novembro 30, 2016

[Segurança] Como podemos melhorar a BSides São Paulo?

A cada edição da Security BSides São Paulo que realizamos, nós tentamos melhorar um pouco mais o evento e, na medida do possível, não repetir os erros das edições anteriores. Após 14 edições, eu acredito que estamos conseguindo ir bem, melhorando aos poucos.

Para obter o feedback do público de maneira mais fácil, desde algumas ediçõões atrás, nós incluímos no formulário de inscrição uma pergunta sobre "Como podemos melhorar o evento?". Fizemos isso no momento da inscrição, em vez de uma pesquisa após o evento (que é o mais usual), principalmente porque todo mundo que vai no evento se inscreve, e portanto é obrigado a responder esta questão, enquanto normalmente poucas pessoas, muito poucas, costumam responder pesquisas de satisfação. Muito poucas mesmo.

O meu objetivo principal, com isso, foi o de identificar alguns problemas que podemos consertar ou algumas novas idéias legais que ainda não tínhamos pensado antes. Na prática, recebemos centenas de respostas que variam desde comentários úteis, engraçados, e alguns inúteis, que não ajudam em nada.

Os dois tipos de comentários mais comuns que recebemos são de pessoas cobrando maior divulgação do evento (raramente com dicas sobre como podemos fazer isso) e daqueles que participam pela primeira vez e, por isso, acham que não tem como sugerir alguma melhoria. Por exemplo:
  • "Melhorando a divulgação."
  • "Mais informativos através de redes sociais."
  • "Divulgar em escolas como o SESI."
  • "Divulgar nas empresas como Embraer por exemplo."
  • "Com uma maior divulgação na mídia."
  • "Nunca fui ao evento, mas pelo que eu percebi não muita divulgação, seria legal mais pessoas da area terem conhecimento do evento!"
  • "Anunciando mais pela web"
  • "Realizar uma divulgação dentro das universidades levando a camiseta."

Além desses, segue uma compilação dos mais de 600 comentários que recebemos nas inscrições da BSidesSP v13, alguns deles com pequenas observações minhas destacadas em itálico. Essas observações são de cunho pessoal, e não necessariamente refletem a opinião de todos os organizadores do evento.

Obrigado pelos elogios :)
  • "Sendo gratuito ele já e incrível"
  • "Como está atualmente está muito bom"
  • "Acho que o evento está ótimo não melhoraria nada no momento."
  • "O evento já é muito bom"
  • "Tá bom assim se melhorar estraga"
  • "O evento é sempre ótimo. Parabéns aos organizadores"
  • "Continuem ele, forever!"
  • "Já é bom, não parem!"
  • "Está du caralho."
  • "Evento fodastico, difícil falar o que melhor, evento muito Top."
  • "O evento já e foda"
  • "Nunca participei, mais fiquei fascinado com a grade de palestras e oficinas tudo isso gratuitamente. Isso é um maravilha pra o conhecimento livre. Estão de parabéns!"
  • "Precisamos de mais Anchises!"
  • "É a primeira vez que participo, porém, pela qualidade dos organizadores, sei que será um grande evento."
  • "Se mantendo neste nível de excelência"
  • "continue a nadar :)"
  • "Continuando a fazer este maravilhoso evento de networking e humanizaçao"

Críticas construtivas são muito bem vindas, pois indicam coisas que precisamos melhorar:
  • "Melhorar os projetores das salas de aulas. Não dá para enxergar principalmente quando acessam cmd e Shell."
  • "Começar as palestras no horário certo e melhorar os equipamentos  de som"
  • "Colocando mais palestras hackers e menos palestras de Nerd punheteiro."
  • "Mais conforto."
  • "Talvez em um local maior e com palestras cada vez mais instrutivas, não somente show"
  • "Tendo mais churrasco"
  • "No ano passado ficou um pouco confusa a organização e localização das salas, um mapa mais bem definido ajudaria!"
  • "Maior sala para treinamentos, pois fiquei sem vaga para participar CSIRT"
  • "O site podia ser mais intuitivo e centralizado. Parece que as informações estão divididas em alguns diferentes sites (Garoa HC, Security BSides e a página principal).A página do SP do SP13 dá a entender que os palestrantes ainda não foram convocados."

