Jump to content
    • Fernando Mercês
      Hoje o Federal Bureau of Investigation (FBI) e a Cybersecurity & Infrastructure Security Agency (CISA) publicaram um alerta para que empresas se certifiquem de estarem com as proteções em dia contra possíveis ataques de ransomware no fim de semana e feriados prolongados no mundo todo, quando os escritórios das empresas estão fechados geralmente.
      O alerta diz que os órgãos não têm informações específicas sobre ataques já planejados, mas ressalta que em 2021 vários ataques rolaram justamente em períodos como esse.
      Os órgão relembram o seguinte:
      Em maio de 2021, perto do feriado de Dia das Mães, criminosos da gangue que usa o ransomware DarkSide atacaram a Colonial Pipeline, ligada à infraestrutura crítica de energia dos Estados Unidos, resultando em quase uma semana de paralização. Ainda em Maio de 2021, no fim de semana do Memorial Day, uma empresa ligada ao setor agrícola foi atacada por uma gangue usando REvil. Em Julho de 2021 no feriado de 4 de Julho americano, foi a vez do REvil atacar novamente a infra de TI dos EUA. As ameaças mais ativas nos últimos dias incluem:
      Conti PYSA LockBit RansomEXX/Defray777 (este foi usado contra STJ, Embraer, Renner) Zeppelin Crysis/Dharma/Phobos Temos ainda o Nefilim, usado contra a Cosan/Raízen aqui no Brasil.
      Na nota, FBI-CISA recomendam:
      Backup offline. Não clicar em links suspeitos. Se usar, RDP, monitore e assegure-o! Atualizar SOs e aplicações, e buscar vulnerabilidades neles. Usar senhas fortes. Usar autenticação de múltiplo fator. Assegurar as contas de usuários. Ter um plano de resposta à incidentes. No primeiro vídeo da série "Na Lata", eu falo um pouco do tema, respondendo uma das perguntas dos nossos apoiadores:
      No nosso Instagram, também fiz stories fixos sobre o caso da Renner. Se cuide! ?
       

    • Para que a proteção de sistemas de uma empresa funcione, é preciso fazer a avaliação sobre sua segurança, e para que isso seja bem feito, depende da atuação de dois profissionais: os que trabalham fazendo ataques simulados para medir a força dos recursos de segurança existentes em uma organização, e os que identificam como proteger as áreas que precisam de melhoria e estão mais expostas a esses riscos. São eles que compõem as equipes conhecidas como Red Team e Blue Team, respectivamente.
      Normalmente, o que vemos é que Red Team, a área de pesquisa ofensiva, é muito sedutora, sempre mostrada nos filmes ou na mídia, com hackers invadindo sistemas e conseguindo encontrar e explorar vulnerabilidades. O que sabemos é que esse trabalho é muito importante, sim, para ajudar as empresas a saberem onde estão suas possíveis falhas e, assim, protegê-las. É aí que a equipe de defesa, ou o Blue Team, entra. Mas nem sempre ouvimos falar tanto sobre a atuação desses profissionais. "Fazer um vírus que um antivírus não pega é muito fácil. Eu quero ver fazer um antivírus que pegue todos os vírus. Esse é o desafio real", diz Fernando Mercês, pesquisador na Trend Micro e fundador do Mente Binária.
      A segurança ofensiva fica ainda mais "glamourizada" com a quantidade de programas de bug bounty, ou caçadores de recompensa, que hoje existem oferecidos por empresas que querem estimular pesquisadores a encontrar possíveis vulnerabilidades em seus sistemas em troca de uma boa quantia em dinheiro. Mas nem sempre quem vai participar possui tantas habilidades técnicas a ponto de encontrar falhas que realmente impactem o negócio de uma empresa.
      "A importância desse trabalho [de pesquisa ofensiva] para as empresas depende muito do que o pesquisador quer fazer com o achado (vulnerabilidade)", diz Joaquim Espinhara, líder do time de Red Team & Adversarial Simulation na Tesserent. Para ele, a importância deste profissional para a segurança das empresas está sujeita à motivação do próprio pesquisador.
      Espinhara destaca que alguns profissionais que procuram por vulnerabilidades em softwares, depois de provar que é possível explorá-lo, acabam vendendo-a para alguma empresa ou governo que vai usar para fins de espionagem, ao mesmo tempo que pesquisadores normalmente encontram uma falha em um site/aplicação de uma empresa e decidem reportá-la, seja por recompensa ou não. Tem ainda o perfil do pesquisador que coleciona falhas, mostrando-as aos amigos para ganhar os chamados "street credits" – ou seja, pontos por ter feito algo considerado legal ou impressionante.
      Habilidades da pesquisa ofensiva – O conhecimento técnico que o pesquisador deve ter para buscar vulnerabilidades também depende do tipo de falha que ele está procurando, e onde está procurando, diz Espinhara. "Existem muitas classes diferentes de vulnerabilidades. Normalmente o que eu vejo no Brasil e na bolha do bug bounty são falhas relacionadas a aplicações web (SQL Injection, Cross-Site Scripting, File Include, etc)", destaca. 
      Ele ressalta que existem outras vertentes de pesquisa de falhas em sistemas operacionais e software nativos, ou mais recentemente pessoas que estão focadas em blockchain e smart contract security. Na sua visão, os programas de bug bounty são válidos para que pesquisadores tenham opções de rentabilizar o esforço em achar determinada vulnerabilidade. "Empresas deveriam (e até acontece) recompensar de acordo com o impacto da vulnerabilidade ao negócio", avalia Espinhara.
      Mas ele pontua que este mercado, no Brasil, ainda não é tão atrativo, em especial por conta da desvalorização do real perante o dólar. "Normalmente as empresas pagam o bounty em dólar americano. Algumas já se adaptaram a isso no Brasil, mas ainda não é a maioria. Normalmente, quanto maior a recompensa em um programa de bug bounty maior será a quantidade de pesquisadores mais habilidosos/experientes reportando", diz.
      Espinhara começou a atuar na área ofensiva há bastante tempo e já tem mais de 10 anos de experiência. "Assim como muita gente na área, eu fiz o caminho padrão: entrei na universidade (que não concluí), comecei a fazer alguns estágios e em um deles fiquei alocado na área de segurança de redes. Foi um caminho sem volta", conta. 
      Atacar só se for para defender – Espinhara pontua que existe uma má interpretação sobre o que é, de fato, o Red Team. "Conversando com alguns amigos que atuam nesta área de verdade no Brasil, eles me falam que o maior desafio é explicar que Red Team não é apenas um pentest com mais dias de execução", diz.
      Para explicar a melhor definição para Red Team, Espinhara utiliza uma citação de Joe Vest and James Tubberville no livro Red Team Development and Operations: A practical guide: "Red Teaming é o processo de usar táticas, técnicas e procedimentos (TTPs) para emular uma ameaça do mundo real, com o objetivo de medir a eficácia das pessoas, processos e tecnologias usadas para defender um ambiente". 

