fevereiro 24, 2017

[Cyber Cultura] Você já colaborou com a Cryptorave 2017?

A Cryptorave é um evento sensacional, que fala de segurança e criptografia com um grande foco em discussões políticas, liberdade na rede e privacidade. A edição deste ano, a quarta edição da Cryptorave, irá acontecer nos dias 5 e 6 de Maio. Serão 24 horas initerruptas de atividades, incluindo palestras, debates, oficinas de criptografia, rodas de conversa, install fest, jogo de cartas e festa de verdade durante a madrugada.


A Cryptorave é um evento gratuito, 100% feito com ajuda voluntária e, o mais legal de tudo: financiado através de apoio coletivo (através do Catarse). A propósito, neste ano a meta de financiamento coletivo do evento é de R$ 60.000,00.

Além de apoiar com dinheiro, todos nós podemos ajudar a CryptoRave de várias formas:

fevereiro 22, 2017

[Segurança] A RSA Conference

Na semana passada tivemos mais uma edição da RSA Conference (ou "RSAC", para os íntimos), provavelmente o maior e mais importante evento do mercado de segurança em todo o mundo.


O evento surgiu em 1991, como um fórum para criptógrafos - hoje limitado a uma das diversas trilhas do evento e ao painel de criptógrafos que acontece após a cerimônia de abertura. Apesar de levar o nome da empresa RSA, este é um evento em que participa toda a indústria de segurança, que neste ano recebeu um público estimado de 40 mil pessoas, que lotaram as palestras e as duas gigantescas áreas de exposições. A RSAC ocorre principalmente no Moscone Center, um gigantesco centro de exposições na área central de São Francisco. Neste ano, além de tomar todas as três áreas disponíveis no Moscone Center, o evento também ocupou um espaço de eventos em um hotel próximo.




Haviam tantas pessoas no evento que a festa oficial, realizada na 5a feira a noite, aconteceu simultaneamente em 4 lugares diferentes!


A RSA Conference tem um foco muito maior em marketing e negócios do que foco técnico (embora existam centenas de palestras técnicas na grade), e ela é tão importante para a indústria de segurança que a maioria dos grandes fabricantes esperam a RSAC para lançar suas novidades. Lá, no centro de exposições, também é possível conhecer dezenas de pequenas empresas e startups, alguns apresentando suas inovações na área. Há tanta coisa para fazer e visitar durante o evento que muitas pessoas preferem não comprar o passe completo (que custa cerca de 2 mil dólares) e preferem o "Expo Pass", que pode ser obtido gratuitamente de alguns patrocinadores e dá direito a visitar "apenas" o piso de exposição e assistir alguns dos keynote speakers - mas não se engane, pois "só isso" pode te manter suficientemente ocupado por 2 ou 3 dias.

Neste ano também estava lá a vista de todos o SOC montado para o evento, um esforço em conjunto da RSA com a CISCO. Haviam pequenos "tours" a cada meia hora, aonde o pessoal parava em frente ao "aquário" do SOC e um dos empregados explicava o seu funcionamento. Um fato curioso é que, por decisão dos advogados das empresas envolvidas, todos os discos contendo os dados de rede capturados pelo SOC tiveram que ser destruídos no último dia do evento.


Algumas palestras da RSAC estão disponíveis no canal do evento no YouTube, assim como entrevistas e alguns vídeos interessantes.

Quer saber quais foram os temas mais presentes na RSA Conference deste ano? Dê uma olhada neste post. Também recomendo uma leitura neste artigo com os 11 principais ensinamentos da RSA Conference.

Nota: Fiz uma pequena atualização em 23/2 para incluir o link para um pequeno vídeo sobre o tour no SOC da RSAC. Veja o vídeo abaixo:


fevereiro 21, 2017

[Segurança] Explicando o algoritmo RSA

Eu fui dar uma olhada no canal do Youtube da RSA Conference e, para a minha surpresa, o primeiro vídeo que eu vi foi um vídeo bem curtinho e simpático, de 2011, aonde os criadores do algoritmo RSA explicam o seu funcionamento:


O vídeo não é nenhum pouco educativo: Rivest, Shamir e Adleman simplesmente se revezam citando como o algoritmo RSA funciona (escolhe dois números primos, calcula a multiplicação, blá bláblá, Wiskas Sachet, etc), mas vale muito a pena assití-lo pela curiosidade e ter o prazer de ver os 3 criadores do algoritmo.

