O problema em números do dia a dia

O smartphone virou a “chave-mestra” da vida digital: mensagens, localização, fotos, apps bancários, credenciais.

O Brasil figura entre os países mais visados por golpes via apps maliciosos (adware/spyware/trojans), muitas vezes disfarçados de aplicativos legítimos.

Mesmo com proteções nativas, muitos usuários mantêm padrões de fábrica ou desativam defesas por acharem “incômodas” uma falha de experiência, não de falta de recurso.

O que o estudo analisou

• Recursos nativos (Android/iOS): autenticação e bloqueio, painel de permissões em tempo de execução, controles de localização, detecção de apps maliciosos, criptografia em repouso e atualizações de segurança.

• HCI aplicada à segurança: quanto mais clara, simples e contextual for a interface, maior a chance de adesão.

• Regulação: LGPD exige transparência, segurança desde o design (Privacy by Design) e padrões protetivos por padrão (Privacy by Default); CDC demanda informação adequada e proteção contra práticas abusivas.

Achados principais

Usabilidade x Segurança

1. Interfaces com menus aninhados e termos ambíguos levam a erros (ex.: confundir “limpar cache” x “limpar dados”). O usuário concede permissões por hábito ou medo de “quebrar” o app.

   
   

2. Cansaço de permissões

   Diálogos pouco pedagógicos geram “clique automático”, neutralizando o benefício do modelo granular. Microalertas e nudges bem desenhados ajudam.

   
   

3. Proteções “invisíveis” são subvalorizadas

   Criptografia e patches de segurança funcionam “nos bastidores”; sem feedback claro, o usuário ignora updates.

   
   

4. Responsabilidade compartilhada

   Não basta “jogar” a culpa no usuário. Fabricantes e desenvolvedores têm dever legal e ético de simplificar, explicar e proteger por padrão.

Implicações legais (LGPD)

Transparência e linguagem clara não são “nice to have”: são obrigatórias, interfaces confusas podem ferir o direito à informação e a exigência de privacy by default.

Padrões protetivos por padrão e atualizações sustentáveis (suporte razoável a dispositivos) reduzem exposição e responsabilidade.

Recomendações práticas para quem usa

• Ative o bloqueio com biometria + PIN forte; evite apenas padrão de desenho.

• Revise permissões por tipo de dado (localização, câmera, microfone, fotos, contatos) e por app.

• Localização: prefira “Enquanto em uso” e precisa x aproximada conforme a necessidade.

• Atualizações: deixe automáticas no sistema e nas lojas (Play/App Store).

• Apps: instale só por lojas oficiais; desconfie de APKs/links.

• Encontrar meu dispositivo: ative e teste (bloqueio e limpeza remotos).

• Backups: configure para serviços confiáveis com autenticação forte.

Recomendações para empresas

• Privacy by Default real: permissões mínimas, opt-in explícito e reversível, padrões restritivos.

• Textos e fluxos pedagógicos: explicar por que e para quê cada permissão, com exemplos concretos.

• Micro-feedbacks úteis: indicadores de câmera/microfone, alertas de uso de localização em segundo plano, trilhas de auditoria legíveis.

• Nudges éticos: lembretes contextuais para revisar permissões, revocation moments após picos de uso.

• Suporte estendido e updates silenciosos: reduzir fricção e ampliar janela de proteção.

• Testes de usabilidade focados em segurança (heurísticas específicas para mobile) e inclusão de perfis vulneráveis (crianças, idosos).

Conclusão

A segurança móvel não é só técnica: é, sobretudo, experiência. Enquanto as configurações permanecerem difíceis de achar e de entender, teremos um abismo entre intenção e prática. O caminho passa por interfaces mais intuitivas, padrões protetivos e educação digital, amparados por LGPD e CDC. Assim, os benefícios do smartphone podem ser colhidos com segurança por quem usa e por quem desenvolve.

BELO, Felipe; CARNEIRO, Vitor F. Privacy and Security in Smartphones: Usability Barriers, Behavioral Nudges, and Compliance. 2025.

Quem tiver interesse em ler na integra, segue o artigo completo!

