 

PorWagner Lindemberg

5 Fatos Sobre Cyber Segurança Que Todos Deveriam Saber

Cyber segurança é um tema que vem sendo tratado em diversos eventos e fóruns mundiais e até mesmo virado manchetes nacionais ou internacionais e deve ser tratado com seriedade e responsabilidade não somente por indivíduos e profissionais, mas também pelas organizações que desejam se manter seguras diante do avanço tecnológico que ocorre a passos rápidos. Existem 5 principais fatos e exemplos que todos devem estar cientes para que o tema receba a devida importância.

1 – A era digital

No passado não era raro estarmos mais offline do que online. Conexões de internet eram demasiadamente caras e através de linhas discadas (a famosa dial-up). Durante este período os negócios eram realizados de forma offline, contando com o contato físico, anúncios impressos, pedidos via telefone, etc. Mesmo durante este período, ataques cibernéticos já estavam presentes no nosso cotidiano, e-mails contendo virus, trojans visando explorar vulnerabilidades dos sistemas operacionais, porém o tema ainda não era tratado como um grande acontecimento. Após o avanço tecnológico onde estamos conectados a tudo e a todos 24×7, a nossa vida passou a ser também digital, onde com um simples toque em seu smartphone você é capaz de se conectar a qualquer pessoa em qualquer parte do mundo e ainda realizar ligações de vídeo sem sequer pagar DDI, porém juntamente com a evolução da tecnologia, em paralelo ocorre a evolução dos crimes cibernéticos.

De acordo com a PSafe somente no ano de 2018 foi registrado um aumento de 12% em links maliciosos no Brasil comparando o 1º e 2º trimestre de 2018.

2 – O Brasil já perdeu US$ 22 bilhões em 2017 com ataques cibernéticos

Durante o ano de 2017, aproximadamente 62 milhões de brasileiros sofreram ataques cibernéticos de acordo com a Norton Cyber Security Report. Isto representa 61% da população adulta e conectada do país. Em média as vítimas despenderam de aproximadamente 34 horas reparando os prejuízos causados devido ao ataque.

O Brasil encontra-se em 2º lugar (atrás da China) em relação ao ranking de países que sofreram prejuízos financeiros devido aos ataques cibernéticos.

O custo do reparo aos danos ainda é demasiadamente maior se compararmos aos custos da conscientização e treinamentos adequados as equipes de segurança e pessoal das áreas de negócio. Organizações devem melhor preparar sua força de trabalho para evitar futuras grandes perdas não somente de valores financeiros, mas também do tempo dispendido em correções ao invés de prevenções.

3 – 20% da população global utiliza a mesma senha para múltiplos websites e 58% de vítimas de cyber ataques já compartilharam ao menos 1 dispositivo ou contas com outras pessoas

Não é surpresa que uma grande parcela da população ainda utiliza da mesma senha para múltiplos websites. O sentimento de que um cyber ataque nunca ocorrerá e de que seus dados pessoais estarão sempre protegidos gera uma falsa sensação de segurança aos usuários da era digital. Atualmente diversos navegadores e até mesmos aplicativos estão disponíveis para que senhas fortes possam ser geradas e armazenadas, facilitando a vida dos usuários da web na lembrança de senhas. Porém o maior número e que desperta maior atenção é que 58% das pessoas que já sofreram cyber ataques compartilharam ao menos 1 de seus dispositivos ou suas contas com outras pessoas. Considerando que em nossas contas online armazenamos diversos dados pessoais que poderiam ser utilizados com má fé, isto se torna uma grande preocupação de escala não somente nacional, mas mundial.

Se notarmos o quanto utilizamos principalmente os nossos dispositivos móveis em nosso dia-a-dia veremos que basta um único compartilhamento ou vulnerabilidade a ser explorada, para termos acessos a informações como agendas, telefones importantes, fotos, notas, cartões de crédito e débito, conversas particulares, e-mails, informações de saúde, entre outros.

Neste ponto novamente verificamos um despreparo da população em relação ao tema Cyber Segurança. Em tempos de Internet das Coisas (IoT) em que a nossa casa e vida estarão ou já se encontram conectadas, apenas com poucas habilidades sociais ou técnicas toda a sua vida privada e de negócios poderá ser exposta para todos os usuários da web mundialmente.

4 – Aproximadamente 40% dos websites brasileiros não possuem certificado de segurança (SSL)

De acordo com a Exame pouco menos da metade dos websites brasileiros não utilizam um importante recurso de segurança chamado SSL (Secure Socket Layer) – Tal protocolo permite uma conexão segura utilizando de criptografia entre o servidor onde os dados de navegação estão sendo armazenados. Você poderá notar que websites que utilizam de SSL adicionam um S ao final do http:// ficando https:// .

Você pode estar se perguntando sobre como isso pode lhe impactar. A ausência de uma conexão segura durante a sua navegação fará com que os seus dados pessoais de navegação e até mesmo seus dados pessoais utilizados durante seu cadastro no website ou na página de comercio eletrônico fiquem vulneráveis a ataques cibernéticos, fornecendo uma maior facilidade no roubo de suas informações.