Dicas legais, que vamos avaliar com bastante carinho:
  • "Café de graça" - nesta edição conseguimos um patrocinador para o café :)
  • "Organizar melhor a fila do churrasquer." - sim, a fila no almoço costuma ser muito grande mesmo, pois é difícil dar vazão para tanta gente!
  • "ter 2 mesas separadas pro almoço ao invés de uma, com o propósito de diminuir a fila." - o interessante é que já fizemos isso 3 vezes (e vamos continuar fazendo), mas tem gente que insiste em pegar a fila maior!
  • "Pão de alho no churrasco" - boa!!!
  • "Com mais opções de palestras."
  • "Better description"
  • "Poderiam divulgar o evento em mais faculdades da area"
  • "cadastro mais simples"
  • "Variar o local!"
  • "Com um espaço mais amplo"
  • "Promover mais competições"
  • "Com maratonas em CTF"
  • "Criando um campeonato de Game of Dhrones com o objetivo de se tornar um esporte"
  • "acredito que incentivando mais as meninas" - sim, estamos preocupados em como atrair mais garotas na platéia e, principalmente, nos palcos
  • "Buscando mais equidade de gênero"
  • "Colocar no twitter interação automatica com discusão entre os participantes e as palestras" - interessante!!!
  • "mais interação em horários de palestras"
  • "Compartilhar conversas sobre as apresentações via canal twitter por exemplo"
  • "VIDEO GAME STATIONS"
  • "Talvez realizando um pequeno campeonato de "League of Legends""
  • "trazer pesquisadores renomados também do exterior."
  • "Trazendo convidados internacional"
  • "convidados famosos na area"
  • "Mais fiscalização para não deixar os menores de idade sair do local sem acompanhante."
  • "Ainda não sei (pois não participei), mas acredito bastante na cultura de maratonas de programação"
  • "Está ótimo, mas gravar e disponibilizar na internet as palestras, isso ajudaria ainda mais na divulgação do evento."
  • "Levar empresas expondo seus projetos inovadores"
  • "Usando avaliações imediatas das palestras (com cartões verdes/amarelo/vermelhos) organizando um fishbow, palestras de 20 minutos e palestras relâmpago." - gostei desta idéia das avaliações imediatas :)
  • "Além da venda pelo Eventbrite, o evento poderia ser divulgado através do MeetUp, que costuma ter maior visibilidade e um algoritmo eficiente para a divulgação de eventos para as pessoas que estariam interessadas."
  • "gostaria de comprar a camiseta e fazer a doação, mas só que gostaria de pagar com boleto, como não tem fico impossibilitado de comprar."
  • "talvez valha pensar num alumini para quem ja foi a mais de 5 edições!"
  • "Como se trata de um evento que conta com um grande número de pessoas acho interessante que tenha uma central de atendimento de emergência." - estamos pensando nisso!!!
  • "Melhorem a pagina de inscrição do evento para acessar Mobile... A cada das inserir ela volta ao topo."
  • "oferecer mais treinamentos no sábado"
  • "Financiamento coletivo para ajudar novas caravanas e trazer novos palestrantes."