      "O nosso trabalho é preparar o Blue Team para responder a ameaças reais. Ou seja, sem Blue Team não existe Red Team" – Joaquim Espinhara 
       
      Assim, ele avalia que um dos objetivos do Red Team é mostrar para o Blue Team a perspectiva de um atacante. "O Blue Team faz uma 'leitura' dessa simulação e se prepara para responder a ameaças iguais ou semelhantes em termos de TTPs", diz. "Red Team e Blue Team têm que trabalhar juntos. Por exemplo, aqui na empresa nós só realizamos exercícios de Red Team se o cliente tiver um Blue Team. O nosso trabalho é preparar o Blue Team para responder a ameaças reais. Ou seja, sem Blue Team não existe Red Team". 
      Essa também é a visão de Thiago Marques, Security Researcher na Microsoft. Segundo ele, as duas áreas trabalham juntas, apesar de alguns grupos manterem uma certa rixa. "O Red Tem dá muita informação de como proteger. Eu vejo como duas áreas que realmente se completam", avalia. 
      Ele pontua, contudo, que é comum ver pessoas mais interessadas pela área ofensiva, por ter uma idealização sobre conseguir invadir um sistema e quebrar proteções. "Já na parte defensiva, poucas pessoas veem o trabalho do pesquisador, e quando veem é porque você não conseguiu proteger", destaca Thiago. Na sua visão, o lado negativo é que existem muitas pessoas que se intitulam profissionais ofensivos, mas somente executam scripts.
      Oportunidades na área defensiva – Thiago Marques diz que as oportunidades para quem quer atuar com pesquisa defensiva no Brasil são grandes. Isso porque muitas vezes empresas estrangeiras veem a necessidade de ter pessoas que entendam sobre o ecossistema brasileiro para monitorar e se defender de certos ataques. "Por anos o Brasil tem estado no topo de ameaças, principalmente financeiras, com malwares feitos aqui. E a dificuldade de empresas de fora é que tudo é feito em português. Isso gera uma barreira, porque um estranegito olha uma ameaça específica do Brasil e não consegue entender exatamente o que está acontecendo", conta. 

      "Há profissionais bem habilitados no mercado para realizar pesquisas defensivas, mas nem sempre eles são vistos" – Thiago Marques
       
