[Cyber Cultura] A história das redes sociais

Outro infográfico interessante que merece ser blogado: O site OpenForum publicou um infográfico com a história das mídias sociais.

Apesar de misturar um pouquinho a história das tecnologias com a história das mídias sociais, o infográfico é bem legal. Ele falha principalmente em omitir o surgimento da primeira rede social, o SixDegrees.com, lançado em 1997 e que durou apenas até o ano 2000. O infográfico também não menciona o Orkut, mas isto é perdoável pois o Orkut nunca teve uma participação muito significativa no mundo todo (ele chegou a ser a rede social dominante em poucos países, como o Brasil, India e alguns outros).

[Cyber Cultura] Exposição em redes sociais

A Bitdefender criou um infográfico que mostra algumas estatísticas sobre o quanto as pessoas tem exposto sua privacidade nas redes sociais. Alguns dados interessantes:

• 99% dos entrevistados já compartilharam informações pessoais com seus amigos nas redes sociais
  
• 87% já compartilharam informação sobre a atividade que estão fazendo naquele momento
  
• 75% já divulgaram o seu endereço e 38% já divulgaram o seu número telefônico nas redes sociais
  
• 89% dos entrevistados disseram que nunca pensaram que as informações que eles publicam nas redes sociais poderia prejudicar-lhes de alguma forma
  
• Embora 67% dos entrevistados concordam que publicar fotos de suas casas pode atrair criminosos, mesmo assim eles fazem isso.

[Cyber Cultura] Cyber ativismo e redes sociais: Kony 2012

De repente, o mundo todo passou a conhecer o Joseph Kony, o líder de um grupo guerrilheiro religioso que atua no coração da África há décadas.

O documentarista Jason Russell e a ONG Invisible Children lançaram uma bem feita campanha de marketing viral chamada "Kony 2012" que, em poucos dias, chamou a atenção de pessoas no mundo todo, alcançou milhões de views no YouTube e no vimeo, mas também se envolveu em meio a críticas e polêmicas. Eles produziram um documentário de cerca de meia hora, bem feito e emocionante, chamado "Kony 2012" (se preferir, veja a versão com legenda em português), que descreve os crimes realizados por Joseph Kony e a campanha que a ONG tem realizado contra ele.

O objetivo da campanha é chamar a atenção para o problema existente em Uganda e seus países vizinhos (incluindo Congo e Sudão), aonde o grupo guerrilheiro liderado por Kony tem atuado há cerca de 20 anos e, principalmente, tem capturado crianças para servirem de soldados (no caso dos meninos) ou escravos sexuais (no caso das meninas). Através da mobilização mundial em torno da campanha, a ONG pretende pressionar governos a tomarem ação contra o líder terrorista e ajudarem nos esforços para sua captura. Os EUA, por exemplo, já enviaram 100 militares que estão treinando e fornecendo apoio logístico para o exército local localizar e combater os terroristas.



Eu já vi algumas críticas a campanha e a ONG, a maioria delas relacionadas ao fato do vídeo simplificar demais o problema e não mostrar o real nível de crueldade que acontece realmente em Uganda (mas, afinal de contas, a população mundial estaria preparada para ver cenas de crianças matando, sendo mortas e sendo violentadas? Acredito que não). Além do mais, alguns críticos dizem que o grupo de Kony não está mais atuando em Uganda e outros dizem que o vídeo acaba por levantar apoio ao governo de Uganda, que é uma ditadura e que também já cometeu várias atrocidades. Também vi críticas sobre o repasse do dinheiro arrecadado, como exemplificado no gráfico abaixo, publicado pelo jornal britânico The Guardian.



Críticas a parte, o vídeo mostra uma forma interessante de como o ativismo tradicional pode se aliar com a Internet e se beneficiar dela: uma campanha bem feita é capar de atrair a atenção de milhões de pessoas em pouco tempo. Além do mais, além de ajudar na divulgação de uma mensagem, a Internet também permite que pessoas em todo o mundo se mobilizem em torno de uma causa e possam apoiá-la, como através de abaixos-assinados virtuais ou arrecadação de fundos, seja via doação ou comprando material online para divulgar a causa.