Comentários legais, mas de coisas que dificilmente pensaríamos em mudar:
  • "Fazendo mais vezes durante o ano.!!!" - em duas ocasiões realizamos 3 BSidesSPs em um único ano, e realmente foi muto cansativo para nós :(
  • "Palestras de mais duração" - na verdade, eu tenho vontade de fazer palestras mais curtas, tipo TED. 40 minutos já é meio que padrão de mercado, mas para assuntos mais longos temos as oficinas e mini-treinamentos 
  • "treinamentos mais pratico" - sim, seria o ideal, mas na realidade, ninguém leva o computador pronto para o treinamento. Mesmo que você indique um checklist (ex: traga notebook com tal SO, com VM, com tais softwares pré-instalados), a maioria da galera não traz nada, e aí um treinamento prático precisa ter 1 hora inicial só para que todo mundo prepare seus computadores para as atividades. Isso inviabliza uma atividade prática em pouco espaço de tempo;
  • "Agenda dos palestrantes: nem sempre todos eles podem comparecer" - quiséramos poder controlar a vida dos outros. Pelo menos, raramente os nossos palestrantes faltam, ao contrário dos inscritos: nosso no-show (gente que se inscreve, toma vaga dos outos, e não aparece) é maior do que 50%
  • "Divulgando as fotos das camisetas dessa edição no site." - as camisetas são criadas uma semana antes do evento, e a arte é realizada no momento da encomenda. Não temos condições de divulgar a arte antes disso simplesmente porque ela não existe até então. Além do mais, nós gostamos do suspense e do "efeito surpresa"
  • "Deveria haver camisetas famininas." - nós sempre fazemos uma pequena quantidade de camisetas baby look
  • "Sugiro publicar as apresentações Slide para os participantes" - isso dependende cada palestrante
  • "Cerveja trincando"
  • "Incluindo outras cidades, como Rio de Janeiro" - Já quisemos fazer isso, mas para nós fica muito difícil realizar eventos fora de São Paulo, principalmente por 2 motivos: aumento de custos e os organizadores são voluntários e, por isso, possuem pouco tempo disponível para organizar os eventos (e, fazer fora de São Paulo traz um nível extra de trabalho que não conseguimos suportar)
  • "Aumentar o número de palestras" - estamos muito perto do limite possível em termos de horário e infra-estrutura viável
  • "aumentar a quantidade de dias do evento" - isso iria aumentar em muito o trabalho da organização, e não temos pique nem interesse em fazer isso
  • "Buscar um modelo mais colaborativo de parcerias para promover/sustentar as oficinas e o evento. A Bsides faz um trabalho nobre para a comunidade, porém o valor percebido pelo patrocinio do evento é visto puramente como sendo institucional."
  • "Efetuando mais premiação para os convidados." - o foco do evento é oferecer conhecimento, e não prêmio
  • "Fazendo mais parcerias, ou até mesmo usando incentivos do governo a cultura para arrecadar mais fundos e assim conseguir criar o evento em mais areas de são paulo" - eu, particularmente, quero distância do governo
  • "Poderia ser criado um banco de curriculos para ajudar aos que estão tentando entrar na área de seginfo." - a idéia é boa, mas foge do nosso foco

Comentários sobre o conteúdo (a maioria são bem-vindos e alguns temas estão em nosso radar):
  • "Poderia montar mais treinamentos que aprofunda em segurança"
  • "Palestras informativas da area de segurança, ou game dev."
  • "mais palestras sobre iot
  • "Mais oficinas de hacking"
  • "Colocar palestras sobre deep web"
  • "Mais palestras sobre segurança da informação"
  • "Evento está show, Podem acrescentar palestras de gestão tbm, ISO 27002, gestão de risco, dicas para quem está começando na area e motivação." - nosso foco é mais em palestras técincas, mas valeu pelsa sugestão :)
  • "mais palestras voltada para informática sem ser programação"
  • "Mais oficinas de eletronica."
  • "Mais Palestra sobre a Area de Servidores e Redes"
  • "I think u could improve it doing more workshops, like lock-picking, mobile hacking, social engineering etc"
  • "Explicando como funciona CTF como descobre melhor as flags, quais ferramentas colocar coisas refeintes a matemática"
  • "incluir palestras sobre CTF 101 por exemplo"
  • "Abrindo mais para a área de Design" - hum, acho que aí começa a fugir muito do foco do evento
  • "Eventos de empreendedorismo;Eventos com incubadoras de startups;" - hum, acho que aí começa a fugir do foco do evento (2)
  • "Inserir oficina de pentes,programação"
  • "Inclusão de palestras e conhecimentos relacionados aos sistemas na web"
  • "que as palestras trouxessem cases práticos do dia-a-dia, ou compartilhando conhecimentos que gerem insights no público (algumas são assim, a maioria não sai com essa percepção). Ex.: houve uma palestra de análise de malware via dump de memória que segue isso que falei. Ao sair da palestra vc tem vontade de estudar e sai com um conhecimento básico dos passos para se analisar malware via dump de memória e as ferramentas utilizadas."
  • "Oferendo cursos voltados para iniciantes da area de Segurança da Informação"

