dezembro 19, 2014

[Cyber Cultura] Netscape, 20 anos

Há cerca de 20 anos atrás, no dia 15 Dezembro de 2014, foi lançado o Netscape 1.0, o browser que ajudou a popularizar a World Wide Web e, de quebra, a Internet que conhecemos hoje.


No início o Netscape era gratuito e amplamente distribuido entre os usuários web - seja por download ou por disquetes e CDs, incluindo CDs de provedores de acesso oferecidos em revistas de informática nas bancas de jornal. Rapidamente se tornou popular e praticamente dominou todo o mercado dos Browsers durante a década de 90. Nesta época o Netscape liderou várias inovações técnicas.

Infelizmente, o Netscape não resistiu a Guerra dos Browsers no final dos anos 90 e início dos anos 2000 e perdeu sua liderança de mercado para o Internet Explorer (IE), da Microsoft, até desaparecer por completo. Isso aconteceu principalmente quando a Microsoft começou a oferecer o IE gratuitamente, já pré-instalado nos sistemas operacionais e a Netscape, na contramão, decidiu oferecer seu Browser somente na versão paga.



Hoje em dia, é interessante notar que mesmo a versão 1.0 do Netscape já tinha uma interface muito parecida com a dos browsers atuais, com um menu e conjunto de ícones similar ao que conhecemos.

[Segurança] Os 10 Mandamentos do Hacker

Durante a décima edição da Co0L BSidesSP nós apresentamos em primeira mão os 10 Mandamentos do Hacker, um conjunto de 10 "mandamentos" sobre hacking ético, baseado nos 10 Mandamentos Bíblicos. São eles:
 I - Amar o conhecimento livre sobre todas as coisas
 II - Não usar títulos e certificações em vão
III - Aplicar patches de segurança mesmo aos domingos
IV - Honrar Linux e Sistemas Abertos
 V - Não invadirás computador alheio
 VI - Não adulterarás arquivos e dados
VII - Não furtarás o wifi do próximo
VIII - Não levantarás falsos perfis
 IX - Não desejarás as informações privadas do próximo
 X  - Não cobiçarás a senha do teu próximo

O Thiago Bordini foi o primeiro a ter a idéia, e me mandou uma mensagem que li dentro de um taxi e de lá mesmo começamos a conversar e viajar na maionese. Em seguida nós dois passamos mais alguns dias discutindo e lapidando a idéia até chegarmos nos mandamentos acima.

Também pensamos em criar um vídeo durante a Co0L BSidesSP para ajudar a divulgar os Mandamentos, com várias pessoas lendo cada um deles. Vários amigos gostaram da iniciativa e aceitaram participar. O Lincoln Werneck gravou tudo para nós e o Bordini fez a edição final.

video


Reconheço que não ficou tão divertido quanto a versão da Porta dos Fundos ;)

Uma das preocupações iniciais foi de tentar colocar os "mandamentos hacker" na mesma ordem e de forma que fossem mais ou menos equivalentes aos mandamentos originais. Por exemplo, se o mandamento "não matarás" é o quinto, então o 5º na versão hacker seria algo equivalente, algo como "não invadirás" (ou não ownarás, ou não defacerás, etc).

Aí eu descobri que, segundo a Wikipedia, existem ao menos 7 versões dos mandamentos, de acordo com cada religião, numeração ou interpretação do texto bíblico. O Exôdo lista 16 "10 mandamentos" (isso mesmo, os 10 mandamentos são 16 - mas se lermos com cuidado, veremos que vários são repetitivos). Para ter por onde começar, decidimos adotar a versão católica dos mandamentos, conforme abaixo (pelo simples fato que ele nos soou mais familiar):

1º - Amar a Deus sobre todas as coisas
2º - Não usar o Santo Nome de Deus em vão
3º - Santificar domingo e festas de guarda
4º - Honrar pai e mãe
5º - Não matarás
6º - Não adulterarás
7º - Não furtarás
8º - Não levantar falsos testemunhos
9º - Não desejarás a mulher do próximo
10º- Não roubar do teu próximo

Partindo do texto acima, fomos reescrevendo cada um deles até chegar finalmente nos Mandamentos Hacker ;)

Fiz até mesmo um QR Code para a página dos 10 Mandamentos Hacker no site do Staysafe, utilizando o encurtador is.gd (o is.gd permite customizar a URL encurtada e também tem a opção de gerar o QR Code automaticamente).


