Jump to content

Bruna Chieco

Mente Binária
  • Posts

    553
  • Joined

  • Last visited

Everything posted by Bruna Chieco

  1. Um incidente relacionado aos sistemas do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) deixou indisponível o acesso ao currículo Lattes e diversos sistemas de informática da instituição. O problema já ocorre há mais de três dias, levando à repercussão, nas redes sociais, de cientistas e professores que estão se manifestando sobre o quanto o "apagão" pode prejudicar seus trabalhos. A Plataforma Lattes CNPq integra as bases de dados de currículos e de instituições da área de ciência e tecnologia em um único sistema de informações. Sua importância e relevância atual se estende não somente às atividades operacionais de fomento do CNPq, como também às ações de outras agências federais e estaduais na área da Ciência e da Tecnologia. O CNPq nomeou o sistema em homenagem a César Lattes, físico brasileiro e um dos principais responsáveis pela criação da instituição. Em comunicado, o CNPq afirma que "o problema que causou a indisponibilidade dos sistemas já foi diagnosticado em parceria com empresas contratadas e os procedimentos para sua reparação foram iniciados". A instituição destaca que existem backups cujos conteúdos estão apoiando o restabelecimento dos sistemas, reforçando que não houve perda de dados da Plataforma Lattes. O incidente repercutiu negativamente entre pessoas que atuam nas áreas de Ciência e Tecnologia, já que o site reúne toda a trajetória acadêmica dos pesquisadores brasileiros, enquanto professores e estudantes cadastram as informações sobre sua produção acadêmica, as pesquisas em andamento ou finalizadas, os artigos publicados, as bolsas conquistadas, entre outros. Apesar do CNPq afirmar que há backup, a demora para o restabelecimento do sistema incomodou os especialistas da área. A Cientista da Computação recentemente entrevistada pelo Mente Binária, Nina da Hora, manifestou em suas redes sociais a insatisfação com as explicações dadas no comunicado do CNPq sobre o ocorrido: O professor e político Comte Bittencourt está entre os que se manifestaram sobre a problemática relacionada à indisponibilidade do sistema: Nós do Mente Binária notamos que parece haver uma negligência em relação aos processos de backup de dados, já que muitas empresas e instituições sofrem com esse tipo de apagão ou falta de acesso, especialmente por conta de ataques e ameaças de segurança, como ransomware, o que tem sido crescente. Isso denota a baixa maturidade das empresas em relação à segurança, disponibilidade e integridade dos dados, que é o caso do incidente ocorrido no CNPq, mesmo que este não esteja relacionado a um ataque.
  2. Com 8 anos de idade, Ana Carolina da Hora já sabia que queria ser cientista. Aos 12, já tinha começado a programar. Nascida em Duque de Caxias (RJ), Nina, como é conhecida, sempre gostou de computação, e aproveitou o apoio da família durante a infância e adolescência para explorar a área com recursos que tinha dentro de casa mesmo. Nina vem de uma família de professoras, então a educação sempre foi muito forte em seu ambiente familiar. "Aqui faltava qualquer coisa, menos livro. Eu lia livros de ciência para crianças em quadrinhos. Também li 'O homem que calculava', de Malba Tahan, que é antigo e fez parte da infância de muitas pessoas. Muita gente fala que se interessou pela matemática por conta desses livros. Eu lia e ficava imaginando como foi possível para esses cientistas e filósofos terem as ideias que eles tiveram", conta Nina. Interessada em tecnologia, Nina desmontava aparelhos de DVD e minigames em casa, até que um dia aproveitou o computador de sua tia para programar. "Sempre tive muita liberdade para fazer isso mesmo sem as ferramentas que as pessoas ricas ou de classe média tinham. Os livros me ajudaram muito, e os desenhos e programas que eu assistia de ciência também, além de professores que nessa fase me ajudaram a buscar conhecimento de formas diferentes". Mesmo com todo esse interesse, Nina não sabia direito o "nome" da profissão que ela queria seguir, até que ela descobriu que era Ciência da Computação. "Não só pelo título de cientista, mas por querer passar pelo caminho e pela história da computação, e não só fazer parte do resultado. Eu fui saber isso com quase 17 anos, quando fui prestar vestibular", conta. Foi com essa idade que Nina foi aprovada em uma universidade pública. Alguns anos depois, em 2015, ela migrou para a PUC-Rio, onde está agora finalizando o último ano de curso, aos 26 anos. "Desde que entrei na faculdade eu já trabalhava. Fiz curso técnico em informática e comecei atuando nessa área como estagiária. Virei professora porque me dava bem com os alunos e tirava dúvidas deles no laboratório". Foi assim que Nina passou a dar aula de programação com 18 anos. Depois disso, ela foi trabalhar como desenvolvedora em inteligência artificial, mas seu objetivo mesmo sempre foi seguir na área acadêmica. "Por isso eu fiz muita coisa, participei do Apple Developer Academy 2018-2020 e de programas de pesquisa da PUC. Durante a universidade, trabalhei em duas startups de robótica no Brasil desenvolvendo produtos e robôs. Também trabalhei em ONG por dois anos, com a ideia de democratizar a computação. Trabalhei em escolas, startups, empresas, ONGs e laboratórios de pesquisa", diz. Agora, perto de se formar, Nina já vai direto iniciar seu doutorado. "Sempre vou atuar na sociedade civil, mas eu gosto da pesquisa e de dar aula, pois acho que é uma forma de se manter sempre atualizado". Toda essa trajetória de Nina converge para a criação de um instituto de computação em Duque de Caxias, que é o próximo projeto no qual ela quer investir. "Para isso preciso ter minhas experiências, entender o que é necessário para esse ambiente". Nina conta que o instituto será focado em educação tecnológica de computação. "O foco é desenvolver cientistas, e não só preparar pessoas para uma carreira profissional. O objetivo é parar de pensar nas pessoas como objeto de mercado de trabalho. Meu público-alvo será os mais jovens e negros, que geralmente querem entrar nessa área e não tem oportunidade, mas também quero atingir um público mais velho". Desafios e preconceito A carreira de Nina é repleta de conquistas e aprendizados, mas quem vê de fora nem imagina as dificuldades de ser uma mulher negra em uma área predominantemente composta por homens brancos. "Continua sendo um desafio, acho que as pessoas têm bastante problema em lidar com mulheres negras em posições de tomada de decisão", diz. Segundo ela, essa dificuldade vem de uma ideia de que as decisões dentro da área devem ser objetivas e frias. "Quando colocam mulheres negras, que são pessoas que humanizam os projetos nas ciências exatas, por todo nosso background, há uma dificuldade das pessoas em saber lidar, porque não seguimos os padrões e estereótipos dessa área". "A dedicação que tenho que ter é o triplo da dedicação que um homem branco que trabalha na mesma área que eu" Mesmo tendo encontrado muitas portas abertas ao longo de sua trajetória, Nina conta como é a pressão de ter que se reafirmar para ser aceita como profissional e cientista. "Ninguém tem noção de quantas vezes por dia eu tenho que provar que sei o que estou fazendo. Hoje em dia eu sei provar mais rápido. Mas a dedicação que devo ter é o triplo da dedicação que um homem branco que trabalha na mesma área que eu". Nina conta que por ser uma mulher negra e fazer parte da comunidade LGBTQIA+, ela acompanha muito de perto a dificuldade que há nas empresas em trabalhar com diversidade e inclusão. "Não adianta colocar essas pessoas em um ambiente tóxico, pois elas serão prejudicadas. Até mesmo nas redes sociais, quando tenho que criar conteúdo, sou cobrada a provar que sei sobre o que estou falando. Mas eu sou assídua na internet, e eu respondo o que sei responder. Se eu não souber, eu falo que não sei. Ainda assim, as pessoas estão sempre esperando que a gente responda a altura do que elas consideram o certo". Nina participou do Apple Worldwide Developers Conference (WWDC) em 2018 Dificuldades na área de cibersegurança Nina também trabalha com ética e inteligência artificial responsiva, e a cibersegurança sempre esteve muito perto das outras áreas em que atuou. "Não tinha a oportunidade de colocar em prática, mas quando comecei a fazer pesquisas, fui para o estudo de criptografia. Agora estou mais perto de projetos focados na segurança digital no Brasil. Não posso revelar o nome de todos, mas também sou conselheira de segurança do TikTok". Esse conselho consultivo foi pensado para a segurança da informação, explica Nina. "Tem sido interessante colocar em prática a experiência que eu tive". Mas na área de segurança, Nina também vê diversos problemas. "É um setor muito fechado, não acostumado a ter mulheres negras protagonizando, participando das construções de projetos". Ela conta que muitas decisões prejudicam a vida de pessoas negras. "Não dá para lutar pela abertura dos dados, por exemplo, se você não luta pela