Comentários engraçados (ou tristes, se preferir):
  • "Liberando conhecimento para minha mente sedenta..."
  • "No formato atual o evento já está muito bom, o único problema é que nunca sou sorteado no encerramento...."
  • "sgsdgsdgsdg"
  • "Disponibilizando prostitutas para os participantes." - talvez os pais que levem seus filhos no evento possam não gostar dessa idéia. Além do mais, para ser justos com os participantes de ambos os sexos, deveríamos ter garotos de programa também. De qualquer forma, me parece que a BSides não é o tipo de evento para este tipo de coisa.
  • "Melhor que isso só se tivesse stripers, o que não é o caso , mas seria uma boa ideia... rsrs" - vale o mesmo comentário anterior.
  • "javascript:alert('Hello World');"
  • "Teste"
  • "=)"
  • "Sempre convidem o Nelson kkk"
  • "Fazer a BsidesSP mensal ou quinzenalmente \o/!"

Comentários que fica difícil saber o que fazer com eles:
  • "Preco" - Como alguém reclama de "preço" em um evento gratuito? Será que querem que comecemos a cobrar em vez de fazer de graça?
  • "Publicacao do catalogo do que nos espera no evento com duas semanas de antecedencia" - nós já fazemos bem melhor do que isso: nós publicamos a agenda no evento no site um mês antes, junto com a abertura das inscrições. Assim, todo mundo que se inscreve sabe exatamente o que vai ter no evento: palestras, oficinas, atividades, etc.
  • "Incluindo opções vegetarianas no Churrascker... :-P" - já temos salada, berinjela, batata, arroz. farofa.
  • "mais palestras de securty" - a grande maioria das palestras já são de segurança.
  • "Ter o evento duas vezes por ano" - o evento já acontece 2x por ano!
  • "Girls free ;D" - os ingressos já são free para todo mundo! Será que a sugestão aqui é começar a cobrar do público masculino? Lamento, preferimos dar ingresso gratuito para todos.
  • "Tradução do site para português brasileiro" - What!?
  • "Descrição dos minicursos nas opções, pois apenas o nome deixa muito vago sobre o que será tratado, se será prático ou teórico." - nós publicamos as descrições no site (ok, nesta última edição nós demoramos alguns dias a mais para subir as descrições das palestras, oficinas e mini-treinamnetos)
  • "Banindo alguns palestrantes que faltam e chegam demasiadamente atrasado em suas respectivas palestras." - isso raramente aconteceu
  • "áreas do conhecimento" - What!?

Coisas que já fazemos:
  • "Com música"
  • "Estandes para arrecada curriculum e fazer entrevista no local." - infelizmente sempre tivemos pouca adesão de empresas e participantes nas atividades do "Hacker Carreer Fair"
  • "Providenciar água"
  • "Mantendo o planejamento sem atrasos." - raramente atrasamos a programação das palestras
  • "Deixando água gratuita disponível para os visitantes e banheiros." - normalmente disponibilizamos água no bar e os banheiros disponíveis são os próprios banheiros da 
  • "Oferecendo mais prêmios"
  • "Divulgando a programação com maior antecedência." - já divulgamos a grade quase completa pelo menos um mês antes do evento, coisa que muitos eventos brasileiros muito maiores do que o nosso não faz

novembro 28, 2016

[Cyber Cultura] Snowden, o filme

Nesse final de semana eu assisti o filme Snowden, do diretor Oliver Stone (veja aqui informações sobre ele no IMDB). O filme não é uma produção qualquer: ele reúne um diretor fodástico, com alguns atores bem conhecidos (incluindo o Nicholas Cage, fazendo um papel coadjuvante, de um especialista da NSA), para tocar em um assunto bem sensível: as revelações deitas pelo Edward Snowden em 2013 sobre os programas de espionagem em massa da NSA, e as motivações que o levaram a isso.



Eu achei o filme bem legal, principalmente para nós nerds, e para quem acompanhou toda a história dessas revelações. Obviamente, ele traduz tudo o que aconteceu para o público leigo, e só por isso já tem o grande mérito de levar para o grande público essa discussão sobre a espionagem governamental versus os direitos individuais e nossa privacidade online.

