segunda-feira, 28 de novembro de 2016

Como vencer ataques digitais baseados em Internet das Coisas (IoT)

28/11 - Rita D’Andrea*  / GAD Comunicação


Antes apenas um conceito, a Internet das Coisas tornou-se, agora, tangível. Isso acontece porque, no final de outubro, milhares de dispositivos IoT foram usados de forma massiva durante ataques DDoS (de negação de serviço) que praticamente derrubaram a Internet nos EUA. A empresa mais atingida pelo uso de sensores IoT “zumbis” por hackers foi a Dyn. Como a Dyn é o provedor de DNS para muitos grandes portais, o ataque DDoS baseado em IoT acabou derrubando gigantes como Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud e até mesmo o The New York Times.

A Botnet de onde surgiram os ataques automatizados a esses portais usou como base pequenos roteadores domésticos, decodificadores de TVs a cabo e câmeras de vídeo. São dispositivos IoT com alta capacidade de CPU – capazes, portanto, de abrigar malware sofisticado – e uplinks de alta largura de banda, o que permitiu que esses dispositivos fossem usados para lançar ataques de até 100 Mb/s cada.

Os hackers responsáveis pelos mega ataques de outubro usaram o software Mirai, que usa malware de e-mails de phishing para infectar inicialmente um único computador ou uma única rede doméstica. A partir daí, o malware é distribuído automaticamente para todo tipo de dispositivo IoT, que se transforma em submisso elemento de uma Botnet.

Vale destacar que, ao final do dia, o poder de fogo coletivo de milhares de dispositivos IoT inseridos numa Botnet é até dez vezes maior do que o das Botnets baseadas em computadores tradicionais. A força destruidora pode ficar acima de terabits por segundo.

O que aconteceu em outubro mudou o modo como se pensa a segurança de TIC, obrigando o mercado a analisar as estratégias para, simultaneamente, tornar o dispositivo IoT e a rede corporativa mais seguras.

Como tornar o dispositivo IoT mais seguro

As sugestões aqui listadas são para pessoas e empresas que compram ou simplesmente utilizam dispositivos IoT em seus ambientes, seja um carro, o quarto de um bebê ou o chão de fábrica de uma indústria.

·Assegurar-se de que todas as senhas padrão sejam trocadas por senhas fortes. Isso é importante porque nomes de usuário e senhas para a maioria dos dispositivos IoT podem ser facilmente encontrados na Internet. Isso torna os dispositivos com senhas padrão extremamente vulneráveis.

·Atualizar dispositivos IoT com patches de segurança logo que estes se tornam disponíveis. Um IoT com configuração desatualizada é um alvo fácil para hackers.

·Desabilitar o Universal Plug and Play (UPnP) em roteadores.

·Adquirir dispositivos IoT de empresas que tenham reputação de fornecer tecnologia segura. Como preço é um fator-chave em tudo o que diz respeito aos sensores IoT, essa orientação pode encontrar resistência em alguns consumidores/usuários.

Como tornar a rede corporativa mais segura

Devido à complexidade dos ambientes corporativos, são muitas as frentes de batalha contra os ataques DDoS baseados em Botnets de dispositivos IoT “zumbis”.

Contrate “limpadores de nuvem” – Ataques semelhantes ao realizado em outubro só podem ser mitigados por cloud scrubbers (limpadores de nuvem) especializados em defesa em escala. É a nuvem protegendo a nuvem. Os serviços de segurança cloud scrubbers interceptam o tráfego de ataque, limpam esse fluxo de dados e devolvem para a corporação usuária deste serviço de segurança somente o tráfego “bom”.

As organizações devem certificar-se de que têm contratos com um ou mais cloud scrubbers antes de ser atacadas. Configurar os túneis pré-estabelecidos não é algo que possa ser feito facilmente em meio a um ataque volumétrico.

Construa um plano resiliente de DNS - O ataque sofrido pela Dyn tornou urgente renovar a forma de se trabalhar com DNS, enfatizando a importância das empresas usuárias manterem um “plano B”. O objetivo é saber o que fazer se o seu provedor de DNS ficar offline em decorrência de um desses novos tipos de ataques. Para evitar essa situação, é essencial que as empresas construam um plano resiliente, que inclua múltiplos provedores de DNS para servir endereços para as aplicações críticas de cada corporação usuária de TIC.