      Um exemplo é uma ameaça comum no Brasil que envolve boletos. "Um estrangeiro não sabe o que é um boleto. Essa necessidade tem feito com que muitas empresas queiram aumentar a visibilidade dentro da América Latina, buscando profissionais aqui para monitorar e entender esses ataques". Thiago destaca ainda que há profissionais bem habilitados no mercado para realizar pesquisas defensivas, mas nem sempre eles são vistos. "Tem bastante gente boa, que trabalha em qualquer empresa em qualquer lugar do mundo", pontua.
      Segundo ele, para quem quer atuar na parte de defesa, primeiramente é preciso saber analisar malware, ou seja, ter a capacidade de analisar um arquivo. "Isso seria o principal. E para fazer a análise de malware é preciso ter uma noção básica de programação", diz, contando que ele mesmo sempre gostou de programar e começou a fazer isso usando macros do Word. 
      Desde 2007, Thiago é analista de malware, e no ano passado, ele começou a trabalhar na área de proteção da Microsoft, entendendo a forma com que os atacantes usam seus métodos de ataque, e identificando como alertar e bloquear esses ataques, até mesmo aprendendo e tentando prever movimentos que atacantes podem fazer no futuro. "Nunca trabalhei muito na parte ofensiva. Eu escolhi a defensiva porque eu gosto, mas já tive ofertas de trabalho para o Red Team", conta. 
      Thiago ressalta que para aproveitar as oportunidades que a área oferece, as pessoas precisam querer entender como as coisas funcionam. "Os ataques usam sistemas que ninguém está olhando, e é preciso conhecer isso para identificá-los. Ter uma boa base de conhecimento sobre sistema operacional e programação, saber como é o processo entre o que você escreveu até o resultado chegar na sua tela, entender esse fluxo leva tempo, e por isso muita gente acaba pulando essa etapa", diz.  
      Para ele, dedicar um tempo para entender as coisas básicas de funcionamento é essencial antes de focar no que você gosta. "A parte de defesa abrange análise de dados, engenharia reversa, depende muito. Mas ter uma base de como as coisas funcionam vai ajudar em qualquer área", complementa.

    • Você ainda acha que a função de um analista de segurança é restrita apenas a Pentest? Então este artigo é para você. Afinal, esse é um dos erros mais comuns de profissionais em início de carreira. É claro que Pentest é, sim, uma  parte essencial na segurança de aplicações. Mas AppSec vai muito além do Pentest! 
      Na primeira parte deste artigo sobre carreiras em AppSec, abordamos alguns papéis como Product Manager - essencial em empresas de produto, como é o caso da Conviso - bem como profissionais de Sales e de Engineering. Nesta  segunda parte, vamos abordar as diferentes possibilidades de direcionamento de carreira que um Analista de Segurança da Informação pode seguir. 
      Na Conviso, por exemplo, há três times diferentes de Professional Services  em que um Analista de Segurança da Informação pode trabalhar: PTaaS - Pentest as a Service, Consulting e MSS - Managed Software Services. Isso porque a empresa trabalha com as melhores práticas de segurança de  aplicações e, para isso, entre suas ferramentas, utiliza também o modelo da OWASP SAMM, que sugere um conjunto de práticas de segurança que atende todo o ciclo de vida do software. 
       
       
       
      Desenhando soluções seguras 
      O Omayr Zanata (foto ao lado), que é Tech Lead do time de Managed Services, explica que a área de MSS atua em três dos cinco pilares propostos pelo SAMM - Design, Implementação e Verificação. No pilar de Design, por exemplo, ele conta que o time de MSS atua ajudando o cliente a desenhar uma solução pensando em segurança desde o início. 
      "A gente bola a parte da arquitetura segura, executa a modelagem de ameaças, e elencamos os requisitos de segurança necessários, para desenhar uma arquitetura segura. Tudo isso em parceria com o cliente, para garantir a segurança da aplicação desde o início - que é justamente o que manda o famoso conceito Shift Left", explica. "A segurança tem que ser pensada na etapa desde os desenhos iniciais de arquitetura", reforça. 
      Na parte de Implementação, entra a segurança no DevOps, com o building seguro, o deploy seguro e a gestão dos defeitos, por exemplo. Já na fase de Verificação é quando é realizado o Assessment de Arquitetura, bem como os testes baseados em requisitos e os testes de segurança, como por exemplo SAST, DAST, SCA - que, aqui, são automatizados, diferentemente dos Pentests e Code Review, que são manuais.
      Quanto ao perfil de analista que atua na área de MSS, Omayr explica que é  bastante importante que o analista tenha background de desenvolvimento e dois perfis são bastante interessantes para a atuação na área: o primeiro é um perfil mais orientado a DevOps e um segundo perfil mais orientado à arquitetura. 
      "Muita gente acha que precisa ter experiência em pentest para atuar com segurança, e na verdade, os maiores diferenciais nessa área são o background de desenvolvimento e experiência com desenhos de arquitetura, cloud, microsserviços e esteiras de desenvolvimento", afirma. Ele conta ainda que uma boa dica para quem busca uma colocação na área é ganhar familiaridade com o modelo da OWASP SAMM e o OWASP ASVS. 
      Quer trabalhar com o Omayr? Confira as vagas no time dele! 
       
