fevereiro 06, 2016

[Geek] Cosmonautas

Quando pensamos na corrida espacial que existiu nas décadas de 60 e 70, naturalmente lembramos que os Americanos foram os primeiros (e únicos) a botar os pés na Lua. Ainda mais nós, Brasileiros, que estamos sob uma influência cultural quase total dos EUA, não é?

Recentemente eu tive a feliz oportunidade de visitar uma exposição no Museu de Ciências de Londres, batizada de Cosmonauts, que conta justamente sobre o lado Russo da corrida espacial.


Na exposição eu pude ver que os Russos foram pioneiros em muitas coisas (ou melhor, em quase tudo) durante a corrida espacial. Vejam alguns fatos:
  • Tudo começou em 1953, quando o cientista chefe de foguetes, Serguei Korolev, propôs o uso dos foguetes R-7, utilizados para lançamento de mísseis balísticos, para envio de um satélite em órbita. Pouco tempo depois, Korolev se tornou o líder do programa espacial soviético. Outra pessoa influente foi o cientista Konstantin Tsiolkovsky, responsável pelos primeiros desenhos e projetos de naves espaciais, trajes espaciais e como seria a vida no espaço;
  • Em 04 de Outubro de 1957 a Russia largou na frente da corrida espacial, ao lançar o primeiro satélite artificial do mundo, o Sputnik. Seu bip pode ser ouvido no mundo todo, causando fervor na Rússia e terror nos EUA;
  • Em 03 de Novembro de 1957, a cadelinha Laika se tornou o primeiro cachorro a ir para o espaço, a bordo da Sputnik 2. Infelizmente, ela faleceu após algumas horas em órbita. Os americanos ficaram especialmente preocupados com este vôo, pois o foguete utilizado era poderoso o suficiente para carregar uma carga de meia tonelada, o equivalente a levar uma uma ogiva nuclear pesada através de distâncias intercontinentais;
  • Lançada em 02 de Janeiro de 1957 com objetivo de chegar até a Lua, a sonda Luna 1 não conseguiu atingir a Lua por um erro na queima de combustível, mas foi o primeiro objeto humano a atingir órnita heliocêntrica. Ao passar pelo cinturão de Van Allen, ajudou a descobrir o vento solar. Foi considerada a "primeira nave cósmica";
  • A exploração da Lua começa em 14 de Setembro de 1959, quando a sonda russa Luna 2 atinge a Lua, após um vôo de 36 horas em direção ao satélite. Ela foi o primeiro objeto feito pelo homem a atingir a superfície da Lua e, assim, a alcançar algum corpo celestial;
  • Em 1960 as cadelas Belka e Strelka foram juntas para o espaço a bordo da nave Sputnik-5 e retornaram a vivas, a salvo. A cadela Strelka deu a luz a 6 filhotes, um dos quais foi dado de presente para a primeira-dama americana, Jacqueline Kennedy, pelo líder russo Nikita Khrushchev;
  • Yuri Gagarin entrou para a história em 12 de Abril de 1961, ao se tornar o primeiro homem a ir para o espaço, a bordo da nave Vostok;
  • Em 16 de Junho de 1963, Valentina Tereshkova foi a primeira mulher e também o primeiro civil a ir para o espaço, orbitando a Terra por aproximadamente 3 dias (70 horas e 50 minutos, em 49 voltas em torno da Terra) a bordo de uma Vostok-6;
  • 12 de Outubro de 1964: A capsula Voskhod 1 é a primeira a levar mais de uma pessoa ao espaço - 3, para ser exato, frente ao iminente inicio do programa Gemini dos EUA, que tinha naves pilotadas por 2 tripulantes. A honra coube aos 3 cosmonautas Vladimir Komarov (comandante da missão), Konstantin Feoktistov (Engenheiro) e Boris Yegorov (médico). Devido a falta de espaço dentro da espaçonave, algumas novidades foram implementadas. Entre elas, a nave teve que receber foguetes que permitissem o seu pouso, pois não havia como ejetar os tripulantes (prática adotada até então). Também foi o primeiro vôo espacial realizado sem que a tripulaçào vestisse seus trajes espaciais, para que os três pudessem caber dentro da capsula;
  • Alexei Leonov realizou a primeira caminhada espacial em 18 de Março de 1965, a bordo da espaçonave Voskhod 2 (o vídeo abaixo foi retirado do site da NASA);