segurança. Temos muitas mulheres parlamentares negras sendo ameaçadas porque os dados delas estão abertos, sem segurança, personalizando a pessoa. O cruzamento das informações é prejudicial para o que queremos construir em cidadania digital e segurança", aponta. "O cruzamento das informações é prejudicial para o que queremos construir em cidadania digital e segurança". Ela conta que nessa área é preciso entender o contexto em que uma ferramenta será inserida. "Precisamos reconhecer que estamos em contextos diferentes para falar em segurança digital. Estou participando da construção de ferramentas que lidam com violência política, por exemplo. Como foi fazer uma ferramenta para ser usada por uma parlamentar negra de São Paulo e ao mesmo tempo por uma parlamentar indígena do Nordeste? É preciso adaptar sem perder a essência. Esse é um exemplo, e não é fácil, mas as pessoas precisam não ter medo dessa dificuldade e complexidade, senão somente avançaremos com as ferramentas, que daqui a pouco não serão mais usadas, mas não avançaremos com pensamento crítico". Hacker Antirracista "Em todos os lugares que eu passei, vi coisas parecidas, desde pessoas falando abertamente que não gostavam da minha atuação porque sou negra e que eu não tinha que levar questões raciais para a empresa, até pessoas que não queriam que a pesquisa que eu estava fazendo na época abordasse questões raciais. Não tem como a gente estar nesses ambientes e não lutar por respeito", diz Nina. "Quando vou em um evento, se me chamam de novo para o mesmo evento eu falo que não, que tem que chamar outra pessoa negra. Isso é ser Hacker Antirracista". Acompanhando – e vivendo – de perto todas essas questões, ela iniciou um movimento ativo para gerar a desconstrução desses padrões, e hoje se autointitula uma Hacker Antirracista. "Ainda não estamos perto do ideal. Por isso, quando vou em um evento, se me chamam de novo para o mesmo evento eu falo que não, que tem que chamar outra pessoa negra. Isso é ser Hacker Antirracista. Eu gero uma corrente para que essas questões não fiquem centralizadas em uma pessoa só". Menos30 Fest, festival de empreendedorismo e inovação da Globo que Nina participou Nina também trabalha com iniciativas que promovem o conhecimento sobre pessoas negras que atuam na área de ciências. O Ogunhê é um podcast que trata desse assunto. "Eu criei porque mantinha um diário desde a adolescência, quando descobri a área que eu queria atuar. Minha mãe e minha família ficaram com medo, por ser uma área de pessoas brancas e muitos homens, e aí eu comecei a pesquisar sobre cientistas de outros países, criei um diário e ele virou o Ogunhê. É mais uma prática antirracista, mas não só do meio tecnológico. Eu trago pesquisas alinhadas à sociedade", explica. Apoio da família Sem a ajuda da família, Nina não teria chegado onde chegou. Foi sua mãe e suas tias que deram todo o suporte e o incentivo para ela descobrir, inclusive, o que realmente queria fazer. "Elas me faziam perguntas e me incentivaram a conversar sobre isso em casa. Eu não tinha muita gente com quem conversar sobre esses assuntos, e mesmo elas não sendo da área de exatas, – são todas da área de humanas e biológicas – me incentivaram a pensar em formas de buscar conhecimento para que eu não me limitasse". O incentivo continua até hoje. Em casa, Nina é "provocada" a pensar no coletivo. "Não existe estar numa área como da computação e não pensar no que estou oferecendo para a sociedade. A computação só existe por conta de outras áreas, como engenharia elétrica e filosofia. Por isso sempre fui provocada pela família para explicar aqui em casa o que faço para minha avó, mãe, tias, e meus irmãos. São os primeiros testadores de qualquer coisa que eu coloco na rua. Se eles se entenderem, qualquer pessoa vai entender". "Você não está sozinha em nenhum ambiente tóxico, por mais que façam você acreditar nisso". Se você é uma mulher negra, ou representante de qualquer grupo de diversidade, e quer entrar na área de tecnologia, Nina tem um recado: "vocês não estão sozinhas". Ela diz que há muitas pessoas por aí que passam pelas mesmas dificuldades nesse caminho e que quando ela percebeu isso, viu que não iria desistir. "Você não está sozinha em nenhum ambiente tóxico, por mais que façam você acreditar nisso. Quando percebemos que não estamos sozinhas, conseguimos colocar os problemas na luz e ver como resolver, sempre coletivamente". Nina contou ainda com uma base religiosa para conseguir seguir em frente diante das dificuldades, mas diz que independente de acreditar ou não em religião, todo mundo pode encontrar portas de saída. "Qualquer forma de ver a vida e qualquer perspectiva de base precisa ser revisitada nos piores momentos da sua vida", complementa.
  3. O livro Programação Shell Linux é uma referência completa sobre programação Shell nos sistemas operacionais Unix/Linux, e chegou na sua 12ª edição depois de mais de 22 anos que o autor, Julio Cezar Neves, veio adaptando essa obra. Apresentando o assunto de forma didática e descontraída, Julio se utiliza de exemplos e dicas de fácil compreensão para explicar para seu público como programar em Shell. Quem pensa que esse é um livro de cabeceira está enganado. É um material prático para ser usado do lado do computador, sendo uma referência completa da linguagem Shell. "Esse livro não é para estudar, é um guia de referência, porque ele está completo", diz o próprio autor, Julio Neves. Ele conta para o Mente Binária como foi seu processo de construção desse rico material. "Tudo começou como uma brincadeira. Durante muitos anos eu fui gestor e de repente eu estava de saco cheio do meu departamento, não queria ficar administrando pessoas. Então resolvi abandonar essa área e voltar para a área técnica". Foi assim que Julio passou a atuar no suporte técnico. No início dos anos 1980, ele já tinha trabalhado desenvolvendo um Unix na Cobra Computadores e Sistemas Brasileiros, hoje BB Tecnologia e Serviços (BBTS). "Eu continuei usando o Unix, porque quando apareceu o primeiro sistema operacional da Microsoft, o DOS, ele saiu da costela do Unix. Se eu já tinha o Shell, para que eu iria usar o DOS?", diz. Assim, Julio decidiu fazer um sistema para protocolo, transferência e check de integridade de arquivos via FTP para a empresa na qual trabalhava. "Eu fiz tudo em Shell". Ele passou a fazer treinamentos com seus colegas na empresa, e acabou escrevendo um manual no qual conta que tinha muita piada e conteúdo descontraído. "A cada treinamento que eu dava eu ia melhorando. Um belo dia minha esposa falou que isso tudo daria um livro", conta Julio. Foi assim que ele publicou a primeira edição do livro Programação Shell Linux, em 2000. Motivação Os treinamentos internos que Julio fazia em sua empresa sempre davam muita audiência. Ele conta que quando trabalhou na Cobra Computadores, foi feito um convênio com a Universidade Estácio de Sá, do Rio de Janeiro, que cedia as instalações para o pessoal da Cobra dar treinamentos. Em contrapartida, a Cobra dava suporte para a Estácio de graça. "Foi minha primeira experiência dando aula. Eu fiz um curso de didática com técnicas de apresentação e quando fui dar os treinamentos na empresa, anos depois, já tinha essa prática de didática. É uma coisa que gosto de fazer", conta. Hoje, Julio oferece treinamentos sobre Shell Script junto a Rubens Queiroz De Almeida (saiba mais sobre os treinamentos). Além do gosto por dar aulas, Julio conta que o livro é uma maneira de disseminar o conteúdo sobre Shell em uma linguagem fácil e acessível, o que não existe em outros materiais. Ele cita o Linux man pages, um manual escrito em inglês rebuscado, sem exemplos. "Praticamente tudo que tem no man pages tem no meu livro, só que o livro tem um monte de exemplo e bom humor. O man page não te ensina a programar, mas só a usar uma instrução. O meu livro mostra as instruções, de forma ordenada, e o funcionamento do Shell. Eu mesmo aprendi Shell pelo man pages, mas é muito chato!", avalia. "Meu livro mostra as instruções, de forma ordenada, e o funcionamento do Shell" – Julio Neves Por que um profissional precisa ter conhecimento de Shell? "Uma vez eu dei uma palestra sobre Shell e na hora das perguntas um cara falou que não gostava da linguagem. E eu falei que sem o Shell, o Linux não existe. Quando você dá boot na máquina, ela executa centenas de scripts em Shell; quando você loga, ela roda dezenas de scripts em Shell. Tudo que é feito na máquina está em C ou em Shell. O administrador de sistemas antigamente era obrigado a conhecer profundamente Shell", explica. Na área de segurança, a necessidade desse conhecimento é igualmente importante, conforme explica Fernando Mercês, que é pesquisador na Trend Micro e fundador do Mente Binária. "O Linux é um sistema operacional obrigatório na área de segurança. Quem não conhece Linux, não consegue andar nessa área. E o Shell é o coração do Linux, é por onde um usuário controla o sistema inteiro e usa todos os recursos. Programar em Shell é obrigatório para automatizar o que precisa ser automatizado