CI/CD = Continuous Integration and Continuous Delivery/Deployment (Integração Contínua e Entrega/Implantação Contínua)

https://youtu.be/7lA_uhLkG2s

DevSecOps

 

https://youtu.be/0Xuiq0UQOzw

Resumo das Perguntas e Respostas sobre DevOps e DevSecOps

As perguntas e respostas anteriores abordaram conceitos fundamentais sobre DevOps e DevSecOps. Vamos resumir tudo em um único texto:

O que é DevOps?

DevOps é uma metodologia que busca integrar as equipes de desenvolvimento (Dev) e operações (Ops) de uma organização. O objetivo é acelerar o desenvolvimento de software, aumentar a frequência de lançamentos e melhorar a qualidade dos produtos.

Qual a diferença entre DevOps e DevSecOps?

A principal diferença é a inclusão da segurança (Sec) no processo. Enquanto o DevOps foca em colaboração e automação, o DevSecOps adiciona a segurança como uma prioridade em todas as etapas do ciclo de vida do desenvolvimento de software.

Perguntas e Respostas:

1. Uma empresa de software está fazendo a transição de um framework DevOps para um framework DevSecOps. Qual processo essa mudança pode incluir?

   • Resposta: A principal mudança envolve a realização de testes de segurança automáticos em todas as etapas do desenvolvimento de software. Isso garante que a segurança seja integrada desde o início do processo e não apenas no final.

2. Qual é o termo para uma cultura que consiste em diretrizes, melhores práticas e ferramentas que as equipes de segurança em nuvem podem usar para colaborar?

   • Resposta: DevSecOps é o termo que engloba essa cultura de colaboração entre desenvolvimento, segurança e operações.

3. Na metade dos anos 2000, o framework DevOps foi desenvolvido. Quais dois benefícios esse framework proporcionou?

   • Resposta: O DevOps melhorou a colaboração entre desenvolvedores e operações, além de permitir o monitoramento e testes contínuos das aplicações de software.

4. Por que um loop infinito é uma ilustração útil para o ciclo de vida do DevSecOps?

   • Resposta: O loop infinito representa a natureza contínua do DevSecOps. Software é continuamente monitorado, testado e lançado, com a segurança integrada em cada etapa do processo.

Em resumo:

• DevOps foca em colaboração e automação.
• DevSecOps adiciona a segurança como uma prioridade em todas as etapas do desenvolvimento.
• A transição para DevSecOps envolve a integração de testes de segurança automáticos em todo o ciclo de vida.
• O loop infinito representa a natureza contínua do DevSecOps.

O objetivo do DevSecOps é garantir que a segurança seja uma parte integral do processo de desenvolvimento de software, desde o início até o fim.

Plataformas LMS Open and Free

 LMS: Learning Management Systems

• Moodle (PHP 8.1 até o momento desta postagem)
• Open Edx (Usa Python 3.11 até o momento)
• ILIAS (PHP 8.2 até o momento desta postagem)
• Chamilo (parece que parou no tempo... PHP 7.4?)

*PHP está na versão 8.4.1.

*Python está na versão 3.13.

Interessante também:

• Odoo (Python)
• Payhip
• Systeme.io

Como funciona a computação quântica?

O que é computação quântica?

Os computadores quânticos usam partículas subatômicas como elétrons e fótons como a unidade básica de informação para fazer cálculos. Os computadores quânticos não são a próxima geração de supercomputadores; pela primeira vez na história, temos duas maneiras totalmente diferentes de computação: nossos atuais computadores/supercomputadores clássicos e os novos computadores quânticos. Os computadores quânticos são programáveis ​​e podem resolver alguns problemas muitas vezes mais rápido do que os supercomputadores mais poderosos. O poder vem do fato de que a unidade básica de informação em um computador quântico, o qubit, pode ser colocado em um estado de superposição onde pode existir em mais de um estado distinto (0 e 1). Outra propriedade poderosa do qubit é o emaranhamento, pelo qual o prêmio Nobel de Física de 2022 foi concedido. O emaranhamento permite que vários qubits sejam vinculados para que o que acontece com um determine o que acontece com os outros. Isso significa que os cálculos entre qubits emaranhados podem acontecer quase instantaneamente. Quanto mais bits emaranhados, mais cálculos podem ser feitos. Além disso, os sistemas quânticos não são apenas computadores mais rápidos. Eles também resolvem, ou mostram, uma probabilidade de uma resposta de uma maneira única.

