Fabio Sobiecki

Neste vídeo, destaco a importância de evitar discutir projetos que envolvam chaves de criptografia fora do ambiente de trabalho, pois isso pode expor informações sensíveis e atrair ameaças. Além disso, é crucial não compartilhar detalhes sobre as estratégias de proteção das chaves, pois a confidencialidade é fundamental para a segurança. O uso prolongado da mesma chave de criptografia também é desaconselhado, sendo recomendável trocar de carteira a cada poucos anos para garantir uma camada extra de segurança. No universo das criptomoedas, a segurança das carteiras de bitcoins é uma prioridade. Evitar discussões sobre projetos relacionados a chaves de criptografia fora do ambiente de trabalho é fundamental, uma vez que a exposição dessas informações pode atrair ameaças tanto para indivíduos quanto para empresas. Manter a confidencialidade das estratégias de proteção das chaves também é crucial, pois a divulgação desses detalhes pode comprometer a segurança. Outro ponto importante é evitar a utilização prolongada da mesma chave de criptografia. Carteiras de bitcoins devem ser renovadas a cada poucos anos para garantir a proteção contínua dos ativos. Isso se deve ao avanço constante da tecnologia, que pode eventualmente tornar as chaves vulneráveis. A recomendação é trocar de carteira a cada 4 a 8 anos, mantendo os bitcoins seguros e protegidos contra possíveis ameaças.

Neste vídeo sobre segurança de informações relacionadas ao Bitcoin, exploramos a semelhança entre a gestão de chaves de Bitcoin e as práticas de segurança de informações em empresas. Fabio Sobiecki destaca a importância de gerenciar chaves privadas e públicas, comparando o uso de cofres de segredos na segurança da informação empresarial com a prática de armazenar chaves de criptografia. O vídeo aborda a utilização comum de chaves privadas em servidores Linux, exemplificando casos de acesso remoto via SSH. Além disso, são mencionados serviços de cofres de segredos na nuvem, destacando a automação e a possibilidade de acionar segredos através de comandos ou APIs. No universo da segurança de informações, a gestão de chaves desempenha um papel crucial, não apenas no contexto do Bitcoin, mas também nas práticas empresariais. Assim como os usuários de Bitcoin gerenciam suas chaves privadas e públicas, as empresas utilizam cofres de segredos para armazenar senhas e chaves de criptografia. O texto explora como os administradores de servidores Linux recorrem a chaves privadas para autenticação remota, destacando a conveniência em comparação com o uso de senhas. Além disso, o autor faz uma analogia com serviços de cofres de segredos na nuvem, evidenciando a possibilidade de automação e acionamento de segredos.

Neste vídeo, abordaremos o uso de carteiras multisig (multisignature) no contexto empresarial e como essa abordagem pode ser implementada para garantir a segurança das transações de criptomoedas. A multisig permite que múltiplos usuários assinem uma transação, proporcionando uma camada adicional de segurança. Exploraremos como configurar uma carteira multisig, determinando o número mínimo de assinaturas necessárias para validar uma transação. Além disso, discutiremos a gestão de chaves privadas e a resolução de questões relacionadas a demissões ou mudanças na equipe. Empresas frequentemente enfrentam o desafio de garantir que as transações de criptomoedas sejam seguras e exijam a validação de mais de uma pessoa. A solução para isso é a utilização de carteiras multisig. Essas carteiras requerem a assinatura de múltiplos proprietários para validar uma transação na rede Bitcoin. Na configuração da carteira, determinamos o número mínimo de assinaturas necessárias, proporcionando flexibilidade para empresas com diferentes estruturas organizacionais. Ao criar uma carteira multisig, cada usuário gera sua própria chave privada, e as chaves são combinadas para formar a carteira. Pode-se configurar o número mínimo de assinaturas, proporcionando controle sobre a segurança da transação. Por exemplo, se uma empresa possui três diretores e deseja que pelo menos dois assinem as transações, essa configuração é facilmente alcançada com uma carteira multisig. Gerenciar as chaves privadas torna-se crucial, especialmente em casos de demissões ou mudanças na equipe. Se um usuário é removido da equipe, é necessário gerar uma nova carteira multisig, transferindo os fundos da carteira antiga para a nova. Esse processo garante que a segurança seja mantida, pois as chaves antigas são destruídas, e a equipe mantém o controle sobre a carteira. Além disso, discutimos a possibilidade de uma pessoa física utilizar uma carteira multisig para aumentar a segurança. Nesse cenário, o indivíduo pode exigir múltiplas assinaturas, como a combinação da chave do PC pessoal com a chave de uma hard wallet. Isso adiciona uma camada extra de segurança, mesmo para usuários individuais.

