Plataforma Lattes fora do ar e seu negócio

Desde segunda, dia 26 de Julho, a plataforma Lattes está fora do ar. O Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) alegou que um servidor “queimou”. 

Situação absurda, não é? Acontece que mais de 80% das empresas privadas nacionais também não estão preparadas para situações de emergência. Quer ver?

Você possui seu site e/ou sistema preparado para rodar em diferentes fornecedores?

Se um fornecedor tiver algum problema, em quanto tempo você consegue reestabelecer o funcionamento em outra estrutura?

Sua empresa pode ficar parada por tanto tempo?

Não seja surpreendido negativamente com situações como esta. Realiza auditoria e mapear planos de ação são essenciais para que seu negócio esteja preparado para diversos tipos de ocorrência.

Vamos agendar um papo para você conhecer como posso ajudar seu negócio a não ter esse tipo de problema?

Vazamento de dados e segurança digital

Vazamento de dados e segurança digital

Recentemente a NetShoes tornou público o vazamento de dados de seus clientes, que no início de 2018 totalizavam mais de 2 milhões. Por fazer parte da bolsa de valores Americana, a empresa é obrigada a notificar este tipo de ocorrência a Securities and Exchange Commission (SEC). Segundo a empresa, autoridades Brasileiras foram notificadas e a polícia investiga a questão. Segundo fontes internas, os Hackers tentaram negociar um valor pela não divulgação dos dados, mas a empresa se manteve irredutível e não negociou com os criminosos.

Grande parte das empresas pecam em não contratar uma empresa ou consultor externo para validar sua segurança. Equipes internas podem cometer falhas que são facilmente mapeadas por alguém que não esteja no dia a dia da empresa. As vezes uma simples brecha permite alguém mal intencionado acessar dados sigilosos e fazer com que a empresa corra sérios riscos.

E engana-se quem acha que auditoria de segurança de dados tem conexão apenas com a máquina. Muitos criminosos fazem uso de engenharia social para conseguir informações adicionais para completar seu objetivo. Pequenos descuidos de funcionários e falta de procedimentos de segurança tendem a facilitar o processo de invasão.

Quando foi a última vez que você ou sua empresa contratou uma auditoria de segurança? Se a resposta foi nunca ou a mais de um ano, aconselho ligar o alerta e providenciar isto o quanto antes.

Leia a íntegra do comunicado da Netshoes:

“Em decorrência das notícias publicadas na data de hoje (terça-feira, 27 de fevereiro de 2018) – como réplicas de nota originalmente publicada por grande agência de notícias internacional, a Netshoes esclarece que não há nenhum fato novo relacionado ao episódio de divulgação de dados de consumidores da companhia. O comunicado enviado à SEC (Securities and Exchange Commission), que desencadeou a publicação de notícias na presente data, é meramente protocolar, em função de a Netshoes comercializar ações na Bolsa de Nova York (NYSE) desde abril de 2017.

Com origem em dezembro de 2017, o caso da divulgação de dados da empresa, inclusive, teve desfecho parcial em reunião com o Ministério Público do Distrito Federal e Territórios (MPDFT) – realizada no último dia 22 de fevereiro. Na ocasião, foi acordado que a empresa fará a comunicação pessoal, por meio de contato telefônico, a todos os clientes que tiveram seus dados disponibilizados por terceiros na internet.

A Netshoes reforça ainda que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.

Desde o primeiro momento em que foi noticiado o caso, todas as providências cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.

A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.”

Seu Android foi Hackeado?

Seu Android foi Hackeado?

Qualquer um que possua uma versão antiga do Android pode estar infectado com o Malware Gooligan. Dados apontam que mais de 13.000 aparelhos com Android são infectados por este Malware todos os dias, colocando em risco dados privados de mais de 1 milhão de usuários.

Aplicativos baixados da Play Store que estão invectados exibem propagandas e links que permitem os hackers acessar dados do Gmail, Drive e Photos. Algumas denúncias apontam que também são realizadas compras na Play Store e postagem de reviews na mesma.

Qualquer usuário que utilize um equipamento (celular ou tablet) que rode Android nas versões 4 e 5 — incluindo Jelly Bean, KitKat e Lollipop — possuem grande risco. Levantamentos indicam que estas versões respondem por 75% dos equipamentos Android em uso.

Uma empresa chamada Check Point desenvolveu uma ferramenta para checar se a conta Google está na lista de contas infectadas. Para verificar, acesse: https://gooligan.checkpoint.com/

Já fez o backup?

Já fez o backup?

Se ocorresse um incêndio no escritório de sua empresa, algum dado digital seria perdido? E se seu notebook ou celular fosse furtado hoje?

Pare e pense: quando foi feito o último backup dos dados de seu notebook? E do servidor da empresa? E de seu smartphone? Garanto que grande parte irá responder que fazem alguns dias, semanas ou até mesmo meses.

Em tempos de estrutura Cloud (Nuvem), novos questionamentos surgem: e se seu fornecedor falhar, algum dado será perdido? Se sim, qual o volume de dados envolvidos neste risco?

Semana passada uma notícia me fez lembrar de postar sobre este tópico. Na quarta, dia 18 de Maio de 2016, um cientista teve seu notebook furtado na saída do aeroporto Santos Dumont (SDU) no Rio de Janeiro (http://oglobo.globo.com/rio/computador-de-cientista-furtado-com-pesquisa-inedita-contra-zika-19359907). No equipamento estavam dados de uma pesquisa inédita sobre o uso de uma droga chamada clorofina para inibir o vírus Zika. Por negligência do cientista, não existiam cópias de segurança dos arquivos.

