Neste episódio trazemos as impressões dos participantes do evento sobre criptografia promovido pelo IBIDEM em Brasília.
Foram entrevistados neste episódio:
- André Ramiro (IP.Rec)
- Bia Barbosa (Intervozes)
- Bruna Martins dos Santos (Coding Rights)
- Cristiana Gonzales (Pesquisadora, grupo de pesquisa Centro)
- Ewerton Rodrigues Andrade (IFRO)
- Felipe Borges (IBIDEM)
- Gustavo Gus (Tor Project)
- Lais Barufi (IBIDEM)
- Lucas Lago (InternetLab)
- Lucas Teixeira (Coding Rights)
- Maria Regina Benevidez (Mattos filho Advogados)
- Paulo Rená (IBIDEM)
- Raquel Saraiva (IP.Rec)
- Veridiana Alimonti (EFF)
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
PARTICIPE – WORKSHOP – PORTO ALEGRE: LEI GERAL DE PROTEÇÃO DE DADOS DO BRASIL – LGPD
Podcast: Play in new window | Download
Subscribe: RSS
Tema principal em: 23:37
Shownotes
- Site do Criptografia é Direito.
- Links enviados pelos ouvintes:
Trilha da segunda parte do episódio: Mr. Trumped, por Ketsa
Foto do episódio: Guilherme Goulart
O episódio ficou muito bom (como de costume),parabéns a todos os envolvidos.
Se quiserem conhecer o Pistolando Podcast ,aqui tem o link.
http://pistolando.com
parabens pelo episódio!
se possível comentem a matéria:
https://portaldobitcoin.com/relatorio-mostra-que-exchanges-brasileiras-de-criptomoedas-estao-muito-vulneraveis-a-ataques/
os erros na divulgação quanto na métrica de pesquisa são enormes.
peço que se possível comentem o primeiro ponto.
0º) o relatório completo não foi divulgado na matéria, não constam datas ou logs de quando as exchanges foram contatadas, qual é o interesse de alguém divulgar um erro e nem contatar a outra parte?
1º) Por mais que todas exchanges façam a mesma coisa, muitas tem modelos de negócio distintos.
inclusive alguns não divulgam o volume de negociacao diário, por questoes de privacidade.
Logo os escopo são limitados, não podemos tratar tudo como a mesma coisa.
isso é irresponsável, pois a EXchange que mais negocia valores não pode ser nivelada com a que negocia em média 10 BTC conforme a “elegibilidade de estudo”.
2º) Métrica inedaquada:
a matéria ressalta foi utilizado:
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
last update: 04/2016
essa métrica é inadequada pois existe ataque muitos piores a métrica de elegibilidade e de internalização de bug está mais próxima de:
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
last update: 03/2018
que inclusive é que constituem a OWASP TOP 10
que por sua vez tem testes com um escopo diferente do sugerido TGv4TC;
logo mediram com a régua errada.
3º) escopos obscuros.
muitos dos pontos falam de “Git” porem nem todas empresas do escopo usam APis abertas, logo Jogar informações sem dizer ao menos QUem ou o que ou que seja um hash que possa ser verificado.
4º)Caridade,
muitas das empresas listadas tem programas de Caça de bugs, privados ou públicos.
exemplo a Walltime tem um público:
https://walltime.info/security/bug-bounty.html
e paga muito bem, vamos dizer que alguém algum Bug e não divulgou a Walltime e so divulgou a esse portal.
Por que não lucraria com isso? enfim essa motivação está muito obscura.
enfim eu nao achei o estudo completo mas me mandaram uns prints se possível, falem sobre os erros de divulgar as falhas de forma inadequada.
Muito Show Amigos. Como sempre, agregando muito conteúdo e “conectando” pessoas.
Muito obrigado.
Falando e criotografia, gostaría de pedir a opinião dos amigos a respeito dessa iniciativa: https://masterpassword.app que encontrei no https://www.privacytools.io/.
É possível avaliar a parte técnica exposta no site, e pelo que entendi me pareceu bem interessante.
Grato.
Um Abraço.