julho 01, 2015

[Segurança] Eventos de Segurança no Segundo Semestre de 2015

O segundo semestre é, normalmente, mais lotado de eventos da área. Neste ano não será diferente, com o calendário tomado pelo excelente Roadsec, que está se expandindo cada vez mais pelo Brasil e, neste ano, também lançou o Roadsec Pro, a versão do evento para profissionais da área (com dinâmica e temática um pouco diferente). Outra novidade neste ano é a ausência da Black Hat São Paulo, após dois anos de edição brasileira.

A lista abaixo é dos eventos na área de segurança que eu considero que merecem a visita. Salvo indicação em contrário, estes eventos acontecem em São Paulo.
  • Julho/2015
    • 04/07: RoadSec Recife (twitter @roadsec): O pessoal do Roadsec não descansa. O evento itinerante organizado caprichosamente pela Flipside inaugura o segundo semestre em Recife (PE). Promete um sábado repleto de palestras, oficinas e competições, com alguns palestrantes previamente selecionados em conjunto com palestrantes locais. Destaque também para a competição de CTF, a HackaFlag;
    • 18/07: RoadSec Vitória (twitter @roadsec): A mesma Roadsec de sempre: ótimas palestras, oficinas e competições para o público Capixaba;
    • 31/07: RoadSec Pro Belo Horizonte (twitter @roadsec): Versão "profissional" do Roadsec, com palestras direcionadas para o público corporativo, realizado em um local específico na véspera do evento tradicional;
  • Agosto/2015
    • 01/08: RoadSec Belo Horizonte (twitter @roadsec): Neste dia o Roadsec aterrisa em Belo Horizonte (MG);
    • 18 e 19/08: VII Congresso de Crimes Eletrônicos - Evento organizado pela Fecomércio/SP que reúne especialistas, advogados, empresários, autoridades, peritos e juristas envolvidos no combate ao crime eletrônico. Inclui palestras e e debates sobre soluções e tendências. Evento gratuito e de boa qualidade;
    • 26 e 27/08: Mind The Sec - Mega-evento organizado pela Flipside, que substitui o antigo SecureBrasil, que era realizado em parceria com o (ISC)². Serão 2 dias de evento e 3 trilhas de palestras (divididas em gestão, tecnologia e soluções), além da presença do mega-hiper guru Bruce Schneier como keynote speaker. Evento direcionado aos principais profissionais de segurança do mercado;
    • 28/08: Dia Internacional de Segurança em Informática (DISI) (Brasília) - evento realizado anualmente pelo pessoal da RNP para educar e conscientizar usuários finais sobre segurança na Internet. O DISI deste ano será realizado junto com o Fórum RNP (em Brasília), com atividades de conscientização gratuitas, abertas ao público e transmitidas online, em tempo real;
  • Setembro/2015
    • 02/09: Security Leaders Forum Belo Horizonte - Versão "mini-me" do Security Leaders, com apenas um dia. Segue a receita dos painéis de debates transmitidos ao vivo com palco cheio e conteúdo vazio, além de uma área de exposição para os patrocinadores;
    • 11 e 12/09: Global Risk Meeting 2014 - Evento focado principalmente em gestão de riscos. Realizado desde 2005 pela Daryus, o evento chega em sua décima edição com dois dias de atividades com foco mais gerencial;
    • 12/09: RoadSec Rio de Janeiro (twitter @roadsec): Roadsec na cidade maravilhosa !!!
    • 15 e 16/09: CNASI São Paulo - O mais antigo evento de segurança, organizado pelo IDETI há mais de 20 anos, é direcionado ao público corporativo nas áreas de segurança, governança e compliance. O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) possui palestras, mini-cursos e paineis de debate com foco em gestão e pouco conteúdo técnico. Será realizado no centro de exposições do shopping Frei Caneca, com uma grande área de exposições para os patrocinadores;
    • 24/09: Security Leaders Forum Porto Alegre - Mini Security Leaders, com um dia de debates lotados de painelistas, transmitidos ao vivo, e com uma área de exposição;