      Treinamentos e capacitações 
      Dentro dos pilares do SAMM, a área de Consulting é voltada para de Governança e Operações - e atua também em Design. Neste time, o Analista de Segurança tem em sua rotina inúmeras atividades que abrangem desde uma documentação de procedimentos até a condução de treinamentos; além disso, deve prestar uma assessoria aos clientes internos e externos em relação às soluções e boas práticas de desenvolvimento e gerenciamento de segurança em seu ambiente. 
      Evandro Pinheiro de Oliveira (foto o lado), que é Analista de Segurança, conta que faz parte do seu dia a dia na área ministrar treinamentos para os times, com a estratégia de formar Security Champions. Isso significa preparar materiais, capacitar pessoas. Ele também atua na parte política, de dar consultoria no suporte a regras e normas - isso tudo o que faz parte do pilar de Governança do SAMM. 
      Já na fase de Design, atuam com o levantamento de Requisitos, aplicando uma estratégia de análise de ameaças, que ocorre na construção de software. No pilar de Operações, é feita a observação de indicadores. “Para trabalhar em Consulting, o pessoal precisa ser mais comunicativo, justamente por estar mais no dia a dia com o cliente - além, é claro, do conhecimento técnico necessário, uma vez que ainda é essencial conhecer as lógicas de programação, para falar com propriedade, embasamento”, reforça.
      Ele conta que embora o time conte com profissionais de experiências variadas - de júnior a sênior - trata-se de uma excelente porta de entrada para o mercado de AppSec, justamente por exigir de pesquisas e estudos constantes sobre todo o ciclo de desenvolvimento - assim, o profissional consegue ter uma melhor compreensão de qual área ele se identifica mais. E o próprio Evandro é prova disso - ele trabalhou por 10 anos com desenvolvimento e tinha paixão por Segurança de Aplicações. Estudou bastante, buscou se familiarizar mais com os conceitos da área e foi atrás de uma colocação no mercado - e foi assim que chegou até a Conviso. 
      É claro que tem vaga nesse time, né? Saiba mais! 
       
      E, enfim, o Pentest! 
      Heitor Pinheiro(foto ao lado), Tech Lead da Área de Pentest as a Service, conta que neste time, em específico, os analistas exercem três grandes práticas: Operations; onde executam todos os projetos, nos mais variados contextos e escopos possíveis. “Resumidamente o objetivo é entregar valor aos nossos clientes através da identificação de vulnerabilidades”, afirma Heitor. 
      A segunda prática é Research, onde os profissionais fazem pesquisa de vulnerabilidade em softwares e serviços utilizados de forma abrangente, buscando proporcionar aprimoramento técnico e comercial através do compartilhamento dos resultados obtidos. 
      Já a terceira se chama Tooling, e eles contam com a ajuda de especialistas em automações, onde eles são responsáveis por nos prover recursos que nos permite operar em alta velocidade e em larga escala. “Um exemplo básico é auxiliar outras equipes especializadas em segurança em seus esforços de automação, definir e possuir métricas e KPIs para determinar a eficácia das automações criadas”, detalha. 
      “De forma muito geral, para atuar em um time de Pentest, o profissional precisa ter uma boa base em desenvolvimento de software/aplicações, redes, sistemas operacionais e muita vontade de aprender, pois nesse universo existem novos desafios todos os dias”, aconselha. 
      Outra dica que ele dá para quem busca trabalhar na área é arriscar-se. Segundo o Tech Lead, boas formas de fazer isso são participando de competições de CTF, contribuindo para a segurança de um projeto open-source; ou mesmo mantendo um projeto ou blog sobre o tema. “Através desses desafios, é mais rápido e divertido de entender o que funciona no mundo do AppSec - e também é uma forma de conseguir maturidade com casos reais”, conclui. 
      Curtiu? Então vem trabalhar com o Heitor! 
       


    • Golpes de phishing e tentativas de extorsão têm sido cada vez mais comuns e alguns se tornam bem elaborados na medida em que criminosos estão se aprimorando para tentar ao máximo enganar a vítima a pagarem uma quantia de dinheiro sem perceber que estão sendo confundidos. 
      A equipe do Mente Binária recebeu a denúncia de mais uma caso clássico de utilização de faturas falsas para tentar enganar vítimas a pagarem boletos. Desta vez, se trata de uma fatura que imita um boleto da Claro/Net. 

                                                                                                            Boleto original (à esq.) e boleto falso (à dir.) recebidos pelo mesmo cliente
      Neste golpe, há algumas diferenças claras entre o boleto original, à esquerda, e o falso, à direita. Primeiramente, o número do cliente está errado, portanto, não o boleto não foi enviado de algum de dentro da Claro/Net, apesar de ter sido recebido por um cliente da empresa. Outro dica para se proteger de golpes como esse é, caso você seja um cliente da empresa, reparar se o boleto enviado têm as mesmas cores e comunicação dos boletos anteriores, o que não é o caso. 
      A vítima alerta ainda que a conta chegou no mesmo período que chega normalmente a cobrança da Claro/Net, com um vencimento plausível e um valor próximo do real que precisaria ser pago. Mas houve em meio às desconfianças, estava o endereço de e-mail do remetente, que neste caso é do ig, sendo mais um indício de que a conta é falsa.

