Fabio Sobiecki

No vídeo de hoje, abordamos aspectos cruciais para quem deseja ingressar na carreira de cibersegurança. Discutimos sobre a importância da experiência prática em detrimento da formação acadêmica convencional, como faculdades ou pós-graduações. Também tocamos no tema da síndrome do impostor e como ela pode afetar profissionais da área, ressaltando a importância de se candidatar a vagas e se desafiar, independentemente de sentir-se completamente preparado. Este vídeo é um guia essencial para quem está pensando em seguir carreira em cibersegurança. Através de uma conversa franca e direta, discutimos a relevância da formação prática e experiencial em oposição à necessidade de diplomas tradicionais. Além disso, abordamos a síndrome do impostor, um desafio comum na área, e como superá-la para avançar na carreira. Assista para descobrir insights valiosos e dicas práticas sobre como se tornar um profissional de sucesso em cibersegurança.

Neste vídeo, Fabio Sobiecki, um especialista em segurança da informação, introduz o conceito de "Threat Intelligence" (Inteligência de Ameaças) e como ele é crucial na prevenção de ataques cibernéticos. Ele explora casos práticos, aborda a importância da análise e correlação de dados, e diferencia "Threat Intelligence" de gerenciamento de incidentes e coleta de dados. A discussão é voltada tanto para profissionais da área quanto para quem deseja ingressar na carreira.

Neste corte, Fabio Sobiecki destaca o terceiro motivo pelo qual alguém deveria ingressar na área de segurança da informação em 2024: a comunidade de profissionais de segurança. Ele enfatiza a natureza acolhedora e colaborativa dessa comunidade, mencionando eventos presenciais em São Paulo, bem como grupos e profissionais em várias outras cidades brasileiras, incluindo Porto Alegre, Curitiba, Florianópolis, Brasília, Rio de Janeiro, Nordeste e Norte. Apesar de alguns defeitos, como vaidade e brincadeiras entre colegas, o autor destaca a união e a disposição para ajudar entre os profissionais de segurança da informação. Fabio Sobiecki ressalta que, mesmo online, a comunidade de segurança da informação permanece ativa, com profissionais dispostos a ajudar e compartilhar conhecimento. Ele destaca a empresa Tempest, com sede no Nordeste, como exemplo de uma organização com profissionais altamente capacitados. O corte também menciona a falta de sindicato ou entidade formal representando a classe, mas enfatiza a forte união entre os profissionais, que se ajudam mutuamente, trocando informações e experiências.

Neste corte, abordarei a atrativa perspectiva salarial na área de segurança da informação, destacando que esse setor oferece alguns dos salários mais elevados dentro da Tecnologia da Informação. Fabio Sobiecki responde à pergunta frequente sobre as formações acadêmicas ideais para ingressar nesse campo, enfatizando que, embora uma base em tecnologia seja vantajosa, profissionais de diversas áreas, como ciências sociais e físicas, encontram espaço na cibersegurança. O corte destaca a necessidade de estudo contínuo, abrangendo desde arquitetura de computadores até segurança física, para se destacar nesse competitivo mercado. Fabio Sobiecki explica que, para se destacar em segurança da informação, é crucial compreender conceitos como arquitetura de computadores, desenvolvimento de sistemas, redes e segurança física. Ele destaca que, embora uma formação em tecnologia seja benéfica, profissionais de diversas áreas podem ingressar na cibersegurança. O texto ressalta que a demanda por especialistas em segurança é alta, e profissionais qualificados são disputados pelas empresas. Fabio Sobiecki compartilha experiências pessoais, mencionando uma oferta urgente de emprego para três vagas na área de segurança, evidenciando a escassez de profissionais qualificados no mercado.

Neste corte, exploraremos um dos cinco motivos convincentes pelos quais se tornar um profissional de segurança da informação é uma escolha empolgante. O primeiro motivo destaca a dinamicidade do campo, contrastando-o com a monotonia percebida em profissões como desenvolvimento de software ou administração de sistemas. A segurança da informação oferece um ambiente desafiador, onde os profissionais lidam constantemente com novos problemas, incidentes de segurança e atualizações tecnológicas. O mercado dinâmico exige adaptabilidade e mantém o trabalho emocionante para aqueles que apreciam desafios e não se contentam com a rotina. O ambiente de desenvolvimento muitas vezes é caracterizado por monotonia, com desenvolvedores focando repetidamente nos mesmos sistemas e casos de uso. Em contraste, a segurança da informação destaca-se por sua natureza dinâmica. Profissionais deste campo enfrentam uma variedade de desafios, desde tentativas de invasão até incidentes de segurança. O rápido avanço tecnológico e as constantes atualizações nos sistemas garantem que a segurança da informação permaneça uma área desafiadora e estimulante. A imprevisibilidade no campo da segurança é ressaltada pela rápida evolução das técnicas de ataque e pela descoberta constante de novas vulnerabilidades. Enquanto um profissional de segurança lida com um servidor específico hoje, uma atualização subsequente pode exigir a revisão completa do trabalho realizado. Essa natureza fluida e desafiadora da segurança da informação oferece um terreno fértil para aqueles que buscam um ambiente profissional dinâmico.