    video
  • Em 03 de fevereiro de 1966, o satélite Luna 9 foi o primeiro a pousar suavemente na Lua. Também foi o primeiro a enviar fotos de lá;
  • Enviada em 31 de Março de 1966, o satélite Luna 10 é considerado o primeiro "satélite artificial" da Lua. Equipada com diversos equipamentos científicos, o satélite entrou em órbita da Lua em Abril de 1966 e permaneceu lá percorrendo 460 voltas ao redor da Lua;
  • Em Abril de 1967, o cosmonauta Vladimir Komarov tornou a primeira pessoa a ir para o espaço duas vezes, mas infelizmente ele também foi o primeiro a morrer em missão, durante o pouso da sua nave Soyuz 1 (que, após vários problemas durante o vôo, teve falha no para-quedas principal durante a reentrada na Terra). O projeto da Soyuz 1 tinha diversos problemas, mas os líderes soviéticos se recusaram a adiar oou abortar a missão. Komarov embarcou na Soyuz 1 sabendo que provavelmente não voltaria vivo para a Terra;
  • No dia 24 de Setembro de 1970 a sonda Luna 16 tornou-se a primeira missão robotizada a trazer amostras da Lua de volta para a Terra - 101 gramas de solo lunar (após 5 tentativas de enviar sondas semelhantes sem sucesso);
  • Em 17 de Novembro de 1970 o "rover" (jipe) lunar Lunokhod 1 pousou na Lua. Ele foi o primero "rover" robótico de controle remoto movendo livremente em outro corpo espacial - ao todo, a Rússia enviou 2 deles. Na época a revista americana Time descreveu o fato como "o primeiro grande passo dos robôs em outro corpo celestial" ("the first giant step for robotkind on another celestial body"). Ele estava equipado com refletores que até hoje estão em funcionamento e são utilizados para ajudar a medir a distância entre a Terra e a Lua;
  • Em 15 de Dezembro de 1970 a sonda Venera 7 torna-se o primeiro objeto a pousar em outro planeta: Vênus.
Nesse meio tempo, no final da década de 60 e início dos anos 70 a Rússia estava trabalhando no seu projeto de enviar um homem a Lua. Para isso, foi desenvolvido o módulo lunar LK-3, capaz de enviar um cosmonauta até a Lua.



O problema é que ele exigiu a criação de um novo foguete, N1, que apresentou diversos problemas em seu projeto. A segunda tentativa de lançamento, ocorrida em 03 de Julho de 1969 (apenas 13 dias antes do lançamento da Apollo 11), foi uma falha catastrófica: destruiu todo o foguete e o complexo de lançamento. Se não fosse por isso, o primeiro homem a pousar na Lua teria feito isso duas semanas antes de Neil Armstrong, e seria o russo Alexey Leonov.

Essa história está resumida em uma apresentação que eu preparei para a Campus Party 2016:


Podemos ver que a idéia de que os EUA ganharam a corrida espacial é muito injusta, pois na verdade a União Soviética (atual Rússia) liderou a corrida espacial desde o começo, só perdendo na parte da competição que dizia respeito a levar um homem até a Lua.

A propósito, em 2012 a Wired publicou uma matéria com vários posters soviéticos (originais) relacionados a corrida espacial que estavam a leilão, na época. São muito lindos!



fevereiro 01, 2016

[Segurança] As 25 piores senhas de 2015

A empresa SplashData divulgou uma lista com as piores senhas de 2015, que ela obteve analisando mais de 2 milhões de senhas que vazaram na Internet durante o ano passado (2015).

Segundo a empresa, uma tendência é que os usuários estão começando a usar senhas mais longas (o que é bom, do ponto de vista de segurança), embora continuem utilizando combinações simples e facilmente adivinháveis. Dois exemplos se destacam nessa lista: as senhas "1234567890" e "qwertyuiop", cada uma utilizando a linha completa do teclado - a linha numérica e a primeira linha de letras de um teclado QWERTY padrão.

Outro destaque de 2015 foi o uso de senhas relacionados ao file Star Wars - O Despertar da Força: entraram na lista das 25 senhas mais utilizadas as palavras "starwars", "Solo" e "princess".

Veja a lista abaixo:

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. football
  8. 1234
  9. 1234567
  10. baseball
  11. welcome
  12. 1234567890
  13. abc123
  14. 111111
  15. 1qaz2wsx (usa as posições das teclas no teclado)
  16. dragon
  17. master
  18. monkey
  19. letmein
  20. login
  21. princess
  22. qwertyuiop
  23. solo
  24. passw0rd
  25. starwars




janeiro 27, 2016

[Segurança] Eventos de Segurança no primeiro semestre de 2016

Segue abaixo a minha lista com o que eu considero serem os principais eventos de segurança que acontecem no primeiro semestre deste ano aqui no Brasil. São eventos que, na minha opinião, trazem conteúdo de qualidade ou que, ao menos, merecem ser vistos.