Mas, será que o filme conseguiu isso mesmo? Eu tenho as minhas dúvidas, principalmente porque aqui no Brasil o filme estreiou em 10 de novembro e, 2 semanas depois, ele está passando em pouquíssimos cinemas, na maioria das vezes em apenas um horário específico (na rede Cinemark, ele está passando apenas em 2 cinemas de São Paulo, um em Campinas e uma sala no Rio de Janeiro, com 2 horários apenas).



Ou seja: as grandes redes de cinema decidiram que o filme não atrai o público. Além disso, eu acredito que se houvesse demanda de píblico para assistí-lo, provavelmente ele ainda estaria passando em várias salas e horários.

No final do filme, eu ainda fiz um comentário sarcástico com os meus amigos: "ele fez isso tudo para, no final, elegerem o Trump como presidente!". Na verdade, o comentário é uma piada mesmo, pois acredito que certamente nenhum presidente norte-americano iria mudar o programa de espionagem deles. O próprio filme deixa claro que o programa nasceu no governo Bush e foi mantido, isto é, expandido, na administração Obama. Certamente nem a Hillary Clinton nem o Donald Trump tem o menor interesse em diminuir a capacidade de vigilância e espionagem do governo. Mais do que uma promessa de campanha, isso é questão de política de estado e estratégia de defesa global do governo americano.

Mas, de uma coisa eu garanto: quem assistiu o filme vai ficar muito tentado a tampar a webcam de seu computador!

novembro 25, 2016

[Cyber Cultura] Quando teremos um hackerspace no Rio de Janeiro?

Recentemente eu recebi a notícia de um grupo que está formando o com objetivo de ser um hackerspace no Rio de Janeiro.

É o pessoal do Área 21 Hacker Clube (Facebook), que está se juntando para criar um hackerspace voltado para as áreas de Segurança, Software Livre e Programação. Eles iniciaram suas atividades em Outubro através da Roadsec Rio e e, nas palavras de um dos organizadores, eles estão agora procurando um espaço físico em uma universidade para se consolidar. Eles estiveram presentes no Roadsec São Paulo, fizeram uma oficina improvisada na BSidesSP e aproveitaram a visita para conhecer o Garoa.

O Rio tem uma quantidade enorme de profissionais e estudantes de tecnologia, em áreas diversas como engenharia, eletrônica, computação, segurança da informação, etc. Possui também várias comunidades de Segurança, Arduino e, principalmente, Software Livre. Inclusive, foi lá que eu participei de meu primeiro Coding Dojo, uma atividade de programação coletiva bem legal e muito usada para ensinar ou aperfeiçoar nossos conhecimentos de programação. O Rio também possui várias universidades excelentes. Ou seja, a cidade tem praticamente todos os ingredientes para formar um hackerspace grande, ativo.

Mas, antes do Área21, já tivemos a iniciativa do Kernel 40° (que já fechou), do Rio Hacker Space e do Carioca Hackerspace. Além deles, ainda existe o OHMS (Our Home Makerspace) (site em construção aqui) e o Weekend Thinkers, projetos com jeito de Makerspace realizados principalmente por uma única pessoa, o Dado Sutter, um cara sensacional, por sinal.

Com tantos ingredientes, com tantas iniciativas, com tantas tentativas, já passou da hora de termos um hackerspace no Rio de Janeiro. Mas, enfim, quando conseguiremos isso?

Na minha humilde opinião, infelizmente a resposta é nunca.
:(

Me parece que falta o principal ingrediente dessa mistura: o senso de comunidade.

Digo isso porque eu conheço vários grupos no Rio de Janeiro que poderiam se juntar e fazer um hackerspace fodástico, agregando várias pessoas super capacitadas, e várias comunidades muito ativas. Também conheço várias das pessoas envolvidas nas iniciativas acima. Mas o problema é que, além dessas comunidades serem relativamente pequenas para manter o seu próprio espaço individual, cada uma delas insiste em querer montar "o seu próprio hackerspace" e esperam que as demais comunidades venham se juntar ao espaço delas.

Ou seja, infelizmente sobra individualismo e ego, e falta o verdadeiro espírito de comunidade, que é o que faz um verdadeiro hackerspace acontecer.