[Segurança] Hacktivistas e Traíras

Enquanto as autoridades estão comemorando, alguns hacktivistas estão em maus lençois: poucos dias após a Interpol ter prendido alguns membros do Anonymous na América Latina, o FBI anunciou outro duro golpe: prendeu os líderes do grupo LulzSec, que também são membros ativos do Anonymous. E, o que é pior: eles foram dedurados pelo seu principal líder, conhecido como Sabu, que foi pego pelo FBI em Junho do ano passado e, desde então, tem trabalhado como informante para os policiais americanos a fim de reduzir sua pena.

A história é conhecida por quem já assistiu filmes policiais: um dos criminosos dá uma escorregada (no caso do Sabu, aparentemente ele deu azar de acessar um canal IRC uma vez sem utilizar o TOR), é pego e aceita fazer um acordo para denunciar seus colegas e livrar-se de uma condenação mais rigorosa. Isto não é a primeira vez que isso acontece e não será a última: seja por causa de uma vantagem, chantagem ou tortura, muita gente não segura as pontas depois de ser preso. Coincidentemente, neste final de semana eu assisti um documentário interessante sobre grupo eco-terrorista ELF (Earth Libertation Front), que era muito ativo nos EUA no início dos anos 2000, mas teve o mesmo fim: seus membros foram delatados e condenados depois que um deles foi pego pela polícia.

As figurinhas mais conhecidas do LulzSec agora estão nas mãos das autoridades: "Kayla" (Ryan Ackroyd, de Londres), “Topiary” (Jake Davis, Londres), “pwnsauce” (Darren Martyn, Irlanda), “palladium” (Donncha O’Cearrbhail, Irlanda) e “Anarchaos” (Jeremy Hammond, de Chicago). E, certamente, muita gente está morrendo de medo de ser o próximo, inclusive os membros brasileiros do Anonymous, que mantinham contato com o Sabu.

Certamente este é um duro golpe para os hacktivistas do Anonymous, mas não acredito que isto causará um grande impacto no grupo e na maioria de suas operações. Mesmo que a prisão de alguns membros e líderes assuste e desmotive uma parte do pessoal que apóia o Anonymous, a principal característica do Anonymous é justamente a sua falta de liderança formal. Ou seja, o grupo não precisa de líderes, e para funcionar ele somente precisa de pessoas que apoiem seus ideais. O hacktivismo teve grande destaque nos últimos dois anos e conquistou milhares de apoiadores.

Mesmo em um dia como o de hoje é interessante rever um vídeo de 2004, sobre uma apresentação realizada na Defcon daquele ano sobre cyber ativismo, ou "Electronic Civil Disobedience", que já pregava o uso de ataques online como uma forma de ativismo político. O interessante é que as várias formas de ataques que o palestrante propôs realizar contra a convenção republicana se tornaram realidade nos dias de hoje.

[Segurança] Explicando o Stuxnet

Neste final de semana a rede de TV americana CBS levou ao ar um documentário sobre o Stuxnet, o vírus descoberto em 2010 e destinado a destruir as centrífugas de enriquecimento de urânio na usina nuclear de Natanz, no Irã. Embora a reportagem explique bem didaticamente o que foi o Stuxnet e o risco que sua criação representa nas mãos de ciber criminosos ou países adversários, a reportagem não traz nenhuma novidade em si.

O vídeo da reportagem "Stuxnet: Computer worm opens new era of warfare", de quase 15 minutos, está disponível no YouTube e no site da CBS, que inclui também alguns vídeos extras com trechos das entrevistas.



Muito já foi relatado sobre o Stuxnet - várias reportagens, relatórios e vídeos já surgiram desde 2010. Muito se fala do Stuxnet porque, acima de tudo, este foi um vírus inovador, que pela primeira vez mostrou na prática como alguém pode infectar e prejudicar o funcionamento de um sistema industrial. O Stuxnet é altamente complexo, direcionado para atacar um sistema muito específico, com uso de zero days e certificados digitais falsos, e com um código bem enxuto e eficiente.