no Linux", explica Mercês. Ele conta que no lado dos ataques, por exemplo, do ponto de vista de segurança ofensiva, e também para criar defesas e ações de proteção de um servidor Linux diante de algum ataque, é preciso usar programação em Shell. "Se seu sistema Linux está sob ataque, você detectou isso e vai bloquear a comunicação do atacante para com o seu servidor, e isso vai ser um comando em Shell do Linux. Além do Linux ser um sistema operacional que precisa ser conhecido, programá-lo bem e saber operá-lo em nível de programação via Shell é essencial para um bom profissional, e um grande diferencial para profissionais de tecnologia em geral", destaca Mercês. Para Julio Neves, não saber programar em Shell pode ser inclusive um risco de segurança. "A pessoa tem que saber Shell, porque a interface gráfica não sabe tudo sobre a digitação, e aí se ele tiver alguma dúvida, vai recorrer à Internet. Se ela fizer isso, pode colocar dentro do computador algo que pode ser ruim, um malware", diz. "Meu nível de Shell depois desse livro ficou muito acima da média", diz Fernando Mercês Na experiência de Mercês, de fato o livro Programação Shell Linux é o material mais completo que se tem em língua portuguesa sobre o assunto. "Quando comecei a estudar Linux, em 2008, vi que os materiais que tratam do assunto introduzem o Shell, mas não vão muito além disso. Aí comprei a 6ª edição desse livro do Julio e me impressionei, porque além de ser muito mais profundo que as introduções que eu tinha lido, a didática é impecável. O livro realmente ensina a programar com alguém que sabe muito", conta. "Meu nível de Shell depois desse livro ficou muito acima da média, mesmo no meio do mundo Linux, porque esse conhecimento veio de alguém que não simplesmente estudou, aprendeu e escreveu um livro. O Julio fez parte do time de desenvolvimento de um Unix. Ele foi capaz de criar um Shell. É uma pérola no Brasil". 12ª edição Julio Neves conta que ao longo do tempo, as edições do livro foram "engordando", cada vez contendo mais material. Mas nessa 12ª edição, ele acabou publicando o livro em uma nova editora, a Novatec, muito motivado a baixar o custo. "Eu estava achando o preço do livro um absurdo e resolvi pegar o livro, que tinha duas partes, um Shell básico e um Shell programação, e tirei o Shell básico para diminuir o custo do livro". Ainda assim, o material continua com 600 páginas, já que ao longo do tempo Julio foi agregando mais conhecimento. "Na primeira edição eu disse que o intuito do livro não era ser um compêndio sobre Shell. Hoje, coloco ele como uma referência sobre Shell", destaca. O livro pode ser comprado online nesse link, e tem um cupom de 25% de desconto válido até o dia 30 de julho. Para utilizar, basta digitar PROGSHELL na hora de realizar a compra. Capa do livro Programação Shell Linux – 12ª Edição Falando em referência, o Julio também é uma inspiração para nós do Mente Binária, afinal foi o primeiro entrevistado no programa Papo Binário, em janeiro de 2016. Assista na íntegra:
  4. O Departamento de Estado dos EUA abriu o programa Rewards for Justice, administrado pelo Serviço de Segurança Diplomática, e que oferece uma recompensa de até US$ 10 milhões por informações que levem à identificação ou localização de qualquer pessoa que participa de atividades cibernéticas maliciosas contra a infraestrutura crítica do país sob a direção ou controle de um governo estrangeiro. Mais informações sobre a oferta de recompensa podem ser encontradas no site Rewards for Justice. Segundo comunicado, o programa criou um canal de denúncias Dark Web (baseado em Tor) para proteger a segurança das fontes, além de trabalhar com parceiros interagências para permitir o rápido processamento de informações, bem como a possível transferência e pagamento de recompensas, que inclui pagamentos em criptomoeda. O Departamento de Estado afirma ainda que as atividades cibercriminosos que violam a Lei de Fraude e Abuso de Computadores incluem a transmissão de ameaças de extorsão como parte de ataques de ransomware; acesso não autorizado intencional a um computador ou excedendo o acesso autorizado e, assim, obtendo informações de qualquer computador protegido; e causar conscientemente a transmissão de um programa, informação, código ou comando e, como resultado de tal conduta, causar danos intencionalmente sem autorização a um computador protegido, que incluem não apenas sistemas de computador de instituições financeiras e governamentais dos EUA, mas também computadores usados para o comércio ou comunicação interestadual ou estrangeiro.
  5. Virar um desenvolvedor de jogos pode ser o grande sonho dos apaixonados por games. São esses os profissionais que projetam e criam jogos para computadores, celulares e consoles, se envolvendo desde a concepção até a execução do projeto junto a uma equipe composta por produtores, designers, artistas, engenheiros de som e testadores. Essa galera trabalha para levar os melhores produtos a uma indústria que hoje é composta por 2,8 bilhões de jogadores em todo o mundo, gerando receitas de US$ 189,3 bilhões, segundo dados da empresa de pesquisa Newzoo. No Brasil, a Newzoo aponta que o mercado de jogos terá uma receita de US$ 2,3 bilhões em 2021. Ainda que aqui a indústria seja menor, as oportunidades para trabalhar na área estão crescendo mesmo para quem não é um aficionado pela profissão, como é o caso de Rodrigo Duarte Louro. Ao procurar estágio enquanto cursava a faculdade de Ciência da Computação, ele acabou se deparando com uma vaga em uma empresa de jogos pequena que tinha acabado de começar. Na época, Rodrigo tinha 21 anos e confessa que esse não era seu sonho, mas acabou encarando o desafio. "Quando entrei na faculdade, eu não tinha muita ideia para onde ir. Nunca quis muito uma carreira específica, mas as possibilidades de mercado para quem é programador são grandes", diz Rodrigo ao Mente Binária. "Eu não manjava nada de games, mas estagiei nessa empresa por um ano, e foi onde eu comecei a gostar e aprender sobre desenvolvimento de games", conta. Rodrigo saiu desse estágio para conseguir concluir a faculdade, mas no último semestre voltou a estagiar em outra empresa de games, a Tapps, onde está até hoje trabalhando com desenvolvimento de jogos para mobile. "Quando comecei a estagiar com jogos, eu gostei, e a menos que aparecesse uma oportunidade muito boa, eu decidi que não ia mais sair da área", relata. "A menos que aparecesse uma oportunidade muito boa, eu decidi que não ia mais sair da área" - Rodrigo Duarte Louro Já o caso de Murilo Costa é o mais tradicional para quem trabalha com desenvolvimento de jogos: ser apaixonado pela área. "Desde dos 12 anos de idade eu já estava certo da vida que queria trabalhar com jogos, e nessa idade já tinha começado a programar", conta Murilo ao Mente Binária. Foi assim que ele acabou fazendo um curso técnico em informática aos 15 anos. "Eu já queria entrar na área de jogos, mas no Brasil era difícil", destaca. Por certa falta de oportunidade, Murilo acabou entrando no mercado de TI como desenvolvedor de software, atuando nessa área por cerca de 7 anos. Enquanto isso, ele também cursou a faculdade de Ciência da Computação. "Eu tinha 22 anos quando consegui meu primeiro emprego como estagiário em jogos. Eu ia para essa profissão de qualquer jeito, mesmo que por conta própria. Mandei muito currículo, porque o mais importante era começar de algum jeito, e depois ir encontrando meu espaço", ressalta. "Eu me permiti voltar para a estaca zero quando entrei na indústria de games. Quando decidi sair do emprego de desenvolvedor de software e ir pra jogos, eu já era CLT e estava quase virando um profissional pleno dentro da empresa, mas decidi voltar a ser estagiário para começar na área", conta. "Eu me permiti voltar para a estaca zero quando entrei na indústria de games" - Murilo Costa Murilo ficou durante 5 anos e meio nessa empresa, começando como programador de jogos mobile, e aos poucos foi crescendo internamente, até virar coordenador. "Passei a trabalhar como gestor, participava da contratação e desenvolvimento de outros programadores", diz. Mas no ano passado, Murilo decidiu que queria voltar a programar, e foi aí que começou a trabalhar no estúdio Rogue Snail como programador sênior. "O que eu gosto é da área de programação", pontua. O que precisa para ser um desenvolvedor de jogos A complexidade da profissão pode variar dependendo do tipo de jogo que será desenvolvido, mas para quem quer começar, é preciso saber o básico de programação. "Na faculdade não tem nada específico para o mercado de trabalho. Se você tem uma base de programação forte, está preparado para tudo, mas não é especialista em nada", diz Rodrigo. Ele conta que apesar disso, há cursos mais focados em jogos. "Na Tapps muita gente que trabalha comigo fez um curso de design de jogos na Fatec e na Anhembi. No meu caso, não fiz nenhum curso específico. Agora, com 7 anos de experiência, tenho uma noção das outras áreas, mas o background de programação dá total liberdade para fazer os jogos", diz. A