Para saber como proteger uma carteira de criptomoeda ou como proteger transações e ativos de criptomoedas em empresas, você precisa entender antes alguns conceitos como o Blockchain, que é a estrutura de moedas digitais.

No universo das transações financeiras digitais, especialmente no contexto das criptomoedas, a segurança é uma prioridade inegociável. Cada vez que alguém envia dinheiro, é necessário criar uma assinatura digital. Como explicado anteriormente, essa assinatura digital envolve a geração de um hash, uma espécie de resumo do texto da transação. O remetente utiliza sua chave privada para assinar esse hash, e o destinatário pode verificar a autenticidade da transação usando a chave pública do remetente. Esse processo, amplamente utilizado no universo das criptomoedas, garante a integridade e a autenticidade das transações. Além disso, a segurança durante a assinatura digital é um ponto crítico. Para isso, muitas pessoas optam por utilizar carteiras de criptomoedas hardware, conhecidas como "hard wallets". Diferente de realizar a assinatura digital em um computador conectado à internet, as hard wallets executam esse processo em um ambiente isolado, garantindo um nível superior de segurança. Esse é um passo crucial, especialmente para indivíduos e empresas que lidam com grandes valores ou ativos significativos.

Neste vídeo, abordaremos a importância da segurança ao lidar com carteiras de criptomoedas, tanto para indivíduos quanto para empresas. O sistema Bitcoin, baseado em blockchain, possui sua própria segurança, mas a responsabilidade recai sobre os usuários para garantir a proteção de suas carteiras e, principalmente, de suas chaves privadas e sementes. Exploraremos o método BIP-39, que permite gerar uma semente composta por 12 a 24 palavras convertidas em uma chave privada e pública, essenciais para transações. A ênfase será na necessidade de manter essas informações de forma sigilosa para evitar acessos não autorizados. A segurança no universo das criptomoedas é uma preocupação crucial para indivíduos e empresas que lidam com carteiras de Bitcoin. Embora o sistema em si seja robusto, é responsabilidade dos usuários assegurar suas chaves privadas e sementes. O método BIP-39 é destacado, permitindo a geração de uma semente por meio de palavras específicas, essenciais para criar as chaves privada e pública. A proteção dessas informações torna-se vital, pois, se comprometidas, podem resultar na perda de fundos. A semente e a chave privada são os elementos mais sensíveis. A semente, composta por palavras específicas, é convertida matematicamente para gerar as chaves e endereços da carteira. A chave privada, em particular, deve ser guardada com extrema cautela, pois seu acesso permite a realização de transações. Estratégias como o uso de hardware dedicado, conhecido como cod wallet, são recomendadas para garantir um nível mais elevado de segurança. Isso impede que a chave privada seja exposta enquanto a carteira está online, reduzindo os riscos de roubo. Outras práticas de segurança incluem a não recomendação de armazenar a chave privada em softwares de senhas, devido ao risco de acesso não autorizado. Usuários mais cautelosos optam por gravar as palavras da semente em placas de metal, distribuindo-as em locais seguros, proporcionando uma camada adicional de proteção contra roubo. A ênfase na segurança torna-se ainda mais evidente para empresas que guardam grandes volumes de criptomoedas, exigindo medidas rigorosas para garantir a integridade de suas carteiras.

Neste corte, Fabio Sobiecki vai lhe dar 4 passos para você começar hoje mesmo a planejar e implementar autenticações passwordless em seu ambiente de tecnologia.

Basedao em sua própria experiência, implementando projetos de passwordless, Fabio Sobiecki nos fala de recomendações que você deve ter em mente ao iniciar um projeto de passwordless em sua empresa.

Ao longo do projeto, coisas podem sair erradas ou não planejadas. Por isso é importante você já acompanhar como foram projetos em outras empresas e verificar as lições aprendidadas. Fabio Sobiecki nos fala de alguns pontos que você pode evitar em seu projeto.

Como profissional de segurança da informação, você deve estipular que seus usuários tenham um certo padrão de senha, que nós chamamos de política de senhas. Mas como saber que seus usuários estão seguindo o padrão, se em alguns sistemas não é possível forçar. Nestes casos, você pode usar um software de quebra de senhas, para testar seus próprios sistemas com força bruta e dicionários de senha. E por isso, você precisa conhecer estes aplicativos de testes.