      E-mail recebido utiliza remetente falso

    • Nos artigos anteriores, reunimos algumas dicas para quem busca uma carreira em segurança de aplicações. Contamos também sobre o dia a dia de um estagiário do time de Pentest. Mas você sabe quais são as demais possibilidades de carreiras que a segurança de aplicações permite? 
      Para entender melhor, conversamos com algumas pessoas que vivem a  rotina de AppSec na prática. Afinal, como já contamos aqui anteriormente, AppSec é uma das carreiras mais promissoras para o futuro! 
       
       
      Product Manager - conectando a estratégia da empresa às necessidades do cliente 
      Vamos começar pela Product Manager - uma função muito importante quando se trata de uma empresa de produto, como é o caso da Conviso, que desenvolve o AppSec Flow. Isabelle Gomes (foto ao lado), que é responsável por esse papel no time de Produto da Conviso, conta que a Product Manager é a profissional responsável por conectar três 3 áreas estratégicas de uma empresa: UX, Tecnologia e Negócios. “É necessário que esta profissional faça a conexão entre a estratégia da empresa e as dores do cliente”, pontua. 
      Dentre seus principais desafios, está o de facilitar o trabalho da equipe, removendo impedimentos e aproximando pessoas que podem ajudar o time a entregarem suas demandas de forma mais estruturada e eficiente. “Para isso, é preciso garantir que as entregas tenham equilíbrio entre tempo de desenvolvimento e qualidade”, esclarece. 
      Sobre a rotina do time, ela conta que é marcada por rituais - desde reuniões diárias para abordar a programação do dia e alguma eventual barreira no desenvolvimento, a Ritos Ágeis de início e encerramento de sprints, que ocorrem quinzenalmente. Retrospectivas também fazem parte da rotina.
      “Por outro lado, temos continuous discovery acontecendo, onde juntamente com o Product Designer, temos interações com usuários reais por meio de entrevistas, testes de usabilidade, shadowing, focus group entre outras atividades de ideações e validações do produto”, explica. 
      Segundo Isabelle, para fazer um trabalho de excelência, uma Product Manager precisa ter algumas características como: empatia, saber trabalhar a liderança por influência e sem autoridade; facilidade de comunicação; um mindset de pensamento e visão estratégicos alinhados com a estratégia da companhia; ter a capacidade de decisão e priorização de roadmap e conhecer muito bem o seu mercado. 
      A dica dela para quem sonha em entrar para Segurança de Aplicações é estudar sobre produtos, estar sempre atualizado com cursos, podcasts, meetups, notícias, youtube. “Seja muito humilde e pratique a empatia a todo momento”, aconselha. 
      Ah, vale lembrar que tem vaga para o time da Isabelle. Confira aqui. 
       
      O Desenvolvedor em uma empresa de AppSec 
      Já o desenvolvedor – ou dev, como é popularmente chamado – é o  profissional que se dedica ao desenvolvimento de software. Você sabe como é a rotina de um dev em uma empresa de AppSec? 
      De acordo com Felipe Lima (foto ao lado), que é Desenvolvedor Ruby on Rails no time de Engineering da Conviso, trata-se de um dia a dia desafiador, porém muito bacana para evolução técnica. “Precisamos entregar códigos seguros, então além de estudar para manter o código seguro, utilizamos o nosso produtos para monitorar qualquer código”, explica. 
      Sobre a rotina do time, ele conta que geralmente eles trabalham com sprints semanais, com o foco sempre na melhor entrega para o cliente - tanto interno quanto externo - e também adicionando testes unitários para validar o código, além de fazer code review nos pull requests de outros devs. “Nosso principal desafio é fazer com que o produto cresça de uma forma simples e segura”, analisa. 
      Para quem já é dev e atua em outros nichos, mas está considerando uma transição de carreira e tem curiosidade para trabalhar com segurança de aplicações, o Felipe deixa uma dica: “Acredito que é preciso entender por quê precisamos sempre entregar códigos seguros, e também ter a vontade de aprender como proteger seu código e seu sistema, bem como aprender mais sobre ferramentas que podem auxiliar na segurança de seu código, e estar atento a updates de bibliotecas que têm algum fix de segurança. Aprender um pouco mais como funciona um scan de código também é bem importante”, ensina. 
      Achou interessante? Tem vaga para Dev na Conviso, confira! 
       