dica é saber duas linguagens de programação, que são as mais adotadas em desenvolvimento de games: C# e C++. A primeira é utilizada pelo motor de jogos (game engine) chamado Unity, enquanto a segunda é utilizada pela engine Unreal. Apesar de essas serem as duas linguagens mais utilizadas, muitas empresas querem fazer suas próprias engines. "Na Unity você consegue fazer e exportar o jogo para cada plataforma específica, mas na Tapps a gente exporta só mobile, então usamos uma engine própria", diz Rodrigo. O mais recomendável é estudar não somente a linguagem, mas aprender como a engine funciona e pode ser manipulada para se obter resultados. "Eu já praticava isso sozinho", diz Murilo. "Normalmente, quando as pessoas vão trabalhar com jogos, já tiveram contato com engines ou produção de algum jogo". Ele destaca que o ideal para treinar é participar de game jams, que são encontros de desenvolvedores de jogos com a proposta de planejar e criar um ou mais jogos em pouco tempo, geralmente variando entre 24 e 72 horas. "Isso ajuda as pessoas a terem contato com as engines e tecnologias. Mas precisa de um conhecimento básico em programação. Essa é uma recomendação para desenvolvedores de software no geral", destaca. Matemática e inglês são pré-requisitos Além de saber o básico de programação, é preciso ter uma noção tanto de matemática quanto de inglês para quem quer evoluir na carreira de desenvolvedor de games. "Os dois são bem importantes. Não é um impeditivo total não saber isso, mas vai facilitar muito sua vida", destaca Rodrigo. Tanto ele quanto Murilo recomendam no mínimo o conhecimento de leitura em inglês para que a atuação na área seja mais fácil. Isso porque muitos dos materiais de estudo em programação são nesse idioma. "Isso é uma barreira que pode atrapalhar", diz Rodrigo. Os conhecimentos de matemática também são importantes para programação, na visão de Rodrigo. "Dependendo do jogo que você fizer, a matemática é utilizada mais ou menos na prática, mas ter esse conhecimento mais forte te faz um programador melhor sempre", afirma. Ele diz ainda que em alguns casos a geometria analítica é utilizada. "Se estou fazendo um jogo de tiro, preciso saber com qual força a bala sai da arma", explica. Mobile x console Tendo navegado no mundo mobile e agora no de jogos para computadores, Murilo conta um pouco sobre a diferença entre programar em um e para outro universo. "Jogos mobile gratuitos normalmente têm compras dentro, e os usuários podem assistir anúncios para obter recompensas. Também é preciso pensar que essa indústria é gigantesca, tanto em número de devices quanto de usuários. Você atinge o público de maneira mais global e tem que se preparar para lidar com menos recursos, porque o celular é menos potente que o console", diz. Ele destaca ainda que a usabilidade é bem diferente no celular e no PC. "No mobile, precisamos pensar em como integrar compras e propagandas em tempo de execução do jogo, e games de console normalmente não têm isso. No PC, o jogo tende a ser mais fácil, por outro lado, que os demais jogos de console, por ser mais flexível em relação aos inputs de teclado, mouse, ou controle", relata Murilo. Mercado de trabalho O mercado de trabalho brasileiro para a indústria de games está crescendo, apesar das oportunidades ainda serem maiores em outros países. Na visão de Murilo, esse ainda é um setor de poucas empresas no Brasil, com algumas companhias grandes dominando, mas praticamente todas para desenvolvimento mobile, ressaltando que os jogos para celulares compõem a maior parte do mercado consolidado no país. Murilo diz ainda que há alguns estúdios pequenos se desenvolvendo localmente, mas muitos ainda dependem de investimento externo ou de projetos institucionais que estimulem seu funcionamento. "Ainda temos poucas oportunidades e não temos tanta escolha". Ele adiciona que na área de programação, ainda há uma diferenciação para quem trabalha com desenvolvimento para bancos ou para web, e quem trabalha com jogos. "Tem uma procura muito alta de pessoas querendo trabalhar na área, mas a remuneração não é competitiva, e temos poucos estúdios. Mas tem crescido", avalia. "Não ter medo e não desistir da área" Para Rodrigo, o gargalo também aparece do lado da mão de obra especializada. "Sempre vejo vaga aberta, mas é difícil preencher. As empresas estrangeiras acabam tendo maior competitividade. Também é o sonho das pessoas trabalharem em grandes companhias como Blizzard, King, etc. O mercado de jogos mexe com o sonho das pessoas, por isso muitas delas já escolheram a faculdade porque queriam fazer games. Mas ainda vejo que faltam profissionais especializados, e isso é na área de programação em geral", pontua. Mesmo com esses desafios, não ter medo e não desistir da área é a dica de Rodrigo para quem quer atuar como desenvolvedor de games. "Se você tem um background de programação, já é um programador e quer migrar de área, pesquise o mercado, pois tem muita empresa sólida. E quem não é programador e quer fazer jogos, precisa começar a estudar programação em geral, ter um nível mediano. Não precisa focar em jogos inicialmente, mas depois comece a pegar tutoriais, estudar engines e fazer jogos simples. Explore a parte criativa, porque isso gera muito conhecimento", indica. "A participação em game jams ajuda muito" Murilo também destaca a importância de tentar construir um portfólio, reforçando que a participação em game jams ajuda muito nesse sentido. "É uma oportunidade de conhecer pessoas da área, estabelecer contatos e mostrar o trabalho. É preciso ter a experiência de fazer um jogo para entender quais são as partes que precisam ser melhor desenvolvidas", ressalta. 🎮
  6. O secretário-geral da Interpol, Jürgen Stock (foto), convocou agências policiais em todo o mundo para formar uma coalizão global com parceiros da indústria para prevenir uma potencial pandemia de ransomware. A intenção é interromper efetivamente o ransomware ao adotar a mesma colaboração internacional usada para combater o terrorismo, o tráfico humano ou grupos de máfia. Segundo comunicado da Interpol, a convocação para expandir a colaboração contra o ransomware foi feita a partir de uma preocupação com o crescimento exponencial desse tipo de ataque no ecossistema do crime cibernético mais amplo, já que criminosos estão mudando seu modelo de negócios para fornecer Ransomware-as-a-Service (ransomware como serviço). O Secretário-Geral da Interpol afirmou que os criminosos de ransomware estão continuamente adaptando suas táticas, operando sem fronteiras e quase com impunidade. “Assim como a pandemia, o ransomware está evoluindo para diferentes variantes, proporcionando altos lucros financeiros aos criminosos”, disse. Ele alertou ainda que o ransomware se tornou uma ameaça muito grande para qualquer entidade ou setor resolver sozinho, e a magnitude desse desafio exige urgentemente uma ação global unida, colocando a Interpol como facilitadora. O Fórum Econômico Mundial está atuando em parceria com a Interpol para moldar arquiteturas globais que apoiem essa colaboração e explorem maneiras de encorajar medidas responsáveis. “O ransomware está emergindo como o equivalente ao 'Velho Oeste' do espaço digital, onde qualquer pessoa, em qualquer ponto do tempo, pode se tornar uma vítima. Limitar o ransomware exige esforços coletivos de todos para melhorar a higiene cibernética em todos os setores, aumentar os custos e riscos para os cibercriminosos por meio de esforços disruptivos e reduzir a recompensa aos criminosos”, disse Tal Goldstein, chefe de estratégia do Centro de Segurança Cibernética do Fórum Econômico Mundial. (Crédito da imagem: Interpol)
  7. Uma campanha sofisticada, ativa por pelo menos um ano, tem como alvo grandes empresas internacionais nos setores de energia, petróleo e gás e eletrônicos. Pesquisadores da Intezer descobriram o ataque, que também é direcionado a fornecedores de petróleo e gás, possivelmente indicando que esta é apenas a primeira fase de uma campanha mais ampla. No caso de uma violação bem-sucedida, o invasor é capaz de usar a conta de e-mail comprometida para espalhar phishing em empresas que trabalham com o fornecedor, usando sua reputação estabelecida para ir atrás de entidades mais visadas. Segundo os pesquisadores, os atacantes usam e-mails falsificados e com erros de digitação para iniciar o ataque. A campanha se espalha por meio de e-mails de phishing feitos sob medida para os funcionários de cada empresa visada, e o conteúdo e o remetente dos e-mails parecem ser enviados por outra empresa no setor relevante, oferecendo uma parceria ou oportunidade de negócios. Cada e-mail possui um anexo, geralmente um arquivo IMG, ISO ou CAB, que são formatos de arquivo comumente usados por invasores para evitar a detecção de verificadores antivírus baseados em e-mail. Ao abrir o anexo e clicar em um dos arquivos contidos, a vítima permite a execução de um um ladrão de informações. A Intezer descreveu o vetor de ataque, os motivos e táticas dos invasores usados na campanha. Leia mais (em inglês).
