agosto 28, 2015

[Cyber Cultura] Os perigos das redes sociais e dos pais que não sabem educar seus filhos

Recentemente a Dra. Gisele Truzzi publicou um post em seu perfil no Facebook comentando sobre os aspectos negativos de um vídeo que começou a circular há pouco tempo aonde um ator se faz passar por um adolescente com o intuito de encontrar garotas de 12 a 15 anos para mostrar o potencial perigo das amizades virtuais.

Com o propósito de mostrar como é fácil para um pedófilo se aproximar de garotas inocentes através das redes sociais, ele criou um perfil falso como se gosse um garoto de 15 anos e entrou em contato com algumas garotas. Após conversas com elas pelo Facebook por alguns dias, o ator marcava um encontro, que era presenciado pelos pais - sem que as garotas soubessem.


Embora esta ação tenha como objetivo ajudar a conscientizar os adolescentes sobre os riscos de se encontrarem com pessoas que conhecem apenas pela Internet, a Dra. Gisele atentou para um lado muito triste de como o vídeo foi feito: a abordagem deles acaba colocando a culpa nas garotas - que, na verdade, são as vítimas disso tudo. Para piorar ainda mais a situação das garotas, os pais aparecem no vídeo gritando com elas, dando bronca, dizendo: "o que há de errado com você? Como você pode fazer isso?" A reação das garotas é chorar, enquanto ficam recebendo bronca - em vez de receber orientação ou apoio.

Por mais que seja importante comunicar aos jovens sobre os riscos existentes no mundo virtual, esta preocupação também é responsabilidade dos pais. São eles que devem educar, orientar e ajudar os jovens (garotas e garotos) sobre como utilizar com segurança a Internet e as redes sociais. E isso tem que ser feito com amor e carinho, e não na base do susto, do grito e do castigo.

A mensagem e as reflexões da Dra. Gisele são tão boas que eu prefiro transcrevê-las abaixo, do que tentar reescrever ou comentar ainda mais.
Está circulando por aí um vídeo em que um ator se faz passar por um adolescente, no intuito de encontrar garotas de 12 a 15 anos com as quais conversava há 3 ou 4 dias pelo Facebook, e então mostrar p/ elas e seus pais o quão perigoso esse desfecho poderia ser.

Ok, acho muito importante a mensagem do vídeo, que certamente, na base do susto, conseguiu chocar e talvez mostrar p/ essas garotas que elas estavam colocando-se em risco.

Mas faço a ressalva p/ um ponto que entendo que foi inadequado: a abordagem do vídeo, que ao meu ver, tenta colocar a culpa nas meninas.
Os pais aparecem gritando, dando bronca, dizendo: "o que VOCÊ pensa que está fazendo", e cenas nas quais a linguagem corporal me aparenta que as meninas é que são colocadas como as principais culpadas.

E eles, pais, não tem culpa pelo fato de suas filhas estarem ali?!
Por que esses pais acham que a culpa é única das filhas?...
Se eles tivessem conversado abertamente c/ suas filhas sobre isso, creio que elas não estariam ali...

Será que esses pais, ao chegarem em casa, conversam com seus filhos também sobre esse tipo de assunto? Tentam ao menos perceber se os filhos(as) estão passando por alguma fase de baixa auto-estima, depressão, bullying no colégio?...
Creio que não... Muito provavelmente, devem chegar em casa e todos permanecerem enfiados em suas telas de celulares, tablets e computadores, sem qualquer diálogo.

Então, se vc é pai ou mãe, pense nisso.
  • Vc está dando o exemplo que gostaria que seus filhos tivessem?
  • Vc sai da internet e conversa com sua família?
  • Vc desliga do mundo virtual e propicia momentos de interação real c/ sua família?
  • Vc fala c/ seus filhos sobre os riscos da exposição excessiva na internet, e sobre encontros c/ estranhos?
Caso sua resposta seja negativa p/ alguma dessas questões, então não vá exigir comportamento diferente de seus filhos, e culpá-los exclusivamente pelo ocorrido, se vc não propicia um ambiente de diálogo aberto em casa.
Nesses assuntos, sua omissão e seu comportamento tem grande parcela na culpa pelo incidente.

agosto 27, 2015

[Segurança] CCCamp 2015

Neste ano foi realizado o Chaos Communication Camp (CCCamp), um evento que acontece a cada 4 anos na Alemanha.