      Sales - como funciona um time de vendas dentro de uma empresa de AppSec  
      Já comentamos sobre isso em nosso texto com 4 motivos para apostar em uma carreira em AppSec, mas uma empresa de segurança de aplicações é feita não apenas por desenvolvedores e analistas de segurança da informação - mas também por profissionais de Comunicação, Finanças, Marketing, Sales - ou seja, existem muitas possibilidades para quem se identifica com a área, mas não é necessariamente egresso de cursos de tecnologia. 
      A Andrea Pizzato (foto ao lado), por exemplo, é Account Executive no time de Sales da Conviso, e explica que embora para trabalhar no time dela não seja necessário abordar AppSec com a mesma profundidade técnica que um desenvolvedor usaria, é importante ler bastante sobre o assunto para ter um bom embasamento. 
      A Andrea explica que seu time conta com um canal de sales-advisory, onde são trocadas informações com o time técnico, que está sempre disposto a ajudar. “O grande negócio é ser curioso e interessado, consumir bastante conteúdo que é compartilhado entre as equipes, e gostar de aprender”, aconselha.
      A rotina dela envolve realizar reuniões com os clientes e entender suas necessidades, bem como identificar suas dores e desafios, estruturar um projeto que tenha aderência ao cenário deles e fazer todo esse acompanhamento: desde o primeiro contato até o kick off do projeto. “Pode até parecer fácil, mas para isso acontecer, rolam muitos desdobramentos”, ela explica. “Além disso, ficamos muito atentos aos indicadores, sempre pensando em como podemos crescer e melhorar nosso funil de vendas”, complementa a Account Executive. 
      Ah, e tem vaga no time de Sales da Conviso. Inscreva-se! 
      Na segunda parte deste artigo, que publicaremos em breve, falaremos sobre todas as funções e direcionamentos que um Analista de Segurança da Informação pode seguir em uma carreira em Segurança de Aplicações. Não perca! 


    • Um incidente relacionado aos sistemas do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) deixou indisponível o acesso ao currículo Lattes e diversos sistemas de informática da instituição. O problema já ocorre há mais de três dias, levando à repercussão, nas redes sociais, de cientistas e professores que estão se manifestando sobre o quanto o "apagão" pode prejudicar seus trabalhos.
      A Plataforma Lattes CNPq integra as bases de dados de currículos e de instituições da área de ciência e tecnologia em um único sistema de informações. Sua importância e relevância atual se estende não somente às atividades operacionais de fomento do CNPq, como também às ações de outras agências federais e estaduais na área da Ciência e da Tecnologia. O CNPq nomeou o sistema em homenagem a César Lattes, físico brasileiro e um dos principais responsáveis pela criação da instituição. 
      Em comunicado, o CNPq afirma que "o problema que causou a indisponibilidade dos sistemas já foi diagnosticado em parceria com empresas contratadas e os procedimentos para sua reparação foram iniciados". A instituição destaca que existem backups cujos conteúdos estão apoiando o restabelecimento dos sistemas, reforçando que não houve perda de dados da Plataforma Lattes.
      O incidente repercutiu negativamente entre pessoas que atuam nas áreas de Ciência e Tecnologia, já que o site reúne toda a trajetória acadêmica dos pesquisadores brasileiros, enquanto professores e estudantes cadastram as informações sobre sua produção acadêmica, as pesquisas em andamento ou finalizadas, os artigos publicados, as bolsas conquistadas, entre outros.
      Apesar do CNPq afirmar que há backup, a demora para o restabelecimento do sistema incomodou os especialistas da área. A Cientista da Computação recentemente entrevistada pelo Mente Binária, Nina da Hora, manifestou em suas redes sociais a insatisfação com as explicações dadas no comunicado do CNPq sobre o ocorrido:
       
      O professor e político Comte Bittencourt está entre os que se manifestaram sobre a problemática relacionada à indisponibilidade do sistema:
      Nós do Mente Binária notamos que parece haver uma negligência em relação aos processos de backup de dados, já que muitas empresas e instituições sofrem com esse tipo de apagão ou falta de acesso, especialmente por conta de ataques e ameaças de segurança, como ransomware, o que tem sido crescente. Isso denota a baixa maturidade das empresas em relação à segurança, disponibilidade e integridade dos dados, que é o caso do incidente ocorrido no CNPq, mesmo que este não esteja relacionado a um ataque.

