quarta-feira, 31 de janeiro de 2018

Nearly 2000 WordPress Websites Infected with a Keylogger

Swati Khandelwal em 29/01/2018



More than 2,000 WordPress websites have once again been found infected with a piece of crypto-mining malware that not only steals the resources of visitors' computers to mine digital currencies but also logs visitors' every keystroke.


Security researchers at Sucuri discovered a malicious campaign that infects WordPress websites with a malicious script that delivers an in-browser cryptocurrency miner from CoinHive and a keylogger.


Coinhive is a popular browser-based service that offers website owners to embed a JavaScript to utilise CPUs power of their website visitors in an effort to mine the Monero cryptocurrency.

Sucuri researchers said the threat actors behind this new campaign is the same one who infected more than 5,400 Wordpress websites last month since both campaigns used keylogger/cryptocurrency malware called cloudflare[.]solutions.


Spotted in April last year, Cloudflare[.]solutions is cryptocurrency mining malware and is not at all related to network management and cybersecurity firm Cloudflare. Since the malware used the cloudflare[.]solutions domain to initially spread the malware, it has been given this name.


The malware was updated in November to include a keylogger. The keylogger behaves the same way as in previous campaigns and can steal both the site's administrator login page and the website's public facing frontend.

wordpress-keylogger

If the infected WordPress site is an e-commerce platform, hackers can steal much more valuable data, including payment card data. If hackers manage to steal the admin credentials, they can just log into the site without relying upon a flaw to break into the site.


The cloudflare[.]solutions domain was taken down last month, but criminals behind the campaign registered new domains to host their malicious scripts that are eventually loaded onto WordPress sites.


The new web domains registered by hackers include cdjs[.]online (registered on December 8th), cdns[.]ws (on December 9th), and msdns[.]online (on December 16th).

Just like in the previous cloudflare[.]solutions campaign, the cdjs[.]online script is injected into either a WordPress database or the theme's functions.php file. The cdns[.]ws and msdns[.]online scripts are also found injected into the theme's functions.php file.


The number of infected sites for cdns[.]ws domain include some 129 websites, and 103 websites for cdjs[.]online, according to source-code search engine PublicWWW, though over a thousand sites were reported to have been infected by the msdns[.]online domain.


Researchers said it's likely that the majority of the websites have not been indexed yet.

"While these new attacks do not yet appear to be as massive as the original Cloudflare[.]solutions campaign, the reinfection rate shows that there are still many sites that have failed to properly protect themselves after the original infection. It’s possible that some of these websites didn't even notice the original infection," Sucuri researchers concluded.
If your website has already been compromised with this infection, you will require to remove the malicious code from theme's functions.php and scan wp_posts table for any possible injection.


Users are advised to change all WordPress passwords and update all server software including third-party themes and plugins just to be on the safer side.

Vale desliga mainframe e prevê economia de R$ 30 milhões

Por Computerworld em 29/01/2018



A Vale desliga este mês seu mainframe após 35 anos de uso e a estimativa da empresa é de que a economia chegue a aproximadamente R$ 30 milhões nos próximos cinco anos. Enquanto o custo do mainframe é de R$ 6 milhões por ano, o das plataformas que o substituirão é de apenas R$ 50 mil.

O projeto de desligamento tem custo total de R$ 2 milhões, que, segundo cálculos da Vale, será recuperado já no próximo ano.

A mudança faz parte do projeto de transformação digital da mineradora, iniciado em 2016, que visa economizar mais de US$ 100 milhões em dois anos, ou seja, até o final deste ano. A empresa está utilizando tecnologias como internet das coisas, analytics, machine learning, inteligência artificial e aplicativos móveis, para promover a integração entre as áreas de negócio pelo mundo, reduzir custos, simplificar processos, aumentar a produtividade e a eficiência operacional, e alcançar os melhores índices de saúde e segurança.

Anderson Biss, gerente Global de Aplicações, explica que a Vale está aproveitando o rápido avanço da tecnologia e seu barateamento, que vem ocorrendo nos últimos anos para modernizar a infraestrutura de TI, criar uma interface mais amigável para os clientes e ainda reduzir custos.

Migração

O projeto para aposentar o mainframe começou no final de 2016, quando duas aplicações importantes - o sistema de gerenciamento de minas e o de gestão das informações dos empregados - foram migradas para novas plataformas. Restaram no mainframe três aplicações que precisariam ser reescritas e várias que teriam de ser arquivadas - por uma questão legal alguns dados têm de ser mantidos por determinado período de tempo - ou desligadas.