No universo da segurança da informação, muitos são atraídos pelo mito do hacker perigoso. No entanto, é crucial entender que um hacker ético, ou pentester, não possui superpoderes, mas sim conhecimentos específicos para realizar avaliações. Contrariando a imagem popular, esses profissionais não invadem sistemas indiscriminadamente. Da mesma forma, destaco a realidade do trabalho forense, ressaltando que, apesar do fascínio, encontrar oportunidades nesse campo pode ser desafiador. Uma alternativa para os iniciantes é considerar a área de proteção (Blue Team), que abrange a segurança defensiva. Exploro a demanda significativa por profissionais nessa área, desde grandes bancos até pequenas empresas. Destaco a importância do monitoramento de segurança, uma atividade que ocorre 24 horas por dia, 7 dias por semana, exigindo mais profissionais para escalas de trabalho. Além disso, abordo a crescente demanda por especialistas em Cloud Security, explicando as diferenças significativas entre segurança na nuvem e em ambientes on-premises. Recomendo aos aspirantes que desejam iniciar na área de segurança da informação em 2024 considerar essas áreas mais acessíveis, dada a demanda e a escassez de profissionais capacitados. O tempo para se preparar é curto, mas focar nessas áreas específicas pode proporcionar uma transição mais suave para a carreira de segurança.

Neste corte, abordo a oportunidade que a virada do ano oferece para estabelecer metas, especialmente para aqueles que aspiram se tornar profissionais de segurança da informação. Muitas pessoas fazem promessas de Ano Novo, e algumas desejam iniciar uma carreira em cibersegurança. No entanto, a síndrome do impostor pode ser um obstáculo comum. No vídeo, destaco a importância de superar esse desafio, motivando os espectadores a dedicarem tempo ao estudo da segurança da informação em 2024.

No universo da segurança de criptografia de carteiras Bitcoin, é fundamental seguir quatro passos cruciais para garantir uma gestão eficaz das chaves. Primeiramente, é essencial registrar os nomes e tecnologias mencionadas, seguido por uma pesquisa minuciosa sobre cada termo utilizado. A busca por tutoriais específicos é crucial para compreender a aplicação prática dessas tecnologias, como exemplificado na geração da chave bip 39. No terceiro passo, destaco a importância de avaliar cuidadosamente os riscos e vulnerabilidades associados à segurança das chaves privadas. É crucial implementar medidas de proteção adequadas, considerando possíveis ameaças à segurança, como a exposição da semente. Recomendo, por exemplo, gravar a semente em uma placa de metal, sendo aconselhável dividir em duas para aumentar a segurança. Por fim, no quarto passo, incentivo a prática constante na criação e restauração de carteiras Bitcoin. Simular cenários de perda e recuperação, garantindo que se saiba como lidar com a situação caso a semente seja a única informação disponível. Exercitar esses procedimentos antes de colocar em produção é vital para evitar problemas futuros.

No mundo da cibersegurança, compreender as fraquezas e vulnerabilidades dos algoritmos de criptografia é crucial. Este corte destaca a importância de estudar a tecnologia por trás de algoritmos como SHA-256 e RSA, utilizados em criptomoedas como o Bitcoin. Ao explorar a criação, funcionalidade e possíveis fragilidades do SHA-256, bem como as considerações sobre o tamanho das chaves RSA, os espectadores ganham insights valiosos. Além disso, aborda-se a gestão de chaves, incluindo cerimônias de troca, geração e rotação, elementos essenciais para manter a segurança em sistemas criptográficos. No universo da cibersegurança, é imperativo analisar as fragilidades dos algoritmos de criptografia. No contexto do Bitcoin, por exemplo, o uso do SHA-256 levanta questões sobre como foi desenvolvido, sua funcionalidade e eventuais vulnerabilidades. A busca por informações detalhadas sobre as fraquezas do SHA-256 é destacada, encorajando os leitores a explorar mecanismos de busca como Google ou DuckDuckGo. Outro ponto crucial é a consideração do tamanho das chaves RSA, com ênfase na segurança de chaves acima de 2048 bits. O vídeo também aborda o manejo de chaves, enfocando cerimônias de troca, geração e rotação. A compreensão desses processos é vital, especialmente ao lidar com sistemas que requerem a troca periódica de chaves criptográficas. O corte destaca a importância de entender esses procedimentos e sugere que, se uma empresa não tiver práticas estabelecidas, é benéfico criar e propor diretrizes específicas.