    • 26/09: RoadSec Florianopolis (twitter @roadsec): Roadsec em Floripa;
  • Outubro/2015
  • Novembro/2015
    • 09 e 10/11: CNASI Recife - Edição regional do CNASI em Recife (PE), com dois dias de palestras, painéis de debates e uma pequena área de expositores;
    • 09 a 12/11: XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) - Este é o principal evento acadêmico sobre Segurança no Brasil, promovido anualmente pela Sociedade Brasileira de Computação (SBC), a cada ano em uma cidade distinta. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais. A edição deste ano será realizada em Florianópolis (SC), organizada pela Universidade Federal de Santa Catarina (UFSC) e pela Universidade do Vale do Itajaí (UNIVALI);
    • 18 e 19/11: Security Leaders - Evento formado por diversos painéis de debates transmitidos ao vivo e com uma área de exposição para os patrocinadores. É um evento baba-ovo, direcionado a atrair gestores de segurança (gerentes, diretores, CSOs, etc) que só aparecem para participar do debate ou receber medalha. Os painéis tem conteúdo fraquíssimo, pois a organização coloca alguns gestores convidados e representantes de fornecedores, sem que necessariamente tenham conhecimento no assunto. Felizmente (ou não) eles lotam o painel com muita gente (sete ou mais participantes!), e assim cada um tem poucos minutos para falar (o que pode ser um alívio). Apesar da baixa qualidade dos painéis, é um evento que atrai muitos patrocinadores;
    • 21/11: Nullbyte Security Conference (Salvador/BA): Segundo ano do evento destinado a movimentar a cena do hacking na capital Baiana. Palestras de excelente qualidade técnica;
Além dos eventos brasileiros, neste ano teremos vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro:
  • Ago/2015: Black Hat e Defcon, eventos importantíssimos e gigantes que acontecem em Las Vegas (EUA) no início de agosto. A Black Hat (01 a 06/08) é um dos mais importantes eventos de segurança do mundo e a Defcon (06 a 09/08) é a maior conferência hacker do mundo, com dezenas de palestras e atividades simultâneas e ingresso a US$ 220;
  • Ago/2015: Chaos Communication Camp (CCCamp): "Acampamento hacker" - ou seja, um evento realizado ao ar livre em formato de acampamento, que ocorre somente uma vez a cada 4 anos. A edição deste ano será nos dias 13 a 17 /10 em um parque formado a partir de uma antiga fábrica de tijolos, perto da cidade de Zehdenick - nos arredores de Berlin (Alemanha). Para quem está no pique, é uma ótima oportunidade de emendar com a viagem para a Defcon ;)
  • Ago/2015: BSides Las Vegas, dias 04 e 05/08, na véspera da Defcon. É uma ótima opção para quem quer aproveitar a viagem para a Defcon mas não quer (ou não pode) bancar a inscrição caríssima da Black Hat. Diversas palestras em um clima descontraído, com inscrições gratuitas (no estilo "os primeiros que chegarem entram"). Foi a conferência pioneira no formato Security BSides;
  • Set/2015: A BSides Colombia será nos dias 03 e 04 de setembro em Santiago;
  • Out/2015: BSides Chile: Com data ainda a ser confirmada, deve acontecer no dia 20 ou 21 de Outubro em Santiago;
  • Out/2015: 8.8: Evento de segurança que acontece dias 22 e 23 de Outubro em Santiago, no Chile.
  • Out/2015: Ekoparty (21 a 23/10) em Buenos Aires, Argentina. A Ekoparty é um excelente evento de segurança, o melhor da América Latina. Evento com foco principal em pesquisa em segurança e excelentes palestras técnicas;
  • Dez/2015: CCC: evento gigantesco realizado na Alemanha na semana entre o Natal e o Ano-Novo, atraindo hackers de toda a Europa. Também tem foco em hacking, com palestras técnicas e uma pegada também política. É também o mais antigo evento da atualidade.