O mainframe contava com cerca de 2 bilhões de registros, armazenados em mil tabelas e 20 mil arquivos - os dados ocupavam 1 terabyte. Após a migração, que está sendo concluída este mês, o espaço ocupado cairá para 80 gigabytes devido à melhor taxa de compressão das novas plataformas.

Duas aplicações foram reescritas em plataforma mais moderna e a outra virou um módulo do Ecomex, um sistema que já era utilizado pela Vale para informações da área de comércio exterior.

Já uma parte das aplicações arquivadas foi migrada para uma plataforma de mercado e outra parte foi desligada. Nos arquivos havia até informações sobre a folha de pagamento de empregados de 50 anos atrás.

Brasileiros ganham o mundo com ‘Elixir’

Por Liliana Favoratti em 30/01/2018 no site Diário Comércio Industria 


José Valim: Aos 31 anos de idade, o empresário mora na Polônia com mulher e filho. “Já viajei para vários continentes para explicar o Elixir”
FOTO: DIVULGAÇÃO





No “admirável mundo novo” permeado pelo avanço da tecnologia na sociedade contemporânea, tem lugar para um brasileiro de 31 anos – nascido em Porto Alegre, criado no interior de Goiás, formado em Engenharia pela Universidade de São Paulo (USP) e hoje morando na Polônia, país da esposa – inventar uma linguagem de programação já adotada no Vale do Silício e por marcas como Pinterest, GoPro e Zappos. José Valim, sócio fundador da empresa de tecnologia Plataformatec, com sede em São Paulo, desenvolveu a Elixir aos 26 anos, e seu produto já tem cerca de 100 milhões de downloads e uma ativa comunidade global de usuários.

Linguagem para um planeta conectado

Depois da frustração com uma startup que pretendia ser um “Google pessoal”, em 2009 Valim e seu colega de USP e de banda de música Hugo Baraúna, e mais quatro sócios – todos com menos de 30 anos de idade – empreenderam na Plataformatec para dar consultoria e desenvolver software, com especialização nas linguagens Ruby e Agile. “Percebemos que nenhuma das linguagens de programação disponíveis na época dava conta das necessidades de empresas para avançar em produtos e plataformas digitais, em um mundo cada vez mais conectado”, diz Valim.

Sem medo de abrir a tecnologia

Foi a partir dessa avaliação que José Valim dedicou três anos para colocar no mercado a Elixir, “uma tecnologia muito bem alinhada com as tendências atuais do mercado”, e com potencial para facilitar aplicações também na próxima etapa da aplicação da tecnologia, a Internet das Coisas. “A partir do smartphone e dos aplicativos, novos desafios surgiram às empresas daqui e do exterior, e é nisso que nós atuamos”, enfatiza Valim. A tecnologia da Plataformatec foi aberta e, ano passado, a empresa cresceu 70%, puxada por consultoria aos usuários da Elixir.

Driblando o ‘complexo de vira-lata’...

Embora sem revelar o faturamento, o fundador diz que a Plataformatec é uma média empresa, com 50 colaboradores, seis sócios e “nenhum investimento de fora”. O sucesso da plataforma também se deve à estratégia comercial utilizada, segundo Valim, de priorizar o mercado externo. “Sabíamos que uma empresa brasileira, dona de nova linguagem nova, tinha de antes ser aceita por players globais para depois vingar no mercado nacional. É uma ironia, mas é assim que os brasileiros funcionam”, comenta o jovem empresário.

Plataformatec: time de jovens colaboradores acompanha a idade dos sócios


...para entrar no mercado nacional

Uma das primeiras aplicações do Elixir foi pelo Pinterest, com mais de 100 milhões de usuários mensais ativos e 300 engenheiros trabalhando na aplicação. “O tempo de resposta com Elixir é 50% mais rápido, cerca de 500 microssegundos, resultando em economia de milhões para a empresa, que agora precisa de menos máquinas na nuvem”, explica à Plano de Voo, em São Paulo, onde passará uns dias. Em tempo: além da Elixir, a única linguagem de programação brasileira, focada em jogos, foi inventada pelo professor da PUC Roberto Ierusalimschy.

Segurança de plataformas digitais

A Irdeto, líder mundial em segurança para plataformas digitais, tem quase 50 anos de experiência em segurança, e sua tecnologia de segurança de software e serviços cibernéticos protegem mais de 5 bilhões de dispositivos e aplicativos para algumas das marcas mais conhecidas do mundo. A empresa é subsidiária do grupo multinacional de mídia, a Naspers (JSE: NPN) e recentemente lançou o Irdeto Piracy Control, solução que detecta e interrompe a pirataria online. "A maior ameaça à indústria de criação de conteúdo é a redistribuição de conteúdo pela internet", afirmou Rory O'Connor, vice-presidente sênior.