    • Com 8 anos de idade, Ana Carolina da Hora já sabia que queria ser cientista. Aos 12, já tinha começado a programar. Nascida em Duque de Caxias (RJ), Nina, como é conhecida, sempre gostou de computação, e aproveitou o apoio da família durante a infância e adolescência para explorar a área com recursos que tinha dentro de casa mesmo. Nina vem de uma família de professoras, então a educação sempre foi muito forte em seu ambiente familiar. "Aqui faltava qualquer coisa, menos livro. Eu lia livros de ciência para crianças em quadrinhos. Também li 'O homem que calculava', de Malba Tahan, que é antigo e fez parte da infância de muitas pessoas. Muita gente fala que se interessou pela matemática por conta desses livros. Eu lia e ficava imaginando como foi possível para esses cientistas e filósofos terem as ideias que eles tiveram", conta Nina. 
      Interessada em tecnologia, Nina desmontava aparelhos de DVD e minigames em casa, até que um dia aproveitou o computador de sua tia para programar. "Sempre tive muita liberdade para fazer isso mesmo sem as ferramentas que as pessoas ricas ou de classe média tinham. Os livros me ajudaram muito, e os desenhos e programas que eu assistia de ciência também, além de professores que nessa fase me ajudaram a buscar conhecimento de formas diferentes".
      Mesmo com todo esse interesse, Nina não sabia direito o "nome" da profissão que ela queria seguir, até que ela descobriu que era Ciência da Computação. "Não só pelo título de cientista, mas por querer passar pelo caminho e pela história da computação, e não só fazer parte do resultado. Eu fui saber isso com quase 17 anos, quando fui prestar vestibular", conta.
      Foi com essa idade que Nina foi aprovada em uma universidade pública. Alguns anos depois, em 2015, ela migrou para a PUC-Rio, onde está agora finalizando o último ano de curso, aos 26 anos. "Desde que entrei na faculdade eu já trabalhava. Fiz curso técnico em informática e comecei atuando nessa área como estagiária. Virei professora porque me dava bem com os alunos e tirava dúvidas deles no laboratório". Foi assim que Nina passou a dar aula de programação com 18 anos.
      Depois disso, ela foi trabalhar como desenvolvedora em inteligência artificial, mas seu objetivo mesmo sempre foi seguir na área acadêmica. "Por isso eu fiz muita coisa, participei do Apple Developer Academy 2018-2020 e de programas de pesquisa da PUC. Durante a universidade, trabalhei em duas startups de robótica no Brasil desenvolvendo produtos e robôs. Também trabalhei em ONG por dois anos, com a ideia de democratizar a computação. Trabalhei em escolas, startups, empresas, ONGs e laboratórios de pesquisa", diz. 
      Agora, perto de se formar, Nina já vai direto iniciar seu doutorado. "Sempre vou atuar na sociedade civil, mas eu gosto da pesquisa e de dar aula, pois acho que é uma forma de se manter sempre atualizado". Toda essa trajetória de Nina converge para a criação de um instituto de computação em Duque de Caxias, que é o próximo projeto no qual ela quer investir. "Para isso preciso ter minhas experiências, entender o que é necessário para esse ambiente". Nina conta que o instituto será focado em educação tecnológica de computação. "O foco é desenvolver cientistas, e não só preparar pessoas para uma carreira profissional. O objetivo é parar de pensar nas pessoas como objeto de mercado de trabalho. Meu público-alvo será os mais jovens e negros, que geralmente querem entrar nessa área e não tem oportunidade, mas também quero atingir um público mais velho". 
      Desafios e preconceito
      A carreira de Nina é repleta de conquistas e aprendizados, mas quem vê de fora nem imagina as dificuldades de ser uma mulher negra em uma área predominantemente composta por homens brancos. "Continua sendo um desafio, acho que as pessoas têm bastante problema em lidar com mulheres negras em posições de tomada de decisão", diz. Segundo ela, essa dificuldade vem de uma ideia de que as decisões dentro da área devem ser objetivas e frias. "Quando colocam mulheres negras, que são pessoas que humanizam os projetos nas ciências exatas, por todo nosso background, há uma dificuldade das pessoas em saber lidar, porque não seguimos os padrões e estereótipos dessa área". 
      "A dedicação que tenho que ter é o triplo da dedicação que um homem branco que trabalha
      na mesma área que eu"
      Mesmo tendo encontrado muitas portas abertas ao longo de sua trajetória, Nina conta como é a pressão de ter que se reafirmar para ser aceita como profissional e cientista. "Ninguém tem noção de quantas vezes por dia eu tenho que provar que sei o que estou fazendo. Hoje em dia eu sei provar mais rápido. Mas a dedicação que devo ter é o triplo da dedicação que um homem branco que trabalha na mesma área que eu". 
      Nina conta que por ser uma mulher negra e fazer parte da comunidade LGBTQIA+, ela acompanha muito de perto a dificuldade que há nas empresas em trabalhar com diversidade e inclusão. "Não adianta colocar essas pessoas em um ambiente tóxico, pois elas serão prejudicadas. Até mesmo nas redes sociais, quando tenho que criar conteúdo, sou cobrada a provar que sei sobre o que estou falando. Mas eu sou assídua na internet, e eu respondo o que sei responder. Se eu não souber, eu falo que não sei. Ainda assim, as pessoas estão sempre esperando que a gente responda a altura do que elas consideram o certo".