Para ver uma lista mais completa com todos os eventos de TI e de segurança no Brasil e os principais eventos no mundo, visite o site HackAgenda e a lista disponível em concise-courses.com. .

Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.

Notas:
  • Alguns eventos ainda estão sem data marcada: Sacicon, a BSidesSP, o Roadsec São Paulo e o GTS (evento que normalmente acontece em Dezembro).

junho 30, 2015

[Segurança] Cyber Kung Fu

O pessoal do SecureNinjaTV tem um vídeo bem legal que mostra como algumas técnicas de artes marciais se assemelham com as estratégias de um ciber ataque: primeiro devemos conhecer nosso adversário e testar suas defesas, em seguida criar uma distração e, enfim, usar um ataque (exploit) contra nosso alvo, evitando um contra-ataque.



O vídeo é bem descontraído e divertido, contando com a participação Tom Updegrove, instrutor do Certified Ethical Hacker e faixa preta 8o grau de Karatê (além de ter experiência em outras artes marciais). A propósito, a experiência dele é de dar inveja...

junho 29, 2015

[Segurança] Os Controles Críticos de Segurança

O SANS Institute, em conjunto com a NSA e o Center for Internet Security (CIS), mantém o "Critical Security Controls", uma lista com os 20 controles de segurança mais críticos para as organizações. O objetivo é apresentar os principais controles que todas as empresas e entidades devem priorizar no momento de criar e investir em sua infra-estrutura de segurança.

São eles:

  1. Inventory of Authorized and Unauthorized Devices
  2. Inventory of Authorized and Unauthorized Software
  3. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
  4. Continuous Vulnerability Assessment and Remediation
  5. Malware Defenses
  6. Application Software Security
  7. Wireless Access Control
  8. Data Recovery Capability
  9. Security Skills Assessment and Appropriate Training to Fill Gaps
  10. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  11. Limitation and Control of Network Ports, Protocols, and Services
  12. Controlled Use of Administrative Privileges
  13. Boundary Defense
  14. Maintenance, Monitoring, and Analysis of Audit Logs
  15. Controlled Access Based on the Need to Know
  16. Account Monitoring and Control
  17. Data Protection
  18. Incident Response and Management
  19. Secure Network Engineering
  20. Penetration Tests and Red Team Exercises


Para ajudar a divulgar esta idéia, também existe um poster, disponível para download online, que resume o que é cada um destes controles, além do conteúdo existente na página do projeto.

junho 25, 2015

[Cyber Cultura] Snowden é pop !!!

O Edward Snowden está ficando pop !!!!

Recentemente a Anistia Internacional usou a imagem dele para divulgar uma petição online contra o vigilantismo indiscriminado dos governos dos EUA, Reino Unido, Austrália, Canadá e Nova Zelândia.


Nos últimos tempos a imagem do Edward Snowden tem sido cada vez mais associada a luta a favor da privacidade e da liberdade de expressão na Internet, e ele está gradativamente ganhando uma áura de herói e símbolo desta luta.

Para começar, vale lembrar que o documentário sobre ele, Citizenfour, foi ganhador do Oscar 2015. Em Março deste ano um grupo de artistas fez um busto em bronze dele e colocou em um parque em NY, em um antigo memorial de guerra. A instalação ficou bem legal, mas foi rapidamente retirada pelas autoridades locais. Em seguida, instalaram lá mesmo uma versão holográfica da escultura.


Recentemente, foi disponibilizada a versão 3D desta escultura, para que qualquer um pudesse imprimir em sua impressora 3D doméstica.



Em Maio, um artista Italiano fez uma instalação em uma praça de Berlin, a Alexanderplatz, com três estátuas em tamanho real de Edward Snowden, Julian Assange e Chelsea Manning.


Vale a pena lembrar também que edição de Setembro de 2014 da revista Wired publicou uma longa reportagem de capa sobre o Edward Snowden. O repórter viajou até Moscow para entrevistá-lo e para fazer uma sessão caprichada de fotos. A reportagem conta como era a vida dele antes do vazamento de informações, detalha as razões que o motivaram a fazer isso e como o vazamento foi feito.



junho 24, 2015

[Segurança] Um ano de Marco Civil

Neste dia 23 de Junho o Marco Civil da Internet completou um ano desde que entrou em vigor.

Para quem não se lembra, o Marco Civil foi sancionado pela presidente Dilma Rousseff no dia 23 de Abril de 2014, e se tornou a Lei nº 12.965, mas só entrou em vigor 60 dias após a sua publicação oficial.

Durante a BHack, o advogado Walter Capanema deu uma excelente palestra sobre o Marco Civil, e pode-se dizer que, como conclusão, pouco ou nada mudou desde que a lei foi promulgada. Não nos sentimos mais seguros online, nossos dados não estão mais protegidos, os crimes virtuais e o cyber bulling continua bombando, e por aí vai.


[Carreira] Nunca discuta com um idiota...