Em particular, eu destaco os posts que o Sandro Suffert e o Tony Rodrigues já publicaram sobre o Stuxnet, que servem de ótima referência sobre o assunto:

• StuxNet: CyberWarfare existe!
  
• O Stuxnet e as capivaras
  
• Stuxnet - fingerprinting e contra-inteligência
  
• Stuxnet e seus estragos

Para qum procura um artigo técnico sobre o Stuxnet, em Setembro de 2011 um estudante egípcio publicou um longo artigo detalhando o funcionamento do vírus, chamado "Stuxnet Malware Analysis Paper".
Ralph Langner, um dos principais responsáveis por descobrir e analisar o Stuxnet, já fez uma apresentação no TED em Março de 2011 explicando muito bem o Stuxnet e como ele conduziu sua pesquisa sobre o vírus, chamada "Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon". Ele também já fez uma apresentação de uma hora detalhando o vírus.



O vídeo "Stuxnet: Anatomy of a Computer Virus" abaixo tem o mérito de apresentar uma explicação bem didática e visualmente caprichada do Stuxnet, porém falha ao mostrar algumas informações erradas ou imprecisas (a pior de todas foi dizer que o Stuxnet explorou 20 zero-days).

Stuxnet: Anatomy of a Computer Virus from Patrick Clair on Vimeo.

Especula-se até hoje que os Estados Unidos e Israel seriam provavelmente os países responsáveis pela criação do Stuxnet. Na minha opinião, essa hipótese traz uma discussão interessante: se os EUA estivessem por trás do Stuxnet, porque o governo americano não mandou todo mundo abafar o caso, em vez de deixar as empresas de anti-vírus analisar o código do Stuxnet livremente e publicar dezenas de artigos e relatórios sobre o assunto? Ou será que eles tentaram abafar, até o momento em que surgiu um pesquisador alemão que começou a estudar o vírus e divulgar suas descobertas?

[Segurança] As três fontes de ciber ataques

Nesta palestra realizada no TEDx de Bruxelas em Novembro de 2011, Mikko Hypponen apresenta o que ele considera serem as três prinipais fontes de ataques cibernéticos hoje em dia:

• Ciber Criminosos
  
• Hacktivistas
  
• Governos

O interessante é o destaque que ele dá aos governos como fonte de ataques cibernéticos, mas não apenas aos governos que usam a Internet para espionagem ou censura: Mikko Hypponen também destaca o risco de governos democráticos também usarem a Internet para espionar e controlar a população. E, no final de sua apresentação, ele dá um aviso: não podemos abrir mão de nossa liberdade online por nenhum motivo, pois uma vez que o fazemos, isso é para sempre. Mesmo que hoje confiemos cegamente em nosso governo, não sabemos o que pode acontecer aqui a, digamos, 50 anos.

[Segurança] Stress entre os profissionais de segurança

Já perdi a conta de quantas vezes tive vontade de largar tudo e ir vender água de côco na praia. Por isso mesmo não estranhei quando recebi, agora há pouco, a newsletter da revista CSO Online com algumas reportagens sobre stress e "burnout" entre os profissionais de segurança.

Aparentemente o conjunto de artigos foi motivado por um painel com profissionais da área realizado na RSA Conference que acontece em San Francisco nesta semana. Em particular, a reportagem "RSA Conference 2012: Stress and burnout in infosec careers" descreve os principais comentários realizados pelo pessoal que participou do painel, que relataram já ter visto alto grau de stress e esgotamento entre profissionais de segurança.

O artigo "Security - It’s Just a Job" lembra do esforço que nosso trabalho demanda: trabalhar até tarde da noite, não ter tempo para almoçar, jornada de trabalho de até 70 horas por semana - isso sem falar de que podemos ser acionados a qualquer hora da noite ou do final de semana, já que, afinal, ataques não tem hora certa para acontecer. E, o que é pior: com o passar do tempo, passamos a considerar isso tudo "normal" e, quando percebemos, já é tarde demais: distância da família e amigos, sem tempo para vida pessoal, anos sem férias ou descanso, etc.

