julho 30, 2015

[Segurança] Hackeando Rifles

A Wired publicou a história (e vídeo) de dois pesquisadores de segurança, Runa Sandvik e Michael Auger, que conseguiram hackear uma mira eletrônica e, assim, alterar a trajetória da bala disparada pelo rifle.

O dispositivo, Tracking Point TP750 (que custa 13 mil dólares), deveria ser utilizado para aumentar a precisão do tiro, de forma que até mesmo um atirador amador pudesse acertar o alvo através da mira eletrônica. Ela reconhece o alvo emuda de cor quando ele estiver na mira. Os pesquisadores conseguiram acessar o dispositivo através de sua conexão Wi-Fi e, explorando algumas vulnerabilidades do software embarcado na mira, eles conseguiram alterar algumas das variáveis utilizadas para o cálculo da trajetória - como, por exemplo, o peso da bala. Eles também conseguem evitar que a arma dispare ou, até mesmo, desabilitar o computador da mira eletrônica.



Tudo isso começou porque o sistema de pontaria eletrônica usa um sistema Linux embarcado que tem uma conexão Wi-Fi (desabilitada originalmente) que tem uma senha default. Eles também conseguiram privilégios de administrador no sistema e, assim, conseguem "fazer a festa".




Este caso serve para nos alertar dos riscos de automatizar e conectar diversos dispositivos do dia-a-dia, uma tendência muito forte atualmente e que é representada, principalmente, pela chamada "Internet das Coisas" (IoT). Assim como nos softwares tradicionais, é comum encontrarmos aplicações embarcadas em diversos dispositivos aonde os desenvolvedores não tomaram os cuidados básicos de segurança. Com estes dispositivos eletrônicos podendo ser acessados remotamente através de conexões em fio, temos o grande risco de alguém explorar uma vulnerabilidade do software e tomar controle do dispositivo - isso vale também para carros e aviões.

Nota (adicinada dia 30/07): Esta reportagem veio em uma boa hora, no momento em que vários cientistas estão se mobilizando contra a criação de robôs autônomos para uso militar. Ela mostra que não devemos apenas nos preocupar com o problema dos robôs atuarem sem limites éticos (ou seja, como em filmes de ficção científica como O Exterminador do Futuro ou Matrix), mas também com a possibilidade de outras pessoas tomarem o controle dos robôs.

julho 24, 2015

[Cyber Cultura] Inauguração do RioHC, o mais novo hackerspace Carioca

O pessoal do Rio de Janeiro vai inaugurar neste sábado (dia 25/07) o RioHC, um hackerspace localizado no bairro de Santa Teresa, no coração cultural do Rio de Janeiro. O RioHC ocupa duas salas do HUB ‪#‎AJogada‬, na Rua Gonçalves Fontes, 49.

O Rio de Janeiro merece ter o seu hackerspace, por causa da grande quantidade de profissionais de tecnologia e interessados no movimento maker. Além disso, um hackerspace também é um ponto turístico da cidade - pelo menos para nós, nerds ;)

O RioHC já é a terceira tentativa de criar um hackerspace na cidade maravilhosa. Em 2012 o pessoal quase conseguiu alugar uma bela casa para hospedar o hackerspace, mas na hora H a dona do imóvel resolveu cobrar um preço absurdo e a iniciativa foi por água abaixo. Também teve o Kernel40º HC, que funcionou por vários meses, mas acabou esvaziando.

A inauguração do RioHC será concomitante com a 25º edição do Arte de Portas Abertas em Santa Teresa e será uma excelente oportunidade para passear pelo bairro, conhecer o hackerspace e vivenciar um pouco da cultura Hacker.

Anote na agenda:

julho 22, 2015

[Cyber Cultura] A história dos Hackerspaces

Recentemente eu comentei sobre um artigo da revista Make sobre as diferenças entre Hackerspaces, Makerspaces e FabLabs. Este artigo tem um parágrafo aonde ele resume a história do surgimento dos hackerspaces, que é bem interessante e, por isso, resolvi adaptá-lo e reproduzir aqui.

O conceito de um hackerspace começou na Europa, como uma coleção de programadores (ou seja, o uso tradicional do termo "hacker") compartilhando um espaço físico. Um dos primeiros hackerspaces independentes a abrir suas portas foi um espaço alemão conhecido como C-Base, que foi inaugurado em 1995, que ainda está ativo até hoje e atualmente possui mais de 450 pessoas. Inicialmente este tipo de espaço se proliferou principalmente na Alemanha, em várias cidades.

