Eventos de Segurança de 2019

Vou postar alguns eventos que já tem agenda, ao longo do tempo vou atualizando.

Nesse momento estou usando como base os eventos postados pelo amigo Anchises em seu blog que pode ser acessado clicando Aqui.

BRASIL

  • Fevereiro/2019
    • 12/02 a 17/02: Campus Party (twitter @campuspartybra) – A CPBR12 é um evento de tecnologia em geral, mas acaba tendo algumas atividades de segurança espalhadas na grade e nas comunidades. Além do espaço que os hackerspaces brasileiros sempre cavam no evento (batizado de “Dumont Hackerspace”), no ano passado surgiu o “Campus Executive”, uma versão de 2 dias voltado para o público corporativo em parceria com a Daryus, com preço salgado, palestras no dia 13/02 e visita guiada no espaço da CPBR no dia 14/02. Neste ano também haverá um espaço para o capítulo SP da OWASP, com atividades relacionadas a appsec. A CPBR mudou de lugar, e neste ano acontecerá no Expo Center Norte;
  • Março/2019
    • 21/03: Security Leaders Brasília – O Security Leaders promete visitar 8 cidades em 2019, começando com a versão regional de Brasília. Segue a fórmula de convidar executivos para painéis de debate com conteúdo superficial, com uma pequena área de exposições. Evento fraco de conteúdo, mediano em termos de negócios e com boa oportunidade de networking. A presentça dos executivos agrada aos patrocinadores;
  • Abril/2019
    • 06/04: bxsec (São Vicente, SP) (@bxsec) – evento de segurança organizado pelo pessoal da Baixada Santista. Costuma ter uma grade muito boa de palestras;
    • 13/04: RoadSec Campinas (@roadsec) (chamada de atividades) – Campinas inaugura o tour 2019 e recebe pela primeira vez o Roadsec, um evento bem intenso com diversas palestras, oficinas e competições;
    • 23 a 27/04: The Developers Conference (TDC) Floripa (@TheDevConf) (CFP) – O TDC é um evento tradicional e enorme sobre desenvolvimento de software, com algumas edições espalhadas no Brasil. Floripa recebe a primeira delas! Dentre as várias trilhas de conteúdo, eles tem uma relacionada a segurança.
    • 25/04: Security Leaders Rio de Janeiro – versão regional do Security Leaders em terras cariocas;
    • 27/04: RoadSec Belém (@roadsec) (chamada) – Belém (PA) é a segunda cidade brasileira a receber o Roadsec em 2019;
  • Maio/2019
    • 03 e 04/05: CryptoRave (twitter @cryptoravebr) (CFP) – Excelente evento gratuito, com uma abordagem mais politizada. Tem um público bem diversificado, com palestras e atividades sobre criptografia, direito à privacidade, política, cultura de segurança, noções de anonimato e sobre os perigos da vigilância na rede. Acontece em 2 dias seguidos, varando a noite adentro;
    • 04/05: RoadSec São José do Rio Preto (@roadsec) (chamada) – Mais uma cidade no interior de São Paulo recebe o Roadsec 2019 pela primeira vez!
    • 09/05: Mind The Sec Summit Fortaleza (@mindthesec) (CFP) – Fortaleza (CE) é a primeira cidade a receber o tour 2019 do “Mind The Sec Summit”, uma versão reduzida do MindTheSec, com palestras de qualidade para o público corporativo;
    • 11/05: RoadSec Fortaleza (@roadsec) (chamada) – O Roadsec visita Fortaleza (CE) com suas oficinas, competições e palestras;
    • 15/05: MindTheSec Rio de Janeiro (CFP) – Edição do MindTheSec no Rio de Janeiro;
    • 18/05: Roadsec Rio de Janeiro (RJ) (@roadsec) – aproveitando a carona do MTS, o público carioca também ganha o Roadsec em 2019;
    • 18/05: BSides Vitória (ES) (CFP) – primeira edição da Security BSides em Vitória, organizada por um pessoal fera, e que promete ter palestras de excelente qualidade. Será a primeira BSides brasileira fora de São Paulo!
    • 23/05: Mind The Sec Summit Recife (@mindthesec) (CFP) – Recife também recebe a versão “mini-me” do Mind The Sec;