Neste ano o calendário de eventos está um pouco diferente do tradicional, provavelmente por conta dos Jogos Olímpicos que acontecem em Agosto. Alguns eventos mudaram de data ou, até mesmo, mudaram de semestre. Por isso, fique atento as datas.

  • Janeiro/2016
  • Fevereiro/2016
    • 20/02: RoadSec Campo Grande (twitter @roadsec) - Campo Grande é a primeira cidade do ano a receber este excelente evento itinerante muito bem organizado pela Flipside. É uma ótima oportunidade para o público local aproveitar um dia repleto de palestras, oficinas e competições, incluindo a competição de CTF batizada de H4ckFl4g;
  • Março/2016
    • 04/03: RoadSec Pro Brasília (@roadsec) - Brasília (DF) é a segunda cidade brasileira a receber o Roadsec em 2016, e começa com a versão "pro", ou seja, com atividades direcionadas a profissionais da área;
    • 05/03: RoadSec Brasília (@roadsec) - Brasília (DF) também recebe a versão "tradicional" do Roadsec, com suas palestras, oficinas e competições;
    • 17/03: Security Leaders Forum Brasília (twitter @Security_Leader) - Versão "mini-me" do Security Leaders, com apenas um dia de duração e seguindo o tradicional formato de uma série de debates moderados pela Graça Sermoud com conteúdo fraco e um palco lotado de executivos. Inclui também uma pequena área de expositores;
    • 19/03: RoadSec Cuiabá (@roadsec) - Cuiabá (MT) é uma das cidades que vão receber o Roadsec pela primeira vez. Oficinas, competições e palestras imperdíveis;
  • Abril/2016
    • 02/04: RoadSec Belém (@roadsec) - Belém (PA) é outra capital que recebe o Roadsec pela primeira vez;
    • 06/04: CNASI Recife - Edição regional do CNASI que ocorre em Recife (PE). Possui palestras e painéis com foco em auditoria, gestão e segurança, e inclui uma pequena área com expositores;
    • 16/04: RoadSec Teresina (@roadsec) - O Roadsec começa seu tour pelo Nordeste no Piauí, que também recebe o evento pela primeira vez;
    • 29/04: RoadSec Pro Fortaleza (@roadsec) -  Novamente o Roadsec passa por Fortaleza, com uma edição extra voltada para o público corporativo;
    • 30/04: RoadSec Fortaleza (@roadsec) -  Segundo dia do Roadsec em Fortaleza com oficinas, competições e palestras;
  • Maio/2016
    • 06 e 07/05: CryptoRave (twitter @cryptoravebr) - Excelente evento gratuito focado em privacidade, criptografia e liberdade na rede, que acontece em 2 dias seguidos, varando a noite adentro;
    • 19/04: Security Leaders Forum Rio de Janeiro - Os cariocas também recebem a versão "mini-me" do Security Leaders. Debates sem graça com uma pequena área de expositores, que faz a alegria do público corporativo;
    • 14/05: RoadSec Natal (@roadsec) - Oficinas, competições e palestras imperdíveis na belíssima cidade de Natal (RN);
    • 20/05: RoadSec Pro Recife (@roadsec) - Recife também é uma das poucas cidades sortudas que receberão a versão corporativa do Roadsec;
    • 21/05: RoadSec Recife (@roadsec) - Oficinas, competições e palestras novamente aportam em Pernambuco;
  • Junho/2016
    • 04/06: RoadSec Aracaju (@roadsec) - Blá blá blá em Sergipe: oficinas, competições e palestras;
    • 07 e 08/06: CNASI São Paulo - O mais antigo evento de segurança brasileiro, organizado pelo IDETI há mais de 20 anos, é direcionado ao público corporativo nas áreas de segurança, governança e compliance. O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) costuma acontecer no segundo semestre, mas neste ano foi antecipado para Junho. Possui palestras, mini-cursos e paineis de debate com foco em gestão e pouco conteúdo técnico. Também tem uma área de exposições para os patrocinadores;
    • 10/06: RoadSec Pro Salvador (@roadsec) - A maravilhosa Bahia também recebe o Roadsec com sua versão "pro" e tradicional;
    • 11/06: RoadSec Salvador (@roadsec) - Adivinhe... excelentes oficinas, competições e palestras. Aproveite para visitar o Raul Hacker Clube ;)
    • 11 e 12/06: Conferência BSides São Paulo (BSidesSP) e BSides Latam (BSidesLatam) (twitter @bsidessp) - Conferência gratuita sobre segurança da informação e cultura hacker que acontecerá no final de semana anterior ao You Sh0t the Sheriff. Nesta edição, a BSides São Paulo dará lugar a BSides Latam, recebendo palestrantes e participantes de toda a América Latina e co-organizado pelas demais BSides na região. O evento contará com diversas atividades simultâneas: 3 trilhas de palestras, oficinas, competição de CTF e de robótica amadora, Brazilian Arsenal (ferramentas open source criadas por brasileiros), Hacker Carreer Fair e os participantes ainda contam com o nosso "churrascker" e com a presença do Pirates Bar (ambos também são gratuitos);
    • 13/06: You Sh0t the Sheriff (YSTS) (twitter @ystscon) - O YSTS continua sendo um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade e um clima descontraído, principalmente por conta do open-bar após o almoço. Também contribui o aspecto de exclusividade, pois somente podem participar convidados dos patrocinadores;
    • 21 a 23/06: CIAB - O CIAB é um evento para o setor financeiro organizado pela Febraban, mas atrai os maiores fabricantes de tecnologia e também de segurança. O evento atrai fornecedores de diversas tecnologias bancárias, incluindo caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Embora tenha poucas palestras de segurança na grade, vale a visita ao menos na gigantesca área de exposição. Presença obrigatória para quem trabalha no setor financeiro ou em algum fornecedor de soluções de segurança;
    • 25 e 26/06: BHack Conference (Belo Horizonte) (twitter @bhackconference) - Quarta edição deste evento de segurança mineiro, que preza pelo excelente clima de integração e camaradagem, além de palestras técnicas sensacionais.
Se a cotação do dólar permitir, não se esqueça de juntar dinheiro e reservar a sua agenda para a RSA Conference em São Francisco (29/02 a 04/03) e para a Defcon (que acontece em Las Vegas/EUA de 04 a 07 de Agosto - Junto com a Black Hat USA e a BSidesLV).

