Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Não confunda a frequência de um incidente com a facilidade com a qual você se lembra deleElevenPaths 20 mayo, 2019 Imagine que dois assaltos violentos tenham acontecido em parques de sua cidade e que, durante alguns dias, a imprensa esteja focando todos os esforços para noticiá-los. Imagine também que, nesta tarde, você gostaria de sair para correr no parque perto da sua casa. Inevitavelmente, as notícias sobre os assaltos fazem você pensa na probabilidade de ser vítima de um roubo (ou algo pior) nesse mesmo parque. Sua mente fará a associação: Parque: perigo! As imagens que você viu na TV e na internet fará com que você sobrestime a probabilidade de que algo aconteça em qualquer um dos parques de sua cidade. Como resultado, você evitará correr no parque próximo a sua casa, pelo menos até que a memória sobre as notícias se apague. Somente quando você deixar de associar “parque” a “perigo”, você voltará a correr novamente. Esse é um comportamento irracional sob todos os aspectos. Na verdade, sua mente está usando a seguinte heurística: se me vem a mente vários exemplos de algo, então aquilo deve ser comum. Nesse exemplo, pensar em “parque” cria imagens de violência, então a probabilidade de que algo violento aconteça é muito alta. Porém, você conhece as estatísticas reais sobre roubos em parques? Duas pessoas foram assaltadas em parques, isso significa que parques são perigosos, não importa o que digam as estatísticas, certo?Bom, não. Os psicólogos chamas esse juízo de valor de viés de disponibilidade: quanto mais fácil é relembrar de algo, mais frequente cremos que este algo aconteça.Tendemos a sobrestimar a frequência de algo sensacional e subestimar aquilo que é mundano Os seres humanos são realmente ruins com números, quem dirá calculando probabilidades. São raras as vezes em que nossa percepção de risco coincide com a realidade, temos a tendência de dar mais atenção a riscos espetaculares, vívidos, recentes ou emocionais e o resultado é que nos preocupamos com riscos que poderíamos ignorar e deixamos de prestar atenção naqueles que realmente importam.A tabela a seguir, adaptada por Bruce Scheneier a partir de literatura científica sobre o tema, descreve como as pessoas percebem os riscos de maneira geral: A heurística da disponibilidade explica a maioria dos comportamentos listados na tabela e, com a mesma influência, tomamos decisões diariamente (grandes e pequenas) com implicações diretas na segurança da informação: Devo me conectar a essa rede Wi-Fi pública? Conecto esse pen-drive na porta USB do meu computador? Envio esse arquivo confidencial como anexo nesse e-mail? Calculamos os riscos de maneira automática sem prestar atenção consciente neles, afinal não usamos uma calculadora e dados estatísticos para determinar as probabilidades. Nos deixamos guiar pela heurística da probabilidade. Se não me vem à cabeça nenhum incidente relacionado com esse desafio de segurança, então é pouco provável que ele aconteça. Do contrário, se eu me lembro de vários incidentes relacionados ao desafio, então o risco é alto.Mas porque alguns acontecimentos são mais fáceis de lembrar do que outros? Conhecer a razão nos ajudará a tomar melhores decisões de segurança e a não nos deixará influenciar tão facilmente por influenciadores externos.As histórias vividas são gravadas a fogo na memória Pesquisadores identificaram alguns fatores que fazem com que um acontecimento seja gravado de maneira duradoura em nossa memória, mais do que outros: Qualquer conteúdo emocional faz com que a memória dure mais. Umas das emoções mais poderosas nesse sentido é o medo. Algo que você poderá notar em muitas notícias sensacionalistas sobre cibersegurança.As palavras concretas são mais facilmente lembradas do que as abstrações como números. Por isso, as histórias tem impacto muito maior do que as estatísticas. Ainda que seja difícil admitir (afinal somo animais racionais, não?), nossas decisões são afetadas pelo que vivemos, mais do que pelo que sabemos ou somos informados. Rostos humanos tentes a gravar memórias mais fortes, ao menos quando expressam alguma emoção e é por essa razão que anúncios de sucesso tem personagens com características marcantes.Os acontecimentos mais recentes são mais bem recordados do que os antigos já que a memória se degrada com o tempo. Se você está dirigindo por uma estrada e passa por um acidente, será mais consciente do risco de sofrer o mesmo tipo de acidente e reduzirá a velocidade do seu carro. Mas pouco tempo depois, basta que a conversa no veículo mude de assunto e você esquecerá completamente do que aconteceu.Do mesmo jeito, algo que nunca aconteceu será gravado de maneira mais forte na memória. O que é cotidiano passa desapercebido, aquilo que é extraordinário chama a atenção.Como todos os estudantes sabem, a concentração e a frequência ajudam na memorização. Quanto mais vezes você é exposto a uma informação, mais ela será gravada. Que o diga os publicitários! Todos esses efeitos são cumulativos e, segundo o psicólogo Scot Plous:Em termos muito genéricos: (1) quanto mais disponível é um evento, mais frequente ele parecerá para nós; (2) quanto mais vívida seja a experiência, mais fácil e convincente ela será e (3) quanto mais proeminente (diferente do resto) é algo, mais provável seja que ele aconteça.E onde você encontra todos esses requisitos? Nos meios de comunicação! Se é notícia, não se preocupe! Como ocorre com muitos outros vieses de pensamento, a heurística da disponibilidade