    • 23/05: GTER 47 e GTS 33 (Belém, PA)  (twitter @gtergts) (CFP) – Primeiro encontro do ano do Grupo de Trabalho de Engenharia e Operação de Redes (GTER) e do Grupo de Trabalho de Segurança (GTS), organizado pelo Comitê Gestor da Internet no Brasil. Como manda a tradição, o 1o evento do ano acontece em algum local fora de São Paulo, e neste ano foi escolhida a cidade de Belém, no Pará. Evento com palestras técnicas, que são transmitidas ao vivo, online;
    • 25/05: RoadSec João Pessoa (twitter @roadsec) (chamada) – O Roadsec visita “Jampa”. Os participantes poderão aproveitar um dia repleto de palestras, oficinas e competições;
    • 25/05: Darkwaves Conference (Natal, RN) (CFP) – Essa é a segunda edição da “Dark.conf”, um evento bem técnico com palestras e oficinas focadas em segurança em redes sem fio, telecomunicações e RF;
    • 25 e 26/05: BSides São Paulo (BSidesSP) (Página no Facebook; twitter @bsidessp) – décima-sexta edição da BSidesSP, com o mesmo formato das anteriores: um evento gratuito com foco técnico segurança e cultura hacker. Mini-treinamentos no sábado a tarde e a conferência completa no domingo, com palestras, oficinas, villages e competições, além de uma trilha inteira de atividades para crianças, a BSides 4 Kids;
    • 27/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) (CFP) – O YSTS é um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade, mas a participação é restrita a convidados dos patrocinadores. Se você quer participar, então aproveite e envie uma proposta de palestra bem legal no CFP;
    • 30/05: Mind The Sec Summit Brasília (@mindthesec) (CFP) – o público corporativo de Brasília também recebe a versão “summit” do Mind The Sec;
    • 30/05: Security Leaders Porto Alegre – versão regional do Security Leaders;
  • Junho/2019
    • 01/06: RoadSec Goiania (@roadsec) (chamada) – Aproveitando o MTS em Brasília, a Flipside marcou o Roadsec em Goiânia, logo em seguida;
    • 06/06: Mind The Sec Summit Porto Alegre (@mindthesec) (CFP) – a versão “summit” do Mind The Sec também visita a capital gaúcha;
    • 08/06: RoadSec Presidente Prudente (@roadsec) (chamada) – Mais uma cidade no interior de São Paulo vai receber o Roadsec em 2019;
    • 10 e 11/06: CNASI São Paulo – O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) é direcionado ao público corporativo nas áreas de segurança, governança e compliance. É o mais antigo evento de segurança brasileiro, organizado pelo IDETI há mais de 20 anos, com palestras, mini-treinamentos e paineis de debate com foco principalmente em gestão, com pouco conteúdo técnico. Também tem uma área de exposições para os patrocinadores;
    • 11 a 13/06: CIAB – Mega-evento de tecnologia para o setor financeiro organizado pela Febraban. Destaque para sua gigantesca feira de exposição com dezenas de fornecedores de diversas tecnologias bancárias, incluindo os maiores fabricantes de TI e de segurança;
    • 13/06 Security Leaders Belo Horizonte – versão regional do Security Leaders;
    • 15/06: RoadSec Florianópolis (@roadsec) (chamada) – A bela Floripa também recebe o Roadsec;
    • 27/06: Mind The Sec Summit Belo Horizonte (@mindthesec) (CFP) – Mini Mind The Sec em BH, para o público corporativo;
    • 29/06: RoadSec Belo Horizonte (@roadsec) (chamada) – A capital mineira também recebe o Roadsec aberto ao público em geral.
  • Julho
    • 04/07: Security Leaders Fortaleza
  • Agosto
  • Setembro
  • Outubro
    • 17/10: Security Leaders Recife
  • Novembro

MUNDO

 

Anúncios
Sem categoria

Domained – Enumeração de subdominios

Domained é uma ferramenta de enumeração de subdomínio que usa várias ferramentas de enumeração de subdomínio e listas de palavras para criar uma lista exclusiva de subdomínios que são passados para o EyeWitness para gerar relatórios.