Liliana Lavoratti é editora de Fechamento

Google lança no Brasil ferramenta para facilitar a busca de empregos

Por IDGnow em 30/01/2018


Google lançou no Brasil nesta terça-feira (30) sua ferramenta para buscar empregos. O chamado Google Jobs usa a mesma experiência de busca para apresentar vagas disponíveis em um espaço dedicado nos resultados de pesquisa. 
Antes, ao procurar por oportunidades profissionais no buscador, você seria apresentado com uma lista de sites de empregos, como o LinkedIn e o Vagas.com. A partir daí, você acessaria cada site. Agora, a funcionalidade entrega as vagas em formato de cards, de forma semelhante ao que acontece com o Google Shopping. 
"Com uma taxa de 12% de desemprego no Brasil, segundo os últimos dados do IBGE, esperamos que a praticidade e simplicidade dessa nova experiência possa te conectar pessoas a empregos, não importa onde você esteja ou qual vaga tenha seu perfil", explica Nick Zakrasek, gerente de produto do Google no anúncio publicado no blog da companhia.
Como funciona
Usuários podem filtrar a busca por cargo, nome da profissão e ainda por localização - uma vez que a ferramenta é integrada ao Google Maps. Procure "trabalhos próximos a mim" e, talvez, você tenha a sorte de encontrar uma recolocação que não exija de você horas no trânsito.
Você ainda poderá filtrar suas buscas por tipo de jornada - integral ou meio período - por setor ou categoria. Caso você busque pelo primeiro emprego, você poderá ainda confessar ao buscador o seguinte termo: "empregos sem experiência prévia". 
Google-Jobs-Celular-1
O Google usou suas capacidades em machine learning para entregar o serviço aos usuários. Primeiro, a ferramenta remove todas as listas duplicadas das mesmas vagas que se encontram em diferentes sites, para depois classificá-las. Para estas, que aparecem em diferentes sites, o Google te direcionará para a página que for mais completa, onde você, então, poderá se candidatar.
A ideia aqui com o Google Jobs é que ao concentrar em um só lugar as diversas vagas disponíveis na Internet, a companhia consegue facilitar a vida daqueles que buscam se reposicionar no mercado de trabalho. Isso porque evita o trabalho de pesquisar em diferentes plataformas.
Durante o lançamento inicial, nos EUA, o Google disse que a iniciativa não pretendia "canibalizar" serviços semelhantes, dizendo que não pretendia desenvolver um serviço para competir com outras plataformas especializadas.
Crie alertas
Definido os seus filtros, você poderá selecionar a opção para receber uma notificação por e-mail quando novas vagas forem abertas. 
A iniciativa conta com parceiros como LinkedIn, Love Mondays, Empregos.com.br, OLX, Trampos.co e Vagas.com.br. "Isso significa que as vagas disponibilizadas nesses sites, e muitos outros, ficarão visíveis nas suas buscas assim que elas forem postadas", lembra Zakrasek.
O Google Jobs foi lançado em julho nos Estados Unidos e, de acordo com a companhia, desde então houve um aumento de 60% de empregadores mostrando suas vagas no buscador. 
"A América Latina é o primeiro mercado fora dos Estados Unidos a receber a experiência de empregos. No futuro, vamos adicionar novas ferramentas, filtros e mais informações para melhorar cada vez mais a experiência das pessoas em busca de uma posição no mercado de trabalho, para que este novo recurso do Google facilite e torne mais simples e efetiva a procura por um emprego", conclui Zakrasek.

terça-feira, 30 de janeiro de 2018

Phishing Scam: Hackers Steal $150,000 in Ethereum from Experty ICO

Por Wagas em 29/01/2018 no site HackRead



Just a week after the biggest hack in the history of cryptocurrency business in which Japan-based Coincheck exchange was hacked to steal $534 million the much-awaited token sale called Initial Coin Offering or ICO by Experty has landed in no man’s land after a hacker tricked the ICO participants with a fake pre-ICO sale announcement and luring those who signed up for the notifications into sending Ethereum funds to wrong wallet address. Through this targeted attack, the hacker(s) manages to steal around $150,000 in Ethereum before ICO event was held.
ICO is quite similar to a conventional Initial Public Offering or IPO but what makes it different is that buyers receive a token from an online platform instead of getting stocks in a firm. Users are allowed to keep the token until the company that issues them is ready to repurchase them. They may even sell the tokens to others who us Ethereum.
Through ICO, Experty was looking to raise funds for a VoIP calling system that could facilitate voice and video conversations like Skype as well as allow secure cryptocurrency based payments via Blockchain. Experty had high hopes in this sale since Inc.com ranked this ICO as one of the top ten ICOs due to be held this year.