Uma alternativa interessante é alocar o DNS em uma nuvem segura. Neste caso, transfere-se o DNS para um serviço de scrubbing center ou “limpador de nuvem”. Grandes provedores de serviços no Brasil já estão tomando esta precaução, uma atitude que pode evitar situações como as vivenciadas pelos clientes da Dyn.

Aposte no firewall da rede – A camada de defesa da rede é construída em torno do firewall da rede. Ela é projetada para mitigar alguns dos mais terríveis ataques computacionais. Mas atenção: muitos firewalls só resistirão a ataques DDoS se forem adequadamente configurados. Verifique as configurações com o seu fornecedor de firewall de rede. Alguns clientes instalam dispositivos anti-DDoS antes do firewall para repelir ataques.

Defenda suas aplicações – Vimos que a Botnet Mirai tem capacidade para gerar impressionantes inundações de solicitações de acesso. Devido a essas solicitações parecerem aos dispositivos de defesa da rede um tráfego normal, essas ameaças acabam sendo enfrentadas na camada de aplicação (4 a 7). Diante disso, alguns especialistas recomendam o que se chama “login-wall”. Um login wall exige que uma conexão seja autenticada antes de começar a acessar a aplicação. Essa checagem é feita antes do sistema, para atender a essa solicitação, passar a consumir recursos computacionais da corporação.

Hacker vivem em bando, experts em segurança farão o mesmo

Ficou claro, portanto, que estamos em uma nova fase de ataques DDoS – a era da Internet das Coisas usada em Botnets. Nesta nova era, os criminosos trocam informações entre si o tempo todo. Nos ataques de outubro, por exemplo, hackers de todo o mundo compartilharam entre si o Mirai. A comunidade de Segurança da Informação precisa copiar essa estratégia e aprender a trabalhar unida para resolver as ameaças que surgem com a disseminação do IoT.

Nos próximos anos, os ataques DDoS crescerão em tamanho, os serviços de limpeza da nuvem ampliarão a largura de banda para acomodar esses grandes ataques, e os fabricantes de dispositivos IoT descobrirão como lidar com as inseguranças dos seus dispositivos.

Essa evolução é certa.

Ainda assim, governos, empresas e pessoas terão de constantemente reaprender como lidar com a ameaça crescente das Botnets baseadas em dispositivos IoT. A batalha pela segurança é uma história sem fim, e o uso da Internet das Coisas pelos hackers está apenas começando.

*Rita D’Andrea é country manager da F5 Networks Brasil

Mulheres entram com tudo na tecnologia

28/11 - Central Press


Iniciativas independentes e eventos apoiadores fazem público feminino crescer em áreas antes predominantemente masculinas

A baixa participação das mulheres em setores de ciência e tecnologia é um assunto que tem ganhado força no Brasil e no mundo. Em 2014, a Organização das Nações Unidas para a Educação, a Ciência e a Cultura (Unesco) divulgou uma pesquisa com resultados que apontam que apenas 30% dos pesquisadores no mundo são mulheres. Além disso, a Pesquisa Nacional por Amostra de Domicílios (PNAD) realizada em 2009, no Brasil, mostra que apenas 20% das 520 mil pessoas que trabalhavam com Tecnologia da Informação eram mulheres.

Debora Bina, aluna do terceiro ano do curso de Sistemas de Informação da Universidade Positivo (UP), de Curitiba, é uma das apenas 5 mulheres em uma turma de 35 estudantes e, no trabalho, é a única mulher da equipe de 20 pessoas. Ela conta que a decisão pela área tecnológica não era o esperado para sua vida acadêmica, enquanto mulher. “Sempre pensei em cursar Moda, mas quando optei por Sistemas de Informação, minha família ficou surpresa. Eu via no rosto deles que pensavam que tecnologia não é para meninas”, afirma.  Segundo Debora, essa situação é uma consequência cultural, uma vez que as meninas são criadas para ter interesse em outras áreas. “Desde a infância, somos presenteadas com bonecas, enquanto os meninos ganham carros com controle remoto, blocos de construção e robôs”, expõe. Para ela, as crianças, de todos os gêneros, deveriam ter contato com a programação e disciplinas tecnológicas desde o Ensino Básico.