A Inteligência em Fontes Abertas, conhecida como OSINT (Open Source Intelligence), representa um conjunto de metodologias e técnicas para coleta, análise e disseminação de informações disponíveis publicamente. Este artigo apresenta as principais técnicas e ferramentas utilizadas na prática de OSINT, organizadas conforme as etapas de investigação, oferecendo um guia prático para entusiastas e profissionais da área de segurança.

A OSINT pode ser definida como o processo de obtenção de dados ou conhecimentos de livre acesso, sem obstáculos à sua obtenção. Diferentemente de bancos de dados restritos, como os de acesso exclusivo da polícia, as fontes abertas estão disponíveis para qualquer pessoa, como informações em Portais da Transparência, sites governamentais e redes sociais. (o maior acervo BR de OSINT - GitHub - osintbrazuca/osint-brazuca: Repositório criado com intuito de reunir informações, fontes(websites/portais) e tricks de OSINT dentro do contexto Brasil.)

O ciclo de produção de conhecimento em OSINT compreende quatro fases essenciais:

1. Coleta: realizada com cuidado e curadoria das fontes;

2. Análise: preferencialmente livre de vieses cognitivos;

3. Disseminação: compartilhamento do conhecimento coletado e analisado;

4. Tomada de decisão: encaminhamento adequado da informação.

   
   

A OSINT possui aplicações diversas, desde o jornalismo investigativo e o setor corporativo industrial até o âmbito processual e policial. No entanto, é importante ressaltar que práticas criminosas também podem ser desenvolvidas com base na coleta de dados por OSINT, como a aplicação de golpes virtuais utilizando informações pessoais vazadas na internet.

Para otimizar a busca em fontes abertas, é recomendável seguir um roteiro que facilite a coleta e organização das informações. Inicialmente, é aconselhável começar a pesquisa pelos buscadores da internet (Google, Bing, Yandex, DuckDuckGo), seguindo para plataformas governamentais, notícias online e, por fim, mídias sociais.

Os principais desafios ao trabalhar com OSINT incluem:

1. A imensa quantidade de informação disponível;

2. A confiabilidade das informações e proteção de dados pessoais;

3. A dificuldade de acesso em algumas fontes;

4. Os procedimentos de coleta;

5. As barreiras linguísticas;

6. O uso crescente de Inteligência Artificial para produção de conteúdo.

   
   

Para garantir a validade da informação coletada, é fundamental analisar a fonte emissora, confrontar dados por meio de outras ferramentas (double check) e manter um registro organizado do procedimento de consulta.

Ferramentas para organização de pesquisa OSINT:

Trello: https://trello.com/ - Auxilia na organização de funções e checklist de atividades;

XMind: https://xmind.app - Produção de mapas mentais para sistematizar conteúdo;

MindMaps: https://www.mindmaps.app/ - Sistematização de conteúdo.

Ao coletar dados em OSINT, especialmente para investigações criminais, é essencial preservar o anonimato e a privacidade. Isso inclui proteger o IP do computador, a integridade dos dados e as informações da instituição vinculada.

2.1 Navegação Segura

Para obter uma navegação segura, recomenda-se:

1. Utilizar navegadores com proteção contra malware e phishing;

2. Garantir navegação sempre encriptada (HTTPS everywhere);

3. Utilizar conexão VPN;

4. Manter proteção com antivírus e firewall;

5. Evitar links suspeitos (básico né? rsrsr);

6. Realizar downloads apenas de lojas oficiais.

Ferramentas para testar a segurança do navegador:

Cover Your Tracks: https://coveryourtracks.eff.org/ - Testa o navegador contra

rastreamento e captura de impressão digital.

Browser Leaks: https://browserleaks.com/ - Consulta latitude e longitude do navegador.

2.2 Navegação Anônima e Anonimato

A navegação anônima (Ctrl+Shift+N no Windows, Ctrl+Shift+P no Apple) transforma o

browser para acesso mais anônimo, deixando de coletar algumas informações de busca (não recomendo, utilizar navegadores como Brave).

Para maior anonimato, recomenda-se o uso de:

Proxy: Intermediário entre o usuário e os sites acessados, ocultando o endereço IP.

Exemplo: Ultrasurf.

VPN (Rede Privada Virtual): Criptografa o tráfego de internet e o redireciona para

um servidor em outro lugar. VPNs recomendadas: Proton VPN, Nord VPN, Express

VPN e Cyber Ghost.