5 – Projeto de lei geral de proteção de dados pessoais é aprovado no Brasil em 10/07/2018

O projeto de marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil foi aprovado pelo Plenário do Senado, por unanimidade, nesta terça-feira (10). O texto garante maior controle dos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados. O texto, já aprovado na Câmara dos Deputados, segue para a sanção presidencial.

O PLC 53/2018 também proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva. Esse tratamento é o cruzamento de informações de uma pessoa específica ou de um grupo para subsidiar decisões comerciais (perfil de consumo para divulgação de ofertas de bens ou serviços, por exemplo), políticas públicas ou atuação de órgão público. Fonte: Senado Brasileiro

Qual é o impacto para as organizações? As organizações deverão se enquadrar de acordo com o seu ramo de atividades e também realizar alterações de processos de negócios para se adequar a esta nova realidade. Isto não somente irá envolver tecnologia mas também processos gerenciais e operacionais. A lei Brasileira vem em resposta a publicação da lei de proteção e privacidade dos dados recentemente publicada na Europa, mais conhecida como GDRP. Neste momento o investimento em capacitação se torna valioso para as organizações que precisam cumprir com uma lei que visa adequar as políticas de proteção de dados pessoais aos padrões também Internacionais (como por exemplo Estados Unidos e Europa).

Qual é o impacto para os indivíduos? Indivíduos terão maior certeza de que seus dados estarão mais bem protegidos e não sendo usados para outras finalidades que não aquelas autorizadas pelo titular dos dados. Para os profissionais da área da segurança, uma nova camada de complexidade acaba de pousar em suas vidas, a sua correta preparação e entendimento do tema trará vantagens profissionais e de negócio fantásticas num curto espaço de tempo.

Fonte: Exin.

PorWagner Lindemberg

Falhas em aplicativos pré-instalados expõem milhões de dispositivos Android a hackers

Comprou um novo telefone Android? E se eu disser que seu novo smartphone pode ser invadido remotamente?

Quase todos os telefones Android vêm com aplicativos inúteis pré-instalados por fabricantes ou operadoras, geralmente chamados de bloatware, e não há nada que você possa fazer se algum deles tiver um backdoor embutido – mesmo que você tenha o cuidado de evitar aplicativos incompletos.

Isso é exatamente o que os pesquisadores de segurança da empresa de segurança móvel Kryptowire demonstraram na conferência de segurança DEF CON, na sexta-feira.

Pesquisadores divulgaram detalhes de 47 vulnerabilidades diferentes dentro do firmware e aplicativos padrão (pré-instalados e principalmente não removíveis) de 25 aparelhos Android que podem permitir que hackers espionem usuários e redefina seus dispositivos, colocando milhões de dispositivos Android em risco.

Pelo menos 11 desses smartphones vulneráveis ​​são fabricados por empresas como Asus, ZTE, LG e Essential Phone, e são distribuídos por operadoras americanas como a Verizon e a AT & T.

Outras grandes marcas de celulares Android , tais como Vivo, Sony, Nokia e Oppo, e outros fabricantes menores, como Sky, Leagoo, Plum, Orbic, MXQ, Doogee, Coolpad e Alcatel, também estão incluídas nas falhas.

Algumas vulnerabilidades descobertas pelos pesquisadores podem até mesmo permitir que hackers executem comandos arbitrários como o usuário do sistema, limpar todos os dados do usuário de um dispositivo, bloquear usuários de seus dispositivos, acessar o microfone do dispositivo e outras funções, acessar todos os seus dados, incluindo seus e-mails e mensagens , ler e modificar mensagens de texto, enviar mensagens de texto e muito mais, tudo sem o conhecimento dos usuários.

“Todas essas vulnerabilidades são pré-instaladas. Eles aparecem logo que você tira o telefone da caixa”, disse o CEO da Kryptowire, Angelos Stavrou, em um comunicado. “Isso é importante porque os consumidores acham que estão expostos apenas se baixarem algo malicioso”.

Por exemplo, as vulnerabilidades no Asus ZenFone V Live podem permitir a aquisição de todo o sistema, permitindo que os invasores façam capturas de tela e gravem a tela do usuário, façam chamadas telefônicas, espionem mensagens de texto e muito mais.

A Kryptowire, cuja pesquisa foi financiada pelo Departamento de Segurança Interna dos Estados Unidos, explicou que essas vulnerabilidades derivam da natureza aberta do sistema operacional do Android, que permite que terceiros como fabricantes de dispositivos e operadoras modifiquem o código e criem versões completamente diferentes do Android.

A Kryptowire é a mesma empresa de segurança que, no final de 2016, descobriu um backdoor pré-instalado em mais de 700 milhões de smartphones Android que permitiam o envio de todas as mensagens de texto, registro de chamadas, lista de contatos, histórico de localização e dados de aplicativos à China a cada 72 horas.

A Kryptowire reportou de forma responsável as vulnerabilidades ao Google e aos respetivos parceiros Android afetados, alguns dos quais corrigiram os problemas, enquanto outros ainda estão trabalhando para resolver estes problemas com um patch.

No entanto, deve-se notar que, como o próprio sistema operacional Android não é vulnerável a nenhum dos problemas divulgados, o Google não pode fazer muito a respeito, já que não tem controle sobre os aplicativos pré-instalados por fabricantes e operadoras.

Fonte: The Hacker News.