No longínquo ano de 1994, eu estava trabalhando no meu primeiro emprego e, de repente, dei de cara com uma pequena frase, aparentemente atribuída a George Carlin :

“Never argue with an idiot. They will only bring you down to their level and beat you with experience.”

A tradução livre para o Português ficaria assim: "nunca discuta com um idiota. Ele leva a discussão para o seu nível e te vence pela experiência".

Eu tenho memória fraca para frases de efeito e piadas. Mas, por algum motivo, esta frase colou na minha cabeça desde então. Eu tinha ela impressa, fixada em minha baia (saudades do tempo em que eu tinha uma baia própria). Talvez eu tenha memorizado essa frase pela sua sinceridade, simplicidade, com pitadinhas de sarcasmo e de humor. E por refletir a verdade.

Uma coisa interessante é que podemos adaptar esta frase para outras situações do dia-a-dia. Por exemplo, "nunca discuta com uma pessoa anti-ética..." - A mesma verdade se aplica nesse caso: se você não sabe dar facada nas costas de seus colegas, ou queimar eles sem que percebam, não entre numa disputa com alguém assim. No decorrer de minha carreira eu já enfrentei três situações parecidas com isso (em que alguém agiu de forma anti-ética comigo) - e em uma delas eu quase perdi o emprego (justamente por não ter as mesmas manhas e limites que essas pessoas).

Aparentemente, esta frase é uma variação de uma frase parecida do Mark Twain: “Never argue with a fool, onlookers may not be able to tell the difference.”

junho 23, 2015

[Cyber Cultura] Visitando o Raul Hacker Clube

Após palestrar no Roadsec Pro (a versão "corporativa" do Roadsec) em Salvador (BA), eu aproveitei a oportunidade para visitar o Raul Hacker Clube, o hackerspace existente na cidade.

O Raul está prestes a completar seu primeiro ano de vida, e meu primeiro contato com eles aconteceu graças a Campus Party deste ano, em que dois integrantes deles foram até São Paulo e participaram ativamente do Dumont Hackerspace, o espaço que criamos na CPBR para receber o pessoal dos hackerspaces, makerspaces e coletivos semelhantes.

O Raul Hacker Clube tem uma localização privilegiada: fica no bairro Rio Vermelho, a área boêmia da cidade, cercado de vários bares e baladas. Como se isso não bastasse, eles ficam em um pequeno prédio de 3 andares que, no térreo, funciona um Pub Irlandês. Melhor ainda: de frente para o mar.

No dia de minha visita, o Raul ainda não tinha mudado de sede: eles estão prestes a mudar para uma sala no mesmo andar do prédio, um pouco maior, com cozinha e duas janelas grandes, de frente para o mar. Só a vista e a brisa entrando pela janela já valeriam a visita :) Atualmente eles ocupam uma sala pequena, mas que mesmo assim tem aproximadamente o dobro do tamanho da primeira sede do Garoa (no porão da CCD) ou da primeira sede do LHC, em Campinas. Além de tererm seu próprio Pub, no andar de baixo, no prédio também funciona uma pizzaria delivery.

No dia que eu visitei o Raul (sexta-feira a noite), estava rolando o encontro do "LampiãoSec", o pessoal que está estudando segurança da informação - eles viram a noite no hackerspace, estudando, converçando, fuçando no que puderem, sem limites para a criatividade. Nesta noite fuçamos um pouco no site deles e também na ferramenta ... Falamos um pouco sobre análise de Malwares, abrimos cadeado com o kit de lockpicking deles, e ainda dei uma pequeniníssima ajuda para limpar a sala nova.

O Gomex contou que os protestos de 2013 ajudaram na formação do Raul: graças a eles, vários coletivos se conheceram e se juntaram, gerando um caldo de idéias que ajudou no surgimento do Raul Hacker Clube. Enquanto víamos um dos vídeos do protesto, o pessoal se lembrava do momento e falava coisas como "nessa hora eu tava em tal lugar", ou "eu ajudei a fazer tal coisa".

Nesse ano de vida o Raul já realizou diversas atividades, como CineHacker, Global Game Jam, Cozinha (Feijoada) Hacker (incluindo feijoada vegana), e alguns Hackathons. Uma das atividades mais interessantes do Raul, na minha opinião, são as oficinas que eles fazem periodicamente para crianças, batizadas de Crianças Hacker.



No próximo dia 28 de Junho o Raul Hacker Club comemorará seu aniversário de um ano !!!