  8. Um suposto cibercriminoso foi detido no Marrocos após investigação conjunta de dois anos pela Interpol, a polícia marroquina e o Group-IB por meio da Operação Lyrebird. O comunicado da Interpol afirma que o suspeito, agindo sob o nome de Dr. Hex, realizava atividades globais de phishing e fraudes, envolvendo inclusive cartão de crédito. Seus alvos seriam empresas de comunicação de língua francesa, bancos múltiplos e empresas multinacionais. O Group-IB, fornecedor de soluções voltadas para a detecção e prevenção de ataques cibernéticos, disse que o suspeito estava envolvido em ataques a 134 sites que ocorreram entre 2009 e 2018. O suspeito teria ajudado a desenvolver kits de carding e phishing, que foram vendidos a outros indivíduos por meio de fóruns online para facilitar campanhas maliciosas semelhantes contra as vítimas.
  9. Os analistas de malware do Doctor Web descobriram aplicativos maliciosos no Google Play que roubam logins e senhas de usuários do Facebook. Esses cavalos de Troia (trojans) foram espalhados como softwares inofensivos e instalados mais de 5.856.010 vezes, dizem os pesquisadores. Os aplicativos maliciosos foram detectados com os nomes Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 ou Android.PWS.Facebook.18, de acordo com a empresa. Todas são pequenas variações do mesmo código. No total, os especialistas descobriram 10 desses aplicativos de trojan, sendo que nove estavam disponíveis no Google Play. Veja abaixo quais são os apps: Software de edição de fotos Processing Photo. Ele é detectado pelo Dr.Web Anti-Virus como Android.PWS.Facebook.13 e foi espalhado pelo desenvolvedor chikumburahamilton, sendo instalado mais de 500 mil vezes; Aplicativos que permitiam limitações de acesso para usar outro software instalado em dispositivos Android: App Lock Keep do desenvolvedor Sheralaw Rence, App Lock Manager do desenvolvedor Implummet col e Lockit Master do desenvolvedor Enali mchicolo – todos detectados como Android.PWS.Facebook.13. Eles foram baixados pelo menos 50 mil, 10 e 5 mil vezes, respectivamente; Limpador de lixo do desenvolvedor SNT.rbcl – um utilitário para otimizar o desempenho do dispositivo Android. Ele foi baixado mais de 100 mil vezes. O Dr.Web o detecta como Android.PWS.Facebook.13.; Programas de astrologia Horoscope Daily do desenvolvedor HscopeDaily momo, e Horoscope Pi do desenvolvedor Talleyr Shauna, também detectados como Android.PWS.Facebook.13. O primeiro teve mais de 100 mil instalações, enquanto o último, mais de mil instalações; Programa de condicionamento físico chamado Inwell Fitness e detectado como Android.PWS.Facebook.14 do desenvolvedor Reuben Germaine. Possui mais de 100 mil instalações; Aplicativo de edição de imagens chamado PIP Photo foi divulgado pela desenvolvedora Lillians. Suas várias versões são detectadas como Android.PWS.Facebook.17 e Android.PWS.Facebook.18. Este aplicativo tem mais de 5 milhões de downloads. Após o relatório dos especialistas do Doctor Web ao Google, parte desses aplicativos maliciosos foi removida do Google Play.
  10. O ataque cibernético da gangue de ransomware Revil a empresas da cadeia de suprimentos da companhia americana Kaseya pode ter atingido até 1,5 mil negócios. A informação foi fornecida pela própria Kaseya em comunicado divulgado nesta terça-feira, 6 de julho. O ataque coordenado ocorreu na última sexta-feira e afetou empresas usuárias do produto da Kaseya chamado VSA, que oferece uma série de funções típicas de administração remota. Saiba mais na edição do 0news desta segunda-feira. Segundo o comunicado da companhia, cerca de 800 mil a 1 milhão de pequenas empresas ou empresas locais são gerenciadas pelos clientes da Kaseya, e apenas cerca de 800 a 1,5 mil foram comprometidas. A Kaseya afirma ainda que respondeu rapidamente ao ataque de ransomware, mitigando o impacto. O comunicado conta que a Kaseya foi alertada sobre um possível ataque de fontes internas e externas no dia 2 de julho, fechando imediatamente o acesso ao software em questão, o que fez com que apenas aproximadamente 50 dos mais de 35 mil clientes da Kaseya fossem violados. Depois disso, uma equipe interna de resposta a incidentes, em parceria com especialistas do setor em investigações forenses, entrou em ação para determinar a natureza do ataque. Agências governamentais de segurança cibernética e de aplicação da lei, incluindo o FBI e a Agência de Segurança Cibernética e Infraestrutura (CISA), foram notificadas. A maioria dos clientes da Kaseya são provedores de serviços gerenciados, usando a tecnologia da companhia para gerenciar a infraestrutura de TI para empresas locais e pequenas com menos de 30 funcionários, como consultórios de dentistas, pequenos escritórios de contabilidade e restaurantes locais.“Nossas equipes globais estão trabalhando 24 horas por dia para colocar nossos clientes de volta em operação”, disse Fred Voccola, CEO da Kaseya, no comunicado. (Imagem: Divulgação/Facebook)
  11. Bruna Chieco

    DebConf21

    until
    As inscrições para DebConf21 Online estão abertas! A 21ª Debian Conference será realizada este ano no formato online, devido ao COVID-19, de 22 a 29 de agosto de 2021. Também terá um DebCamp de 15 a 21 de agosto de 2021, precedendo a DebConf. DebConf é uma conferência anual para contribuidores e usuários do sistema operacional Debian interessados em melhorá-lo. A DebConf19 aconteceu em Curitiba, Brasil, e contou com a presença de 382 participantes de 50 países. Para este ano, os organizadores do evento solicitam a localização dos participantes para planejar melhor a programação de acordo com os fusos horários. Além disso, será oferecida uma quantidade limitada de apoio financeiro para aqueles que precisam para participar. Saiba mais: https://debconf21.debconf.org/register
  12. Organizações estão perdendo milhões de dólares em receita a cada ano devido ao vazamento de códigos de infraestrutura, credenciais e tokens. Um relatório da 1Password aponta que o gerenciamento deficiente desses segredos está tornando mais fácil para os invasores encontrarem seu caminho e, depois que eles entram, ter recompensas grandes. As empresas que experimentaram vazamento de segredos, resultando em prejuízos financeiros, perderam em média US$ 1,2 milhão em receita, diz o estudo. O levantamento feito com 500 empresas de TI e DevOps sobre como lidam com os segredos que alimentam sua infraestrutura digital diz ainda que quatro em cada cinco empresas não estão gerenciando bem seus segredos, o que as deixa vulneráveis a ataques. Por conta disso, 60% das empresas pesquisadas experimentaram vazamento de segredos de algum tipo. Além disso, mais de três em cada quatro funcionários de TI e DevOps ainda têm acesso aos segredos de infraestrutura de seu antigo empregador. A falta de foco na segurança é uma decorrência do aumento do ritmo de entrega de software e a busca por cronogramas acelerados, diz o estudo, o que faz com que os desenvolvedores geralmente sejam forçados a escolher entre velocidade e segurança, deixando os segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados em arquivos de configuração ou próximos ao código-fonte para fácil acesso. Quanto mais fácil for para os desenvolvedores acessar esses segredos, mais fácil será também para os invasores acessá-los. Cerca de 80% das empresas pesquisadas admitem não gerenciar bem seus segredos, e 52% dos funcionários de TI e DevOps admitem que a explosão dos aplicativos em nuvem tornou o gerenciamento de segredos mais difícil. Na falta de uma solução ou estrutura de gerenciamento de segredos dedicada, eles precisam lidar com os segredos de maneira aleatória e ad hoc, gastando cerca de 25 minutos por dia apenas no gerenciamento de segredos a um custo coletivo de US$ 8,5 bilhões por ano.