TOR: Navegador que realiza o roteamento de tráfego por nós antes de chegar ao

destino, removendo camadas de criptografia em cada nó.

Máquina Virtual: Executa diferentes sistemas operacionais isoladamente em um

mesmo computador. Exemplos: VMware e VirtualBox (o melhor dos mundos é usar outro computador).

Ferramentas para ambiente virtual seguro:

Portable APPs: https://portableapps.com/ - Aplicativos que podem ser instalados em pendrive;

Projeto TOR: https://www.torproject.org/ - Sistema para anonimato e navegação em camadas profundas da internet;

Virtual Box ou Vmware: https://www.virtualbox.org/ - Ferramenta para instalação de máquina virtual.

2.3 Assistente Virtual de Investigação (AVI) - "Sock Puppets"

O AVI é o termo que a policia usa para um perfil fictício criado com aspectos de segurança e anonimidade, com conotação ética e legal, utilizado para coleta de informações no ambiente digital em investigações e produção de inteligência. Já no "mundo cyber" o termo é chamado de Sock Puppets (tem praticamente a mesma finalidade) que são perfis fictícios usados para obter anonimato em investigações de OSINT (Open Source Intelligence) e threat intelligence. Eles permitem que pesquisadores acessem informações sem revelar sua identidade real, evitando rastreamento e protegendo sua privacidade. Esses perfis podem ser usados para infiltração em comunidades online, coleta de dados e monitoramento de ameaças digitais. Sock Puppets in OSINT | SANS Institute

No contexto de OSINT, os sock puppets ajudam a evitar que alvos percebam que estão sendo investigados. No entanto, é essencial seguir boas práticas de segurança operacional (OPSEC), como separar completamente a identidade real do perfil fictício e utilizar ferramentas como VPNs e proxies para reforçar o anonimato.

Para que o Sock Puppets seja efetivo, é necessário:

1. Manter a rotina do AVI armazenada e organizada;

2. Separar a rotina de acessos pessoais da rotina do perfil fictício;

3. Traçar um planejamento do alvo a ser analisado/investigado;

4. Não transmutar o objetivo de um AVI criado para outra funcionalidade;

5. Adequar o perfil investigativo ao delito investigado e à linguagem regional/do que esta sendo pesquisado/investigado;

6. Digitar manualmente os dados para criar cadastros (evitar copiar e colar);

7. Ajustar os metadados de imagens.

Ferramentas para criação de AVI:

Para criação de nomes e endereços: - 4Devs: https://www.4devs.com.br/

Gerador de pessoas - Random Name Generator:https://www.behindthename.com/random/

Fake Name Generator: https://pt.fakenamegenerator.com/

Elf Qrin: https://www.elfqrin.com/

Para criação de imagens e fotos de perfil: https://thispersondoesnotexist.com/ (toda vez que é acessado ou é feito refresh na pagina ele gera uma nova face).

This X Does Not Exist: https://thisxdoesnotexist.com/

Fotor: https://www.fotor.com/

Unreal Person: https://www.unrealperson.com/

Night Café: https://creator.nightcafe.studio/ai-face-generator

Generate Photos: https://generated.photos/face-generator/new

Opanda iExif: http://opanda.com/en/iexif/ (para modificação de metadados).

Para números telefônicos com VOIP: Mintmobile: https://www.mintmobile.com/

JustVoip: https://www.justvoip.com/dashboard

OnlineSim: https://onlinesim.io/

Hushed: https://hushed.com/

Para serviços de e-mail: https://simplelogin.io/

Firefox Relay: https://relay.firefox.com/

Mailsac: https://mailsac.com/

Maildrop: https://maildrop.cc/

Temp Mail: https://tempmail.plus/pt/#

Temporary Mail: https://temporarymail.com/

Minute Inbox: https://www.minuteinbox.com/

10 Minute Mail: https://10minutemail.net/

Proton Mail: https://protonmail.com/pt_BR/

Para testar a segurança da navegação: - What Is My Browser:

https://www.whatismybrowser.com/detect/what-is-my-user-agent/

What's My UA: https://www.whatsmyua.info

Os mecanismos de busca são ferramentas essenciais que economizam tempo de pesquisa, indexando diversos resultados relacionados a determinados assuntos. Os algoritmos pesquisam inúmeras páginas da web e identificam palavras-chave, fornecendo uma lista de resultados relevantes. Os metabuscadores oferecem consulta simultânea em múltiplas plataformas, agregando os resultados em uma única página. Exemplos incluem Google, Bing, Yahoo e Yandex.