Esta edição do CCCamp aconteceu na semana seguinte a Defcon, de 13 a 17 de Agosto, em uma espécie de parque (uma antiga olaria) próxima a cidade de Zehdenick, distante cerca de 50 Km ao norte de Berlin. O local conserva alguma estruturas da antiga fábrica, o que deu um toque bem legal ao clima do evento, e possui muita área livre para o pessoal acampar - além de alguns lagos próximos que o pessoal usou para se refrescar durante o dia.

Antes de mais nada, quero deixar claro que o evento é realizado em um acampamento: portanto, esqueça coisas como conforto, salas com ar condicionado, coffee-break, quarto de hotel, banho quente, etc. Os participantes realmente acamparam no local, cada um levando a sua própria barraca, usando banheiros químicos e chuveiros coletivos, com água gelada. Sem nenhum conforto.


A energia do CCCamp foi extraordiária: um clima excelente de troca de conhecimento, confraternização, inovação e amizade. A decoração do evento, realizada pelos organizadores e até mesmo pelos participantes, também garantiam uma atmosfera bem empolgante - principalmente a noite, com a iluminação e os efeitos de luz espalhados pelo local.



A programação do evento foi formada por 2 trilhas principais de palestras, realizadas em duas grandes tendas montadas para isso - mas também havia o stream ao vivo de todas as palestras, com tradução simultânea para inglês (pois quase metade das palestras foram em alemão), assim ninguém precisava ir nas tendas para assistir a programação oficial. Também tiveram algumas oficinas, mas a grande maioria do pessoal ficava em grupos, nas diversas tendas montadas pelos próprios participantes. Uma grande parte das tendas eram de hackerspaces, que tiveram uma presença massiva no evento. Vários hackerspaces europeus montaram um espaço próprio, com barracas e tendas, aonde organizavam diversas atividades como palestras, oficinas, discussões e qualquer tipo de atividade aberto a todos os interessados.

As palestras iam até altas horas da noite, cerca de 23h, e em seguida o pessoal se dirigia para as tendas aonde haviam mais oficinas, debatas, palestras - além das festas. Normalmente eu ia dormir entre 5 e 6 da manhã, para acordar as 7:30 com o sol brilhando e fritando todos que estavam dentro das barracas.

O CCCamp contou com cerca de 4 mil pessoas, pelo que fiquei sabendo, e haviam cerca de 20 brasileiros no evento, entre eles alguns poucos profissionais de segurança, alguns membros e ex-membros de hackerspaces e alguns brasileiros que moram na Europa.

agosto 17, 2015

[Segurança] Defcon, carros e coisas

Se eu fosse resumir a Defcon de 2015 em um tópico principal, eu diria que este foi o ano das pesquisas de vulnerabilidades em carros e na "Internet das Coisas" (IoT).

Assim como acontece em todos os anos, os mais diversos assuntos são abordados na Defcon, muitos dos quais são novas idéias, linhas de pesquisa inovadoras ou vulnerabilidades reais que podem virar grandes problemas nos meses ou anos seguintes - e isso é o que mais me atrai para o evento. Mas, apesar da grande variedade de palestras e temas, todo ano é possível identificar alguns tópicos mais "quentes". No ano passado, certamente foi a questão do vigilantismo da NSA. Em 2012 foi o ano de se falar em hacktivismo e começarem as preocupações com sistemas SCADA.

Neste ano, me chamou a atenção a quantidade de ativisades relacionados a Hacking a sistemas embarcados e coisas e carros, ou  hacking automotivo  ("car hacking") e a dispositivos genéricos conectados a Internet ou em rede (a "Internet das coisas").