A ferramenta produz capturas de telas categorizadas, cabeçalhos de resposta do servidor e verificação de credencial padrão baseada em assinatura. Foi escrito em Python, alavancando fortemente com o Recon-ng.

Exemplos de uso do Subdomain Enumeration

Instalação:

sudo pip install -r ./ext/requirements.txt
sudo python domained.py –install

Example 1 – Uses subdomain example.com (Sublist3r (+subbrute), enumall, Knock, Amass, and SubFinder)

python domained.py -d example.com

Example 2: – Uses subdomain example.com with seclist subdomain list bruteforcing (massdns, subbrute, Sublist3r, Amass, enumall, and SubFinder), adds ports 8443/8080 and checks if on VPN

python domained.py -d example.com -b -p –vpn

Example 3: – Uses subdomain example.com with large-all.txt bruteforcing (massdns, subbrute, Sublist3r, Amass, enumall and SubFinder)

python domained.py -d example.com -b –bruteall

Example 4: – Uses subdomain example.com and only Amass and SubFinder

python domained.py -d example.com –quick

Example 5: – Uses subdomain example.com, only Amass and SubFinder and notification

python domained.py -d example.com –quick –notify

Example 6: – Uses subdomain example.com with no EyeWitness

python domained.py -d example.com –noeyewitness

Nota: --bruteall must be used with the -b flag

Você pode fazer o Download aqui:

domained-master.zip

Fonte: Darknet

Fórum Mundial Econômico – The Global Risks Report 2019 – Minha Análise

O fórum mundial econômico que ocorre em Davos, na Suiça, este ano ocorrendo nas datas de 22—25 Janeiro 2019, apresentou seu 14° relatório anual de Riscos.

Líderes políticos, acadêmicos e responsáveis das maiores empresas mundiais se reúnem nesse fórum. Esses encontros servem para debater o futuro da economia global e para analisar os riscos que podem ameaçar o mundo. Dias antes do encontro anual, o Fórum Econômico Mundial publica o relatório sobre os maiores riscos globais.

Trata-se de uma pesquisa com mais de mil especialistas e tomadores de decisão. No relatório deste ano, no topo da lista dos riscos que causam o maior impacto e que têm a maior probabilidade de ocorrer estão: i) eventos climáticos extremos; ii) não conseguir mitigar e adaptar às mudanças do clima; iii) desastres naturais; iv) Cyber Ataques.

Para Alison Martin, do Grupo Zurich de seguros, “o ano passado foi marcado por incêndios históricos, inundações contínuas e aumento das emissões de gases de efeito estufa. Não é surpresa que, em 2019, os riscos ambientais dominem mais uma vez a lista das principais preocupações.

O que chama atenção é que se não me falha a memória a pelo menos de 5 anos pra cá o tema Cyber Ataque vem sempre aparecendo e cada vez mais ganhando maior destaque.

Abaixo o quadrante mágico de 2019 de Riscos mundias considerando seu Impacto X Probabilidade

quadrante_magico

 

Preocupações sobre fraude de dados e ataques cibernéticos foram destaque.

Cerca de dois terços dos entrevistados esperam que os riscos associados com notícias falsas e roubo de identidade irão aumentar em 2019, enquanto três quintos disse o mesmo sobre privacidade para empresas e governos.