3.1 Google Dorks

Google Dorks (ou hacking do Google) é uma técnica de pesquisas avançadas com a finalidade de revelar informações específicas que normalmente não são encontradas em buscas convencionais, como senhas e documentos sensíveis.

Sites com Dorks já utilizadas e/ou geradores de Dorks:

Google Dorks focado em exploração de sistemas: https://www.exploit-db.com/google-hacking-database

Dork Genius: https://dorkgenius.com/

Gerador de dorks com base em IA: https://www.dorkgpt.com/

Outros uteis: https://inacioti.github.io/OSINT-DORK/#

Google Dorks for Bug Bount

4.1 Domínios: Sites, Hospedagens e Responsabilidades

A análise de domínios é fundamental para identificar responsáveis por sites e entender a estrutura de hospedagem. Ferramentas de WHOIS permitem obter informações sobre o registro de domínios, incluindo dados de contato do proprietário, datas de criação e expiração, e servidores DNS.

Ferramentas para análise de domínios:

WHOIS: https://whois.domaintools.com/

Registro BR: https://registro.br/

Domain Tools: https://www.domaintools.com/

Who.is: https://who.is/

ViewDNS.info: https://viewdns.info/

4.2 Email Header (cabeçalho de e-mail)

O cabeçalho de e-mail contém metadados que podem ser analisados para verificar a autenticidade da mensagem e rastrear sua origem.

Ferramentas para análise de e-mail:

Email Header Analyzer: https://mxtoolbox.com/EmailHeaders.aspx

Message Header Analyzer: https://mha.azurewebsites.net/

Mail Header: https://mailheader.org/

5.1 SOCMINT - Redes Sociais

As redes sociais são excelentes fontes de pesquisa em OSINT, pois contêm um grande volume de dados sobre a vida das pessoas: fotos, vídeos, áudios compartilhados diariamente.

A SOCMINT é utilizada para realizar o acompanhamento de pessoas pelas redes sociais, análise de sentimento (postagens positivas, postagens negativas), verificar redes de relacionamento (aspectos voltados ao relacionamento familiar, sentimental, comercial) e padrões de comportamento (frequência de postagens, dias e turnos mais ativos)... vulgo stalkear.

Ferramentas para análise de redes sociais:

• Iconosquare

• Samaia IT

• Crowdtangle

Buscas por ID e Username

A busca por ID é importante porque, enquanto um usuário pode alterar seu nome diversas vezes nas redes sociais, o ID permanece o mesmo. Já a busca por username pode ajudar a:

1. Localizar outras redes sociais do mesmo usuário;

2. Obter indicativos de nome (prenome, sobrenome);

3. Descobrir data e ano de nascimento;

4. Identificar telefones vinculados.

Ferramentas de busca de username:

Check Usernames

Name Check

Insta Username

Peek You

Analize ID

Whats My Name

Namint

6.1 Imagens, Vídeos, Telefones e Mapas

A análise de conteúdo multimídia pode revelar informações valiosas, como localização, data e dispositivo utilizado para captura.

6.2 Ferramentas para Pesquisa em Imagens e Vídeos Exchangeable Image File Format (EXIF)

Os metadados EXIF podem conter informações como data e hora da captura, modelo da câmera, configurações utilizadas e, em alguns casos, coordenadas GPS.

Ferramentas para análise de imagens:

ExifTool: https://exiftool.org/

Jeffrey's Image Metadata Viewer: http://exif.regex.info/exif.cgi

Foto Forensics: https://fotoforensics.com/

TinEye: https://tineye.com/

Google Images: https://images.google.com/

6.3 Pesquisa por Telefones

A análise de números telefônicos pode revelar informações sobre o proprietário, localização e operadora. Ferramentas para pesquisa de telefones:

Truecaller: https://www.truecaller.com/

Sync.ME: https://sync.me/

PhoneInfoga: https://github.com/sundowndev/phoneinfoga

6.4 Pesquisas por Endereços

A análise de endereços pode revelar informações sobre propriedades, vizinhança e histórico de ocupação.