No mundo das criptomoedas, a privacidade ao lidar com Bitcoin é uma preocupação essencial. Embora as transações sejam públicas, a identidade do proprietário da carteira pode ser mantida anônima. O vídeo destaca a necessidade de cuidado ao compartilhar endereços de Bitcoin publicamente, pois isso pode comprometer a privacidade do usuário. Além disso, aborda a importância de usar múltiplos endereços e manter a anonimidade ao consolidar fundos de diferentes carteiras. O texto ressalta situações de risco no Brasil, como sequestros relacionados a posse de bitcoins, e destaca medidas de segurança física, como o uso de VPN ou navegação por meio do navegador Tor. Ao lidar com Bitcoin, a privacidade é uma consideração crucial. Embora as transações sejam registradas publicamente, a identidade do dono da carteira pode ser mantida anônima. É vital entender que, ao expor seu endereço de Bitcoin, sua privacidade pode ser comprometida, pois todas as transações associadas a esse endereço se tornam visíveis. No entanto, em situações como transações com corretoras, compartilhar o endereço é inevitável para receber fundos. A solução é ter múltiplos endereços e evitar o uso contínuo de um endereço público. Além disso, o vídeo alerta sobre a importância de consolidar fundos de várias carteiras em uma única transação, destacando os custos associados a essa prática. A segurança física também é abordada, com exemplos de casos no Brasil em que pessoas foram alvo de sequestros devido à divulgação de sua posse de bitcoins. O uso de hard wallets é mencionado, destacando a necessidade de precaução ao receber esses dispositivos em casa, evitando revelar a posse de criptomoedas a possíveis criminosos. O vídeo enfatiza a necessidade de proteger a privacidade ao acessar sites relacionados a Bitcoin, sugerindo o uso de VPN ou a navegação por meio do navegador Tor. Essas medidas visam evitar a coleta indesejada de informações por parte de provedores de internet, redes sociais e outros, protegendo a integridade física e a privacidade do usuário.

Neste vídeo, destaco a importância de evitar discutir projetos que envolvam chaves de criptografia fora do ambiente de trabalho, pois isso pode expor informações sensíveis e atrair ameaças. Além disso, é crucial não compartilhar detalhes sobre as estratégias de proteção das chaves, pois a confidencialidade é fundamental para a segurança. O uso prolongado da mesma chave de criptografia também é desaconselhado, sendo recomendável trocar de carteira a cada poucos anos para garantir uma camada extra de segurança. No universo das criptomoedas, a segurança das carteiras de bitcoins é uma prioridade. Evitar discussões sobre projetos relacionados a chaves de criptografia fora do ambiente de trabalho é fundamental, uma vez que a exposição dessas informações pode atrair ameaças tanto para indivíduos quanto para empresas. Manter a confidencialidade das estratégias de proteção das chaves também é crucial, pois a divulgação desses detalhes pode comprometer a segurança. Outro ponto importante é evitar a utilização prolongada da mesma chave de criptografia. Carteiras de bitcoins devem ser renovadas a cada poucos anos para garantir a proteção contínua dos ativos. Isso se deve ao avanço constante da tecnologia, que pode eventualmente tornar as chaves vulneráveis. A recomendação é trocar de carteira a cada 4 a 8 anos, mantendo os bitcoins seguros e protegidos contra possíveis ameaças.