Um hackerspace é um espaço comunitário e, como tal, não tem dono. Peguemos o exemplo do Garoa: foram 12 membros fundadores, os principais responsáveis pela criação do espaço. Destes, 7 ainda continuam participando do Garoa, mas hoje temos mais de 40 associados ativos (participantes que contribuem financeitramente com a manutenção do espaço). E, nestes mais de 5 anos de existência, pelo menos 74 pessoas já foram associados, frequentando o espaço, organizando atividades e hackeando. Isso sem falar das centenas de pessoas que frequentam esporadicamente o nosso espaço.

novembro 23, 2016

[Cyber Cultura] Como não cair nos boatos da Internet

Eu vi no Facebook um post com um infogáfico bem simples, e bem legal, resumindo dicas para identificar - e não compartilhar - boatos distribuídos nas redes sociais.


Existem diversos sites que publicam notícias falsas ou distorcidas, para enganar o público ou influenciar a opinião de quem o lê. Mas, por outro lado, também existem sites que investigam e desmentem os boatos na medida que surgem, como é o caso do boatos.org, por exemplo.

Há pouco tempo atrás, eu escrevi um post com dicas para identificar os boatos na Internet, que complementa o infográfico acima.

novembro 22, 2016

[Segurança] Os ataques DDoS estão indo longe demais!!!

Não basta os ataques de DDoS terem passado a marca assustadora de 1 Tbps, e um único ataque a um provedor DNS ter impactado o acesso a diversos sites do nosso dia-a-dia.

Agora, parece que a nova moda vai ser tirar países inteiros do ar!

No início do mês surgiram notícias de que um ataque DDoS usando novamente a botnet Mirai tirou do ar a Liberia, um país minúsculo na quase esquecida Africa. O ataque durou duas semanas e, na verdade, afetou o provedor Lonestar MTN e causou impacto em 60% do tráfego Internet do país.


OK, por um lado não é muito difícil atacar um país Africano, uma vez que a infraestrutura de conectividade de todo o continente é bem capenga pois muitos países tem problemas sérios de infra-estrutura causados pela falta de investimento ou destruição por frequentes guerras civis. Além disso, todo o continente é servido por poucos cabos submarinos. A Liberia, por exemplo, é atendida por apenas um babo submarino, o "African Coast to Europe (ACE)", que sai da França e vai até a Africa do Sul, podendo chegar a uma capacidade de até 5,12 Tbps.

Mas, com a capacidade dos atacantes subindo rapidmente, torna-se cada vez mais fácil direcionar ataques a empresas de forma a causar grandes impactos aos usuários.

novembro 21, 2016

[Cyber Cultura] Enigma no crachá da BSidesSP

Nesta última BSidesSP, a Dani do Garoa Hacker Clube criou alguns desafios para os participantes, valendo prêmio. Em um deles, o pessoal teria que decifrar a mensagem secreta que estava codificada no crachá do evento.


Pois bem, o texto dentro do trevo de quatro folhas é um código escrito em Brainfuck, uma linguagem de programação louca e bem zoeira, que foi criada justamente para ser escrita em um código praticamente incompreensível. O texto era o seguinte:



Utilizando um interpretador online, é possível descobrir a mensagem resultante da execução desse código:
"Privacy is not something that I'm merely entitled to, it's an absolute prerequisite"

[Cyber Cultura] 5 anos de BSidesSP

Neste final de semana, 19 e 20/11, tivemos a 13a edição da Security BSides São Paulo. Somada com a BSides Latam que organizamos em junho deste ano, já são 14 BSides em 5 anos, desde 15 de maio de 2011.

Ainda não fechamos a contagem de presentes, mas facilmente passamos de 500 participantes, que aproveitaram dos mini-treinamentos no sábado e das diversas atividades no Domingo. Nosso objetivo era fazer um evento com 400 pessoas, mas a comunidade não deixou. Mesmo com as inscrições enceradas mais de uma semana antes do evento, os pedidos de participação e as listas de convidados e caravanas não paravam de chegar. Tentamos fazer um evento pequeno, mas a comunidade queria mais!