E, cá entre nós, as tecnologias de acesso remoto (do e-mail no celular a VPN) só tornam a coisa pior.

A reportagem nos convida a trabalhar de forma mais inteligente (priorizando tarefas e definindo limites) e encarar o trabalho como "isto é apenas um trabalho". Afinal:

"We can give ourselves over to the machine, the business, the beast with the eternal appetite. Knowing that it can never be satiated by our labors. "

A propósito, há uns 15 anos atrás um colega me disse uma frase bem parecida com a frase acima: "o trabalho sempre estará aqui". Ou seja, não importa o quanto você se esforce e trabalhe até mais tarde; no dia seguinte, ainda haverá muito trabalho a ser feito. E, o que é pior: a tendência natural de todos os gestores é centralizar as tarefas mais importantes no pessoal de confiança, isto é, que ele sabe que vai entregar o trabalho com qualidade e no tempo necessário. Logo, a tendência natural é que os profissionais mais esforçados estarão sempre sobrecarregados de trabalho.

Uma reportagem de 2010 da CSO Online já apontava este problema e indicava quais seriam alguns sinais de stress e esgotamento no trabalho (além de dar algumas dicas para resolver isso):

• Para você, todo dia é um dia ruim.
  
• Importar-se com o seu trabalho ou vida familiar parece um desperdício total de energia.
  
• Você se sente exausto o tempo todo.
  
• A maior parte de seu dia é gasto em tarefas que você considera tediosas, maçantes ou esmagadoras.
  
• Você se sente que nada do que você faz pode fazer diferença ou ser apreciada.

Por fim, a CSO Online também traz uma matéria com as 10 piores perguntas em entrevistas de emprego e como respondê-las. A maioria das perguntas listadas na reportagem são meio bobinhas ou bem conhecidas (quer imaginar pergunta mais besta do que "Are you a risk-taker?" ou "Why are you leaving your current job?"), mas algumas são interessantes ou mesmo "pegadinhas". Você, por exemplo, saberia a melhor forma de responder as perguntas abaixo?

• "What do you think about security convergence and its effect on our company?"
  
• "Are you willing to be accountable for security?"

Última frase do artigo, para lembrarmos sempre...

"Tomorrow when you wake up Anonymous will still be here, so too cross site scripting, and sql injection."

[Cyber Cultura] Hashtags não derrubam governos #nãomesmo!

Após a mesa redonda sobre Cyberativismo político na Campus Party, eu dei uma olhada no blog do Alberto Azevedo e cheguei neste excelente texto publicado pelo Tiago Dória, chamado "Hashtags não derrubam governos". Embora escrito há um ano atrás, o texto vale a leitura pois faz uma análise muito interessante do fenômeno do cyber ativismo, da real capacidade de mobilização política através das redes sociais e de como os governos estão lidando com isso.

O Tiago Doria baseia sua análise no livro The Net Delusion e os dois primeiros parágrafos do seu post resumem muito bem a sua opinião: "Acreditar que a internet, por si só, fortalece a democracia é uma ideia tão simplória quanto achar que a queda de um governo autoritário sempre dá lugar a um democrático. E mais, ao contrário do consenso geral, governos totalitários perceberam que o mundo mudou. (...) Hoje, usam formas bem mais sutis de censurar as vozes dissidentes."

Ele defende que, embora o governo Americano tenha passado a encarar a Internet como uma ferramenta capaz de influenciar governos (pois a web permitiria divulgar informações e fomentar a discussão em países sob regimes não muito amigáveis e, consequentemente, conscientizar essa população), os governos autoritários também já aprenderam como utilizar a Internet para fortalecer o seu regime e manter o status-quo.