Existe uma parte no site do Fórum Mundial Econômico que ele mostra mostra uns infográficos interessantes, tentei fazer um compilado aqui:

infografico01

Ciberataques maliciosos e negligentes levaram a violações maciças de informações pessoais em 2018. O maior estava na Índia, onde a base de dados do governo, Aadhaar, supostamente sofreu várias violações que potencialmente comprometeu os registros de todos os 1,1 bilhões de cidadãos registrados. Isto foi relatado em janeiro/18, e os criminosos estavam vendendo acesso ao banco de dados a uma taxa de 500 rúpias por 10
minutos, enquanto em Março um vazamento em um companhia estatal de serviços públicos permitia baixar nomes e números de identificação. Em outros casos,
violações de dados  afetou em torno 150 milhões de usuários do Aplicação MyFitnessPal, e cerca de 50 milhões de usuários do Facebook. Vulnerabilidades cibernéticas podem vir
de lugares  inesperados, como mostrado em 2018 pelo Meltdown e ameaças Specter, que
envolveu fraquezas no hardware do computador  em vez de software. Eles potencialmente afetaram cada processador Intel  produzido nos últimos 10 anos.

A  vulnerabilidade potencial de infra-estrutura tecnológica tem cada vez virado mais uma  preocupação nacional de segurança.

Um exemplo citado no relatório, diz que um ciberataque bem-sucedido em um
sistema elétrico do país, por exemplo poderia desencadear efeitos devastadores. Uma estimativa sugere que concessionárias de energia gastaram US $ 1,7 bilhão em 2017, na proteção de seus sistemas contra ataques cibernéticos.

O relatório ainda cita que quando algo sai errado em um sistema complexo, os problemas começam aparecendo em todos os lugares, e é difícil descobrir o que está acontecendo. Isso significa que problemas fora de controle e até mesmo pequeno
erros podem se transformar em verdadeiros colapsos, um desafio em tanto tanto pra as equipes de defesas das empresas.

Para quem quiser ter acesso completo ao Report, CLIQUE AQUI

Destaques da CES 2019

Detector facial de gatos

 o Mookkie é um pote de ração inteligente: ele reconhece o rosto dos animais -não só os gatos.

A empresa italiana Volta diz que ele só libera a comida se a tigela for a daquele bichinho. Assim, se um estiver comendo uma ração especial, não corre o risco de outros pets se alimentarem dela.

TV “dobrável”

A LG apresentou a versão final de sua TV que se enrola como uma persiana (só que de cima para baixo) e cabe dentro de uma caixa quando não está sendo usada.

A marca sul-coreana promete lançar o aparelho de OLED 4K ainda neste ano, mas não divulgou quanto ele vai custar.

lg-rolltv_2.gif

Dentes limpos em 10 segundos

O aparelho Y-brush, que pode ser considerado uma evolução da escova de dentes elétrica, forma uma espécie de molde da boca. Suas cerdas macias de nylon fazem a limpeza simultânea de todos os dentes.

A escovação é feita em duas etapas, já que a escova só cobre uma banda por vez. Depois de 5 segundos, você vira o molde e faz a limpeza na outra parte da boca. Segundo a fabricante, a bateria dura até 1 mês, e a escova deve ser substituída a cada 6 meses. As vendas começam em abril, com preços a partir de 109 euros.

ybrush

Cerveja de cápsula

A LG mostrou uma máquina que permite fazer cerveja com elas. A HomeBrew, que não tem data para ser lançada, tem cápsulas com malte, lúpulo e condimentos para determinar o sabor da cerveja.

Por enquanto, os tipos de cerveja disponíveis são IPA, Pale Ale, Stout, Weiss e Pilsner. As cápsulas são produzidas pela britânica Mutons.