Os números desiguais estimulam mulheres, e homens, de todo o mundo a criarem iniciativas que incluam o público feminino nessas áreas. Para apoiar e valorizar a atuação feminina no mercado, Debora e as colegas de turma criaram o Make Up Code, movimento que tem como objetivo reunir e incentivar as mulheres a criarem e inovarem na esfera tecnológica. Uma das integrantes do grupo, Gabriela Saori Hara, também estudante de Sistemas de Informação, leva esse incentivo principalmente nas atitudes da própria vida, participando de todos os eventos que consegue.

Hackathon

Gabriela já participou, durante sua graduação, de cinco hackathons – maratonas de programação que resultam na criação de projetos e soluções inovadoras. Segundo ela, assim como nas empresas, os hackathons costumavam ter maior engajamento masculino, porém isso já tem mudado. “Com o tempo, a mulher tem se destacado não só no campo de tecnologia e desenvolvimento, mas também em outras coisas. Eu, por exemplo, trabalho mais no âmbito dos negócios, mas ainda envolve tecnologia”, explica.

O Hackathon SENDI 2016, que aconteceu de 4 a 6 de novembro, em Curitiba, contou com a participação considerável do público feminino: ao todo, foram mais de 80 mulheres, entre estudantes, mentoras e juradas, dentre os cerca de 400 participantes de todo o evento. Nathália Pimentel, estudante de Engenharia de Energia da UP, diz que este foi o primeiro evento tecnológico que participou. “Fui convidada por meus amigos porque o tema é condizente com o que estudo, mas sempre tive interesse na área tecnológica. Além disso, me senti confortável no evento, principalmente por ver um bom número de mulheres participando”, relata.

A coordenadora do Laboratório de Varejo da UP, Fabíola Paes, foi uma das coordenadoras do Hackathon SENDI 2016. Para ela, não existe mais profissão na qual a mulher não seja bem vinda ou não tenha talento para exercer. “Sendo professora, tento incentivar ao máximo a presença das alunas nos eventos tecnológicos e é gratificante ver que toda a esfera de ciência e tecnologia tem acolhido melhor todas elas”. Fabíola foi uma das vencedoras do Hackathon da Lóreal, no início do ano, ganhou R$ 100 mil para colocar a ideia em prática e visitou o Vale do Silício.

TechLadies

No dia 10 de dezembro, a TechLadies – uma rede de apoio criada para empoderar mulheres interessadas em ingressar na área de Tecnologia da Informação – promove um encontro para a troca de experiências, discussão sobre os desafios do setor e conexão entre as participantes. O evento é gratuito, aberto ao público, e acontece na Universidade Positivo, a partir das 9h.

Trend Micro revela: Indústria de jogos online é alvo de hackers em ataques DDoS

28/11 - Comunique-se


A ideia de que ataques DDoS (Negação de Serviço) possam prejudicar a indústria de jogos online parece um pouco mirabolante. No entanto, segundo a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – o segmento bilionário de games conta com uma comunidade competitiva que cresce de forma contínua, atraindo naturalmente a atenção dos cibercriminosos.

Um caso recente de fraude em wire transfers permitiu que um grupo de hackers roubasse US$ 16 milhões de dólares em moedas da série FIFA, e as vendessem para compradores na Europa e na China.

A falta de regulamentação das moedas digitais para jogos pode fazer com que a superfície de ataque se volte contra esta indústria com o desenvolvimento de estratégias para faturar ilegalmente.

A obtenção de lucros por meio das bitcoins, torna esse esquema particularmente ideal para os cibercriminosos, tendo em vista que a moeda é criptografada, o que faz com que as atividades ilícitas sejam ainda mais indetectáveis.

Como funciona a lavagem de dinheiro da moeda online?


Uma série de ataques que vão desde fraudes financeiras e roubos de identidade até ataques de negação de serviços e campanhas de spam (que podem levar à infecção de ransomware) foram financiados por essas vendas e já afetaram organizações de todos os tamanhos.

Foi observado que grupos conhecidos de hackers, como Armada Collective, Lizard Squad e Team Poison, estão hackeando os jogos online e financiando seus ataques cibernéticos de maior escala contra empresas.