O algoritmo RSA foi o primeiro algoritmo de criptografia assimétrica, aquele aonde uma mensagem é cifrado por uma chave criptográfica e decifrado por outra. Ele foi quem permitiu utilizarmos criptografia como usamos hoje.

fevereiro 20, 2017

[Carreira] O ego na TI

Neste ano, o nosso amigo Youtuber Fernando Mercês começou a gravar vídeos curtos em seu canal Papo Binário, falando sobre assuntos objetivos relacionados a carreira e tecnologia. Além das entrevistas que ele continua fazendo desde o ano passado, o Mercês começou a gravar estes vídeos curtos, de 5 a 10 minutos cada - que normalmebte valem ser vistos.

Em um destes vídeos, ele fala sobre "O ego na TI", um assunto que pode ser tratado por diversos ângulos diferentes, principalmente pela eterna briga de egos na área de TI e, especialmente, na área de segurança. Na verdade, poderíamos gastar dezenas de posts em blogs e videologs só para tratar do ego e da briga de egos na área de segurança. Como ele mesmo disse, o Ego nos faz criar rótulos sobre nós e os outros que, no final das contas, não nos permite aprender com quem sabe mais nem ensinar quem sabe menos.


Eu diria que, em seu vídeo, o Mercês deu um enfoque mais em cada um desapegar de seu ego pessoal e, inclusive, do próprio material que produz. A frase que ele disse no final é linda: "Se você tem alguma idéia fantástica e alguém roubou, você tem outra - porque você cria idéias, não rouba".

Eu mesmo já trabalhei em uma empresa em que publicávamos diversos relatórios e pesquisas constantemente, algumas tão extensas que facilmente davam de 10 a 0 em muito TCC por aí (e poderiam valer uma tese de mestrado), mas estes materiais em sua grande maioria eram publicados sem referência ao autor. Ou seja, passávamos mais de um mês para escrever um paper e não recebíamos crédito por isso. Outro exemplo do meu lado do mundinho: este blog, desde a sua origem, tem licença livre (CC-BY-NC-SA), o que significa que qualquer pessoa pode reproduzir qualquer abobrinha que eu escrevo aqui.

Mas acredito que nenhuma experiência é tão boa para se desapegar do Ego do que se envolver verdadeiramente em comunidades, em grupos aonde você compartilha espaço de igual para igual com pessoas de todos os níveis de conhecimento, aonde você trata igualmente a pessoa que está começando na área e o mega-expert-modafóca-pica-das-galáxias. Diversas comunudades nos permitem esta experiência de conviver com outras pessoas de igual para igual e trocar conhecimento pelo simples prazer do bate-papo e da aprendizagem mútua.

fevereiro 18, 2017

[Cyber Cultura] O lado bom e o ruim da Campus Party

Há poucos dias atrás tivemos a décima edição brasileira da Campus Party (CPBR), um evento que reuniu um punhado de milhares de pessoas em Sào Paulo durante quase uma semana inteira (de 31/01 a 05/02), muitas das quais acamparam lá e por muitas vezes ficaram antenadas por mais de 24 horas seguidas. a organização do evento previu receber 8.000 pessoas na Arena interna (os chamados "campuseiros") e que seria visitado por 80 mil pessoas (essa grande maioria tem acesso apenas a área pública do evento).


O que torna a CPBR especial é que este é o maior evento de tecnologia brasileiro, com foco em inovação no mundo digital. Podemos pensar em vários motivos para ir no evento, exdrúchulos ou válidos, mas o principal, sem dúvida, é que este é o principal e maior evento brasileiro sobre inovação tecnológica aberta ao usuário final, incluindo dezenas de palestras, oficinas e atividades diversas.


Quem não conhece a Campus Party ou olha ela de forma superficial, vai ver um monte de adolescentes jogando video games. Sim, isso é o mais comum e o que chama mais a atenção de todos que visitam o evento - uma área central enorme aonde os participantes (a grande maioria formada por adolescentes) levam seus computadores e seus jogos - de batalha em 1a pessoa, simuladores e, pasme, os jogos de dança fazem grande sucesso lá.


Outro destaque frequente na mídia são os casemods, ou seja, os desktops customizados. Mas outras atividades presentes neste ano incluem guerras de robôs, corrida de drones e, inclusive, lutas de "sabre de luz" (feitos de espuma) organizadas espontaneamente pelos presentes.


Assim, sob essa visão superficial, esconde-se os grandes valores da Campus Party: a formação de comunidades e a troca de conhecimento, através de centenas atividades formais e informais que acontecem quase initerruptamente, desde palestras, oficinas e até mesmo incontáveis conversas de corredor. Entre os participantes, o evento cria um sentimento de comunidade - desde uma mega-comunidade de internautas envolvendo todos os campuseiros, até as micro-comunidades que cohabitam o espaço (gamers, empreendedores, pessoal do Software Livre, desenvolvedores, pessoal de robótica, hackerspaces, comunidades makers, etc).


