Notícia
QuartaTec
Encontre as suas vulnerabilidades antes que outros o façam
Empresas como Facebook, Google, Apple e outras, oferecem quantias milionárias para quem conseguir encontrar falhas em seus sistemas. A prática é chamada de Bug Bounty, uma forma de reconhecer talentos e ajudar o mercado e a indústria a melhorar seus produtos.
No Brasil, a figura do hacker é vista como maliciosa, alguém que está fraudando bancos ou cartões de crédito. Existe esse tipo de perfil, mas o principal é entender que são habilidades que começam a se formar muito cedo, cuja principal motivação é a curiosidade. Quanto maior o desafio, melhor. Esses mesmos hackers podem ser aliados e ajudar a desenvolver sistemas e processos de segurança. "Precisamos começar a dar oportunidade e reconhecer a capacidade dessas pessoas. Mostrar que o "hacker ético" é uma forma de trabalho que pode ser bastante lucrativa e de realização pessoal. E não adianta ir contra, as empresas devem se adaptar e permitir que hackers reportem as falhas encontradas", avaliou o diretor de Operações da Flipside, a maior fabricante de soluções de segurança da América Latina, Igor Rincon.
Igor contou, em sua palestra na QuartaTec, que um dia estava "entediado" e resolveu comer de graça. Invadiu o aplicativo iFood e, da mesma forma, descobriu falhas de segurança no aplicativo 99Taxi, tendo a possibilidade de fazer corridas usando nome de outras pessoas e até de usuários corporativos. "Procurei as duas empresas e reportei as vulnerabilidades", comentou Igor, 
provando que a abertura de empresas para esse tipo de reporte valoriza essa cultura ética que defende.
David da Silva Polverari, major de Comunicações do Comando de Defesa Cibernética do Exército Brasileiro, também trouxe a sua visão sobre testes de invasão em empresas de governo, ou Pentest, o tema do dia da QuartaTec. A simulação é feita de forma controlada para encontrar e sanar vulnerabilidades, além de demonstrar o impacto nas informações sensíveis e sigilosas. "Encontre as suas vulnerabilidades antes que outros o façam", destaca o major.
Cooperação entre polícia e empresas
Representando a Polícia Federal (PF), Ivo Peixinho, trabalha no Serviço de Repressão a Crimes Cibernéticos da Diretoria de Investigação e Combate ao Crime Organizado e lida com crimes de alta tecnologia, como fraudes bancárias - pela internet e clonagem de cartões de crédito e débito, fraudes eletrônicas, crimes cibernéticos e pornografia infantil. Em sua palestra ilustrou grandes operações da PF que tiveram progressão nacional e ocasionaram grandes prejuízos a bancos, por exemplo. A mais recente, a operação Código Reverso, deflagrou a fraude bancária de ação sofisticada que trouxe prejuízo da ordem de R$ 10 milhões. Parece contraditório, mas o sistema bancário brasileiro é um dos mais seguros por ter um ambiente hostil, ocasionado pela evolução tecnológica e investimento no atendimento.
O agente da PF considera que o maior obstáculo de combate ao crime tanto no setor público, como no privado, é que as empresas têm dificuldade em admitir que houve a invasão. "A PF deve ser comunicada porque será a primeira a checar e analisar o ocorrido. A área de TI da empresa invadida deve estar preparada para preservar e coletar informações para subsidiar a investigação. É preciso vencer essa barreira e denunciar esses crimes", considera Ivo.
O anfitrião da QuartaTec que tratou de Testes de Invasão a Empresas, foi Tiago Iahn, responsável pela equipe de Segurança para Centro de Dados e Servidores e de Segurança Ofensiva do Serpro. A equipe realiza análises e melhorias de segurança, atualizações, correções e tratamento de incidentes de segurança da Informação. Também investe na descoberta e correção de falhas complexas no ambiente de tecnologia e infraestrutura. O artigo de sua autoria ilustra a metodologia utilizada na avaliação de segurança de sistemas da empresa.
TV Serpro: assista à cobertura do último dia
Evento para quem curte inovação
QuartaTec é um ciclo de palestras realizado pela Universidade Corporativa do Serpro para ampliar o conhecimento dos profissionais de TI, a respeito dos conceitos de tecnologias emergentes e fomentar a academia, reforçando a visão da empresa como referência em tecnologia de ponta. O evento foi realizado durante o mês de março em todas as quartas-feiras. Essa edição tratou de temas como Experiência do Usuário (UX), Fake news e Testes de Invasão.