Líderes técnicos podem se perguntar como podem aproveitar ou utilizar esse poder computacional mais rápido e diferente, que provavelmente mudará a tecnologia e até mesmo a sociedade tanto ou mais do que o semicondutor.

Como funciona a computação quântica?

Assim como suas contrapartes clássicas, os computadores quânticos são programáveis. Eles usam as mesmas linguagens de programação que os computadores clássicos; várias linguagens quânticas são bibliotecas ou extensões do Python, mesmo que os principais componentes, como cache ou memória, de um computador clássico não tenham sido criados para sistemas quânticos.

Os computadores quânticos são fundamentalmente diferentes na maneira como computam. Eles usam propriedades mecânicas quânticas para fazer algumas classes de tarefas muito mais rápido do que o que pode ser feito com computadores normais. O mundo quântico (partículas subatômicas) opera em leis muito diferentes e essas partículas se comportam de forma muito diferente do que vemos em nosso mundo. A computação quântica usa partículas subatômicas, como elétrons ou fótons. Bits quânticos, ou qubits, podem existir em um estado de superposição, onde podem estar em mais de um estado (ou seja, 1 e 0) ao mesmo tempo. Além disso, esses qubits podem ser emaranhados para que entrem em uma correlação quântica onde o ato de medir um determina o resultado da medição do outro.

Discutiremos brevemente essas propriedades aqui.

Superposição

A mecânica quântica prevê que um computador com n qubits pode existir em uma superposição de todos os 2^n de seus estados lógicos distintos. O que significa que com 3 qubits, todos os 2^3 estados (000, 001, 101, 100, 010, 110, 011, 111) são simultaneamente possíveis; similarmente, isso é válido para 4, 5, ….., n.

Enredamento

No artigo Can Quantum-Mechanical Description of Physical Reality Be Considered Complete? (1935), Einstein argumentou que a mecânica quântica não poderia explicar sua própria previsão de entrelaçamento. Portanto, a mecânica quântica era uma teoria incompleta de acordo com ele. Mas ao longo das décadas, vários cientistas provaram que o entrelaçamento é de fato possível. Em 2022, o Prêmio Nobel de Física foi concedido a Alain Aspect, John Clauser e Anton Zeilinger, que demonstraram o emaranhamento e até controlaram as partículas que estão em estados emaranhados, abrindo caminho para uma nova era de tecnologias quânticas.

Sob as condições certas, os qubits podem ser emaranhados, onde as propriedades das partículas são relacionadas mesmo se as partículas estiverem separadas, mesmo por grandes distâncias. Medir um decide instantaneamente o estado do outro, ambos os quais deixam seu provável estado quântico imediatamente após o outro ser medido. Esta propriedade não pode ser simulada em computadores clássicos. Algoritmos quânticos exploram esta propriedade para obter aceleração em vários problemas.

Pesquisa e desenvolvimento intensos estão em andamento para utilizar as propriedades especiais de sistemas de partículas individuais para construir computadores quânticos. Hoje, os computadores quânticos estão disponíveis na nuvem de várias empresas, e vários setores os estão utilizando para explorar a solução de problemas de negócios.

Os avanços algorítmicos têm andado de mãos dadas com o progresso em hardware e software quânticos. Listaremos alguns dos principais marcos abaixo. Mas antes disso, vamos discutir brevemente como os computadores quânticos funcionam. Cientistas têm desenvolvido algoritmos quânticos nas últimas quatro décadas. Esses são algoritmos que exploram propriedades mecânicas quânticas como superposição e emaranhamento para resolver problemas. Esses algoritmos são então implementados na forma de circuitos quânticos, que são escritos usando linguagens de nível superior, geralmente usando bibliotecas Python. Esses programas manipulam os qubits usando pulsos de micro-ondas e fazem medições nos qubits para obter as respostas desejadas. 

Fonte: https://trainingportal.linuxfoundation.org/learn/course/quantum-computing-essentials-for-senior-leaders-lfq102

Alguns sites de notícias sobre CyberSecurity

 Sites de noticias de Cyber Security

• Bleeping Computer - https://www.bleepingcomputer.com/
• Malwarebytes Blog - https://www.malwarebytes.com/blog
• IT Security Guru - https://www.itsecurityguru.org/
• Security Weekly - https://www.scworld.com/security-weekly
• The Hacker News - https://thehackernews.com/
• Infosecurity Magazine - https://www.infosecurity-magazine.com/
• CSO Online - https://www.csoonline.com/
• The State of Security - Tripwire - https://www.tripwire.com/state-of-security
• The Last Watchdog - https://www.lastwatchdog.com/
• Naked Security - https://news.sophos.com/en-us/category/serious-security/
• Graham Cluley - https://grahamcluley.com/
• Cyber Magazine - https://cybermagazine.com/

AI Privacy

 

Why do you need to take privacy into consideration?