Empreendorismo e uso de mídias sociais sempre foram assuntos de grande destaque na CPBR. É comum ver lá webpersonalidades e Youtubers. A propósito, nos primeiros anos da CPBR a modinha era ser blogueiro. De dois anos para cá, é ser Youtuber.

Neste ano, em especial, sumiram os conteúdos de segurança e redes, mas ganhou destaque o movimento Maker, em palestras, atividades específicas e através de áreas temáticas de entidades patrocinadoras como os Fazedores e a Prefeitura de São Paulo. Nos aos anteriores, havia um palco com programação dedicada sobre segurança e redes, organizada pelo CERT.br e pelo NIC.br. Esse conteúdo sumiu. Neste ano, por outro lado, era fácil encontrar inpressoras 3D por lá. Também ganhou destaque um Hackaton promovida pelo evento. Ainda comparando com anos anteriores, me pareceu que neste ano faltou mais debates políticos e discussões sobre regulamentações e privacidade.


Ou seja, "maker" e "hackaton" foram as palavras-chave da CPBR10.

Assim como acontece em todas as edições da Campus Party, esta tinha vários problemas e as vezes dá a impressão de que a organização se esforça para piorar alguns destes problemas a cada edição. Seguranças despreparados, organização despreparada para lidar com o público do evento e, principalmente, sem respeito as comunidades, comida cara, infra-estrutura precária para quem palestra e para quem acampa (sem isolamento de som, luzes acessas 24h, chuveiros com problemas). Que tal colocar TVs minúsculas para os palestrates? O local é barulhento? É difícil assistir as palestras e conversar? Que tal colocar um palco com música ao vivo ao lado dos participantes, para aumentar o barulho?


Talvez a maior frustração, para mim (após o desapareciemnto da área de segurança), foi que esta edição da CPBR não teve nada de especial, melhor ou comemorativo por ser a sua décima edição. Nada de especial. Nada para celebrar. Nenhum capricho a mais.


fevereiro 10, 2017

[Segurança] Golpes e ciber crimes no Brasil

Recentemente a TV Record divulgou que entre 5% e 10% das transações de compras online são golpes. Esses golpes mais comuns que afetam os consumidores online são:
  • Lojas fraudulentas, de empresas fantasmas criadas pelos fraudadores;
  • Sites falsos, muito parecidos com sites reais de e-commerce;
  • Mensagens de e-mail divulgando promoções;
  • Anúncios em sites de negócios, aonde o consumidor compra um produto que nunca vai ser entregue ou paga uma quantia para garantir a "reserva" do produto.

Tais sites divulgam promoções mirabolantes para atrair os consumidores, mas depois da compra realizada, o cliente não recebe nada e fica com o prejuizo financeiro.

Uma das formas de evitar estes golpes é não acreditar em promoções com grandes descontos, com preço muito abaixo do normal de mercado, e quando se não tratar de uma grande loja conhecida, verifique se existem reclamações sobre o site. Desconfie se o site tiver muitas reclamações ou, inclisive, se não tiver nenhuma. Avalie as reclamações existentes. avalie o site procurando alguma indicação de que ele possa ser falso. Obtenha o máximo possível de informações sobre a loja e o produto. Na dúvida, não compre.

Segundo dados da Norton, divisão da Symantec, que foram divulgados no final do ano passado, o prejuízo total relacionado a ciber crimes no Brasil foi de US$ 10,3 bilhões em 2015. Em 2015, 42,4 milhões de brasileiros foram vítimas de crimes virtuais (39% dos usuários INternet), um aumento de 10% no número de ataques comparado com o ano anterior.


fevereiro 08, 2017

[Segurança] Negócios e Segurança

Existe uma eterna batalha entre a área de Negócios e de Segurança: enquanto a empresa tem sua necessidade de crescer, lançar produtos, atrair e reter clientes, a área de segurança fica imersa em tecnologias e siglas, tentando avaliar riscos e fixar controles para evitar incidentes.

Para ilustrar essa disputa entre negócios (business) e segurança (security), a RSA preparou alguns pequenos vídeos ligeiramente divertidos que também servem de base para a sua campanha "Business-Driven Security". Com dois personagens, um representando os Negócios e outro a área de Segurança, os vídeos mostram eles discutindo a relação em um psicólogo, discutindo durante o jantar e também na hora de lavar as louças.