Phishing Scam

What actually happened was that between January 26 and 27, Experty users who receive the announcement and signed up for notifications were asked through email to send funds to an Ethereum wallet in order to buy EXY tokens and participate in the ICO. This was a fake email because the real ICO by Experty was to be held on January 31st; hence the email was sent by a hacker and the wallet address was also not owned by the Expert team.
Phishing Scam: Hackers Steal $150,000 in Ethereum in Experty ICO Hack
Fake email address sent to Experty users
The fake Ethereum wallet address has at least $150,000 worth of funds that got collected through 71 transactions. It is worth noting that Experty has tied up with Bitcoin Suisse to initiate transactions. Now, both the firms are requesting users to not send money to the fake wallet.
According to the official statement, Experty and Bitcoin Suisse state that the hacker compromised the computer of one of the people who conducted the Proof-of-Care review for Experty. Initially, Experty stated that it will be giving 100 EXY tokens to every individual in its email database, which is equivalent to $120. However, now the company has announced additional compensation for users who managed to send the funds into the fake wallet.
Bitcoin Suisse also issued a statement claiming that the data that was submitted to Experty’s website has been hacked and compromised but nothing from Bitcoin Suisse has been exposed. Investors in ICO are recommended to double-check the wallet addresses sent by any project team before making transactions. They can use services like Clearify.io platform to verify the new address.

Refunds Due To The Data Breach

In a statement issued on January 28th, the company will be refunding its customers. 
“We will be contacting the victims that are in our database in order to distribute the proportional amount of EXY tokens to them, including the bonuses for their tier. If someone wishes to receive ETH instead, we ask them to please contact us privately about this.”
Any ETH sent to the scammer after this announcement [January 28, 2018, at 21:30 UTC] will not be refunded in order to prevent people purposely sending money to the scam address to receive EXY tokens.”

10th Breach Against A Cryptocurrency Platform In Last 6 Months

1: July 4th, 2017: Bithumb hacked and 1.2 billion South Korean Won stolen.
2: July 17th, 2017: CoinDash hacked and $7 million in Ethereum stolen.
3: July 24th, 2017: Veritaseum hacked and $8.4 million in Ethereum stolen.
4: July 20, 2017: Parity Technologies hacked and $32 Million in Ethereum stolen.
5: August 22nd, 2017, Enigma marketplace hacked and $500,000 in Ethereum stolen.
6: November 19th, Tether hacked and $30 million worth of tokens stolen.
7: December 7, 2017: NiceHash hacked and $70 million stolen.
9: December 21, 2017: EtherDelta hacked and $266,789 in Ethereum stolen.
10: January 26th, 2017: Coincheck hacked and $534 Million stolen

Como estimar o esforço de desenvolvimento de software e por que isso é tão difícil? – Parte 02

PorTalita Pagani em




Em “Como estimar o esforço de desenvolvimento de software e por que isso é tão difícil? — Parte 01”, apresentei uma pesquisa que realizei para entender os principais problemas que ocorrem no mundo do desenvolvimento com relação à estimativas.
Agora é hora de entrar na parte que me motivou a escrever esta série de artigos: compartilhar a minha experiência sobre esse assunto junto com algumas dicas, algo que muitas pessoas já me pediram informalmente. Longe de ser uma técnica formal ou receita de bolo, são dicas sobre organização pessoal que podem ser aplicadas independente da abordagem que você já utiliza.
Elas são baseadas na minha vivência em diversos projetos da área de desenvolvimento ao longo desses 13 anos de atuação na área. A intenção não é esgotar este assunto que é tão amplo, tampouco apresentar algo que vai funcionar magicamente para qualquer situação em que é preciso fornecer estimativas.
Eu sempre fui muito preocupada em fornecer estimativas minimamente realistas e o conteúdo sobre gestão de tempo na especialização em gerenciamento de projetos me ajudou muito a refinar a perspectiva sobre como estimar requisitos. Mas foi com a prática e com técnicas próprias que consegui me organizar para não errar feio e “queimar meu filme” quando preciso fornecer estimativas (não que às vezes eu não dê umas derrapadas).
Tem uma frase bem batida que diz que “não se pode controlar aquilo que não se pode medir” atribuída ao Peter Drucker e que tem várias adaptações. Com relação a estimativas, isso faz sentido em vários momentos, visto que é frequente desenvolvermos recursos ou funcionalidades que são semelhantes a algo que já foi desenvolvido anteriormente. Ter essas métricas ajudam também a acompanhar a nossa evolução enquanto profissionais.