Não é tão rápido quanto um cafezinho, é claro. A máquina demora, segundo a empresa, duas semanas até terminar a produção de cinco litros da bebida. Terminado o processo, o aparelho se autolimpa antes de iniciar o novo ciclo.

lg-homebrew-00001

Smart House

A Samsung atualizou sua geladeira inteligente Family Hub com ajustes de interface e mais ênfase em seu assistente virtual, Bixby. O assistente de voz também entrará em carros e aplicativos como o Gmail e o Google Maps. Não há previsão da data de lançamento no Brasil.

samsung_family_hub.jpg

TV QLED 8K de 98″

As vendas de TVs com telas acima de 75″ dobraram nos EUA no último ano e por esse motivo a Samsung anunciou uma nova TV QLED com resolução 8K de 98 polegadas, a maior da marca até hoje.

A série 8K possui tela de Pontos Quânticos, 33 milhões de pixels, suporta entrada HDMI 2.1 e também estará disponível nos tamanhos 65″, 75″, 82″ e 85″.

Robô Bosch cortador de grama

Graças à Inteligência Artificial, a Bosch facilita ainda mais o cuidado com o gramado. O robô com controle de voz via Amazon Alexa consegue se adaptar ao jardim de cada usuário para cortar a grama de forma eficiente e autônoma

Dwiu6jYWoAArK25.jpg

Robô Bar

Um robô/bar autônomo que leva cerveja, vinho e salgadinhos pra qualquer lugar da sua casa.

 

Sem categoria

Top 20 ferramentas mais populares de hacking em 2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Fonte: Kitploit

Os 10 principais golpes no WhatsApp, Uber e outros aplicativos em 2018

Texto da minha colega Leticia Freitas.

O WhatsApp foi um dos alvos preferidos dos criminosos para tentar capturar informações dos usuários por meio de golpes virtuais em 2018. Eles usavam falsas promoções de marcas famosas, como Burger King, O Boticário e Cacau Show, para ludibriar as pessoas a clicarem em links maliciosos e, assim, ficarem vulneráveis a roubo de dados privados. O plano era obter informações para roubar as vítimas e até, em alguns casos, aplicar fraudes em nome delas. De acordo com especialistas de empresas de segurança digital, milhões de pessoas foram afetadas nos últimos meses.
Além do mensageiro, uma falsa promoção prometia um cupom de desconto de R$ 300 do Uber Plus e, segundo a DFNDR Lab, pelo menos 85 mil pessoas foram atingidas. Outros esquemas montados pelos hackers também usavam outras plataformas de rede social como o Facebook e Instagram. Essa era uma forma de diversificar os ataques e atingirem mais usuários, principalmente, por meio de celulares Android e iPhone (iOS). Confira, a seguir, a lista com os principais golpes que envolvem o WhatsApp e outros serviços da web em 2018.
1. Falso cupom da Burger King
 
A Burger King foi a primeira grande marca a ter seu nome atribuído a uma falsa promoção nas redes sociais neste ano. No início de janeiro, um link com uma pesquisa de satisfação sobre o atendimento prometia descontos em compras no fast food caso o usuário respondesse às perguntas e compartilhasse com os amigos, um uso comum do método de engenharia social. O prêmio seria um cupom de R$ 50 em lanches. Ao clicar no endereço eletrônico, o número do usuário era inscrito em serviços pagos de SMS e era induzido a realizar o download de apps falsos que infectavam o celular.
2. Falso desconto no Uber
Uma falsa promoção espalhada em sites e redes sociais prometia um cupom de desconto de R$ 300 do Uber Plus, programa de fidelidade da Uber que não foi lançado no Brasil. Para ganhar o prêmio, o usuário teria que preencher um formulário com dados pessoais e bancários, que seriam roubados pelos criminosos. Segundo a DFNDR Lab, pelo menos 85 mil pessoas tiveram acesso ao link e se expuseram à infecção de softwares maliciosos capazes de acessar dados pessoais.
3. Falso processo seletivo da Cacau Show
 