Ferramentas para pesquisa de endereços:

Google Maps: https://maps.google.com/

Google Earth: https://earth.google.com/

Street View: https://www.google.com/streetview/

Wikimapia: https://wikimapia.org/

7.1 Investigação Patrimonial (Pessoas & Empresas)

A investigação patrimonial permite identificar bens, propriedades e relações financeiras de pessoas físicas e jurídicas.

Ferramentas para investigação patrimonial:

Portal da Transparência: https://www.portaltransparencia.gov.br/

Receita Federal: https://www.gov.br/receitafederal/

CNPJ.biz: https://cnpj.biz/

Consulta CNPJ: https://www.consultacnpj.com/

7.2 Sites Oficiais e Transparência Pública

Os sites oficiais e portais de transparência são fontes valiosas de informações sobre órgãos públicos, servidores e gastos governamentais. (verificar link do OSINT Brazuca no começo do artigo).

As ferramentas integradoras combinam diversas funcionalidades OSINT em uma única plataforma, facilitando o processo de coleta e análise de informações.

Cipher 387 https://github.com/cipher387 - Repositório com diversas ferramentas OSINT.

Awesome OSINT https://github.com/jivoi/awesome-osint - Lista curada de recursos OSINT.

DMI Tools https://wiki.digitalmethods.net/Dmi/ToolDatabase - Banco de dados de ferramentas para métodos digitais.

OSINT Framework - https://osintframework.com/ - Coleção de várias ferramentas OSINT divididas por categoria.

INTEL TECHNIQUES https://inteltechniques.com/tools/ - Conjunto de ferramentas para investigação online.

OSINT Geek Tools https://osint.geektools.com/ - Ferramentas para pesquisa OSINT.

Caipora - Caipora Ferramenta Brasileira criada para auxiliar nas investigações de fontes abertas.

Illicit Services BUSCA DeepWeb pessoas https://search.0t.rocks/   

A OSINT é uma disciplina em constante evolução, com novas ferramentas e técnicas surgindo regularmente. É fundamental que os profissionais e estudantes da área mantenham-se atualizados e pratiquem regularmente para aprimorar suas habilidades.

É importante ressaltar que a utilização de OSINT deve sempre respeitar princípios éticos e legais. A coleta e análise de informações em fontes abertas não deve violar a privacidade das pessoas ou infringir leis de proteção de dados.

Por fim, a eficácia da OSINT depende não apenas das ferramentas utilizadas, mas também da metodologia aplicada e da capacidade analítica do investigador. A combinação de diferentes fontes e a verificação cruzada de informações são práticas essenciais para garantir a confiabilidade dos resultados obtidos.

Referências

• Bazzell, M. (2021 ). Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information. CreateSpace Independent Publishing Platform.

• Hassan, N., & Hijazi, R. (2018). Open Source Intelligence Methods and Tools: A Practical Guide to Online Intelligence. Apress.

• Nordine, J. (2021). Open Source Intelligence Analysis: A Methodological Approach. Rowman & Littlefield Publishers.

• Barreto, A. G., & Wendt, E. (2024). OSINT: ferramentas & metodologias Porto Alegre: WB Educação.

• Portal Brasileiro de Dados Abertos: https://dados.gov.br/

Já estamos mais do que cientes que o mundo cloud veio pra ficar... as empresas estão cada vez mais migrando sua infraestrutura on-premises para a nuvem, e com isso a abordagem de segurança também deve acompanhar essa evolução. Basicamente os controles de segurança que precisamos fazer em infraestrutura baseada em nuvem são diferentes daqueles para um datacenter tradicional. Há também ameaças específicas para um ambiente de nuvem...como por exemplo o guia da Owasp: OWASP API Security - Top 10 | OWASP e também OWASP Cloud-Native Application Security Top 10.

Ta beleza mas eai? qual certificação voltada pra segurança devo fazer? bom...baseado em um levantamento das principais vagas e clouds mais usadas, elenquei as seguintes certs a seguir...