Documente suas tarefas para criar uma base de conhecimento

Como você irá lembrar quanto tempo leva para fazer um determinado recurso se você não tem isso documentado? Possivelmente, são nesses momentos que entram os chutes nas estimativas, o famoso “olha, se não me engano, leva X tempo pra fazer isso, mas eu tenho que dar uma olhada aí”.
Uma estratégia que adoto desde 2012 para me ajudar nas estimativas, é documentar a duração real de determinadas tarefas em uma planilha após tê-las realizado. Essa documentação não tem somente a duração, mas detalhes da tarefa, o que precisava ser entregue, qual era o requisito e quais problemas ocorreram.
Ter uma base histórica do que já fizemos, quanto esforço despendemos e como fizemos, ajuda também a não reinventar a roda, até mesmo porque não dá pra confiar só na memória.
Na imagem a seguir apresento o modelo que usava para documentar as atividades de QA, quando atuei como analista de testes, uma função nova para mim, na época em que eu não tinha experiência.
Documentar as tarefas que eu fazia começou a me ajudar muito quando precisava fornecer estimativas, mesmo para atividades novas. A estrutura da planilha pode variar muito de acordo com sua função e as suas necessidades. Para front-end, eu coloco outros atributos e para análise de negócios e requisitos (quando atuei nessa função) eram outras informações a serem registradas.

Planilha de documentação das minhas métricas de teste com as colunas: projeto, tipo de teste, descrição do teste, condições do teste e duração da tarefa quando realizei, em horas. Há outras colunas que não estão sendo exibidas na imagem, como observações e data da primeira realização da atividade.

Essa estrutura é semelhante a de uma biblioteca de padrões (pattern library), onde documenta-se soluções de sucesso para problemas recorrentes em um determinado contexto, com a diferença de que aqui não há a preocupação de documentar um problema recorrente e suas soluções, mas sim, fazer como se fosse um log de desenvolvimento.
Uma planilha de desenvolvimento front-end poderia ter a seguinte estrutura:
  • Projeto/Produto
  • Requisito ou Caso de Uso
  • Descrição da implementação
  • Framework utilizado
  • Bibliotecas utilizadas
  • Problemas encontrados
  • Duração prevista
  • Duração real (em horas)
  • Prazo previsto
  • Período real (em dias)
Se você realizar uma atividade semelhante em outro projeto/produto, vale a pena registrar novamente na tabela para ter um comparativo entre os tempos/prazos, se foram encontrados problemas diferentes, se as durações reais se aproximaram das estimativas e se você agora consegue produzir a mesma funcionalidade de forma mais rápida com o passar do tempo.
Mas como eu contabilizo esse tempo? Vou ter que ficar com um timer, marcando no relógio? Não! Existem muitas ferramentas que podem te ajudar a automatizar essa contagem:
  • WakaTime: contabiliza quanto tempo você programou por dia fornecendo métricas por linguagem, editor, sistema operacional e, se você usa GitHub, por projeto do GitHub. Integra com diversos editores e até com o navegador;
  • RescueTime: para quem não trabalha com código (e pra quem trabalha também), o RescueTime mede quanto tempo quando você passa em aplicações e sites, categorizando cada aplicação e classificando entre ferramentas produtivas, neutras ou improdutivas. É um ótimo recurso para acompanhar sua produtividade também;
  • Traxmo: É uma aplicação web de gerenciamento de projetos gratuita para usuários únicos que permite criar projetos e tarefas da forma como quiser. Para as tarefas, você pode inserir o tempo manualmente ou usar um cronômetro, o que é muito útil. Essa ferramenta eu uso constantemente quando faço freelas.
Essas ferramentas também ajudam a medir quanto tempo, em média, você passa codificando ou usando as ferramentas técnicas do dia-a-dia, permitindo que você saiba o seu tempo produtivo diário e use isso como parâmetro para estimativas futuras. Se você programa cerca de 3,5 horas por dia, uma tarefa que leva 8 horas pode ser estimada com um prazo de três dias.
Tem alguma outra sugestão? Deixe nos comentários.