Nos digam o que acharam. Queremos ouvir sugestões, comentários, elogios, críticas, etc.

dezembro 17, 2014

[Segurança] Empresas na fronteira entre Guerra Cibernética e Hacktivismo

Em 2012 foi a gigante petrolífera Saudi Aramco: 30 mil computadores foram atacados e a empresa ficou fora do ar por 10 dias, em um ataque em protesto contra o governo Saudita.

Neste ano tivemos notícia de mais duas empresas que foram vítimas de ciber ataques complexos que foram vitimados por questões ideológicas, e podem, eventualmente, ter a participação (ou pelo menos a conivência) dos governos locais.

Esta pode ser a nova fronteira da guerra cibernética: ataques destrutivos direcionados a empresas, com motivação político-ideológica, aonde o sentimento nacionalista é um dos principais motivadores.

Recentemente, hackers invadiram a Sony Pictures Entertainment, possivelmente em represália a um filme da empresa sobre um plano de assassinato contra o líder Norte-Coreano Kim Jong Un (a comédia The Interview, ainda não lançada nos cinemas). Como resultado do ataque, teriam sido roubados 100 TBytes de informações (dos quais apenas 1TB foi divulgado até o momento), incluindo e-mails dos funcionários e executivos, dados da folha de pagamento e dados pessoais de 47 mil funcionários e contratados (como o ator Sylvester Stallone) e segredos da empresa tais como as versões finais de cinco grandes filmes que seriam lançado nessa próxima temporada de férias. Embora a Sony não tenha publicamente identificado o responsável pelo ataque, diversos rumores indicam que os especialistas em segurança contratados pela Sony ligaram o incidente ao grupo de hackers conhecido como DarkSeoul, que as autoridades sul-coreanas e americanas acreditam trabalhar para o governo norte-coreano.

E as novidades da Sony não acabam de chegar. Recentemente o grupo divulgou o roteiro do próximo filme do James Bond, além de mensagens de executivos da Sony com comentários ofensivos a Angelina Jolie e comentários racistas dirigidos ao presidente americano Barack Obama.

Poderia o lançamento de um simples filme motivar um ciber ataque tão destrutivo para os dados e para a imagem de uma empresa?

No início de 2014 um grupo de hackers do Iran, auto-identificado como "Anti WMD Team", invadiu e destruiu computadores e servidores da empresa Sands, uma gigante da indústria dos cassinos, dona dos luxuosos cassinos Venetian e Palazzo, em Las Vegas, entre outros. O ataque, batizado de Yellowstone 1, foi uma vingança a comentários do CEO da empresa durante um debate em Israel. Na ocasião, Sheldon Adelson disse que a melhor forma de negociar sobre o programa nuclear Iraniano seria jogar uma bomba atômica no deserto e ameaçar joar a próxima em Terã, caso o governo não desista de seus planos.

Durante o ciber ataque foram roubados dados pessoais de empregados e, principalmente, foi executado um malware devidamente customizado para destruir todos os computadores e servidores da empresa: apagar os discos, sobrescrever os dados com bits aleatórios, e em seguida reiniciar os equipamentos. Incontáveis computadores e cerca de três quartos de servidores da empresa em Las Vegas foram destruídos. Estima-se que a recuperação de dados e reconstrução dos sistemas poderiam custar à empresa pelo menos 40 milhões de dólares.