Esta edição, assim como as demais, teve uma grande energia positiva, marcante, com praticamente todas as atividades lotadas e muita troca de conhecimento até o último momento. Tivemos alguns palestrantes que entraram na grade no último minuto e, mesmo no susto, deram excelentes palestras. O pessoal do Área 21, um hackerspace em formação no Rio, também estava presente e deu uma oficina surpresa na biblioteca, dividindo espaço com robôs e crianças. Tivemos uma feijoada feita na véspera no Garoa (com direito a acabar o gás no meio da madrugada), que ficou excelente, e um dos participantes que foi levado ao Corpo de Bombeiros para tirar a algema da oficina de Lockpicking.



O evento foi sensacional, e isso só foi possível graças a energia do público presente, as excelentes palestras, aos patrocinadores que acreditam na qualidade do evento (Trend Micro, e-SaferNewSpace e Conviso, além da Cipher, que bancou o café, e a Trend Micro, que novamente patrocinou também o bar do evento) e ao apoio do Garoa e da PUC-SP. Também marcaram presença a Novatec e o pessoal da Robocore, com as suas lojinhas. Sem eles, nada disso seria possível.

O evento acontece porque cinco amigos (eu, Bordini, Marcelo, Ponai e Ranieri) tem a ajuda de mais um punhadinho de voluntários, nossos "Hands of King" (Fábio, Yumi, Mônica, Subnet, Lincoln, Damião, Logan, Joel, Priscila e Victor). Além dos voluntários que nos ajudaram no dia do evento (Ygor, Slayer, Erik e mais alguns outros). Obrigado também a equipe do Bar (Brandão, Maira, Vita e Diego) e aos dois Nelsons que tiveram a louca idéia de fazer uma feijoada para a galera! Fizeram simplesmente porque acharam que ia ser divertido e que o pessoal iria gostar. E todo mundo gostou!

Uma cena, ocorrida durante o campeonato de robótica, descreve o espírito da BSidesSP: como um dos robôs seguidores de linha estava com problemas, os demais falaram para suspender as provas e dar tempo para o colega consertar o seu robozinho.

No ano que vem teremos mais uma BSidesSP na véspera do You Sh0t the Sheriff, nos dias 20 e 21 de Maio. E, em Setembro de 2017 o pessoal da BSides Colombia vai organizar uma BSides Latam em Medelín.


novembro 18, 2016

[Cyber Cultura] Internet of Toys

Recentemente eu aprendi uma nova versão para a sigla "IoT":


Internet of Toys


A Internet dos "brinquedos" surge a medida em que chegam ao mercado brinquedos eróticos que podem ser controlados a distância por controle remoto ou por um app. Imagina se conectar isso a Internet então... Alguém vai lançar (se é que já não lançou) um acessório desses para casais que vivem a distância ;)



Imagine, etnão, regular a intensidade do seu brinquedo intímo por um app no smartphone? Se nós pudermos fazer isso, os "piratas da informática" também podem tentar conseguir acesso remoto para implantar malware e realizar ataques a partir do seu brinquedo. Ou controlar a intensidade de vibração dele sem que você saiba!

Já pensou o que vem pela frente? Teremos uma "ciber doença venérea"!? E essas novas botnets baseadas em dispositivos IoT vão realmente "botar para f*". ;)

novembro 15, 2016

[Segurança] Revenge Hack

Que o nosso mercado de segurança é hostil, isso não deve ser novidade para ninguém!

As vezes essa hostilidade é velada, disfarçada como uma brincadeira ou uma trollagem. É o caso, por exemplo, de vários eventos que fazem um "Wall of Sheep" para expor as senhas capturadas em aberto na sua rede local. Na H2HC, criou-se a cultura do "leak do banheiro": de vez em quando você vai no benheiro masculino e encontra senhas ou dados pessoais de alguém em um papel, colocado no espelho ou na pia.


Mas em outras ocasiões vemos esse tipo de hostilidade atingir níveis mais sérios, com brigas e discussões em listas públicas (discussões que vão muito além de um simples "flame war"), até mesmo campanhas de ciber ataques para invadir ou humilhar colegas de profissão ou empresas da area. São exemplos, neste último caso, a "operação AntiSec" que aconteceu principalmente nos Estados Unidos no início da década, comandada pelo grupo Lulzsec. Ou, no Brasil, o Project Mayhem, uma série de ataques a profissionais e empresas brasileiras, que aconteceu na segunda metade da década de 2000.