Organize a forma como você faz os commits para ajudar em estimativas futuras

Você pode resgatar o histórico de commits de uma funcionalidade para estimar ao menos o prazo de realização de uma funcionalidade semelhante a outra que você já fez. Mas isso vai depender uma boa estruturação dos commits e das mensagens de commit.
Eu costumo aplicar a técnica de commits atômicos. Eles facilitam a revisão de código, a reversão, caso algo tenha sido mal-sucedido ao longo do desenvolvimento da funcionalidade, e facilitam no momento de descrever os commits. Traduzindo o exemplo desse artigo de Nathan Rambeck, uma série de commits atômicos (e suas respectivas mensagens) no desenvolvimento de um formulário poderia ser:
  • Criado o HTML para o formulário
  • Estilização do formulário
  • Adição de validação HTML5
  • Correção de alguns erros de JS
  • Adição da submissão do formulário via AJAX com resultados do servidor ‘mockados’ do PHP
  • Adição de validação JS ao formulário
  • Log dos resultados do formulário no banco de dados
  • Estilização da validação de formulário e de mensagens de erro/sucesso
Se alguém perguntar como fazer um formulário semelhante, você tem registros disso. Se alguém pedir um prazo para estilizar um formulário e as mensagens de validação, você tem registros disso também. Triangulando as informações desses commits com os registros do WakaTime, por exemplo, você consegue ter uma base para estimar tanto o tempo, quanto o prazo através de uma estimativa por analogia.

Reduza riscos de potenciais atrasos com a estimativa de três pontos

Dar um prazo acurado não significa dar um prazo justo. Sempre podem acontecer imprevistos que acabam atrasando alguma tarefa. Por isso, a gente tem que contar com a famosa “gordurinha” nas estimativas que fornecemos, já contando com alguns riscos e imprevistos. O problema é que colocar essa “gordurinha” pode ser subjetivo também.
Particularmente, gosto muito de usar a técnica PERT, também chamada de estimativa de três pontos. Ela consiste em calcular a duração média de uma tarefa utilizando uma estimativa otimista (O), mais provável (MP) e pessimista (P) aplicando o seguinte cálculo:
PERT = (O + 4 x MP + P) / 6
Se você tem uma tarefa A com estimativa otimista de 12h, mais provável de 17h e pessimista de 28h, o resultado seria uma média de 18h para realizá-la:
A = (O + 4 x MP + P) / 6 = (12 + 4 x 17 + 28) / 6 = 18 h
Bom, apenas uma hora de alívio pode não ser suficiente. Então você pode – se desejar – aliar ao cálculo também a variância entre a estimativa pessimista e otimista (V = ((P-O)/6)²) e o desvio padrão (DV = (P-O)/6), que mostra o quanto a duração da atividade pode variar para mais ou para menos dentro dessa estimativa. Costumo somar o desvio padrão ao resultado do PERT, para ter um fôlego ainda maior, sem ficar muito próximo à estimativa pessimista.

Considerações Finais

Existem inúmeras técnicas de estimativas. Não existe a melhor, existe a estratégia que pode ser mais adequada à você, ao seu time e ao projeto/produto em que você está trabalhando. Neste artigo, compartilhei algumas técnicas que venho utilizando ao longo dos anos e têm se mostrado efetivas, sendo meus “2 centavos” para contribuir com esse tema que é tão vasto e polêmico.
Mas as técnicas não ajudam se não houver uma gestão eficiente e se o projeto já começar errado sem elencar adequadamente os requisitos, como pode ser percebido pelos resultados da pesquisa apresentadas na Parte 01.
Metodologias, processos e ferramentas não salvam projeto/produto mal gerenciado. Devs: cobrem levantamento de requisitos, conversem com partes interessadas e usuários e se envolvam nesse processo. Gestores: não levem projetos adiante por pressão se não souberem minimamente o que precisa ser feito. Requisitos podem, sim, ser elicitados de forma iterativa, mas isso não significa começar a desenvolver a partir de uma página em branco.