Para conhecer mais:



junho 20, 2015

[Cyber Cultura] Virada Hacker

Desde 2011 nós, do Garoa Hacker Clube, organizamos a Virada Hacker, uma série de atividades durante mais de 24h seguidas, sempre em paralelo com a Virada Cultural da cidade de São Paulo.

Neste ano não seria diferente e, neste sábado e domingo (20 e 21 de junho), o Garoa estará aberto para hackers, makers, biohackers, amigos, curiosos e para a população em geral.

A Virada Hacker está na agenda e no site oficial da Virada Cultural:

Durante a virada, o pessoal do Garoa Hacker Clube irá oferecer palestras, oficinas, debates e atividades culturais para fomentar a cultura hacker, a cultura da colaboração, a inovação tecnológica e o aprendizado. Na programação da virada Hacker teremos: hardware hacking, Biohacking, Impressão 3D, arte digital, Coding Dojo, Jogos de Tabuleiro, Cine Hacker, Hacking de Literatura, Canhão Gerador de Vórtices, Hacking Beer , SexHacking e tudo o que você gostaria de saber sobre como montar um hackerspace e ser um hacker mirim, mas não tinha coragem de perguntar.

junho 19, 2015

[Segurança] Estratégia de Segurança Cibernética do Governo Brasileiro

O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) publicou no Diário Oficial do dia 12/05/2015 a Portaria CDN Nº 14, de 11 de maio de 2015, que homologa a “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal – 2015/2018, versão 1.0″.

Tal norma foi elaborada pelo Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República (DSIC/GSIPR), com objetivo de fortalecer as ações de seguranca da informação no governo federal, incluindo as infraestruturas críticas e os serviços públicos nacionais. Ela descreve as diretrizes estratégicas para o planejamento de segurança governamental, com objetivos estratégicos e metas para os próximos quatro anos (2015 a 2018).

O documento tem 77 páginas (mas dá para pular até a página 37...) e apresenta dez objetivos estratégicos, conforme abaixo:
  1. Institucionalizar o tema de SIC e de SEGCIBER no planejamento e no orçamento Federal;
  2. Garantir continuamente o aprimoramento do quadro de pessoal da APF em SIC e SEGCIBER, de forma qualitativa e quantitativa;
  3. Garantir continuamente a pesquisa, o desenvolvimento e a inovação em SIC e SEGCIBER na APF;
  4. Instituir modelo de governança sistêmica de SIC e SEGCIBER na APF, com coordenação executiva, acompanhamento e avaliação do órgão central (GSI/PR);
  5. Alinhar o planejamento de SIC e SEGCIBER ao planejamento estratégico dos órgãos e entidades da APF;
  6. Ampliar e fortalecer ações colaborativas em SIC e SEGCIBER com a academia, setores público, privado e terceiro setor, no país e no exterior;
  7. Elevar o nível de maturidade de SIC e SEGCIBER na APF;
  8. Reforçar a SIC e SEGCIBER como alta prioridade na agenda de governo;
  9. Valorizar e ampliar ações que fortaleçam a segurança das infraestruturas críticas da informação;
  10. Promover mecanismos de conscientização da sociedade sobre SIC e SEGCIBER.

Além dos objetivos acima, o documento também indica várias metas para serem alcançadas a cada ano, de 2015 a 2018 - tais como, por exemplo, " Promover campanhas de conscientização da sociedade nas áreas de SIC e de SegCiber".

junho 17, 2015

[Cyber Cultura] Maker Day

No ano passado, o presidente americano Barack Obama decretou que o dia 18 de Junho seja celebrado como "Maker Day", ou "National Day of Making".

A idéia é celebrar, nesta data, a inovação causada pelo Movimento Maker, que tem ganho muito mais força nos últimos anos com a democratização do conhecimento e das tecnologias.

As impressoras 3D são um excelente ecemplo disso: até pouco tempo atrás o seu uso era restrito apenas a grandes indústrias. Com a popularização das impressoras 3D domésticas, hobbistas e pequenos inventores também podem fazer uso dessa tecnologia para criar novas ferramentas e protótipos de suas invenções.

Outro exemplo da crescente influência do movimento maker na sociedade é a popularização dos hackerspaces, makerspaces e FabLabs, fornecendo um espaço para encontro, troca de conhecimentos e produção de pequenos projetos.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.