O artigo todo merece ser lido, mas gostaria de destacar alguns parágrafos e idéias de seu texto, em especial:

• "(...) quando a censura à rede se torna impraticável ou politicamente indefensável, governos autoritários passam a usá-la para propaganda ou, em casos mais extremos, como uma ferramenta de monitoramento da população"
  
• "Do mesmo modo, censurar blogs está virando coisa do passado na China e no Irã. É mais negócio criar um exército de blogueiros pró-governo e contratar pessoas para entupir blogs e redes de microblogs com perfis falsos e comentários a favor do governo" (o que é chamado de "50 Cent Party")
  
• "(...) o objetivo [dos governos autoritários] é sufocar a oposição na web por meio de uma avalanche de conteúdo. Combater conteúdo com conteúdo e não com escassez de informações."
  
• Os governos também perceberam que outras formas simples de sufocar as vozes dissidentes é usar a web para espalhar boatos e para monitorar e identificar os dissidentes em redes sociais.
  
• "(...) as plataformas de redes sociais são uma faca de dois gumes para quem é dissidente. Por um lado, dá mais visibilidade internacional. Mas, por outro, deixa mais vulnerável quem as utiliza."
  
• "Quanto mais Facebook, Twitter e Google forem vistos como ferramentas da política externa americana, maior o risco de serem censurados [e monitorados] em países com governos ditatoriais."
  
• "(...) muitas vezes, o ativismo facilitado pelas redes sociais faz muito barulho, mas resulta em quase nada. (...) muitas vezes esse tipo de ciberativismo não apresenta resultados, visto que se preocupa muito com a mobilização (juntar seguidores no Twitter e amigos no Facebook) e pouco com a ação (depois de conseguir 10 mil seguidores e fãs na página do Facebook, o que vai fazer? Enviar spam com conteúdo político para todo mundo?)."
  
• "De acordo com o pesquisador [Evgeny Morozov], revoluções exigem 3 coisas – disciplina, líderes e comprometimento. E isso você não encontra nas redes sociais que nivelam todo mundo na horizontal."
  
• "(...) governos autoritários morrem por causa de problemas políticos e econômicos."

Além de ler o artigo do Tiago Doria, eu recomendo a todos os interessados nesse assunto que vejam abaixo o vídeo da mesa redonda sobre Cyberativismo político que eu tive a feliz oportunidade de participar na Campus Party.

[Carreira] Graduação ou Certificação?

Está aí uma pergunta que sempre aparece, principalmente entre as pessoas que trabalham no mercado de TI (e segurança também): se vale a pena investir em um diploma de graduação ou uma certificação profissional. O Gilberto Sudré respondeu esta pergunta recentemente. O Max Gehringer também respondeu duas perguntas no início do ano sobre isso, em sua coluna na CBN.

Mas eu adiciono um terceiro elemento importante para a carreira, além do diploma (de graduação e pós) e da certificação: o domínio de uma ou mais linguas extrangeiras (no mínimo, o Inglês).

A minha opinião sobre este assunto é muito baseada na minha experiência pessoal e na minha própria formacão. Eu enxergo que a graduação, a pós-graduação e o conhecimento de outras línguas são conhecimentos (e diplomas) que valem para toda a nossa vida, enquanto as certificações tem um foco muito mais específico e, normalmente, tem um período de validade limitado.

Ou seja:

• Formação tradicional (graduação e pós-graduação): Normalmente os cursos de graduação não abordam exatamente o que é necessário para o mercado de trabalho - isso porque o objetivo de uma graduação bem feita é o de oferecer uma visão de todo o conhecimento básico naquela determinada área do conhecimento. Na prática, muito do que vemos em uma sala de aula não será utilizado no nosso dia-a-dia profissional, mas serve para nos dar um conhecimento básico e cultivar uma nova forma de raciocinar e pesquisar por conta própria. A pós-graduação, por sua vez, normalmente é mais focada em um assunto específico e, no caso dos cursos Lato Sensu (chamadas também de especialização), é mais voltada para a realidade do mercado de trabalho. De qualquer forma, o mais importante na minha opinião é que um diploma de graduação e de pós vale para toda a sua vida e para qualquer área de trabalho. Se daqui a 10 anos você sair da área de desenvolvimento e virar um DBA ou um profissional de Segurança, seu diploma continuará sendo valorizado.
  