Os conceitos por trás da Inteligência Artificial e seu impacto nas organizações

Por Gabriel Alencar em 29/01/2018 no site Profissionais TI



Você já deve ter percebido que, com o passar do tempo, a inteligência artificial (AI, na sigla em inglês) está cada vez mais inserida no dia a dia da maioria das organizações. Seja quando você contrata uma empresa que consegue proteger as suas informações críticas de ataques cibernéticos, antecipando ou bloqueando tais ataques por meio da identificação de fluxos de dados anormais, seja quando a Amazon faz sugestões de produtos baseadas nos padrões de busca e de consumo dos clientes, a AI já está presente nos mais diversos mercados,
Para esse avanço ser possível, foi necessário muito esforço e tempo de desenvolvimento da tecnologia para suprir as necessidades de armazenamento de dados. Superada essa barreira, o próximo desafio foi transformar essa grande quantidade de dados em informações poderosas e cruciais para a tomada de decisões estratégicas. E é aí que entra em cena a inteligência artificial: para ajudar na análise de grandes volumes de dados, de forma ágil. Podemos subdividir a evolução da AI em três momentos: no início, só era possível executar tarefas específicas; em seguida, foi possível reproduzir em alguma medida capacidades e comportamentos de um humano; e, agora, ela sinaliza a possibilidade de superar até os cérebros humanos mais brilhantes.
Um relatório publicado pela PwC dá a noção do impacto que a AI pode causar em todo mundo: segundo estimativas, essa tecnologia poderá adicionar US$ 15,7 trilhões à economia mundial em 2030. Em termos comparativos, esse valor representa mais do que os PIBs de Índia e China somados em 2016. O relatório diz ainda que grande parte do aumento do PIB global será causado pela AI, o que promoverá o aumento da gama de produtos, permitirá uma maior personalização de serviços e os tornará mais acessíveis (economicamente). 
Entender como a AI funciona pode parecer um pouco complexo. No entanto, os conceitos-chave apresentados a seguir podem ajudar no seu entendimento e aplicação nas organizações.

Quais conceitos-chave você precisa entender?

Existem diversos termos ligados a tecnologias cognitivas que estão em voga hoje, como inteligência artificial (AI), aprendizado de máquina (Machine Learning, ou ML, no original) e aprendizado profundo (Deep Learning, ou DL). Para entender melhor como todos estes termos estão conectados, vamos começar pelo mais genérico e avançar até o mais específico.
O conceito de inteligência artificial vem sofrendo algumas modificações à medida que o desenvolvimento desta tecnologia avança. Entretanto, podemos resumi-lo como uma tecnologia que possui inteligência. É isso que torna a AI um dos termos mais abrangentes no contexto das tecnologias cognitivas.
Dentro do campo da inteligência artificial, temos uma subárea chamada aprendizado de máquina (ML). Sua aplicação vem substituindo a programação tradicional para determinados usos, tendo em vista que ela consegue criar programas baseados em dados em vez de regras limitadas. Ou seja, uma máquina que consegue aprender sem o uso de um código específico. Isso permite a uma máquina a capacidade de se auto modificar e melhorar o próprio desempenho sem intervenção humana.
Avançando um pouco mais, temos o chamado aprendizado profundo, que é uma subárea do ML e funciona através das chamadas redes neurais, exatamente pela semelhança com a complexidade das conexões entre neurônios nos nossos cérebros. O DL é uma nova possibilidade para superar os problemas enfrentados por algoritmos mais antigos de aprendizagem, tais como inferência bayesiana e regressão. Enquanto os algoritmos anteriores tendiam a alcançar um limite de desempenho com o aumento de dados aos quais eles eram expostos, os algoritmos de deep learning só melhoram os seus resultados.
Agora vamos conhecer como algumas empresas estão se diferenciando pelo uso da tecnologia de deep learning e modificando diversos paradigmas. Transcrições de fala, traduções em tempo real, reconhecimento facial, máquinas vencendo jogadores profissionais, veículos autônomos ou, até mesmo, o caso de um engenheiro norte-americano que usou uma rede neural para prever e escrever o “sexto livro” de “Game of Thrones”. Estas são algumas das aplicações e onde a “magia” acontece.

Deep learning para previsões meteorológicas

The Weather Company (TWC), da IBM, está usando uma técnica que permite treinar sistemas para o reconhecimento de eventos meteorológicos incomuns com base na análise das alterações nos padrões de dados climáticos. A TWC vende serviços de previsão meteorológica específicos para cada ramo de negócio, ajudando seus clientes a prevenir danos e se preparar para eventos climáticos extremos.
No setor de energia, por exemplo, esses serviços podem otimizar a geração de energia renovável através da análise de dados históricos, o que permite saber onde é mais interessante instalar as estruturas necessárias e quando gerará maior rentabilidade. Já no setor de seguros, os serviços permitem estreitar o relacionamento com os clientes, evitando perdas financeiras e diminuindo o número de sinistros relacionados a eventos meteorológicos. Na aviação, as operações e a segurança de tráfego aéreo podem ser melhoradas com o acesso a informações disponibilizadas em tempo real para os pilotos.