  13. A gangue Babuk parece ter voltado ao antigo hábito de criptografar redes corporativas. Segundo o BleepingComputer, os criminosos tinham anunciado sua saída do negócio em abril, mas estão atualmente usando uma nova versão de seu malware de criptografia de arquivos e mudaram a operação para um novo site de vazamento. O grupo de ransomware Babuk ficou conhecido no início do ano, mas alega que seus ataques começaram em meados de outubro de 2020, visando empresas em todo o mundo e exigindo resgates entre $ 60 mil e $ 85 mil em Bitcoin. Uma das vítimas mais divulgadas é o Departamento de Polícia Metropolitana (MPD) de Washinton DC. O BleepingComputer diz que esse ataque provavelmente levou a gangue a anunciar sua aposentadoria do negócio de ransomware apenas para adotar outro modelo de extorsão que não incluía criptografia. A gangue também anunciou planos de lançar seu malware para que outros cibercriminosos pudessem iniciar uma operação de ransomware como serviço, e acabou publicando seu construtor, uma ferramenta que gera ransomware personalizado. O pesquisador de segurança Kevin Beaumont o encontrou no VirusTotal e compartilhou as informações para ajudar a comunidade de segurança na detecção e descriptografia.
  14. O Google está trabalhando para adicionar um modo Apenas HTTPS (HTTPS-Only) ao navegador Chrome para proteger o tráfego dos usuários de espionagem, atualizando todas as conexões para HTTPS. Segundo o Bleeping Computer, o novo recurso está sendo testado nas versões de pré-visualização do Chrome 93 Canary para Mac, Windows, Linux, Chrome OS e Android. Embora nenhum anúncio oficial tenha sido feito ainda, o modo HTTPS-Only provavelmente será lançado em 31 de agosto, diz o site. O Google já atualizou o Chrome para o padrão HTTPS em todos os URLs digitados na barra de endereço se o usuário não especificar nenhum protocolo. Para testar o recurso experimental, é preciso habilitar a sinalização "Configuração do modo somente HTTPS" acessando chrome://flags/#https-only-mode-setting. Uma vez ativada a opção "Sempre usar conexões seguras" às configurações de segurança do navegador, o Chrome vai atualizar automaticamente toda a navegação para HTTPS e exibir alertas antes de carregar sites que não o suportam. Ao atualizar todas as conexões de sites para HTTPS, o Google Chrome protegerá os usuários de ataques man-in-the-middle que tentam espionar dados trocados com servidores da Internet por meio do protocolo HTTP não criptografado. O HTTPS também garante que os invasores que tentam interceptar o tráfego da Web não alterem os dados trocados com sites da Internet sem serem detectados.
  15. Em abril, um arquivo contendo dados supostamente retirados de 500 milhões de perfis do LinkedIn foi colocado à venda em um fórum de hackers popular. Agora uma nova publicação com 700 milhões de registros da rede foi encontrada por pesquisadores da PrivacySharks. O anúncio dos dados colocados à venda foi postado em 22 de junho, incluindo uma amostra de 1 milhão de registros como "prova". A PrivacySharks examinou a amostra grátis e viu que os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações do setor de empresas. Não está claro qual é a origem dos dados, mas o ThreatPost indica que a coleta de perfis públicos é uma fonte provável, pois esse foi o motor por trás da coleção dos 500 milhões de registros do LinkedIn que foram colocados à venda em abril. O LinkedIn afirmou ao ThreatPost que nenhuma violação de suas redes ocorreu desta vez. "Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes", diz o comunicado da empresa. "Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto".
  16. O Microsoft Threat Intelligence Center identificou atividades do agente de ameaças Nobelium em conta de um representante de suporte ao cliente. Segundo os pesquisadores, o ataque envolveu invasão de senha e ataques de força bruta a partir da implantação de um malware para roubo de informações. Depois disso, os atacantes usaram as informações para lançar ataques altamente direcionados como parte de uma campanha mais ampla. A Microsoft informa que a maioria dos alvos não foi comprometida com sucesso, mas todos os clientes comprometidos ou visados estão sendo contatados por meio de seu processo de notificação. "Esta atividade foi direcionada a clientes específicos, principalmente empresas de TI (57%), seguido pelo governo (20%), e porcentagens menores para organizações não governamentais e think tanks, bem como serviços financeiros", dizem os pesquisadores. Os alvos estão especialmente localizados nos EUA (45%), seguido por 10% no Reino Unido, e números menores da Alemanha e Canadá. Ao todo, 36 países foram visados, diz a Microsoft. "A investigação está em andamento, mas podemos confirmar que nossos agentes de suporte estão configurados com o conjunto mínimo de permissões necessárias como parte de nossa abordagem de “acesso menos privilegiado” Zero Trust [Modelo e Estrutura de Segurança de Confiança Zero da Microsoft]".
  17. Uma violação de uma pasta da Sony contendo números de identificação de série para cada console PlayStation 3 pode ter banido usuários da plataforma inexplicavelmente. Segundo o ThreatPost, a Sony supostamente deixou uma pasta sem segurança com cada ID de console PS3 online, que foi descoberta e relatada por um YouTuber espanhol em meados de abril. Várias semanas se passaram, e agora os jogadores nos fóruns da PlayStation Network estão reclamando que não conseguem fazer login e estão recebendo a mensagem de erro 8071006. O ThreatPost diz que aparentemente atacantes começaram a usar os IDs roubados do console PS3 para fins maliciosos, fazendo com que os jogadores legítimos fossem banidos. A Sony não respondeu ao pedido do ThreatPost para comentar ou confirmar se há uma relação entre a violação de ID do PS3 e os relatos de jogadores terem sido bloqueados da plataforma. Ainda assim, pesquisadores ressaltaram ao site de notícias a importância de todas as empresas terem controles de segurança mais robustos em tempo real, já que esse pode ser considerado um exemplo da falta de proteções de segurança adequadas e falta de visibilidade da própria empresa sobre seus dados confidenciais em tempo real.
  18. O Bitcoin era até então o método de pagamento de escolha para cibercriminosos, mas aparentemente outra criptomoeda está surgindo como preferência entre eles. Segundo o Ars Technica, o Bitcoin ainda deixa um rastro visível de transações em seu blockchain subjacente, enquanto o Monero foi projetado para obscurecer o remetente e o destinatário, bem como a quantia trocada. Isso resulta na escolha do Monero como uma ferramenta cada vez mais procurada por gangues de ransomware, diz o site. A ascensão do Monero ocorre em um momento em que as autoridades correm para reprimir o crime cibernético após uma série de ataques audaciosos, em especial o ocorrido na Colonial Pipeline. O Monero foi lançado como um projeto de código aberto em 2014 por um usuário de um fórum bitcoin com o pseudônimo thankful_for_today. Seu documento original argumentava que a rastreabilidade do bitcoin era uma "falha crítica", acrescentando que "privacidade e anonimato são os aspectos mais importantes do dinheiro eletrônico". Bryce Webster-Jacobsen, Diretor de Inteligência do GroupSense, grupo de segurança cibernética que ajudou um número crescente de vítimas a pagar resgates em Monero, afirmou ao Ars Technica que grupos de ransomware estão mudando especificamente para essa criptomoeda reconhecendo a capacidade de cometer erros com o uso de Bitcoins, que permitem que as transações de blockchain revelem sua identidade. O REvil, por exemplo, aparentemente removeu a opção de pagar em Bitcoin este ano, exigindo apenas Monero, de acordo com Brett Callow, Analista de Ameaças da Emsisoft. Enquanto isso, tanto o DarkSide, o grupo culpado pelo ataque à Colonial Pipeline, quanto o Babuk, outra gangue de cibercrime, permitem pagamentos em qualquer criptomoeda, mas cobram um prêmio de 10% a 20% das vítimas que pagam em Bitcoins mais arriscados, dizem os especialistas. A ausência de uma trilha digital para o Monero é problemática para a polícia, que normalmente trabalha com grupos analíticos de criptomoedas do setor privado para rastrear transações suspeitas no livro razão digital do Bitcoin.