Às vezes, essas campanhas são direcionadas a pessoas que uma parte da comunidade de segurança considera serem charlatões ou mau profissionais, ou que não mereça fazer parte da comunidade. Um exemplo recente, neste caso, foram algumas ações que aconteceram contra o Luís Vieira e o Gustavo Lima (Coruja de TI).

Mas, recentemente, vimos um caso que, na minha opinião, foge desses comportamentos "padrão", e que eu prefiro batizar de "Revenge Hack". Tentando resumir a história, já comentada pelo Carlos Cabral: durante a última H2HC, um colega nosso que estava responsável pelo bar do evento tratou mal vários participantes do evento que iam se servir no bar (comportamento em parte causado por conta do jeito bonachão-mal-interpretado dele, e em parte por outros agravantes que não vem ao caso). O fato é que várias pessoas se sentiram incomodadas com o desrespeito que sofreram e um pequeno grupo decidiu se vingar: conseguiram ter acesso a várias contas pessoais do responsável pelo bar e "hackearam" o seu perfil no Linkedin, seu blog, apagaram seu iPhone, entre outras coisas. Pior ainda: mandaram mensagem para o chefe dele, a partir do perfil dele no Linkedin. Nesse momento foi cruzada a linha entre a trollagem e a vingança.



Já ouvi muitos colegas falando muita coisa sobre esse incidente. Na minha opinião pessoal, os dois lados agiram errado, de forma vergonhosa: quem ofendeu e quem vingou a ofensa, pois acredito que um erro não justifica outro erro. E, no final do dia, o maior perdedor é justamente o senso de comunidade. Novamente testemunhamos atitudes desnecessariamente desrespeitosas.

Por um lado, eu acredito que este incidente recente de vingança na H2HC foi um caso isolado em nossa comunidade, um ato que não se encaixa nos comportamentos tradicionais de hostilidade latente do mercado. Não se encaixa, mas foi consequência da comunidade de segurança que todos nós criamos em todos esses anos.

Em todos estes anos, nós construímos e toleramos uma comunidade baseada principamente na trollagem, mais do que no compartilhamento de conhecimento, aonde é mais fácil criticar alguém que se destaque do que contribuir com a comunidade. Como se não bastasse trollar os colegas ao minimo deslize, os ataques desrespeitoso com o fim de humilhar podem atingir qualquer pessoa que se exponha um pouco mais na comunidade, fazendo ou não por merecer uma resposta de ódio.

Para quem não faz parte desse pequeno grupo que centraliza as conversas e as atividades existentes na área de segurança, estes incidentes reforçam a ideia de "panelinha", uma visão muito comum para quem está lado de fora ou mais a margem dos acontecimentos. Eu acredito, inclusive, que tais ações acabam intimidando e afastando pessoas interessadas em contribuir com a área, principalmente quem está começando na área. Arrisco até a dizer que esse tipo de comportamento ajuda a afastar potenciais palestrantes - não é a tôa que a maioria dos eventos de SI contam sempre com a mesma meia dúzia de palestrantes de sempre,e  temos dificuldade em renovar isso.

Devemos aproveitar e pensar se este é realmente o modelo de comunidade que queremos para nós. Viver em comunidade significa saber respeitar o próximo e as diferenças entre todos, e estar disposto a acolher e ajudar a todos. Em um ambiente saudável, tanto os mais experientes quanto os menos experientes podem se beneficiar de uma interação saudável em comunidade.

novembro 13, 2016

[Cyber Cultura] Os significados de IoT

Não basta a Internet das Coisas (IoT, "Internet of Things") ser a tecnologia da modinha. Aos poucos, vão surgindo algumas interpretações irônicas sobre o que significa IoT. Eu já ouvi algumas:
  • Internet of Threats
  • Internet dos Trem (em homenagem ao pessoal de Minas Gerais)
  • Internet dos Treco
  • Internet das Treta

Além disso, já surgiram termos omo...
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.