se mostrará válida na maioria das situações de nossa vida cotidiana. Se podemos recordar de exemplos, então aquilo aconteceu muitas vezes.Seguramente, todos nós pensaremos que há mais cientistas homens do que mulheres, ou franquias norte-americanas do que espanholas, ou mesmo em jogadores espanhóis presentes na Champion’s League do que malteses. A heurística da disponibilidade é útil na maioria das vezes e facilita estimar probabilidades de maneira rotineira.No entanto, essa estratégia não é infalível. Alguns fatos de nossa vida podem ser mais memoráveis do que outros, razão pela qual calcularemos incorretamente a probabilidade de que eles aconteçam. Podemos dizer que os meios de comunicação alimentam a criação desse viés, algo só é notícia se for raro ou marcante, tem que atrair a atenção. Assim, as notícias informam aquilo que é, estatisticamente, irrelevante, enviesando nossa percepção sobre a frequência dos acontecimentos.O resultado é que as pessoas avaliam riscos através da facilidade com que se recordam do perigo, se preocupam especialmente dos perigos aos quais estão expostos através dos meios de comunicação e não tanto com perigos reais, que podem até ser mais letais.Por esse motivo, tendemos a crer que é mais provável morrer de um acidente do que de uma doença, isso porque uma batida entre dois veículos em cima de uma ponte ao lado de um precipício recebe maior cobertura midiática do que as mortes por asma, apesar de que morrem 17 vezes mais pessoas da doença do que de acidentes.Alguns pesquisadores dizem que a heurística da disponibilidade nem seque leva em consideração que algo tenha ocorrido realmente, nossas percepções podem ser fruto de algo fantasioso que vimos em uma série ou filme, mas que nos marcou. É normal que nossa mente vá misturando o que é real com aquilo que é fantasioso. Nas palavras de Daniel Kahneman:O mundo que imaginamos não é uma réplica precisa da realidade. Nossas expectativas sobre a frequência dos acontecimentos estão distorcidas pela prevalência e intensidade emocional das mensagens que chegam até nós.Como sobreviver à heurística da disponibilidade na segurança da informação O primeiro passo é combater o viés, conhecendo sua existência real. Si você chegou até aqui, já entende como funciona a heurística da disponibilidade e poderá tomar algumas ações baseadas nela para melhorar a segurança da informação em sua empresa: Como você já sabe, os usuários tendem a sobrestimar a probabilidade de eventos vívidos e surpreendentes e vão focar em informações que sejam facilmente recordadas. Você pode explorar esse efeito explorando histórias simples no lugar de informações ou dados estatísticos. Por exemplo, compartilhar histórias sobre como a extração de dados de um protótipo secreto levou a importante caso de espionagem industrial (partir do roubo de um dispositivo USB) será mais efetivo do que dizer que “metade dos empregados disseram ter copiado informações secretas em dispositivos USB, apesar de que 87% das empresas contavam com políticas que impediam essa ação”.Faça uso da repetição, quanto mais você repetir uma mensagem e seus exemplos, mais facilmente essa informação será recordada. Preste mais atenção em dados estatísticos do que no perigo das manchetes do dia. Não baseie suas decisões em pequenas amostras de casos representativos, mas em grandes números. Se algo é notícia corriqueira, não significa que seja frequente ou de alto risco, só que chama a tenção e cria uma boa história.Não confie em sua memória. Faça uso de dados antes de decidir sobre a frequência ou magnitude de um acontecimento.Seguindo a heurística, somo impulsionados a instalar contramedidas de segurança somente após ter sofrido um incidente. Consulte as estatísticas para entende quais são os riscos reais que você ou sua empresa correm. Não espere que haja um incidente para se proteger, se o risco para o seu negócio for grande, não se atenha às notícias, proteja-se já!Nos lembramos mais de um incidente do que da falta deles, afinal todo incidente de segurança é uma histórica, enquanto a ausência deles não é algo lá tão sedutor. Quer um exemplo? Nos cassinos, quando há um jackpot, as máquinas tocam a todo volume sons e músicas, mas não fazem qualquer barulho quando o jogador perde. Essa assimetria te fará pensar que é muito mais fácil obter um jackpot do que perder. Preste atenção não somente naquilo que você pode ver, mas naquilo que não é visível também. É muito mais fácil relembrar de um vírus que obteve êxito do que milhões deles que não tiveram sucesso algum, mas eles ainda estão lá.Esteja rodeado de uma equipe com diversas experiências e pontos de vista. A diversidade vai, por si só, limitar a heurística da disponibilidade porque os membros da equipe se desafiarão de maneira natural. • Utilize sua rede de contatos par além da sua organização em busca de informações para tomar decisões. Permita que outros demonstrem suas perspectivas, se elas forem diferentes da sua melhor. Grupos diversos terão vieses de juízos diferentes dos seus. Assim, da próxima vez que você tomar uma decisão pare e pergunte: estou tomando essa decisão porque me vem à mente um acontecimento recente ou estou levando em consideração fatores que não posso recordar facilmente? Quando melhor entendermos nossos vieses pessoais, melhor tomaremos decisões. Biometria: como funciona o reconhecimento facial e quais são suas aplicações?O lado obscuro da impressão 3D: desafios, riscos e usos maliciosos (parte 1)
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...