Um dos ataques mais comuns em senhas são os ataques de força bruta e dicionários de senhas. Neste corte, Fabio Sobiecki explica o que são estes ataques e como os atacantes utilizam para terem acesso a conteúdos privados. Estes não são os únicos ataques sobre senhas, ainda há outros menos comuns mas é bom que você, profissional de segurança entenda estes dois.

Por que eliminar as senhas do seu processo de autenticação? Aqui neste corte temos alguns exemplos dos riscos da autenticação com usuário e senhas. Se você entende os motivos pelo qual a senha é perigosa, conseguirá convencer melhor, os seus colegas de trabalho e seus chefes, para que converta sua autenticação para algo mais seguro.

Como profissional de segurança da informação, você estará encarregado de colocar dentre os diversos métodos de autenticação, o que melhor se aplica à sua empresa. Existe um outro fator que você deve levar em conta, é que cada método de autenticação tem seu motivo de existir, ou melhor aplicação. Usar um método errado ou complexo em um ambiente, pode gerar insegurança ao invés da proteção que você espera.

Neste tipo de ataque, o ofensor tem acesso a procedimentos das companias telefônicas e consegue transferir uma linha da vítima para um novo SIM card (chip). Com isso, a autenticação feita via OTP por SMS, é redirecionada para o aparelho telefônica do atacante, oferencendo riscos à empresa.

Dentre os métodos de autenticação que temos para substituir a senha, estão vários a nossa mão, mas estes aqui merecem um destaque por que são muito utilizados. Lembrem-se que cada método tem sua utilidade e não devemos escolher muitos ou qualquer um.

É interessante você conhecer as categorias de fatores de autenticação, para melhor distribuir entre seus usuários. Uma boa estratégia de múltiplo fator de autenticação é um mix entre as categorias de autenticação.

O que de fato é passwordless ou seria password less? Muitos fornecedores e consultorias distorcem um pouco o conceito. Não estou aqui para pregar verdades, mas para trazer mais confusão ao tema. Então descubra o que é passwordless de verdade.

Neste corte Fabio Sobiecki resume em 5 passos o que você precisa para planejar e começar sua carreira como profissional em forense computacional. Obviamente não é um guia definitivo, mas um resumo rápido de como você pode começar hoje mesmo.

Se você já se decidiu por seguir uma carreira como profissional de forense computacional, neste corte, Fabio Sobiecki dá algumas dicas de como você pode começar.

No caminho de se tornar um profissional de forense computacional, você deve evitar alguns erros comuns de algumas pessoas. Fabio Sobiecki destaca neste corte, alguns dos erros mais comuns no começo da sua carreira.

Na carreira de forense computacional você vai trabalhar com ferramentas específicas para imagens de disco, busca de informações, recuperação de informações. Como a maioria dos casos, existem ferramentas pagas e gratuítas e até mesmo o Kali Linux e outras distribuições de segurança, trazem algumas destas que Fabio Sobiecki comenta neste corte.

Ao montar um laboratório de testes, é crucial não apenas instalar as ferramentas de segurança, mas também planejar como usá-las. Definir casos de uso específicos para cada ferramenta é fundamental para maximizar a eficácia dos testes de segurança. Fabio Sobiecki destaca a importância de pensar antecipadamente nos cenários de teste, como bloquear todas as entradas e abrir todas as saídas, e considerar a instalação de ferramentas de governança de identidades. A analogia de sair sem destino enfatiza a necessidade de ter metas claras ao implementar ferramentas de segurança cibernética, destacando que a falta de um plano estruturado pode resultar em desperdício de tempo e recursos.

Neste vídeo, exploraremos estratégias essenciais para a segurança cibernética, fornecendo dicas valiosas sobre a instalação e configuração de ferramentas de segurança. Abordaremos a importância de acessar e preservar documentações, destacando sua utilidade mesmo após saírem dos sites originais. Além disso, discutiremos a participação em fóruns de discussão, como o community.rsa.com, para obter suporte e compartilhar conhecimentos sobre a instalação de ferramentas de segurança.

Fabio Sobiecki costuma indicar certificações profissionais, pois é uma maneira de demonstrar conhecimentos em uma determinada área da segurança da informação. Ao pensar em uma carreira em segurança forense digital, é indicado buscar as certificações específicas desta área, para saber quais conhecimentos, procedimentos e ferramentas deve-se dominar.

Fabio Sobiecki destaca neste vídeo, quatro passos que você pode usar para montar seus labs de ferramentas de cibersegurança. Nem só de Kali Linux vive um lab, muitas vezes você vai precisar de sistemas complexos para executar testes de ferramentas, sistemas vulneráveis para saber exatamente como é a resposta de uma ferramenta.