Em 2006 surgiu o Metalab, em Viena (Áustria), um hackerspace bem estruturado que ajudou a estabelecer os princípios de criação e financiamento deste tipo de espaço, e isto foi fundamental para permitir uma rápida disseminação do conceito. Posteriormente surgiu a comunidade Hackerspaces.org em 2007, que até hoje serve como principal referência no assunto e mantém diversos documentos e informações sobre como iniciar e manter tais espaços.

Em agosto de 2007 (12 anos após começar a tendência européia), um grupo de hackers norte-americanos foram na Alemanha para participar do Chaos Communication Camp, em uma excursão conhecida como "Hackers on a Plane". Lá eles conheceram o conceito de hackerspaces e voltaram animados com a possibilidade de ter espaços similares nos Estados Unidos, e assim fundaram os primeiros hackerspaces americanos: o NYC Resistor (2007), HacDC (2007), e o Noisebridge (2008), para citar alguns.

Também no final de 2007 ocorreu uma palestra no A 24o CCC (Chaos Communication Congress) sobre como criar e manter um hackerspace, que deu origem ao chamado "Design Patterns", um excelente conjunto de boas práticas sobre como gerenciar um hackerspace, que é amplamente adotado até hoje e tem ajudado muita gente a criar o seu espaço.

No Brasil, os hackerspaces surgiram a partir de 2010 com a fundação do Garoa Hacker Clube, em São Paulo. O Garoa surgiu a partir do esforço coletivo de um grupo de pessoas que, através de diferentes meios, conheciam o conceito de hackerspace e se uniram em torno dessa idéia. As primeiras discussões sobre a criação do espaço começaram a tomar corpo em junho de 2009. Um pouco mais de uma ano depois, em agosto de 2010, o Garoa foi inaugurado em um espaço físico de 12m² no porão da Casa da Cultura Digital, no centro de São Paulo. Em Fevereiro de 2013 o Garoa mudou-se para uma nova sede, uma ampla casa em Pinheiros, que ocupa até o momento.

[Segurança] A ciência por trás do segredo

O Simon Singh, autor do livro "The Code Book" ("O Livro dos Códigos"), fez no ano 2000 um pequeno seriado sobre a história da criptografia, desde a época dos hieróglifos, batizado de "The Science of Secrecy".

Um destes episódios, "The Science of Secrecy: Going Public", está disponível em seu site, dividido em duas partes bem curtas, com cerca de 10 minutos cada - e que valem a pena ser vistos. Na primeira parte do episódio, ele aborda o início da criptografia de chave pública, principalmente como surgiu a idéia do algoritmo Diffie-Hellman. Eu gostei muito de como ele começa este episódio, explicando o que é criptografia: colocando um papel com uma mensagem dentro de uma caixa, e fechando-a com um cadeado. Este é um exemplo simples e bem intuitivo, que lhe permite discutir o conceito de criptografia e um de seus principais problemas, o compartilhamento da chave criptográfica.



Na segunda parte deste episódio, Simon mostra como a inteligência britânica (CGHQ) criou um algoritmo semelhante alguns anos antes, algo que que permaneceu secreto por cerca de 25 anos.


Os vídeos acima são bem didáticos e, ao mesmo tempo, bem interessantes por mostrar um momento muito importante para o surgimento dos algoritmos criptográficos.

Em 2011 o Colégio Imperial de Londres realizou um evento com o mesmo nome, "The Science of Secrecy", aonde diversos especialistas contavam uma parte da história da criptografia - incluindo o Simon Singh. O painel tem cerca de 1 hora e meia de duração, mas é bem interessante.

julho 20, 2015

[Cyber Cultura] É modinha ser hacker... até nos seriados da TV

De repente começarama pipocar seriados na TV americana com temática nerd e hacker:
  • CSI:Cyber: A versão do CSI aonde o FBI tem uma divisão dedicada para crimes cibernéticos. Ainda está na primeira temporada e, aqui no Brasil, os novos episódios vão ao ar nas 4as-feiras no canal pago AXN, as 22h. A cada 2 frases, eles falam pelo menos uma vez "Deep Web" e "Black Hat" (que foi traduzido literalmente para "chapéu preto");
  • Mr. Robot: O seriado do momento, produzido pelo canal USA, com um ótimo elenco de atores (alguns episódios estão disponíveis online - para IPs dos EUA). Tudo gira em torno do personagem Elliot (o ator Rami Malek), um jovem meio esquisitão que trabalha como engenheiro de segurança da informação durante o dia na empresa All Safe Cyber Security e a noite atua como "hacker vigilante", descobrindo a senha do Facebook para invadir contas de pessoas "más" (como pedófilos e o namorado da psicóloga dele, que é casado e taradão). Elliot odeia a sociedade e, segundo o trailer, pretende descobrir quem são os empresários que comandam o mundo (o "1% do 1%"). Logo no primeiro episódio ele é recrutado pelo líder de um misterioso grupo hacker chamado "fsociety" (outro ótimo ator, o Christian Slater) para ajudá-los a destruir a firma E Corp (também chamada no seriado de "Evil Corp", e que coincidentemente tem o mesmo logo da Enron) que é a maior cliente da empresa aonde ele trabalha. Já ouvi muitos comentários positivos sobre este seriado;
  • Halt and Catch Fire: Seriado menos badalado do que os outros dois, produzido pela AXN. Se passa no Texas nos anos 80, em uma história paralela ao início da revolução tecnológica causada pelo surgimento dos primeiros computadores pessoais e das primeiras empresas de tecnologia.