Poderia uma frase de um diretor durante um debate motivar um ciber ataque tão destrutivo para os dados de uma empresa?

dezembro 15, 2014

[Segurança] Ciber-guerra, antes do Stuxnet

O Stuxnet nos lançou uma nova era no campo da Guerra Cibernética: acreditava-se que, pela primeira vez, um governo conseguiu utilizar um ciber ataque para destruir uma instalação física de outro governo. Para quem não se lembra, o Stuxnet foi um malware, criado ao que tudo indica em um esforço conjunto do governo Americano e Israelense, destinado a infiltrar uma usina de enriquecimento de urânio do Irã e, alterando os parâmetros de funcionamento das centrífugas nucleares, conseguiu destruir parte dos equipamentos.

Mas, segundo uma reportagem da Bloomberg, dois anos antes um ciber ataque conseguiu causar uma grande explosão em um oleoduto na Turquia.



O ano foi 2008. O alvo foi o oleoduto Baku-Tbilisi-Ceyhan, que atravessa a Turquia, interligando o Mar Caspio com o Mar Mediterrâneo, e passando pelo Azerbajão e pela Georgia. O oleoduto tinha sensores e câmeras de monitoramento em toda sua extensão, de 1.099 milhas (cerca de 1.700 kilômetros).

O ciber ataque que causou uma explosão ainda é mantido em segredo, mas segundo a reportagem da Bloomberg, os atacantes obtiveram acesso aos sistemas através de vulnerabilidades no software de comunicação das câmeras de vigilância, e assim tiveram acesso a rede da empresa e conseguiram infectar com malware o servidor Windows que gerenciava a rede de alarmes. Assim, eles conseguiram desativar os alarmes, cortar as comunicações e aumentar a pressão de óleo para provocar a explosão.

No caso do ataque ao oleoduto, o principal suspeito é a Russia, por causa das disputas políticas e energéticas na região. Três dias depois da explosão, a Rússia iniciou a guerra contra a Georgia e jatos soviéticos bombardearam a cidade de Rustavi, na Geórgia, próximo a região aonde passa o oleoduto.

dezembro 12, 2014

[Cyber Cultura] Guia Geek de São Paulo

A São Paulo Turismo lançou o Roteiro Geek, um livreto que indica os diversos locais existentes em São Paulo para os apaixonados por tecnologia, ciências, ficção cientifica, séries, filmes, jogos, histórias em quadrinhos, etc. O Roteiro Geek faz parte de uma série de roteiros temáticos da cidade de São Paulo e foi lançado durante o Comic Con Experience.


O Roteiro Geek contém uma lista de diversos lugares legais na capital, tais como a Rua Santa Efigênia (o paraíso das compras de eletrônicos e, atualmente, qualquer coisa que tenha LED), atividades em parques, lojas temáticas, bibliotecas e gibitecas, museus, eventos especializados e "barcades" (bares com ambientes descontraídos para o público geek).

O roteiro é bilíngue (português/inglês), e será distribuído nas Centrais de Informação Turística da cidade. Ele também está disponível para download no site da SPTurismo.

A revista Veja em São Paulo desta semana também deu destaque para alguns lugares Geek da cidade. Um deles, o Season One Arts Bar (Rua Augusta, 520), ficou de fora do Roteiro Geek. A Veja também citou uma festas dedicada aos fãs de Star Wars chamada Darkside, no Beco 203 (R. Augusta, 609), regada a rock clássico e indie rock. O Roteiro Geek também pisou na bola ao não incluir o Garoa Hacker Clube :(

dezembro 10, 2014

[Segurança] A evolução do ciber crime brasileiro

Algumas reportagens e relatórios publicados recentemente mostram uma grande evolução no ciber crime brasileiro. É possível perceber que, aos poucos, os ciber criminosos nacionais estão se diversificando e saindo do modelo tradicional de fraude, baseado apenas em ataques de phishing e trojans bancários, algo que desde sempre dominou o cenário do ciber crime no Brasil.