Para quem tem vontade de ir em eventos aqui na América Latina, teremos no primeiro semestre, a Andsec (andseccon) na Argentina (4 e 5 de Junho). Provavelmente  também teremos 6 edições da BSides na região durante o ano: a BSidesPeru (@BSidesPeru - 27 de Julho), BSidesBolivia, (Twitter @BSidesBolivia), Porto Rico (@BSidesPR), a BSides Chile (@BSidesCL), a BSides Colombia (@BSides_CO) e a BSides Mexico (@BSidesMX). Além delas, em Portugal será realizada a terceira edição da BSidesLisbon (Twitter: @BSidesLisbon).

Se você tiver a oportunidade de participar de eventos neste semestre mas só poderá ir a poucos deles, a minha recomendação é que não deixe de ir na BSidesLatam, no YSTS e na CryptoRave.

Normalmente o segundo semestre é bem lotado de eventos, e aproveitando que alguns deles já divulgaram as suas datas, segue uma pequena lista para incluir na agenda...
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo o site concise-courses.com.

Se eu esqueci de algum evento brasileiro importante, me avisem.

Notas:

  • Post atualizado em 28/01 com as datas das versões "pro" do Roadsec.


janeiro 26, 2016

[Cyber Cultura] Ciber Ética

Em um artigo recente da Infosecurity Magazine sobre hacktivismo, há um trecho muito interessante para provocar a discussão sobre o que seria a ética no mundo online (ou melhor, "cyber ethics") e como isso diferencia da nossa ética no dia-a-dia, no mundo físico. Eu destaquei abaixo os trechos mais relevantes do artigo, na minha opinião:
  • Ética são as regras ou normas que regem a conduta. Como posso viver minha vida e as minhas decisões?
  • Todo mundo tem ética.
  • Uma das melhores maneiras de pensar sobre a ética é dar uma olhada rápida no que você acredita e, em seguida, pensar sobre como você reagiria quando essas crenças são desafiadas.
  • A ética é o estudo de comportamentos e de conduta e como o que eu acredito afeta o modo como eu vivo.
  • As suas ações são diferentes [no mundo] on-line do que no off-line?
  • A norma é ter padrões ou limites éticos diferentes para a vida online [e offline]. 
  • "As pessoas fazem ou dizem coisas online anonimamente que eles nunca fariam cara a cara com alguém na vida real".
  • As nossas vidas online e offline estão rapidamente se unindo como nunca antes.
  • A Internet é como o acelerador no seu carro. Se isso é verdade, então a ciber-ética são os freios.