Neste vídeo sobre segurança de informações relacionadas ao Bitcoin, exploramos a semelhança entre a gestão de chaves de Bitcoin e as práticas de segurança de informações em empresas. Fabio Sobiecki destaca a importância de gerenciar chaves privadas e públicas, comparando o uso de cofres de segredos na segurança da informação empresarial com a prática de armazenar chaves de criptografia. O vídeo aborda a utilização comum de chaves privadas em servidores Linux, exemplificando casos de acesso remoto via SSH. Além disso, são mencionados serviços de cofres de segredos na nuvem, destacando a automação e a possibilidade de acionar segredos através de comandos ou APIs. No universo da segurança de informações, a gestão de chaves desempenha um papel crucial, não apenas no contexto do Bitcoin, mas também nas práticas empresariais. Assim como os usuários de Bitcoin gerenciam suas chaves privadas e públicas, as empresas utilizam cofres de segredos para armazenar senhas e chaves de criptografia. O texto explora como os administradores de servidores Linux recorrem a chaves privadas para autenticação remota, destacando a conveniência em comparação com o uso de senhas. Além disso, o autor faz uma analogia com serviços de cofres de segredos na nuvem, evidenciando a possibilidade de automação e acionamento de segredos.

Neste vídeo, abordaremos o uso de carteiras multisig (multisignature) no contexto empresarial e como essa abordagem pode ser implementada para garantir a segurança das transações de criptomoedas. A multisig permite que múltiplos usuários assinem uma transação, proporcionando uma camada adicional de segurança. Exploraremos como configurar uma carteira multisig, determinando o número mínimo de assinaturas necessárias para validar uma transação. Além disso, discutiremos a gestão de chaves privadas e a resolução de questões relacionadas a demissões ou mudanças na equipe. Empresas frequentemente enfrentam o desafio de garantir que as transações de criptomoedas sejam seguras e exijam a validação de mais de uma pessoa. A solução para isso é a utilização de carteiras multisig. Essas carteiras requerem a assinatura de múltiplos proprietários para validar uma transação na rede Bitcoin. Na configuração da carteira, determinamos o número mínimo de assinaturas necessárias, proporcionando flexibilidade para empresas com diferentes estruturas organizacionais. Ao criar uma carteira multisig, cada usuário gera sua própria chave privada, e as chaves são combinadas para formar a carteira. Pode-se configurar o número mínimo de assinaturas, proporcionando controle sobre a segurança da transação. Por exemplo, se uma empresa possui três diretores e deseja que pelo menos dois assinem as transações, essa configuração é facilmente alcançada com uma carteira multisig. Gerenciar as chaves privadas torna-se crucial, especialmente em casos de demissões ou mudanças na equipe. Se um usuário é removido da equipe, é necessário gerar uma nova carteira multisig, transferindo os fundos da carteira antiga para a nova. Esse processo garante que a segurança seja mantida, pois as chaves antigas são destruídas, e a equipe mantém o controle sobre a carteira. Além disso, discutimos a possibilidade de uma pessoa física utilizar uma carteira multisig para aumentar a segurança. Nesse cenário, o indivíduo pode exigir múltiplas assinaturas, como a combinação da chave do PC pessoal com a chave de uma hard wallet. Isso adiciona uma camada extra de segurança, mesmo para usuários individuais.

Para saber como proteger uma carteira de criptomoeda ou como proteger transações e ativos de criptomoedas em empresas, você precisa entender antes alguns conceitos como o Blockchain, que é a estrutura de moedas digitais.

No universo das transações financeiras digitais, especialmente no contexto das criptomoedas, a segurança é uma prioridade inegociável. Cada vez que alguém envia dinheiro, é necessário criar uma assinatura digital. Como explicado anteriormente, essa assinatura digital envolve a geração de um hash, uma espécie de resumo do texto da transação. O remetente utiliza sua chave privada para assinar esse hash, e o destinatário pode verificar a autenticidade da transação usando a chave pública do remetente. Esse processo, amplamente utilizado no universo das criptomoedas, garante a integridade e a autenticidade das transações. Além disso, a segurança durante a assinatura digital é um ponto crítico. Para isso, muitas pessoas optam por utilizar carteiras de criptomoedas hardware, conhecidas como "hard wallets". Diferente de realizar a assinatura digital em um computador conectado à internet, as hard wallets executam esse processo em um ambiente isolado, garantindo um nível superior de segurança. Esse é um passo crucial, especialmente para indivíduos e empresas que lidam com grandes valores ou ativos significativos.

A certificação CISSP já foi citada como a principal ou mais desejada certificação profissional para segurança da informação. Parece que seu reinado está ameaçado, a medida que novas certificações de produto e profissionais são desenvolvidadas. Mas hoje, Fabio Sobiecki, que é certificado CISSP, nos fala sobre esta dúvida que permeia vários novos profissionais de segurança da informação. Junte-se a nós neste debate e comente sua opinião.