O mais legal foi que, além de palestras sobre este assunto, também tivemos duas Villages dedicadas, aonde o pessoal podia realizar palestras, oficinas e fuçar em equipamentos reais: a Car Hacking Village e a IoT Village.


Na Car Hacking Village, haviam dois carros disponíveis para serem hackeados pelos participantes, além de uma pequena área de palestras sobre o assunto e de um carro da Tesla em exposição. Havia uma mesa da Tesla Motors, mas o carro deles não estava disponível para o pessoal hackear - o que é perdoável frente ao fato de que a Tesla possui um programa de gratificação aos pesquisadores de segurança ("bug bounty") que paga até US$ 10.000 para bugs encontrados em seus carros.



Além de duas palestras sobre vulnerabilidades em carros, também teve uma palestra na Defcon sobre um pessoal que hackeou um skate elétrico e outra plaestra de dois pesquisadores que hackearam uma mira eletrônica de rifle. Uma das palestras sobre Car Hacking foi do Charlie Miller, que tomou total controle de um Jeep, conseguindo até mesmo controlar a direção, aceleração e frenagem de um carro em movimento.

Conversando com alguns amigos, nós estamos vendo que essa nova onda de embarcar sistemas conectados a Internet em qualquer coisa está trazendo graves problemas de segurança, e que mesmo hoje em dia muita coisa tem sido criada sem nenhuma ou quase nenhuma preocupação séria em segurança. O mundo dos sistemas embarcados está vivendo a mesma realidade que a Internet viveu na década de 90: pipocam dezenas de aplicações absurdamente vulneráveis, que podem ser exploradas por causa de vulnerabilidades muito básicas.

agosto 07, 2015

Páginas no Blog

Talvez o leitor mais assíduo tenha percebido que recentemente eu criei algumas páginas no meu blog - um recurso do Blogger que eu ainda não tinha usado até então.


A minha idéia é colocar lá algum tipo de conteúdo mais atemporal, e por isso já criei as seguintes páginas:
  • Quotes: Algumas frases especiais escolhidas por mim, de minha preferência. Para usar em vários momentos ;)
  • Piadas Nerd: Algumas piadas curtas que os nerds vão adorar - e algumas pessoas talvez não entendam;
  • Palestras: Uma lista parcial das palestras que já dei até hoje em eventos;
  • Sobre mim: Uma pequena mini-bio minha, para ajudar aquelas pessoas que não me conhecem;
  • English: Informações sobre a não-existência de uma versão em Inglês do meu blog.

Algumas destas páginas estão em constante atualização. Além delas, eu ainda estou preparando algumas outras páginas. Em algum momento no tempo elas serão publicadas ;)

agosto 05, 2015

[Segurança] Hotel da Defcon

Hospedar a Defcon, a maior conferência hacker de todo o mundo, não deve ser uma tarefa fácil para nenhum hotel. É o que mostra o memorando do hotel Alex Park, que circulou em 2001, e que foi resgatado pelo Anderson Ramos.


Entre outras coisas, o fax diz que os funcionários devem ficar de olho em coisas como;

  • Desaparecimento de telefones públicos ou caixas eletrônicos,
  • Surgimento de novos telefones públicos ou caixas eletrônicos na área do hotel
  • Animais de fazenda

Não sei se o memorando é real (isto é, foi escrito mesmo pela administração do hotel) ou se conseguiram hackear o fax deles e mandar essa nota. Em se tratando da Defcon, tudo é possível. Em uma das primeiras Defcons que eu fui, ainda no Hotel Riviera, lembro que sumiram com o piano que ficava no bar do hotel aonde foi a festa do evento.

agosto 04, 2015

[Segurança] Cyber Ameaça do Momento: Hackear coisas e Vender dados na Internet

Basta olhar as notícias do momento para saber quais ciber ataques mais assustam os Brasileiros e os Americanos. E, acredite, cada um tem medo de ameaças diferentes - parte do motivo é causado pelo abismo tecnológico que ainda nos separa.

No Brasil, de repente todo mundo começou a ter medo de...