• Domínio de idiomas: Na área de TI é fundamental dominar o idioma inglês, e preferencialmente, conhecer um segundo ou terceiro idioma (como espanhol, alemão, francês ou mandarim, por exemplo). O Inglês é muito usado pois a maior parte da litertura técnica dispon;ivel está no idioma inglês, incluindo os melhores e mais atualizados livros, artigos, sites e blogs. Além do mais, o inglês é a língua mais utilizada na Internet, além de te abrir portas para trabalhar em empresas multinacionais e americanas, em particular. Como se isso tudo não bastasse, o conhecimento de uma língua também é algo que você leva para toda a sua vida, inclusive para a vida pessoal. Mas é necessário tomar um cuidado: o dominio de um idioma exige o uso constante, caso contrário acabamos nos esquecendo e perdendo a fluência.
  
• Certificações profissionais: São muito valorizadas pelas empresas e muito comuns no mercado de TI, pois ajudam a selecionar um bom técnico - pois o mercado parte do suposto de que o profissional certificado domina aquele assunto ou tecnologia específico. Entretando, a certificação normalmente tem um foco bem específico e tem um prazo de validade (ou você é obrigado a renovar periodicamente, ou a validade está atrelada a versão do produto que você se certificou). Por isso mesmo eu encaro a certificação como um tipo de conhecimento volátil, temporário e descartável, que te ajuda somente por um determinado período de tempo e em um emprego específico. Se você trabalhar em uma empresa que usa outra tecnologia, sua certificação anterior não tem mais valia.

Para exemplificar, em 1998 eu tirei certificação em um produto específico de Firewall. Desde então, este produto já mudou de versão várias vezes e no meu trabalho atual eu não preciso mais lidar com a operação de ferramentas de segurança. Portanto, minha certificação de 1998 não me serve para mais nada hoje em dia, e nem poderia servir, pois está obsoleta. Entretanto, o meu diploma de graduação de 1996, o diploma de pós que tirei em 2000 e os cursos de inglês que eu pagava com o meu salário de estagiário em 1994 são válidos até hoje.

Por isso, a minha recomendação pessoal para quem trabalha na área de tecnologia ou pretende trabalhar é:

• Preferencialmente, invista no melhor curso de graduação e na melhor faculdade que você puder;
  
• Independente de qualquer coisa, invista em um curso de inglês (que, inclusive, pode ser feito em paralelo a faculdade e ao trabalho);
  
• Invista nas certificações que o mercado de trabalho valorize e que necessariamente sejam requisitos para você conseguir uma promoção no seu emprego atual ou conseguir um emprego melhor. A certificação também deve ser relacionada a uma tecnologia que você utiliza no seu dia-a-dia ou que pretenda trabalhar com ela, caso contrário será tempo e dinheiro perdido.

[Segurança] Computer Security: You Make the Difference

A AT&T disponibilizou uma pequena coletânea de alguns vídeos antigos de conscientização sobre segurança da Informação produzidos pela AT&T e Bell Labs em 1990.



Os vídeos abordam questões como os riscos de espionagem e roubo de informação, cuidados com sua mesa e desktop, acesso remoto, riscos na Internet, etc. O último vídeo da coletânea mostra também uma pequena lista de ações para minimizar o risco de ataques.

Os vídeos são interessantes e, mesmo antigos, contém algumas informações que podem ser úteis até hoje em dia para ajudar a conscientizar os usuários sobre os riscos de segurança. É interessante ver a linguagem utilizada pelos vídeos (obviamente, algo desatualizado para os dias de hoje, mas adequado para uns 20 anos atrás) e ver como, naquele tempo, já era comum usar o termo hacker para se referir a possíveis invasores, espiões ou ciber criminosos. Também é interessante ver as fotos e cenas de pessoas usando computadores e dispositivos antigos ;)