Os vídeos destacam a dificuldade de entendimento entre as duas áreas por não falarem a mesma língua, já que a área de negócios tem dificuldade de entender o "techiniquês" do pessoal de segurança. Além de terem interesses e opiniões distintas, esse problema de comunicação pode prejudicar as duas áreas.


fevereiro 06, 2017

[Cidadania] Vigilância Governamental

O pessoal da Pública, uma agência independente de reportagem e jornalismo investigativo, lançou uma série especial de artigos sobre Vigilância, em que eles abordam o aparelhamento do estado e o uso de técnicas vigilância e repressão, como a infiltração de agentes policiais em organizações civis e nos protestos. Tal "evolução" foi motivado pela Copa do Mundo e pelas Olimpíadas do Rio de Janeiro, que fomentaram o crescimento do uso de técnicas de vigilantismo contra manifestantes a partir de 2013.



Em parceria com a Editora Criativa e a jornalista colombiana Olga Lucía Lozano, eles estudaram o Sistema Nacional de Comando e Controle, criado para monitorar terrorismo e protestos durante os grandes eventos esportivos. Eles também estudaram o uso frequente de infiltração de policiais e descobriram que a polícia têm usado justificativas legais nos Tribunais para promover esse tipo de ação.

O especial reúne as histórias dos infiltrados da polícia e os depoimentos de suas vítimas nas manifestações, com vídeos, revela os equipamentos utilizados e algumas estatísticas sobre os gastos realizados para compra de equipamentos de vigilânciana vigilância. O site também convida a participação da sociedade, colaborando em mapeamento colaborativo das câmeras de vigilância de rua no Rio de Janeiro.

fevereiro 02, 2017

[Segurança] A pior senha de 2016

Segundo uma pesquisa divulgada por uma empresa chamada Keeper Security, a senha a mais comum utilizada pelos usuários é...

123456


Segundo o levantamento da Keeper, cerca de 17% dos usuários utilizam esta combinação para sua senha.

A empresa analisou 10 milhões de senhas de bases de dados que foram vazadas durante o ano de 2016 e, com isso, divulgou uma lista com as 25 senhas mais frequentemente encontradas. O interessante é que, segundo eles, estas 25 senhas, somadas, reprentam quase 50% das senhas analisadas na amostra que eles utilizaram !!!

Ou seja, se você utiliza alguma das senhas nessa lista, a sua conta pode ser facilmente acessada por qualquer pessoa que teste estas senhas mais óbvias. Pior: provavelmente já estão acessando a sua conta e você não sabe!

A lista das 25 piores senhas de 2016, segundo a Keeper, é a seguinte:
  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678 
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 7777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e


janeiro 31, 2017

[Cyber Cultura] Cyber Bullying e suas técnicas

O pessoal da Norton, a divisão de antivírus pessoal da Symantec, realizou recentemente uma pequena campanha de conscientização sobre o cyber bullying - uma das ameaças online mais comuns contra crianças e adolescentes, que consiste no ato de humilhar outras pessoas nas redes sociais e no mundo online.

Este é um problema especialmente grave entre jovens em idade escolar, pois as brigas e ofensas típicas dessa fase passam a ser amplificadas através da Internet, se espalhando além dos muros das escolas e, assim, causando maior visibilidade da ofensa e trazendo um maior impacto moral para a vítima.

Durante a campanha da Norton, eles deram destaques a algumas táticas utilizadas no cyber bulling:
  • Dissing: é quando as pessoas postam ou compartilham online informações cruéis sobre a vítima, para tentar arruinar a sua reputação ou seus laços de amizade;
  • Outing ("revelando"): é o ato deliberado de envergonhar ou humilhar alguém publicamente, através da postagem de informações privadas, sensíveis ou constrangedoras;
  • Catfishing: é quando o ofensor se faz passar por outra pessoa;
  • Masquerading: similar ao Catfish, é utilizado para referir-se ao ato técnico de criar um e-mail ou um perfil falso online, para esconder a identdade do ofensor;
  • Bash Board: são os fóruns online aonde os participantes podem postar qualquer coisa. São utilizados por ofensores para publicar informações ofensivas, frases de ódio ou ridicularizar alguém;
  • Fraping: Entrar na conta online de alguém que esqueceu de se desconectar, aproveitando para postar alguma coisa ofensiva ou humilhante em nome da vítima;
  • Trollagem: são ataques pessoais a uma pessoa visando causar frustração e raiva, normalmente acompanhados de ofensas e críticas. No caso mais ameno, pode ser considerado apenas uma "zoeira", ou "sacanagem". Mas na mão de ofensores envolvidos em cyber bulling, é algo que pode se tornar perigoso, stressante, intenso e extremamente ofensivo.
Eles também disponibilizaram uma página para esta campanha, aonde também oferecem artigos, um pequeno guia gratuito sobre o assunto e colocaram um vídeo bem tocante sobre o perigo do cyber bullying.



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.