Backup não é só ter uma cópia de segurança no HD externo por exemplo. Dependendo da importância dos dados, local físico de armazenamento e criptografia também devem ser considerados.

Além do processo de backup é extremamente importante validar a qualidade e eficácia deste. Uma técnica que também é bastante negligenciada é a de simular situações de ocorrências (Disaster – Recovery) para validar o processo de backup e a integridade dos dados que são gerados. De nada adianta ter um rotinas de backup se os dados não estão sendo armazenados de forma correta.

Não conte com a sorte. Backup é algo extremamente importante.

A queda do Facebook e a fábula da Integração Contínua

Erro no Facebook em 28/09/2015

Nesta segunda o Facebook apresentou problemas em várias partes do mundo, tendo problemas operacionais durante uma hora mais ou menos. Durante este período era comum visualizar a imagem acima e a imagem abaixo:

Erro no Facebook em 28/09/2015

Esta foi a segunda falha grave só no mês de Setembro. A empresa não emitiu nenhuma nota sobre o acontecido. Mas qual foi a causa?

Analisando os dados, vemos que não houve defacet ou qualquer outro sinal de invasão ou ataque hacker aparente. Com isso a tendência de um problema interno ganha força. O Facebook utiliza metodologias ágeis em sua equipe de desenvolvimento. Um dos itens adotados é a Integração Contínua (CI – Continuous integration), com deploy automático. Na teoria isto é lindo e perfeito, porém, no mundo real, existem variáveis que não são consideradas. Deploy 100% automatizado significa ter uma camada de risco no processo. Um código mal desenvolvido e mal testado desta maneira entra em produção direto, assim como qualquer mudança de código não autorizada realizada por algum hacker vai facilmente para produção. Não precisa ser nenhum expert em segurança para mapear este enorme risco.

Por atuar como consultor, costumo ter uma boa visão de mercado sobre a adoção de tecnologias das mais diversas em empresas de vários portes e segmentos. O que costumo ver são equipes que não possuem disciplina, derrapando no cumprimento de regras de processo fazendo com que a implantação de tal recurso ao fim tenha êxito duvidoso. Muitas destas seguem algum livro ou pseudo-guru e simplesmente não confrontam prós e contras de cada passo implementado.

Está implantando metodologias ágeis em sua empresa ou equipe? Não se deixe levar pela empolgação e moda. Sugiro que contrate algum consultor para validar os processos que devem ser implantados. Desta maneira você, sua equipe e a empresa terão mais assertividade e minimizarão riscos.

Posso lhe ajudar neste ponto. Entre em contato comigo pelo e-mail contato@renanviegas.com.br descrevendo sua demanda que enviarei um orçamento.

Alerta Heartbleed: sua senha e seus dados podem ter sido hackeados

heartbleed

A notícia de tecnologia bombástica da semana foi a descoberta de um bug nominado Heartbleed na amplamente usada biblioteca de criptografia OpenSSL. A descoberta da vulnerabilidade foi feita por pesquisadores do Google e da Codenomicon, uma pequena empresa de segurança. Através do erro é possível copiar dados dos dispositivos vulneráveis, possibilitando descoberta de senhas, invasão, entre outros.

O problema afeta usuários de vários sites do mundo, inclusive grandes portais e serviços, já que a OpenSSL é usada em cerca de dois terços de todos os servidores de Internet. O bug permanece até que sites vulneráveis tomem medidas para garantir a segurança de suas comunicações. Ele pode levar ao roubo de senhas, comunicações confidenciais, número de cartão de crédito e outros dados privados.

Representantes do Google, Yahoo e Facebook disseram à Reuters que usam OpenSSL e que já tomaram medidas para mitigar quaisquer impactos para os usuários. Porém o alerta é válido para todo e qualquer site, seja ele informativo, de comércio eletrônico, bancos, entre outros.

Não há nada que os usuários possam fazer para “consertar seus computadores”. O problema está nos servidores e até que estes sites vulneráveis tomem medidas para garantir a segurança de suas comunicações, o usuário só pode contar com a sorte. Sites e empresas de que tenham certificados digitais, após a atualização/correção do problema, devem emitir novos certificados e chaves usados para a criptografia de tráfego de Internet com navegadores de Web (Firefox, Internet Explorer, Google Chrome, etc).

Além de servidores, a biblioteca também é utilizada por sistemas operacionais de SmartPhones, como o Android. Porém, a probabilidade de problemas neste caso é bem menor.

Procure trocar todas as suas senhas, mas evite mudá-las até que você tenha como ter certeza que os serviços protegidos por essas senhas não têm a vulnerabilidade Heartbleed. Uma dica é conferir no site http://filippo.io/Heartbleed/. Além disso, considere a adoção de autenticação de dois fatores (2FA) sempre que puder. Google e outros já utilizam este método.

Mais informações sobre o problema:
http://heartbleed.com/

Para verificar se o site usa a versão problemática do OpenSSL:
http://filippo.io/Heartbleed/

Para verificar se seu aparelho Android usa a versão problemática do OpenSSL:
Heartbleed Detector
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Se você utiliza o browser Google Chrome, pode instalar o seguinte plugin:
ChromeBleed

E se você quiser a explicação técnica em detalhes do problema, recomendo este link:
http://nakedsecurity.sophos.com/2014/04/08/anatomy-of-a-data-leak-bug-openssl-heartbleed/