Prevendo e antecipando ataques cibernéticos com deep learning

Com os hackers tentando invadir até mesmo os sistemas mais complexos, a empresa Deep Instinct conseguiu desenvolver um algoritmo poderoso de DL para cibersegurança que pode prever quando e de onde virá o próximo ataque.
O diferencial é que eles não só conseguem prever o ataque. Uma vez que o ataque é identificado, ele é bloqueado em tempo real, prevenindo qualquer tipo de dano ou vazamento de informações. O serviço tem como objetivo principal a prevenção, enquanto outras empresas normalmente focam no momento após o ataque e visam apenas minimizar os danos causados.

O que esperar da AI para o futuro das organizações?

Cena do filme “Ex-Machina”: a realidade começa a imitar a ficção com a AI cada vez mais perto do dia a dia das empresas
Cena do filme “Ex-Machina”: a realidade começa a imitar a ficção com a AI cada vez mais perto do dia a dia das empresas
De acordo com Gartner, até o ano de 2020, pelo menos 30% dos CIOs irão incluir a AI dentre os cinco principais investimentos da área de TI. Isso demonstra que as iniciativas para tornar as tomadas de decisão embasadas em análises de dados estão valorizadas dentro das empresas. Ainda segundo Gartner, 59% das organizações pesquisadas já estão reunindo as informações necessárias para construir uma iniciativa estratégica de Inteligência Artificial.
Tendo em vista o valor representado pelas novas tecnologias, é de suma importância entendermos como a AI pode ajudar as organizações nas missões futuras. Enquanto algumas empresas insistem em utilizar modelos obsoletos, outras já estão implantando as mais novas ferramentas para obter vantagens competitivas e estar na vanguarda. Em um horizonte não muito distante, a expectativa é de que, aqueles que não se adaptarem nem seguirem as tendências tecnológicas, tenham sua participação de mercado reduzida.

segunda-feira, 29 de janeiro de 2018

Phishing Scam: Hackers Steal $900,000 from County Office

Por Wagas em 28/01/2018 no site HackRead


Another day, another phishing scam – This time Harris County, Texas wired almost $900,000 after falling for a phishing email.
In normal circumstances, cybercriminals take advantage of the lack of knowledge of their victims but in this phishing attack, they have touched new lows by making a profit out of the devastation caused by hurricane Harvey.

Transfer $888,000 “She” Said

It all started on September 21st, 2017 when an estimated 30 percent of Harris County, Texas was submerged due to hurricane Harvey. The auditor’s office of the county received an email from a woman going by the supposed name of Fiona Chambers in which she posed as an accountant for D&W Contractors, Inc.
D&W Contractors, Inc. is a legitimate company that happened to be working that day to fix the damage caused by the hurricane in the county. In the email, Chambers asked the office to transfer a sum of $888,000 to the new bank account of the Contractors as part of its contract. 
“If we can get the form and voided check back to you today would it be updated in time for our payment?” according to the email content mentioned by Houston Chronicle.
In return, the county transferred $888,000 to the bank account provided by Chambers without verifying if the bank account actually belonged to D&W Contractors, Inc. or not. The very next day, it turned out that the county has fallen for a tricky phishing scam and that there was no one by the name of Fiona Chambers in the company neither was there a bank account belonging to the contractors.
Now, the incident is being investigated by the FBI (Federal Bureau of Investigation) and their prime suspect is a group that is known for targeting local governments worldwide. On the other hand, the county has learned its lesson and vows to increase its cybersecurity and overhaul and learn from how it handled the situation.
“We live in a rapidly changing world of technology that you can’t just sit pat and expect that the bad guys aren’t going to come after you. I think we need to look at all of our systems to be sure that somebody can’t get in and steal taxpayer money” said Harris County Judge Ed Emmett said.

Previous Scam Link Back To China

In June last year, a similar incident took place in which a state Supreme Court judge Lori Sattler, who was in the process of selling her apartment to buy another one received an email she believed came from a legitimate real estate lawyer.
In the email, the supposed lawyer asked her to transfer $1 million to a bank account. Following the instruction, she transferred a sum of $1,057,500 to the bank account, however, the money was sent to a bank in China, reportedly Commerce Bank of China rather than the lawyer.
It is unclear if both cases are related but what is similar in both cases is that attackers know the exact situation of their victims along with their business dealings. Nevertheless, phishing scams are becoming sophisticated and unsuspecting users need to remain vigilant, avoid downloading attachments from unknown emails and always confirm the authenticity of the email before giving away your personal information or wiring funds. 
Here are some useful tips to secure yourself from phishing attacks.