Veja os exemplos a seguir:
  • A Kasperspy anunciou a descoberta de aplicativos falsos em nome de Bancos brasileiros no Google Play: tais aplicativos aparentemente direcionavam o acesso da vítima para páginas de phishing. Foi um ataque relativamente simples, mas é a primeira vez que eu vejo notícia sobre algum tipo de trojan direcionado para mobile desenvolvido por criminosos brasileiros. Trojans para mobile existem aos montes em todo o mundo, mas este tipo de ataque não era comum entre os nossos ciber criminosos;
  • Uma reportagem do Fantástico mostrou uma quadrilha brasileira que conseguia clonar cartões com Chip e utilizava terminais de ponto de venda (leitores de cartão) adulterados, que transmitiam os dados roubados via bluetooth. Fraudes em cartões com Chip são raros em todo o mundo, por isso a notícia chamou a atenção de quem trabalha na área. De acordo com a polícia, os bandidos movimentaram no mínimo R$ 4 milhões nos últimos oito meses. O grupo adulterava máquinas de pagamento que depois eram deixadas, principalmente, em restaurantes de luxo. Garçons eram convencidos a participar do golpe, substituindo a máquina normal pela adulterada. Há alguns meses atrás, bancos no exterior já tinham detectado fraudes em cartões com chip vindas do Brasil utilizando ataques de replay. Ao que tudo indica, o problema é que os bancos afetados não implementaram adequadamente todos os protocolos de segurança do padrão EMV;
  • A Trend Micro lançou um excelente relatório que detalha o funcionamento do ciber crime no Brasil, incluindo como são comercializado produtos e serviços criminosos. Este relatório mostra claramente como o mercado negro do ciber crime está bem evoluído por aqui. O aspecto que mais chamoou a atenção da mídia foram os treinamentos disponíveis para quem quiser aprender a cometer fraudes bancárias, que são oferecidos na Internet por valores que podem variar entre R$ 120 e R$ 1,5 mil. Mas, o aspecto mais interessante do relatóripo é que os criminosos também oferecem serviços e ferramentas para outros ciber criminosos, como páginas de phishing customizadas, que custam, em média, R$ 100. Outros produtos e serviços oferecidos pelo cibercrime no Brasil incluem credenciais de cartões de crédito válidos (a partir de R$ 90 dependendo do limite de crédito do cartão), lista de números de telefone (a partir de R$ 750 dependendo do tamanho da cidade); software que envia Spam via SMS (R$ 499), além de seguidores, visualizações e likes em mídias sociais (a partir de R$ 20).
Para saber mais, eu recomendo a leitura dos relatórios abaixo:

dezembro 09, 2014

[Segurança] Hackers, criminosos e anonimato

O Chema Alonso é um pesquisador de segurança espanhol muito talentoso e um excelente palestrante - suas palestras são sempre bem informativas e divertidas, devido ao seu jeito bem humorado de apresentar.

Em 2012 ele deu uma palestra no TEDxRetiro batizada de "Hacking y anonimato para pasar un buen rato", aonde ele falou sobre o que são hackers e sobre o anonimato na Internet.


No início da sua palestra, Chema destacou que hackers são pesquisadores de segurança. Em suas palavras, "Nosso trabalho consiste basicamente em causar a insegurança, bem trabalhada, gerando relatórios (papers) para precisamente gerar segurança conhecendo a insegurança".

Em seguida, ele apresentou bem rapidamente uma de suas pesquisas recentes, aonde ele criou um servidor proxy próprio, que divulgou através da Internet, para analisar o que as pessoas faziam quando utilizam servidores de proxy para buscar acesso anônimo na Internet. Segundo sua pesquisa, a maioria dos usuários que utilizavam acesso anônimo o faziam para uso malicioso ou crimonoso. Este trabalho foi apresentado com mais detlhes na Defcon em 2012.

dezembro 08, 2014

[Cyber Cultura] Ralph Baer, o pai dos video games

Faleceu Ralph Baer, aos 92 anos, considerado o "pai dos video games". Entre outras coisas, Ralph foi inventor do primeiro console de vídeo-game, o Magnavox Odyssey, lançado em 1972, e do Simon - o jogo que no Brasil foi lançado pela Estrela no início dos anos 80 com o nome de Genius, e que até hoje é um símbolo daquela década. Ele também inventou a pistola de luz, que foi um dos primeiros periféricos para vídeo-games.