Sites que vendem dados pessoais


Recentemente sairam dezenas de notícias sobre o site "tudosobretodos.se", aonde podemos buscar pelos dados pessoais de alguém baseado no nome ou CPF da pessoa. Mas o pior é que isso não deveria ser nenhuma novidade !!! As pessoas estão com medo do fim de uma privacidade que nunca tiveram !!!



Até o Ministério Público foi chamado para derrubar esse site. Há poucos meses atrás tivemos o mesmo desespero por conta do site NomesBrasil.com. No ano passado se falava muito do site fonedados.com (que ainda está ativo). Aqui no Brasil colecionamos histórias de dados pessoais sendo vendidos no mercado negro ou em locais como a Rua Santa Ifigênia, tradicional ponto em São Paulo para compra de eletrônicos, computadores feitos em casa e computadores velhos, além de lar de camelôs vendendo softwares pirata. Em 2013 o SBT já fez uma série de reportagens sobre o comércio de informações por lá - repeteco de reportagens de 2008, 2009 e 2010. Isto tudo acontece porque é muito facil roubar estes dados - seja através de bases expostas online ou pelo vazamento de dados por parte dos próprios funcionários.

Enquanto nós estamos preocupados com a venda de nossos dados online, os americanos tem outra ameaça cibernética para tirar o sono deles:

Hackear sistemas embarcados e IoT


Jé tem gente hackeando jipes, aviões e até mesmo a mira eletrônica de rifles. E, neste momento, discute-se os limites éticos para a criação de robôs autônomos de uso militar. Ou seja: Tudo que pode ser automatizado pode ser hackeado !!!

agosto 03, 2015

[Segurança] Mini FAQ: BSides Las Vegas e Defcon

Nem todo mundo teve paciência de ler a longa série de dicas sobre a Defcon que já publiquei, e recentemente ouvi alguma sperguntas repetidas. por isso, aqui vai esse mini-FAQ...

Que tipo de roupa usar na Defcon?
O dress code do evento é bem simples: Camiseta de nerd, preta (tais como camisetas de eventos, frases relacionadas a área, etc), bermuda e tênis - ou mesmo chinelo. Também vale ir fantasiado, ou de sobretudo, com cabelo colorido (o pessoal da EFF sempre tem uns cabelereiros fazendo moicano e pintando o cabelo da galera em troca de doação), saia (kilt ou não), etc.
O mesmo dress code se aplica para a BSidesLV.
Mas, se você for na Black Hat, eu sugiro calça jeans (ou sarja) e camiseta polo.

Preciso levar camisa social e sapato?
Por conta do evento, não. Nem mesmo para ir nas festas da Defcon e Black Hat (que inclui as festas organizadas pelos patrocinadores da Black Hat). Nelas, você pode ir com a mesma roupa que estava no evento, incluindo a bermuda e o chinelo. Mas se você pretende ir nas baladas de Vegas por sua conta (ou seja, fora dos horários das festas), o dress code dos seguranças das baladas é muito chato: calça comprida, camisa social (ou polo) e sapato (ou sapatenis - obrigatoriamente preto). Por isso, sugiro sempre ter um sapato, calça comprida e camisa no porta-malas do carro, pois você nunca sabe quando vai emendar uma festa da Defcon com uma balada.

Como é a temperatura? Faz calor?
Las Vegas fica num deserto. Logo, faz muito calor, o tempo todo. Nas poucas vezes que chove, por pouco que a água não evapora antes de tocar o solo. Por isso, traga roupas leves.