Neste vídeo, abordaremos a importância da segurança ao lidar com carteiras de criptomoedas, tanto para indivíduos quanto para empresas. O sistema Bitcoin, baseado em blockchain, possui sua própria segurança, mas a responsabilidade recai sobre os usuários para garantir a proteção de suas carteiras e, principalmente, de suas chaves privadas e sementes. Exploraremos o método BIP-39, que permite gerar uma semente composta por 12 a 24 palavras convertidas em uma chave privada e pública, essenciais para transações. A ênfase será na necessidade de manter essas informações de forma sigilosa para evitar acessos não autorizados. A segurança no universo das criptomoedas é uma preocupação crucial para indivíduos e empresas que lidam com carteiras de Bitcoin. Embora o sistema em si seja robusto, é responsabilidade dos usuários assegurar suas chaves privadas e sementes. O método BIP-39 é destacado, permitindo a geração de uma semente por meio de palavras específicas, essenciais para criar as chaves privada e pública. A proteção dessas informações torna-se vital, pois, se comprometidas, podem resultar na perda de fundos. A semente e a chave privada são os elementos mais sensíveis. A semente, composta por palavras específicas, é convertida matematicamente para gerar as chaves e endereços da carteira. A chave privada, em particular, deve ser guardada com extrema cautela, pois seu acesso permite a realização de transações. Estratégias como o uso de hardware dedicado, conhecido como cod wallet, são recomendadas para garantir um nível mais elevado de segurança. Isso impede que a chave privada seja exposta enquanto a carteira está online, reduzindo os riscos de roubo. Outras práticas de segurança incluem a não recomendação de armazenar a chave privada em softwares de senhas, devido ao risco de acesso não autorizado. Usuários mais cautelosos optam por gravar as palavras da semente em placas de metal, distribuindo-as em locais seguros, proporcionando uma camada adicional de proteção contra roubo. A ênfase na segurança torna-se ainda mais evidente para empresas que guardam grandes volumes de criptomoedas, exigindo medidas rigorosas para garantir a integridade de suas carteiras.

Neste corte, Fabio Sobiecki vai lhe dar 4 passos para você começar hoje mesmo a planejar e implementar autenticações passwordless em seu ambiente de tecnologia.

Basedao em sua própria experiência, implementando projetos de passwordless, Fabio Sobiecki nos fala de recomendações que você deve ter em mente ao iniciar um projeto de passwordless em sua empresa.

Ao longo do projeto, coisas podem sair erradas ou não planejadas. Por isso é importante você já acompanhar como foram projetos em outras empresas e verificar as lições aprendidadas. Fabio Sobiecki nos fala de alguns pontos que você pode evitar em seu projeto.

A cada virada de ano, nós costumamos fazer promessas para este novo ciclo e provavelmente você deve estar pensando que em 2024 você quer se tornar profissional de segurança da informação. Neste vídeo, vamos discutir e te dar 5 motivadores para você seguir este objetivo de se preparar, profissionalmente e pessoalmente para encarar o desafio de concluir o ano, empregado em segurança da informação.

Como profissional de segurança da informação, você deve estipular que seus usuários tenham um certo padrão de senha, que nós chamamos de política de senhas. Mas como saber que seus usuários estão seguindo o padrão, se em alguns sistemas não é possível forçar. Nestes casos, você pode usar um software de quebra de senhas, para testar seus próprios sistemas com força bruta e dicionários de senha. E por isso, você precisa conhecer estes aplicativos de testes.

Um dos ataques mais comuns em senhas são os ataques de força bruta e dicionários de senhas. Neste corte, Fabio Sobiecki explica o que são estes ataques e como os atacantes utilizam para terem acesso a conteúdos privados. Estes não são os únicos ataques sobre senhas, ainda há outros menos comuns mas é bom que você, profissional de segurança entenda estes dois.

Por que eliminar as senhas do seu processo de autenticação? Aqui neste corte temos alguns exemplos dos riscos da autenticação com usuário e senhas. Se você entende os motivos pelo qual a senha é perigosa, conseguirá convencer melhor, os seus colegas de trabalho e seus chefes, para que converta sua autenticação para algo mais seguro.

Como profissional de segurança da informação, você estará encarregado de colocar dentre os diversos métodos de autenticação, o que melhor se aplica à sua empresa. Existe um outro fator que você deve levar em conta, é que cada método de autenticação tem seu motivo de existir, ou melhor aplicação. Usar um método errado ou complexo em um ambiente, pode gerar insegurança ao invés da proteção que você espera.