A TV Globo fez, recentemente, uma novela aonde alguns dos personagens centrais eram uma espécie hackers - a Geração Brasil. Alguém ainda tem dúvida de que está na moda fazer seriado de TV com os hackers? O meu medo, na verdade, e quando alguém tiver a brilhante idéia de criar o "Malhação Cyber" :(

julho 16, 2015

[Segurança] Cybersecurity Poverty Index

Recentemente a RSA Security lançou um estudo que batizou de "Cybersecurity Poverty Index" (pdf), baseado em uma consulta a mais de 400 profissionais de segurança em 61 países, para avaliar a maturidade em segurança cibernética em divesas empresas e países diferentes. Baseando-se no Cybersecurity Framework do NIST, os participantes avaliaram seus próprios programas de segurança corporativa através de 18 questões que abordaram cinco aspectos: Identificar, Proteger, Detectar, Responder e Recuperar de incidentes.

Os resultados revelaram algo que já sabemos: que a maioria das empresas não estão preparadas adequadamente:
  • Cerca de 75% dos participantes reportaram que possuem maturidade insuficiente para lidar com os riscos de segurança (abaixo de 4, em uma escala de 1 a 5);
  • 45% das empresas descreveram a incapacidade de quantificar, avaliar e minimizar os riscos de segurança, sendo que apenas 21% sinalizaram maturidade nessa área;
  • 83% das organizações com mais de 10 mil funcionários classificaram seus recursos como menos do que “desenvolvidos";
  • Somente um terço (34%) das empresas do setor financeiro e 18% das entidades de governo se classificam como bem preparadas (igual ou acima de 4, em uma escala de 1 a 5).
O relatório também indica que os gastos em segurança se concentram mais substancialmente em controles voltados à prevenção ao invés de detecção e resposta, uma vez que o recurso mais maduro revelado na pesquisa estava na área de “Proteção”.

A RSA disponibilizou um questionário online de auto-avaliação baseado no estudo, o "Cybersecurity Maturity Assessment", e um infográfico resumindo os resultados do estudo.


julho 14, 2015

[Cyber Cultura] Hackerspaces, Makerspaces e FabLabs

Há muita dúvida sobre a diferença entre Hackerspaces, Makerspaces e FabLabs - na minha opinião, em grande parte por falta de uma definição formal do que é cada uma dessas organizações.

Embora o site Hackerspaces.org tenha uma página com alguns links sobre a teoria por trás dos hackerspaces, sua definição sobre Hackerspace é bem ampla, o que só ajuda a causar confusão. Não é a tôa que facilmente podemos encontrar makerspaces, fablabs, espaços de co-working e até mesmo empresas na lista de hackerspaces que eles mantém no site.

Há algum tempo atrás (em maio/2013), a revista Make publicou um artigo aonde o autor dava a sua visão sobre quais seriam as diferenças entre Hackerspaces, Makerspaces e FabLabs. Eu gostei do texto e tenho uma opinião parecida, por isso vou reproduzir abaixo com meus comentários:
  • Hackerspaces: um espaço físico para promover o encontro de pessoas interessadas em qualquer tipo de "hacking", relacionado ou não a programação, segurança, eletrônica, etc. Apesar de alguns espaços terem várias atividades e infra-estrutura relacionadas a fabricação de coisas, tais ferramentas e espaços dedicados são muitas vezes vistos como secundários à missão do hackerspace. Além do mais, a maioria (ou quase totalidade) dos hackerspaces seguem um modelo de gestão coletivo, com tudo (equipamentos, materiais e gastos) sendo compartilhado igualmente entre os frequentadores;
  • Makerspaces: locais publicamente acessíveis com uma infra-estrutura específica para projetar e produzir coisas. A melhor definição é que os makerspaces são "oficinas comunitárias", aonde grande parte da sua infra-estrutura é dedicada as atividades de criação e de produção, como rede de energia elétrica de alta tensão e ventilação, ferramentas apropriadas e dedicadas a cada tipo de atividade ou projetos artesanal. Frequentemente do tais espaços são estruturados como linhas de negócios tradicionais (em vez de coletivos democráticos), devido à despesa significativa envolvida na manutenção dos equipamentos e da infra, além da necessidade de treinamento de novos membros para usar as ferramentas de forma responsável;
  • FabLabs: segundo o autor, os FabLabs nada mais são do que um nome comercial para os Makerspaces - uma rede de espaços iniciado em 2005 no MIT.