  19. Quatro falhas de segurança separadas afetam cerca de 30 milhões de endpoints individuais da Dell em todo o mundo. Segundo o ThreatPost, as vulnerabilidades dariam aos invasores controle e persistência quase completos sobre os dispositivos visados. Os bugs de alta gravidade foram encontrados pelos pesquisadores da Eclypsium, e podem permitir que atacantes remotos obtenham execução arbitrária de código no ambiente de pré-inicialização dos dispositivos Dell. De acordo com uma análise da empresa de segurança, os bugs afetam 129 modelos de laptops, tablets e desktops, incluindo dispositivos corporativos e de consumo, protegidos pelo Secure Boot, padrão de segurança que visa garantir que um dispositivo seja inicializado usando apenas software confiável para o fabricante do equipamento original. As falhas permitem que adversários de rede privilegiados contornem as proteções de inicialização segura, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores, dizem os pesquisadores. Os problemas afetam o recurso BIOSConnect do Dell SupportAssist, uma solução de suporte técnico pré-instalada na maioria das máquinas Dell baseadas em Windows e utilizada para realizar recuperações remotas do sistema operacional ou para atualizar o firmware no dispositivo. O relatório da Eclypsium observou que as vulnerabilidades específicas permitem que um invasor explore remotamente o firmware UEFI de um host e obtenha controle sobre o código mais privilegiado do dispositivo. A primeira vulnerabilidade, CVE-2021-21571, é o início de uma cadeia que pode levar à execução arbitrária de código. As outras três vulnerabilidades distintas e independentes (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) ajudam os atacantes a obter a execução arbitrária de código no ambiente de pré-inicialização no dispositivo de destino, disseram os pesquisadores.
  20. Atuando na área de segurança há cerca de 10 anos, Fernando Pinheiro (@n3k00n3) possui uma trajetória admirável de alguém que começou a se interessar sozinho por hackear e a partir disso desenvolveu uma carreira que o levou ao cargo de pentester. Mas sua história tem outro fator ainda mais relevante. Se considerando uma pessoa não-binária, Fernando não se identifica com o gênero feminino ou masculino. Esse é um fato que, dentro de sua caminhada profissional, nunca passou a ser relevante ou participar do seu dia a dia. Mas na sua visão, existem poucas oportunidades de conversar sobre o tema na área por ser um ambiente predominantemente masculino e machista. Fernando conta que esse assunto ainda é considerado um tabu na profissão, apesar de nunca ter interferido na sua carreira, que iniciou em Salvador (BA), onde nasceu. Fernando sempre consumiu muito conteúdo da comunidade de segurança da informação, mas o que despertou isso não foi um desejo pela profissão em si. "Meu interesse na área começou logo depois de ver uns jogos na lan house. Tinha que pagar para poder jogar e eu não tinha dinheiro. Eu via meus amigos aumentando de level e eu não conseguia evoluir tanto quanto eles, uma vez que não conseguia pagar as horas. No início foi estranho, mas me deu esse start. Foi aí que eu achei uma vulnerabilidade no aplicativo de gerência da lan house e consegui administrar as horas de todas as pessoas, tendo hora o suficiente para jogar o dia todo", conta em entrevista ao Mente Binária. Depois de um tempo, o administrador da lan house descobriu e criou uma nova versão do aplicativo. Mas Fernando insistiu no hacking até ser expulso da lan house. "Eu já tinha visto em filmes, entendia a ideia dos hackers, mas meu objetivo não era ser hacker, era só jogar. Foi o início de tudo, que chamou minha atenção", diz. E foi mesmo a vontade de jogar que despertou mais a sua curiosidade sobre hacking. Em casa, Fernando pesquisava sobre computação para tentar melhorar seu próprio computador, e acabou encontrando blogs com bastante informação sobre o tema. "Comecei a estudar mais, buscar conhecimento sobre, por exemplo, como funcionavam as vulnerabilidades de aplicações web". Na época com aproximadamente 15 anos, Fernando lia revistas para entender a parte de sistemas operacionais, mas ainda assim não levava tão a sério a história de virar hacker. "Aprendi umas coisas básicas do sistema que ajudaram mais tarde. Meu pai foi um dos maiores apoiadores na época, trazia revistas com CD de computação ou com vários jogos e uma revista digital que ensinava algo. Isso me levou a estudar mais sobre computador em si. Meu pai gostava e me influenciou", destaca. "Só consegui emprego nesse setor quando fui morar em São Paulo" Carreira – Fernando não sabia que dava para trabalhar na área de segurança, mas tinha conhecimento sobre a atividade de programação ou no suporte. "Eu tinha de 19 para 20 anos quando descobri a área de pentest como profissão e que as pessoas pagavam para alguém encontrar falhas. Eu falava para meus amigos 'como assim estavam pagando por isso e a gente fazia de graça?'", lembra. Mesmo depois de descobrir que existia essa profissão, Fernando ainda passou por uma trajetória até virar pentester. "Eu trabalhei com suporte de Linux e como designer ligado à computação. Era legal enquanto não aparecia nada para trabalhar com segurança em si. Apesar de saber que existia a profissão e empresas que contratavam, parecia um mundo distante", diz Fernando, afirmando que em Salvador não tinha empresas na área, e que até hoje dificilmente se encontra uma empresa de segurança ofensiva na região. "Só consegui emprego nesse setor quando fui morar em São Paulo", conta. Mas enquanto ainda trabalhava com suporte de Linux, Fernando estudou e fez cursos sobre manutenção de computadores e redes. "Esse estágio foi em uma cooperativa de software livre, e foi onde eu me encontrei usando Linux, que era algo que eu gostava, pois era uma das base de segurança e estava no meio de uma comunidade ainda maior, com a filosofia hacker vivendo dentro desse ambiente", disse. Fernando ficou nessa empresa/cooperativa durante um pouco mais de 1 ano e depois conseguiu uma vaga como voluntário na Universidade Federal da Bahia (UFBA) para trabalhar como pentester. "Foi meu primeiro trabalho nessa área, mas não era só pentester, eram vários tipos de trabalho. Um deles era resposta a incidentes na automatização de tarefas. A Universidade era muito grande, não era o maior foco achar falha de segurança, mas esse foi o pontapé para a área", conta. Fernando participando do Nullbyte, encontro da comunidade hacker, em 2015 Experiência na área de segurança – Depois da Universidade, onde ficou por uns 6 meses, Fernando participou de um projeto de verão chamado Rails Girls Summer of Code. Lá, aprendeu a desenvolver a linguagem de programação chamada Ruby on Rails para ajudar na segurança da aplicação. "Esse projeto durou cerca de 3 meses, e aí fui para uma empresa de segurança defensiva para implementar soluções de segurança como firewall, antivírus e WAFs. Era o outro lado da moeda", conta. A partir dessa experiência, Fernando conseguiu ver como eram implementadas as soluções de segurança para impedir ataques e como esses ambientes eram gerenciados. "Isso chamou minha atenção sobre como explorar de forma melhor. Eu passei por vários clientes, principalmente de governo, e dava para entender como estavam as falhas e por que existiam. Isso me ajudou bastante a entender uma aplicação ou uma infraestrutura". Depois disso, Fernando foi para São Paulo trabalhar na Cipher, onde atua até hoje. No meio disso, ainda passou por uma empresa de consultoria. "Basicamente, meu dia a dia é encontrar falhas de segurança em aplicações web, aplicações mobile, API, e infraestrutura. Cada semana tem um projeto novo, com linguagens de programação diferentes e desenvolvidas por pessoas diferentes". Dá uma olhada nas publicações que Fernando faz com base em pesquisas que também realiza no tempo livre em seu Blog. Fernando esteve entre os finalistas do Hackaflag em 2014 Quebrando tabus – Fernando destaca que o fato de não se pronunciar muito sobre seu posicionamento de gênero dentro da comunidade LGBTQIA+ talvez seja um dos motivos que fizeram com que esse tema nunca tenha interferido em toda a sua trajetória. "Eu já vi algumas situações em que isso interferiu na vida de outras pessoas, como se isso fosse um demérito ou influenciasse na questão técnica de alguém. Isso é bem diferente do que a comunidade em si e a história do hacking diz", afirma. Citando o Manifesto Hacker, Fernando diz que o que importa é o conhecimento técnico, e não a identidade de gênero ou a sexualidade de alguém. "Isso não quer dizer nada para a comunidade, e sim seu conhecimento científico/técnico e como isso ajuda a comunidade. Esse manifesto fala sobre isso, mas em muitas situações eu vi o oposto", lamenta. Por ainda ser um tema delicado diante de um universo com a mentalidade mais fechada, Fernando não costuma levantar esse assunto com receio da reação da comunidade, de como as pessoas veriam e como isso afetaria sua vida profissional. Contudo, conta