Com o alto índice de desemprego, criminosos espalharam pelo WhatsApp textos e imagens referentes a um suposto processo seletivo da empresa de chocolates Cacau Show, para vagas como vendedor, auxiliar de limpeza e Jovem Aprendiz. Ao clicar no endereço, a vítima teria que informar os dados pessoais para poder participar da falsa seleção. Em apenas 24 horas, mais de um milhão de pessoas já tinham acessado a plataforma maliciosa e estavam em perigo de serem roubados a partir da coleta de informações pelos hackers.
4. Promoção de O Boticário copiada por criminosos
Cibercriminosos imitaram uma promoção verdadeira criada pela empresa de cosméticos O Boticário, na qual os usuários deveriam indicar amigos para ganhar loções hidratantes da linha Nativa SPA. Assim, eles produziram um link falso contendo as mesmas informações da oferta original para divulgar pelo WhatsApp. Ao clicar na farsa, o usuário liberava o smartphone para receber notificações que poderiam conter links maliciosos, com o perigo de ter seus dados roubados.
5. Golpe na Páscoa
 
No mês de março, período que antecedia a Páscoa, uma propaganda mentirosa oferecia vales-presentes de R$ 800 no WhatsApp. Para isso, os bandidos usavam imagens de coelhinhos e ovos de chocolate, tradicionais para esse período do ano. Apesar de não estar associada a nenhuma marca famosa, o golpe direcionava usuários à página maldosa chamada “Páscoa Premiada”.
6. Número clonado no WhatsApp
 
Um novo tipo de golpe chegou ao WhatsApp em dezembro, desta vez “clonando números” sem precisar quebrar a segurança do mensageiro. Criminosos compravam chips novos e ligavam para as operadoras para reativar o número daquele cartão, com a desculpa de terem o celular roubado ou perdido. Com a linha reativada, os bandidos tinham acesso a grupos e contatos do antigo usuário, e, a partir daí, entravam em contato com amigos e familiares fingindo ser a vítima para pedir o depósito de valores. As justificativas mais usadas eram a compra de eletrodomésticos ou a quitação dívidas.
7. Golpe de cinema
Cerca de 50 mil brasileiros foram impactados no WhatsApp com uma oferta de ingressos para o filme “Vingadores: Guerra Infinita”, da Marvel. De acordo com a PSafe, ao clicar no link, o usuário teria que preencher um formulário com perguntas fake, que sempre “premiavam” a vítima, independente das respostas. Essa era a artimanha usada pelos bandidos para capturar dados dos usuários da plataforma de mensagens.
8. Falsa consulta ao PIS
 
No mês de junho, uma mensagem mal intencionada circulou pelo WhatsApp e se aproveitava do pagamento do PIS-Pasep para prometer ao trabalhador uma forma fácil de visualizar o saldo do benefício. Cerca de 116 mil pessoas foram lesadas por conta dessa estratégia criminosa. A página exibia um texto com a assinatura da Caixa Econômica Federal e indicativos sobre a liberação dos valores. Assim como em outros golpes, o usuário teria que responder a uma série de perguntas para ter acesso ao conteúdo.
9. Recarga falsa
Uma falsa promoção oferecia R$ 70 em créditos para celular em troca de compartilhamentos da mensagem no WhatsApp. O link malicioso instalava aplicativos no smartphone das vítimas e, apesar de não serem perigosos, gerava faturamento para os criminosos a cada download. A recarga, obviamente, nunca era concedida. Pelo menos 26 mil usuários foram afetados pela estratégia dos hackers.
10. Falso Ray-Ban no Instagram
Um anúncio falso se espalhou no Instagram com a promessa de oferecer óculos da marca Ray-Ban com até 90% de desconto. Os posts eram publicados sem autorização nas contas dos usuários, que eram pegos de surpresa. A ação possivelmente foi fruto de pishing — roubo de dados, senhas muito fáceis de serem quebradas ou mesmo do uso de apps maliciosos com autorização para acessar login e senha da rede social.
Para ler a notícia completa, clique aqui.