Tem um documentário bem curto sobre o Ralph Baer, mas muito legal, que mostra que ele continuava bem ativo apesar da idade avançada. Ele participava da criação de jogos e brinquedos, e tinha mais de 150 patentes sob o seu nome.


Quando eu era criança tive a sorte de ter um Genius e um Odyssey. O Genius foi o primeiro jogo enetrônico vendido no Brasil. Na época, o Odyssey era concorrente do Atari, que era bem mais famoso (e que eu aproveitava para jogar na casa dos amigos e de um primo).

dezembro 05, 2014

[Cidadania] Porque você deve começar a compartilhar

O vídeo abaixo foi gravado recentemente na RuPy Brasil, em São José dos Campos. Os pythonistas presentes tivera a oportunidade de ouvir o depoimento e a história do aposentado Carlos Eduardo Glória, que acabou com sua depressão e mudou sua vida aprendendo a programar, graças ao conhecimento compartilhado livremente pela Internet.


A história do Carlos mostra como as nossas iniciativas que visam o compartilhamento do conhecimento, tais como eventos, comunidades e hackerspaces, podem ter um grande impacto nas pessoas.

dezembro 04, 2014

[Segurança] Estatísticas sobre Proteção de Dados

A EMC realizou recentemente um estudo sobre a adoção de estratégias de proteção de dados em empresas de 24 países, chamado de "Data Protection Index".

Os resultados desta pesquisa mostram que a maioria das empresas ainda não estão preparadas para proteger devidamente seus dados. Vaje alguns indicadores globais:
  • A perda de dados e o tempo de inatividade decorrente destes incidentes custoaram as empresas 1,7 trilhões de dólares no último ano, um crescimento de 400% nos últimos dois anos;
  • 64% das empresas sofreram parada inesperada ou perda de dados nos últimos 12 meses: 49% das empresas sofreram alguma queda inesperada de sistemas e 32% sofreram perda de dados;
  • Apenas 13% das empresas podem ser consideradas "acima da curva" na adoção de estratégias de proteção de dados: apenas 2% das empresas foram consideradas "líderes" (isto é usam vários métodos para proteção de dados e necessitam de pouco tempo para se recuperar de um incidente) e 11% foram classificadas como "adopters";
  • As principais causas dos incidentes de indisponibilidade ou perda de dados estão relacionados a falhas de hardware, queda de energia elétrica ou falha em software;
  • Quase 2/3 das empresas consideram Big Data, celulares e nuvens híbridas como os ambientes mais difíceis para proteger: 51% das empresas não têm um plano de recuperação de desastres para qualquer uma dessas áreas, e apenas 6% têm um plano para todos os três;
  • Com 30% de dados primários localizados em alguma forma de armazenamento em nuvem atualmente, a falta de uma estratégia de proteção de dados para este tipo de ambiente pode resultar em perda substancial para as empresas.
O estudo também criou um ranking dos países de acordo com o nível de proteção de dados adotado pelas as empresas locais. O ranking é liderado pela China, Honk Kong, Holanda, Singapura e EUA, nesta ordem.

O Brasil ficou colocado em 18o, entre os 24 países pesquisados. Aqui no Brasil, 59% das empresas sofreram parada ou perda de dados nos úntimos 12 meses, sendo que os custos relacionados a perda de dados e a parada de sistemas representaram, respectivamente, 2,8 bilhões de dólares e 24,1 bilhões de dólares.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.