A Demonstração de poder por trás dos ataques às empresas

Além disso, as empresas de games online também podem estar na mira de grupos cibercriminosos que as atacam por meio de ataques DDoS com ferramentas disponíveis gratuitamente que podem ser usadas para facilitar ataques multivetorizados.

Website na Deep Web que oferece a venda de moedas criptografadas


O grande obstáculo aqui é que, apesar das recompensas monetárias obtidas pelos cibercriminosos serem usadas para suas atividades ilegais, o comércio de moedas para jogos online em si não é, estritamente falando, uma atividade criminosa. Atualmente não há nenhuma lei regulando as moedas para jogos online.

Com isso, dois fatores de peso devem ser levados em consideração: o primeiro é que a venda destas moedas é mais lucrativa por meio do modus operandi dos cibercriminosos e o segundo é que as empresas de jogos online devem tomar cuidado com esta ameaça e se responsabilizarem pela sua segurança e segurança de seus usuários.

Perspectivas: indústria de games continuará sendo visada

De acordo com o relatório 2T2106 do provedor de serviços em nuvem Akamai, ataques de DDoS tiveram um aumento de 129% desde o ano passado, sendo que a indústria de jogo foi o principal alvo documentado, com 57%.

De acordo com a Trend Micro, se as empresas não conseguirem melhorar a própria segurança e os próprios jogadores continuarem sendo negligentes e colaborando com os cibercriminosos, o comércio de moedas para jogos online vai persistir e afetar não só a indústria de jogos, mas fará também muitas outras vítimas.

Obtenha mais informações sobre como as moedas para jogos online estão afetando as empresas na pesquisa da Trend Micro "As Raízes Cibercriminosas da Venda de Moedas para Jogos Online".

Da indústria de hoje para a do futuro

28/11 - Gabriel Lobitsky* / Mayra Feitosa - BRSA


Outro dia resolvi comprar o carro dos meus sonhos. Já trabalhei bastante e acho que é hora de me presentear com este, que de tão especial e caro, é quase como uma jóia. Após a compra (encomenda, na verdade, pois ele será feito especialmente para mim), ganhei um smartwatch para acompanhar o processo de produção do carro e ser avisado, dali mesmo, direto do meu pulso, de cada uma das etapas do processo e de quando ele estivesse chegando. Mas, antes disso, o vendedor me colocou dentro de um scanner. Sim... é verdade. Tive o meu corpo inteiro scanneado para que o carro fosse construído pensando nas minhas necessidades, no meu tamanho, etc. Achei tudo aquilo surreal e muito interessante, e numa conversa com o vendedor descobri que a marca se vale de outras tecnologias para manter revendas envolvidas nestes e outros processos; e que dentro da fábrica, todas as “coisas e equipamentos se conversam” e emitem informações umas às outras.

É claro que essa é uma história fictícia, pois ainda estou um tanto quanto longe de poder “me dar a esse luxo”. Não fosse isso, eu já poderia encontrar no mercado uma indústria capaz de torná-la realidade. Temos conversado com companhias de manufatura dos segmentos mais diversos, no Brasil e em outros lugares do mundo, e projetos como esse já saíram do campo das ideias. Já estão em papéis, em fase de estimativas, provas de conceito, etc. É a tal da indústria 4.0, que promete fazer com que sistemas ciber-físicos monitorem processos, tomem decisões, se comuniquem e cooperem entre si e com humanos em tempo real, por meio de computação em nuvem, internet das coisas, realidade aumentada, inteligência artificial, etc.

Por exemplo, empresas como a Ferrari, cliente da Infor, vão por esse caminho. Eles já adotaram o ERP, processos de Supply chain management, de manufatura e finanças que estão sendo consolidados com o middleware inovador Infor ION.