      Nina participou do Apple Worldwide Developers Conference (WWDC) em 2018
      Dificuldades na área de cibersegurança 
      Nina também trabalha com ética e inteligência artificial responsiva, e a cibersegurança sempre esteve muito perto das outras áreas em que atuou. "Não tinha a oportunidade de colocar em prática, mas quando comecei a fazer pesquisas, fui para o estudo de criptografia. Agora estou mais perto de projetos focados na segurança digital no Brasil. Não posso revelar o nome de todos, mas também sou conselheira de segurança do TikTok". Esse conselho consultivo foi pensado para a segurança da informação, explica Nina. "Tem sido interessante colocar em prática a experiência que eu tive".
      Mas na área de segurança, Nina também vê diversos problemas. "É um setor muito fechado, não acostumado a ter mulheres negras protagonizando, participando das construções de projetos". Ela conta que muitas decisões prejudicam a vida de pessoas negras. "Não dá para lutar pela abertura dos dados, por exemplo, se você não luta pela segurança. Temos muitas mulheres parlamentares negras sendo ameaçadas porque os dados delas estão abertos, sem segurança, personalizando a pessoa. O cruzamento das informações é prejudicial para o que queremos construir em cidadania digital e segurança", aponta. 
      "O cruzamento das informações é prejudicial para o que queremos construir em cidadania digital
      e segurança".
      Ela conta que nessa área é preciso entender o contexto em que uma ferramenta será inserida. "Precisamos reconhecer que estamos em contextos diferentes para falar em segurança digital. Estou participando da construção de ferramentas que lidam com violência política, por exemplo. Como foi fazer uma ferramenta para ser usada por uma parlamentar negra de São Paulo e ao mesmo tempo por uma parlamentar indígena do Nordeste? É preciso adaptar sem perder a essência. Esse é um exemplo, e não é fácil, mas as pessoas precisam não ter medo dessa dificuldade e complexidade, senão somente avançaremos com as ferramentas, que daqui a pouco não serão mais usadas, mas não avançaremos com pensamento crítico".
       
      Hacker Antirracista
      "Em todos os lugares que eu passei, vi coisas parecidas, desde pessoas falando abertamente que não gostavam da minha atuação porque sou negra e que eu não tinha que levar questões raciais para a empresa, até pessoas que não queriam que a pesquisa que eu estava fazendo na época abordasse questões raciais. Não tem como a gente estar nesses ambientes e não lutar por respeito", diz Nina. 
      "Quando vou em um evento, se me chamam de novo para o mesmo evento eu falo que não, que tem que chamar outra pessoa negra. Isso é ser Hacker Antirracista". 
      Acompanhando – e vivendo – de perto todas essas questões, ela iniciou um movimento ativo para gerar a desconstrução desses padrões, e hoje se autointitula uma Hacker Antirracista. "Ainda não estamos perto do ideal. Por isso, quando vou em um evento, se me chamam de novo para o mesmo evento eu falo que não, que tem que chamar outra pessoa negra. Isso é ser Hacker Antirracista. Eu gero uma corrente para que essas questões não fiquem centralizadas em uma pessoa só".

      Menos30 Fest, festival de empreendedorismo e inovação da Globo que Nina participou
      Nina também trabalha com iniciativas que promovem o conhecimento sobre pessoas negras que atuam na área de ciências. O Ogunhê é um podcast que trata desse assunto. "Eu criei porque mantinha um diário desde a adolescência, quando descobri a área que eu queria atuar. Minha mãe e minha família ficaram com medo, por ser uma área de pessoas brancas e muitos homens, e aí eu comecei a pesquisar sobre cientistas de outros países, criei um diário e ele virou o Ogunhê. É mais uma prática antirracista, mas não só do meio tecnológico. Eu trago pesquisas alinhadas à sociedade", explica. 
      Apoio da família
      Sem a ajuda da família, Nina não teria chegado onde chegou. Foi sua mãe e suas tias que deram todo o suporte e o incentivo para ela descobrir, inclusive, o que realmente queria fazer. "Elas me faziam perguntas e me incentivaram a conversar sobre isso em casa. Eu não tinha muita gente com quem conversar sobre esses assuntos, e mesmo elas não sendo da área de exatas, – são todas da área de humanas e biológicas – me incentivaram a pensar em formas de buscar conhecimento para que eu não me limitasse". 
      O incentivo continua até hoje. Em casa, Nina é "provocada" a pensar no coletivo. "Não existe estar numa área como da computação e não pensar no que estou oferecendo para a sociedade. A computação só existe por conta de outras áreas, como engenharia elétrica e filosofia. Por isso sempre fui provocada pela família para explicar aqui em casa o que faço para minha avó, mãe, tias, e meus irmãos. São os primeiros testadores de qualquer coisa que eu coloco na rua. Se eles se entenderem, qualquer pessoa vai entender".
      "Você não está sozinha em nenhum ambiente tóxico, por mais que façam você acreditar nisso".
      Se você é uma mulher negra, ou representante de qualquer grupo de diversidade, e quer entrar na área de tecnologia, Nina tem um recado: "vocês não estão sozinhas". Ela diz que há muitas pessoas por aí que passam pelas mesmas dificuldades nesse caminho e que quando ela percebeu isso, viu que não iria desistir. "Você não está sozinha em nenhum ambiente tóxico, por mais que façam você acreditar nisso. Quando percebemos que não estamos sozinhas, conseguimos colocar os problemas na luz e ver como resolver, sempre coletivamente". 
      Nina contou ainda com uma base religiosa para conseguir seguir em frente diante das dificuldades, mas diz que independente de acreditar ou não em religião, todo mundo pode encontrar portas de saída. "Qualquer forma de ver a vida e qualquer perspectiva de base precisa ser revisitada nos piores momentos da sua vida", complementa.

×
×
  • Create New...