There are several reasons:

This includes not only respecting the legal and regulatory requirements, but also considering social norms and typical individual expectations. A sensitive attribute is a human attribute that may be given special consideration for legal, ethical, social, or personal reasons.

This includes, but is not limited to: 

1. personal identifiable information such as full names, date of birth, address and phone number, 
2. social data such as ethnicity, religion, sexual orientation, and political affiliation, 
3. financial data such as credit card numbers, income, and tax records, 
4. health and medical data such as diagnosis, prescriptions, and genetic data, 
5. geolocation data such as tracking data from mobile devices, 
6. biometric data such as facial recognition, voice, and fingerprints,
7. user authentication data such as usernames, passwords, security questions and answers.
8. Legal data, including intellectual property and trade secrets.

Engenharia Social

Princípios da engenharia social Os princípios da engenharia social são fundamentais para entender como essa abordagem de manipulação psicológica opera. Eles são os alicerces sobre os quais os engenheiros sociais baseiam suas táticas para obter informações confidenciais ou influenciar o comportamento das pessoas. Ao reconhecer quando essas técnicas estão sendo usadas, as pessoas podem tomar medidas para verificar a autenticidade das solicitações e proteger suas informações confidenciais. Aqui estão os principais princípios da engenharia social:

1. Autoridade (authority) e intimidação: os engenheiros sociais frequentemente invocam a autoridade para persuadir as vítimas a cumprirem com suas solicitações. Isso pode incluir alegar ser um executivo de alto nível, um representante governamental, um especialista em segurança cibernética ou qualquer outra figura de autoridade.
2. Scarcity (escassez): esse princípio explora a psicologia da escassez, onde os engenheiros sociais apresentam informações ou oportunidades como algo raro ou limitado. Isso pode induzir as vítimas a agirem rapidamente sem pensar adequadamente.
3. Urgência (urgency): criar um senso de urgência é outra tática comum. Os engenheiros sociais pressionam as vítimas a agirem rapidamente, alegando que há uma ameaça iminente ou uma oportunidade que não pode ser perdida.
4. Familiaridade/gosto (liking): esse princípio se baseia na ideia de que as pessoas têm maior probabilidade de confiar e cooperar com indivíduos que lhes são familiares ou que têm características pessoais que lhes agradam. Os engenheiros sociais exploram isso criando uma conexão pessoal ou demonstrando afinidades com as vítimas. Por exemplo, eles podem se fazer passar por alguém com gostos semelhantes ou criar uma relação de amizade falsa para ganhar a confiança da vítima.
5. Consenso/prova social (social proof): esse princípio explora o comportamento humano de seguir a multidão. As pessoas tendem a tomar decisões com base no que veem os outros fazendo. Os engenheiros sociais usam esse princípio para persuadir as vítimas, fornecendo provas de que outros estão tomando a mesma ação. Isso cria uma pressão social para que a vítima siga o exemplo. Por exemplo, um atacante pode alegar que muitas outras pessoas já forneceram suas informações ou realizaram a ação solicitada.

Técnicas de engenharia social

1. Personificação (impersonation): essa técnica envolve a capacidade de se fazer passar por alguém ou algo que você não é. Isso pode incluir fazer-se passar por um funcionário de uma empresa, um colega de trabalho, um amigo ou qualquer outra identidade confiável. A personificação é usada para ganhar a confiança da vítima, o que torna mais provável que ela divulgue informações confidenciais ou cumpra solicitações.
2. Confiabilidade (trust): a confiança é essencial na engenharia social. Os engenheiros sociais trabalham para construir uma relação de confiança com suas vítimas, muitas vezes construindo relacionamentos falsos ou fornecendo informações falsas com um ar de autenticidade. Quando as vítimas confiam no atacante, elas são mais propensas a cumprir suas solicitações.
3. Mergulho em lixeiras (dumpster diving) e utilização não autorizada (unauthorized access): esse princípio se concentra na obtenção de informações a partir de fontes físicas, como lixeiras, contêineres de reciclagem ou documentos impressos deixados sem proteção. Além disso, envolve o acesso não autorizado a instalações físicas ou sistemas de computador para obter informações valiosas.
4. Engenharia social online (online social engineering): embora as técnicas mencionadas acima se apliquem principalmente a interações pessoais, a engenharia social também se estende ao mundo online. Isso pode envolver a criação de perfis falsos em mídias sociais, o envio de e-mails de phishing ou a criação de sites falsos para enganar as pessoas.