Como faço para conseguir ingresso para a BSides Las Vegas?
Desde o ano passado (2014) o pessoal da BSidesLV não faz mais inscrição para o evento. Basta aparecer na porta do evento, pegar um crachá e entrar. Mas os crachás são limitados, então se você corre o risco de não entrar no evento se eles tiverem acabado. Há duas formas de garantir o seu crachá com antecedência: fazendo uma doação para o evento ou hospedando-se no hotel do evento (Tuscany), utilizando o código do evento (que também dá desconto na hospedagem), o que dá direito a 2 crachás por quarto.

julho 31, 2015

[Segurança] Próximas apresentações

Recentemente eu criei uma página aqui no Blog com uma pequena lista das apresentações e palestras que já realizei até o momento, e por isso resolvi aproveitar o embalo para compartilhar quais eventos de segurança aonde deverei palestrar nos próximos meses:


Acho que em breve também vou começar a oferecer serviço de animação de festas e velórios... (brincadeira!)

julho 30, 2015

[Segurança] Hackeando Rifles

A Wired publicou a história (e vídeo) de dois pesquisadores de segurança, Runa Sandvik e Michael Auger, que conseguiram hackear uma mira eletrônica e, assim, alterar a trajetória da bala disparada pelo rifle.

O dispositivo, Tracking Point TP750 (que custa 13 mil dólares), deveria ser utilizado para aumentar a precisão do tiro, de forma que até mesmo um atirador amador pudesse acertar o alvo através da mira eletrônica. Ela reconhece o alvo emuda de cor quando ele estiver na mira. Os pesquisadores conseguiram acessar o dispositivo através de sua conexão Wi-Fi e, explorando algumas vulnerabilidades do software embarcado na mira, eles conseguiram alterar algumas das variáveis utilizadas para o cálculo da trajetória - como, por exemplo, o peso da bala. Eles também conseguem evitar que a arma dispare ou, até mesmo, desabilitar o computador da mira eletrônica.



Tudo isso começou porque o sistema de pontaria eletrônica usa um sistema Linux embarcado que tem uma conexão Wi-Fi (desabilitada originalmente) que tem uma senha default. Eles também conseguiram privilégios de administrador no sistema e, assim, conseguem "fazer a festa".




Este caso serve para nos alertar dos riscos de automatizar e conectar diversos dispositivos do dia-a-dia, uma tendência muito forte atualmente e que é representada, principalmente, pela chamada "Internet das Coisas" (IoT). Assim como nos softwares tradicionais, é comum encontrarmos aplicações embarcadas em diversos dispositivos aonde os desenvolvedores não tomaram os cuidados básicos de segurança. Com estes dispositivos eletrônicos podendo ser acessados remotamente através de conexões em fio, temos o grande risco de alguém explorar uma vulnerabilidade do software e tomar controle do dispositivo - isso vale também para carros e aviões.

Nota (adicinada dia 30/07): Esta reportagem veio em uma boa hora, no momento em que vários cientistas estão se mobilizando contra a criação de robôs autônomos para uso militar. Ela mostra que não devemos apenas nos preocupar com o problema dos robôs atuarem sem limites éticos (ou seja, como em filmes de ficção científica como O Exterminador do Futuro ou Matrix), mas também com a possibilidade de outras pessoas tomarem o controle dos robôs.

julho 24, 2015

[Cyber Cultura] Inauguração do RioHC, o mais novo hackerspace Carioca

O pessoal do Rio de Janeiro vai inaugurar neste sábado (dia 25/07) o RioHC, um hackerspace localizado no bairro de Santa Teresa, no coração cultural do Rio de Janeiro. O RioHC ocupa duas salas do HUB ‪#‎AJogada‬, na Rua Gonçalves Fontes, 49.

O Rio de Janeiro merece ter o seu hackerspace, por causa da grande quantidade de profissionais de tecnologia e interessados no movimento maker. Além disso, um hackerspace também é um ponto turístico da cidade - pelo menos para nós, nerds ;)

O RioHC já é a terceira tentativa de criar um hackerspace na cidade maravilhosa. Em 2012 o pessoal quase conseguiu alugar uma bela casa para hospedar o hackerspace, mas na hora H a dona do imóvel resolveu cobrar um preço absurdo e a iniciativa foi por água abaixo. Também teve o Kernel40º HC, que funcionou por vários meses, mas acabou esvaziando.

A inauguração do RioHC será concomitante com a 25º edição do Arte de Portas Abertas em Santa Teresa e será uma excelente oportunidade para passear pelo bairro, conhecer o hackerspace e vivenciar um pouco da cultura Hacker.

Anote na agenda:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.