Eu concordo quando o autor diz, no começo de seu texto, que "muitas pessoas não fazem nenhuma distinção entre o termo 'hackerspace' e 'Makerspace'. Verdade seja dita, essas pessoas geralmente associam-se com hackerspaces."

Eu já vi alguns espaços que se auto-intitularam "Makerspaces" simplesmente pelo medo de adotar a palavra "hacker" no nome do espaço e, assim, herdar a conotação negativa que a sociedade e a imprensa impõem sobre o termo "hacker". Nós tivemos essa discussão quando criamos o Garoa, e acredito que todos os hackerspaces também tiveram, mas no final a nossa conclusão foi de que, se nós não nos esforçarmos para divulgar o lado positivo da cultura hacker, ninguém mais fará isso por nós. E, desde então, nós temos orgulho de ser um HACKERspace e de nos considerarmos "hackers".

julho 13, 2015

[Cyber Cultura] Vida Real x Vida Virtual

Saiu mais um ótimo vídeo da Porta dos Fundos: quem nunca reparou que, de repente, todos os seus amigos frequentam academia, vão a praias paradisíacas, jantam em restaurantes com pratos bonitos, e somente bebem cerveja artesanal ou vinho!?

Este vídeo satiriza como as pessoas tem o hábito de mostrar uma vida idealizada nas redes sociais: uma vida aonde todo mundo é feliz, vivendo no glamour. Nem parece que a vida tem seus altos e baixos, problemas, dúvidas e tudo mais. Este é um ótimo vídeo para ser usado em campanhas de conscientização contra o vício causado pela hiperconectividade, a superexposiçào que temos atualmente e os consequentes exageros cometidos no mundo online.

julho 11, 2015

[Cyber Cultura] Inauguração do Calango Hacker Clube

Neste sábado, dia 11 de Julho, o pessoal do Calango Hacker Clube vai fazer uma pequena festa para inaugurar o seu novo espaço.


Calango é um dos mais novos hackerspaces brasileiros, localizado em Brasília - mais precisamente, na Asa Norte: CLN 310 bloco B, sala 51-S.


julho 10, 2015

[Cyber Cultura] Hackeando sites de Relacionamento

O que acontece quando uma pessoa nerd resolve procurar seu par ideal em um site de relacionamentos?

Esta palestra do TED mostra a experiência da Amy Webb, uma garota de 30 anos que vive na Filadélfia. Tudo começou quando ela fez as contas e estimou que, em uma cidade com 1,5 milhões de habitantes, somente 35 pessoas poderiam satisfazer suas exigênias na busca por um parceiro ideal.

Sua abordagem inicial não deu muito certo, de simplesmnete preencher um cadastro em um site de relacionamento de qualquer jeito (ela copiou e colou as informações do seu currículo no formulário do site). O resultado foram encontros terríveis com pessoas selecionadas pelo algoritmo do site, baseado nos dados do perfil de ambos.

As coisas melhoraram quando ela resolveu mudar sua abordagem: tratar os sites de relacionamentos como um banco de dados, que pode ser manipulado para atingir o resultado ideal - em vez de esperar a combinação de um algoritmo qualquer. Primeiro ela identificou as coisas possíveis que estava procurando em um companheiro (72 diferentes pontos relevantes, que ela priorizou e criou um sistema de notas e classificação). E só respondia aos anúncios que atendessem a um conjunto mínimo de requisitos. Não contente com isso, ela também analisou o perfil das concorrentes (usando dez perfis masculinos falsos), e assim identificou como seriam as outras mulheres que poderiam interessar ao seu prícipe encantado: perfis objetivos (ex: média de 97 palavras muito bem escritas), com linguagem otimista (ex: "divertida", "garota" e "amor") e fotos que mostravam mais no decote. Além disso, as mulheres populares esperam em média 23 horas entre cada contato, tal qual nos comportamos em um processo comum de conquista.

Após "otimizar" o seu perfil, Amy virou a pessoa mais popular online!


Amy soube entender como funcionam os sites de relacionamento e usar isso a seu favor. Sua abordagem criativa mostra como é possível "hackear" o mundo que nos cerca.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.