Campanhas de influência Campanha de influência é mais uma tática de engenharia social que se concentra em influenciar as opiniões, atitudes e ações das pessoas por meio de campanhas de desinformação, manipulação emocional, propaganda enganosa ou outros métodos destinados a alcançar um determinado objetivo. Essas campanhas podem ser usadas para influenciar a opinião pública, moldar percepções, promover agendas políticas, econômicas ou sociais e, em alguns casos, até mesmo incitar ações específicas. Proteger-se contra a influência de campanhas maliciosas significa que as pessoas devem desenvolver um senso crítico, verificar as fontes de informações e estar cientes das táticas de manipulação usadas nessas campanhas. A educação em literacia midiática e a conscientização sobre desinformação são ferramentas importantes para identificar e combater essas influências. A seguir, veremos o modo de operação da campanha de influência que pode variar amplamente, mas de modo geral, envolve os seguintes elementos:

1. Identificação de alvos: os operadores por trás da campanha identificam grupos-alvo ou indivíduos específicos que desejam influenciar. Isso pode ser baseado em fatores demográficos, psicográficos, geográficos ou outros critérios.
2. Desenvolvimento de narrativa: uma narrativa é criada para transmitir uma mensagem específica. Isso pode incluir informações falsas, propaganda, teorias da conspiração, apelos emocionais ou outros elementos destinados a persuadir o público-alvo.
3. Distribuição de conteúdo: a narrativa é distribuída por meio de uma variedade de canais, incluindo mídias sociais, sites de notícias falsas, blogs, redes de mensagens, anúncios pagos e outros meios de comunicação. A disseminação muitas vezes é mascarada como conteúdo legítimo.
4. Amplificação: os operadores podem usar robôs (bots) ou contas falsas nas mídias sociais para amplificar o alcance da campanha. Isso cria a ilusão de apoio popular à narrativa.
5. Engajamento: os operadores buscam envolver o público-alvo, incentivando discussões, compartilhamentos, comentários e ações específicas que estejam alinhadas com os objetivos da campanha.
6. Monitoramento e adaptação: durante a execução da campanha, os operadores monitoram o progresso e ajustam suas táticas conforme necessário. Isso pode envolver a criação de novos conteúdos, segmentação mais precisa ou adaptações à narrativa.
7. Avaliação do Sucesso: a campanha é avaliada com base em métricas específicas, como o alcance da mensagem, o engajamento do público-alvo e a eficácia na influência das opiniões e ações desejadas.

Superfície de Ataque e Vetores de ataque

Vetor de Ataque vs. Superfície de Ataque: Uma Explicação Detalhada

Vetor de Ataque e Superfície de Ataque são dois termos frequentemente utilizados no contexto da segurança cibernética, mas que possuem significados distintos. Embora estejam relacionados, compreendê-los separadamente é fundamental para uma defesa eficaz contra ameaças.

Vetor de Ataque

Imagine um vetor de ataque como um caminho ou rota que um atacante utiliza para alcançar seu objetivo. É o método específico que um invasor escolhe para explorar uma vulnerabilidade e penetrar em um sistema.

Exemplos de vetores de ataque:

• Engenharia Social: Explorar a confiança humana para obter informações confidenciais.
• Phishing: Enviar e-mails fraudulentos para induzir o usuário a clicar em links maliciosos ou fornecer dados sensíveis.
• Exploits: Explorar vulnerabilidades em software ou sistemas operacionais.
• Malware: Infectar sistemas com software malicioso.
• Acesso remoto: Explorar serviços de acesso remoto configurados de forma insegura.

Superfície de Ataque

A superfície de ataque, por sua vez, é a soma de todos os pontos de entrada potenciais que um atacante pode utilizar para acessar um sistema. É a área total que um invasor pode explorar.

Em outras palavras, a superfície de ataque é o conjunto de todos os possíveis vetores de ataque.

Exemplos de componentes da superfície de ataque:

• Sistemas operacionais: Vulnerabilidades em sistemas operacionais.
• Aplicativos: Vulnerabilidades em softwares.
• Dispositivos de rede: Routers, switches, firewalls.
• Serviços em nuvem: Vulnerabilidades em serviços cloud.
• Interfaces de programação de aplicativos (APIs): Vulnerabilidades em APIs.