Se por um lado, o mercado tem discutido, e muito, os benefícios, impactos, montantes de investimento, viabilidade para que a indústria 4.0 se torne uma realidade; por outro vemos empresas que estão confusas, de olho em inovação, mas ainda deixando de fazer algumas coisas básicas como, por exemplo, olhar para os seus processos. Por isso, antes de investir numa série de tecnologias com o objetivo de transformar a sua indústria numa versão 4.0, analise-os. O histórico mostra que o empreendedor brasileiro, por exemplo, não vê valor no processo. A indústria utiliza, entre outros indicadores, o OEE (Overall Equipment Effectiveness) para análise da linha de produção. Mas se um equipamento está rodando a 75%, ele prefere trocar uma linha de produção inteira, ao invés de investir em inteligência para garantir que os equipamentos e sua eficiência voltem a funcionar em 100%.Soluções de scheduling optimization seria muito valiosas neste caso. Com isso, ele aumenta seu consumo em outras pontas, como água, energia, manutenção, pessoas, etc. Se a indústria tem um gargalo na parte produtiva, é preciso entender, com base no processo, aonde investir em tecnologia. E é nesse sentido, quando falamos em inteligência em pró de maior eficácia e eficiência operacional, que acredito que toda essa discussão em torno da indústria 4.0 comece a gerar valor.

Hoje muito se fala em big data, mas a análise de pequenos dados – small data - é mais valiosa para entender onde estão os principais desafios. Soluções de gestão de ativos, por exemplo, podem ajudar a medir a gestão das máquinas. A internet das coisas é capaz de conectar dados, comparar processos e identificar quais ações devem ser tomadas. A indústria precisa ter eficiência operacional a seu favor para que ela entregue ótimos serviços aos seus clientes. No Brasil, alguns segmentos já atuam com inovação, como o setor de bebidas, que mede 100% da sua linha de produção e consegue garantir o atendimento de ponta a ponta (da produção à entrega), em um tempo adequado, e de acordo com os níveis de consumo. Também vemos montadoras, ou empresas de entrega, que usam internet das coisas para despacho, monitoramento do custo, recebimento, etc.

Mas por trás de tudo isso, estão os processos. Por isso, esse é o convite que faço à todos aqueles que estão deslumbrados com a possibilidade de ver o mundo físico e virtual trabalhando juntos para garantir mais eficiência, menos tempo e menor custo – o mundo ideal para qualquer empresa de manufatura. A fábrica inteligente pode até ser uma realidade para alguns segmentos da indústria, mas a maior parte do mercado ainda tem um longo caminho a percorrer. E no final do dia, as modernas tecnologias da informação e da comunicação só trarão resultados para o negócio se estiverem atendendo às necessidades dos seus processos.

*Gabriel Lobitsky é Diretor de vendas para o Sul da América Latina

Denúncias de uso ilegal de softwares já ultrapassa volume registrado em 2015

28/11 - Comunique-se


A BSA| Software Alliance, maior defensora do setor global de software perante governos e no mercado internacional, com escritório em São Paulo, encerrou outubro com 9.820 denúncias relacionadas ao uso de softwares piratas ou não licenciados no Brasil. O volume já ultrapassa o total computado para 2015, quando a instituição fortaleceu a campanha “Pensando Bem”, que procura conscientizar a população, sobretudo as empresas, sobre os riscos relacionados ao uso de software pirata.  A campanha, realizada pela agência 4BUZZ na internet e em parceria com a Associação Brasileira das Empresas de Software (ABES) alerta para o fato de que a pirataria no setor é crime, causa muitos prejuízos e a responsabilidade por seu combate deve ser compartilhada.

A campanha divulga os canais e os procedimentos por meio dos quais a população pode relatar com segurança o uso ilegal das ferramentas de software: www.denunciepirataria.org.br ou http://empreendedorlegal.org.br.  “O uso de softwares piratas abre margem para os ataques cibernéticos, uma prática que acarretou às empresas, somente em 2015, um prejuízo de U$ 400 bilhões. Ou seja, é algo que faz muito mal à economia global”, diz o country manager da BSA para o Brasil, Antonio Eduardo Mendes da Silva (Pitanga).

Segundo o levantamento da BSA, nos últimos 12 meses a instituição registrou 12.480 denúncias, o que significa uma média de mais de 1000 relatos por mês. “Nem todas as denúncias procedem, mas de certo é um volume considerável, e nós atribuímos essa mobilização à campanha Pensando Bem e à disseminação de informações às empresas sobre como estabelecer um programa efetivo de gestão de ativos de software (SAM – Software Asset Management), capaz de minimizar os riscos econômicos e reputacionais advindos da pirataria”, diz Pitanga.

A edição de 2016 da pesquisa da BSA sobre uso irregular de softwares em todo o mundo mostra que, no Brasil, o percentual de softwares não licenciados é de 47%.