uma experiência em que pôde falar mais abertamente sobre o assunto em um hacker space – Raul Hacker Club – em Salvador, onde várias pessoas da área de hacking, TI e desenvolvimento falavam sobre a pauta. "Hacking é liberdade, é quebrar padrões" O verdadeiro hacking – Nas redes sociais, Fernando se classifica abertamente como não-binário, mas ainda assim acredita que falta um debate em si na área de segurança que aborde a comunidade LGBTQIA+. "Se pessoas da comunidade colocam isso em seus perfis, acho que chama atenção para um debate. E publicar sobre isso chama atenção para o assunto, já que são pessoas que estão na área há um tempo e isso não influencia em nada na vida profissional em termos de conteúdo técnico. Isso não deixou ninguém menos hacker, menos desenvolvedor", pontua. Fernando observa que nesse último ano houve uma mudança no cenário, e neste mês de junho, no qual é celebrado o Orgulho LGBTQIA+, o número de pessoas que publicaram sobre o assunto em suas redes aumentou. "Pessoas técnicas, que geralmente postam algo técnico, publicaram sobre o orgulho LGBTQIA+. Existem mais pessoas trans na área falando sobre isso e ajudando outras pessoas a entrarem na área", diz, citando ainda que houve uma recente visibilidade e reconhecimento de mulheres trans na comunidade hacker. Para Fernando, falar sobre o tema é se auto afirmar, lembrar que existe, e faz parte da filosofia dos hackers. "Hacking é liberdade, é quebrar padrões, é achar maneiras de subverter algo. Essas pessoas estão hackeando um padrão estabelecido há muito tempo. Somos hackers, por que não exercer isso na área de segurança? Por que não falar sobre o assunto?", questiona. Fernando incentiva a todos a abordarem esse assunto sem medo. "Seja seu melhor, independente de sua crença, de sua orientação. Falar sobre isso vai ser bom, e não influencia no seu quesito técnico. Falem sobre isso, hackeiem!". 🏳️‍🌈
  21. O Google está trabalhando para permitir que código Rust seja utilizado no kernel Linux, o que se trata de uma grande mudança tecnológica e cultural após décadas usando apenas a linguagem C. Para isso, a empresa financiará o projeto com o objetivo aumentar a segurança do sistema operacional, conforme publicou o CNet. A empresa já financia um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, também escrito em linguagem C, utilizando a linguagem chamada Rust. Agora, o projeto permite possível adicionar novos elementos escritos em Rust no coração do Linux, chamados de kernel, o que tornaria os sistemas operacionais Android e Chrome do Google mais seguros. Miguel Ojeda está sendo contratado para escrever software em Rust para o kernel Linux. O Google está pagando pelo contrato, que será estendido por meio do Internet Security Research Group. A melhor segurança para o Linux é uma boa notícia para todos, exceto para os atacantes. Além dos sistemas operacionais Android e Chrome, os serviços do Google, como YouTube e Gmail, contam com servidores que executam Linux. Ele também capacita a Amazon e o Facebook, e é um acessório nos serviços de computação em nuvem. Não está claro se os líderes do kernel do Linux irão acomodar o Rust. Segundo o CNet, Linus Torvalds, o fundador do Linux, disse que está aberto a mudanças se o Rust para Linux provar seu valor.
  22. Spammers estão colocando links não seguros dentro de imagens de perfil do Tinder. A tendência recente foi observada pelo BleepingComputer, com um número notável de perfis de namoro falsos inundando o aplicativo de namoro. Vários perfis de spam do Tinder revisados pelo BleepingComputer compartilham algumas características comuns. Por exemplo, quase todos tinham a imagem de uma pessoa seguida por outra mostrando um domínio NSFW (Not Safe for Work ou Não seguro para o trabalho) escrito à mão em um cartaz. Essa técnica abusa de imagens de perfil para colocar imagens de domínios escritos à mão dentro deles. A finalidade dos perfis é exclusivamente atrair os usuários para visitar links de spam – levando a sites de namoro de terceiros ou links não seguros. O que faz essa tendência continuar é que as imagens personalizadas contém versões manuscritas de links muito mais difíceis de detectar ou remover automaticamente em massa. Por isso, o BleepingComputer recomenda que os usuários de aplicativos de namoro evitem visitar links duvidosos e, idealmente, relatem perfis de spam para manter as comunidades de namoro online seguras para todos.
  23. A polícia ucraniana prendeu membros do grupo de ransomware conhecido como Cl0p, de acordo com um comunicado enviado à imprensa. A ação foi realizada em colaboração com a Interpol e agências de aplicação da lei da Coreia do Sul e dos Estados Unidos. Segundo reportagem da Vice, o Departamento de Polícia Cibernética da Polícia Nacional da Ucrânia disse que realizou 21 buscas nas casas dos supostos cibercriminosos e em seus carros em Kiev e nos arredores. Os policiais dizem ter confiscado 500 milhões de hryvnia ucraniana (cerca de US$ 180 mil), computadores e carros. Não está claro quantas pessoas foram presas e se as prisões atingiram os principais desenvolvedores e hackers por trás da gangue. A Vice apurou ainda que na manhã de quarta-feira, quando as prisões ocorreram, o site do Cl0p ainda estava online. A polícia cibernética da Ucrânia disse à Vice que identificou seis criminosos, mas não pode citar o nome das pessoas envolvidas e outros detalhes para não prejudicar a investigação. Nos últimos meses, o Cl0p atingiu dezenas de vítimas, criptografando seus arquivos e exigindo resgate. Mais recentemente, os cibercriminosos tentaram extorquir suas vítimas ameaçando vazar seus arquivos publicamente em seu site. Segundo a Vice, as vítimas incluem a gigante do petróleo Shell, a empresa de segurança Qualys, o banco norte-americano Flagstar, o escritório de advocacia global Jones Day, a Universidade de Stanford e a Universidade da Califórnia, entre outros. Os atacantes conseguiram hackear algumas dessas vítimas tirando proveito de uma falha no Accellion File Transfer Appliance (FTA), um serviço de compartilhamento de arquivos usado por diversas empresas mundialmente.
  24. Analistas da Avanan descobriram recentemente um vetor de exploração no Google Docs que está sendo utilizado por invasores para disseminar sites de phishing às vítimas. Segundo os pesquisadores, esse não é um tipo de ataque comum, mas é bastante simples de executar, principalmente porque o Google faz a maior parte do trabalho para os invasores. O ataque começa com um e-mail que inclui uma mensagem que pode ser relevante para usuários comerciais que costumam usar o Google Docs em seu ambiente corporativo. Se um usuário clicar no link, a página parecerá familiar para qualquer pessoa que use o Google Docs para compartilhar documentos fora da organização. Esta, no entanto, não é aquela página, e sim uma página HTML personalizada feita para se parecer com a familiar página de compartilhamento do Google Docs. Uma vez redirecionadas, as vítimas em potencial são solicitadas a “clicar aqui” para baixar o documento. Se um usuário clicar, a página redireciona para o site de phishing malicioso real, que rouba as credenciais da vítima usando outra página da web feita para se parecer com o portal de login do Google, mas que na verdade é hospedada a partir de um URL não afiliado ao Google. Ao hospedar ataques dessa forma, os invasores podem contornar os scanners de link e evitar a detecção de proteções de segurança comuns que visam verificar se os links enviados por e-mail são legítimos.
  25. Os operadores do SolarMarker estão usando envenenamento de Search Engine Optimization (SEO) para encher milhares de PDFs com dezenas de milhares de páginas cheias de palavras-chave e links que visam fazer redirecionamentos que levam ao malware. O SolarMarker é um malware de backdoor que rouba dados e credenciais dos navegadores. Segundo a Microsoft Security Intelligence, o ataque funciona usando documentos PDF projetados para classificação nos resultados da pesquisa. Para conseguir isso, os invasores preencheram esses documentos com mais de 10 páginas de palavras-chave em uma ampla variedade de tópicos, desde “formulário de seguro” e “aceitação de contrato” a “como ingressar no SQL” e “respostas matemáticas”. Os pesquisadores observaram que esses invasores usaram o Google Sites para hospedar esses documentos. Em campanhas recentes, os atacantes passaram a usar principalmente o Amazon Web Services e o Strikingly. Quando abertos, os PDFs solicitam que os usuários baixem um arquivo .doc ou uma versão .pdf das informações desejadas. Os usuários que clicam nos links são redirecionados por 5 a 7 sites com TLDs como .site, .tk e .ga. Os pesquisadores dizem ainda que após vários redirecionamentos, os usuários chegam a um site controlado pelo invasor, que imita o Google Drive, e são solicitados a baixar o arquivo, que normalmente é o malware SolarMarker/Jupyter. Também foram vistos arquivos aleatórios sendo baixados em uma tática de evasão de detecção/análise.
×
×
  • Create New...