Azure Security Engineer Associate

Lógico que eu iria começar por ela né heheh...recentemente fui aprovado, depois de 2 longos meses estudando (certificação mais difícil que fiz até o momento). Essa certificação visa validar sua experiência na implementação de controles de segurança e proteção contra ameaças na plataforma Azure da Microsoft, bem como as habilidades para gerenciar identidade e acesso e proteger dados, aplicativos e redes. Como acontece com muitas das certs desta lista, não há pré-requisitos formais, mas isso não é para novatos: espera-se que você não só já seja um administrador especialista do Azure, mas também tenha habilidades sólidas de scripting e automação, e uma compreensão de redes, virtualização e arquiteturas baseadas em nuvem.

Oferecido por: Microsoft

Pré-requisitos: Nenhum, embora a Microsoft tenha treinamento, ela recomenda que você conclua.

Formato do teste: 40-60 questões de múltipla escolha.

Custo: $ 165

Site oficial: https://docs.microsoft.com/en-us/learn/certifications/azure-security-engineer/

CompTIA Cloud+

Cloud+ é uma certificação geral de administração de nuvem em vez de um cert de segurança, mas inclui um amplo conteúdo de segurança na nuvem e muitos profissionais da área mencionaram ela como uma boa cert intermediaria, na qual demonstra tanto conhecimento em segurança quanto em cloud. É um sucessor do comptia cloud essentials+ ela é bem técnica; embora não haja pré-requisitos formais, recomenda-se dois a três anos de experiência sysadmin.

Oferecido por: CompTIA

Pré-requisitos: Nenhum

Formato do teste: 90 questões baseadas em desempenho e de múltipla escolha

Custo: $ 338

Site oficial: https://www.comptia.org/certifications/cloud

AWS Certified Security — Specialty

O AWS da Amazon é provavelmente a plataforma de nuvem pública mais usada e, portanto, obter certificação de segurança para isso pode aumentar suas perspectivas de emprego. Um AWS Certified Security — Specialty — demonstra um entendimento das classificações especializadas de dados e medidas de proteção da AWS, como a AWS implementa criptografia e os serviços e recursos de segurança incorporados na plataforma.

Oferecido por: AWS

Pré-requisitos: Nenhum

formato de teste: 65 perguntas de múltipla escolha.

Custo: $300 (você pode comprar um exame de prática por $40)

Site oficial: https://aws.amazon.com/certification/certified-security-specialty/

Professional Cloud Security Engineer

O título deste cert pode parecer genérico, mas é especificamente orientado para o Google Cloud, arredondando os provedores de plataformas de nuvem Big Three. Um titular da certificação Professional Cloud Security Engineer deve ser capaz de projetar e implementar uma infraestrutura segura na nuvem do Google.

Oferecido por: Google

Pré-requisitos do Google: Nenhum

formato de teste: 50 perguntas de múltipla escolha e várias seleções

Custo:$200

Site oficial: https://cloud.google.com/certification/cloud-security-engineer

Certified Kubernetes Security Specialist (CKS)

Kubernetes é a plataforma dominante para orquestrar aplicativos baseados em contêineres, que na prática quase sempre funcionam na nuvem. A certificação CKS é para profissionais de alto nível da Kubernetes que querem demonstrar que entendem as melhores práticas para proteger aplicativos baseados em contêineres desde a construção até a implantação até o tempo de execução.

Oferecido por: Cloud Native Computing Foundation

Pré-requisitos: Os candidatos devem possuir um certificado de Administrador do Kubernetes

Formato de teste: teste baseado em desempenho em que os participantes resolvem várias tarefas em uma linha de comando executando Kubernetes.

Custo: $375

Site oficial: https://www.cncf.io/certification/cks/

Com isso podemos concluir.... Todas essas certificações são uma boa forma de você conseguir chamar atenção das empresas e recrutadores, além daquela moralzinha básica pra falar de determinada tecnologia e ser bem visto no mercado, potencializando muito as chances de conseguir um bom trabalho, seja com emprego fixo ou consultorias. Porém vale lembrar que não é tudo, certificação é apenas um titulo e o que vale é o que você consegue entregar, gerar valor pra empresa... sempre digo que tirar certificação é um "fardo" que você carrega...a responsabilidade de ter o título! (lembra dos grandes poderes grandes responsabilidades né? então hehehe). Estudem e pratiquem! valeu.