Para ilustrar: Imagine um castelo. As paredes, portões, janelas e telhado são todos parte da superfície de ataque. Um vetor de ataque seria uma porta mal fechada, uma janela aberta ou uma senha fraca.

Qual a diferença entre eles?

• Vetor de Ataque: É o caminho específico utilizado.
• Superfície de Ataque: É a área total que pode ser explorada.

Um vetor de ataque é um subconjunto da superfície de ataque.

Por que entender a diferença é importante?

Ao compreender a diferença entre vetor de ataque e superfície de ataque, as organizações podem:

• Identificar e mitigar vulnerabilidades: Ao mapear a superfície de ataque, é possível identificar pontos fracos e tomar medidas para reduzi-los.
• Priorizar medidas de segurança: Ao entender os vetores de ataque mais comuns, as organizações podem alocar recursos para proteger os pontos mais críticos.
• Responder a incidentes de forma mais eficaz: Ao identificar o vetor de ataque utilizado, é possível tomar medidas para conter o incidente e prevenir que ocorra novamente.

Em resumo:

• A superfície de ataque é a área total que um atacante pode explorar.
• O vetor de ataque é o caminho específico utilizado pelo atacante.
• Ao reduzir a superfície de ataque e proteger os vetores de ataque mais críticos, as organizações podem fortalecer significativamente sua segurança cibernética.

Categorias de Vetores de Ataque e Seus Exemplos

Os vetores de ataque são as vias pelas quais um invasor pode entrar em um sistema e causar danos. Eles podem ser classificados de diversas formas, mas algumas das categorias mais comuns incluem:

1. Vetores de Ataque de Rede

• Exploração de Vulnerabilidades:
  • SQL Injection: Injeção de código SQL malicioso em formulários da web para manipular bancos de dados.
  • Cross-site Scripting (XSS): Injeção de scripts maliciosos em páginas web para roubar informações ou redirecionar usuários.
  • Remote Code Execution (RCE): Execução de código arbitrário em um servidor remoto.
• Ataques de Negação de Serviço (DoS/DDoS): Sobrecarregar um sistema ou rede para torná-lo indisponível.
• Ataques de força bruta: Tentativas repetidas de adivinhar senhas.

2. Vetores de Ataque de Software

• Malware:
  • Vírus: Códigos maliciosos que se propagam infectando outros arquivos.
  • Worms: Códigos maliciosos que se replicam autonomamente em uma rede.
  • Trojans: Programas que se disfarçam de aplicativos legítimos para executar ações maliciosas.
  • Ransomware: Sequestra dados e exige pagamento para liberá-los.
• Backdoors: Acesso não autorizado a um sistema.

3. Vetores de Ataque de Engenharia Social

• Phishing: Enganar usuários para que forneçam informações confidenciais através de e-mails, mensagens ou sites falsos.
• Pretexting: Criar um cenário falso para obter informações confidenciais.
• Baiting: Oferecer algo de valor em troca de informações confidenciais.

4. Vetores de Ataque de Dispositivos Físicos

• Ataques a dispositivos IoT: Explorar vulnerabilidades em dispositivos conectados à internet.
• Ataques a dispositivos móveis: Infectar smartphones e tablets com malware.
• Ataques a dispositivos USB: Introduzir malware através de dispositivos USB infectados.

5. Vetores de Ataque de Erro Humano

• Erros de configuração: Configurar sistemas de forma incorreta, expondo-os a riscos.
• Uso de senhas fracas: Utilizar senhas fáceis de adivinhar.
• Falta de treinamento em segurança: Desconhecimento dos funcionários sobre práticas de segurança.

É importante ressaltar que um único ataque pode envolver múltiplos vetores. Por exemplo, um ataque de phishing (engenharia social) pode levar à execução de um malware (software) que explora uma vulnerabilidade em um sistema (rede).

Para se proteger de forma eficaz, é fundamental:

• Manter softwares e sistemas atualizados: Corrigir vulnerabilidades conhecidas.
• Utilizar senhas fortes e únicas: Proteger suas contas.
• Ser cauteloso com e-mails e links suspeitos: Evitar clicar em links desconhecidos.
• Implementar soluções de segurança: Firewalls, antivírus, IDS/IPS, etc.
• Realizar treinamentos de conscientização: Educar os usuários sobre as melhores práticas de segurança.

Ao entender as diferentes categorias de vetores de ataque e suas implicações, as organizações podem implementar medidas de segurança mais eficazes e reduzir o risco de incidentes cibernéticos.