A discussão da ética no mundo online é muito importante pode nos balisar sobre que tipos de comportamentos que vemos na Internet hoje em dia são válidos ou não. Isto inclui, por exemplo, questões como a super exposição que temos nas redes sociais, cujo lado negativo é representado pelo cyber bullyng, revenge porn e vazamento de dados.

Esta discussão também influencia o noso entendimento sobre o hacktivismo: muitas das ações existentes de protesto no mundo real (e, no cenário profissional, de greve) podem ter o seu semelhante no mundo online. Se uma passeata pode interromper uma avenida vital em uma cidade, porque um protesto online, através de ação hacktivista, não pode tirar um site do ar?

janeiro 22, 2016

[Segurança] Tabela de preços do ciber crime no Brasil

Recentemente a Trend Micro publicou um ótimo relatório sobre o crime cibernético Brasileiro chamado "Ascending the Ranks: The Brazilian Cybercriminal Underground in 2015" aonde, entre outras coisas, citou alguns preços que os criminosos cobram por serviços ou por informações roubadas.

Juntando os dados apresentados pela Trend Micro com as informações do relatório sobre o ciber crime brasileiro publicado pela Kaspersky em novembro de 2015, podemos montar um cardápio de preços.

Vejam só alguns números:
  • Ransomware: US$ 3,000 ou 9 BTC
  • Malware do tipo "Proxy keyloggers": R$ 5,000 (US$ 1,279.02)
  • Malware do tipo "Remota keyloggers": R$ 2,000 (US$ 511.61)
  • Java applet malicioso: R$ 80 (US$ 25)
  • KL (Keylogger): R$ 900 (US$ 300)
  • Código fonte de Malware do tipo "DNS changers": R$ 5,000 (US$ 1,279.02)
  • Crypters: R$ 40 (US$ 10.23)
  • Crypter 100% indetectável: R$ 100 (US$ 30.00)
  • Sistema em PHP para envio de Spam: R$ 30 (US$ 10)
  • Hosting: R$ 50 (US$ 17)
  • VPS para envio de Spam (30.000 mensagens em 30 min): R$ 70 (US$20)
  • Sites de consulta de dados pessoais: 0.015 BTC (US$ 6.81) por consulta
  • Ataques de DDoS: 300 segundos R$ 25 (U$ 8.3); 450 segundos R$ 40 ($13); 1000 segundos R$ 85 ($28); 3600 segundos R$ 120 ($40)
  • Curso Banker and Carding: R$ 300 (US$ 76.74)
  • Acesso a painel administrativo de lojas de e-commerce: R$ 300 (US$ 76.74) por 21 dias, com 40 cartões por dia
  • 10 cartões de crédito: R$ 200 (US$ 51.16)
  • 50 cartões de crédito: R$ 700 (US$ 179.06)
  • Gerador de números de cartões de crédito (50 números): R$ 100 (US$ 25.58)
  • Testador de cartões de crédito: R$ 400 (US$ 130)
  • PoS skimmers: R$ 8,000 (US$ 2,046.43)
  • Diplomas falsos: R$ 300 (US$ 76.74)

No final do ano passado a RSA também divulgou uma lista de preços do ciber crime com dados globais.

janeiro 19, 2016

[Segurança] Como foram os eventos de Segurança em 2015

Mais um ano vai, e se passaram algumas dezenas de eventos de segurança no primeiro e segundo semestres de 2015. Dando continuidade a minha pequena "tradição" iniciada em 2011, vou deixar aqui a minha opinião sincera, sarcástica e baba-ovo (quando merecido) sobre os principais eventos do ano.
Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

Para começar este post, vou fazer comentários específicos sobre alguns dos eventos que tivemos este ano, e que eu acho que valem a pena ser comentados:
  • Os grandes destaques e novidades
    • Popularização dos eventos fora de São Paulo: É um prazer ver eventos independentes surgindo e se consolidando pelo Brasilzão afora. Incluo nessa lista a Nullbyte (em Salvador, BA), o Security Day (Natal, RN - em sua oitava edição, se não me engano), o Jampasec (João Pessoa, PB) e a terceira edição da BHack (em Belo Horizonte, MG);
    • Roadsec: O RoadSec se consolidou como, sem dúvida nenhuma, o maior evento de segurança nacional e um dos maiores do mundo. Eles foram em nada menos do que 15 cidades brasileiras neste ano, com um público estimado de 10 mil pessoas (até aonde eu sei, eles não divulgaram o número exato de participantes, apenas o arredondado). O evento conta com palestras, várias oficinas bem legais e multidisciplinares e competições aonde destaca-se o Hack4Flag, a grande competição de Capture The Flag (CTF), patrocinada novamente pela Symantec. E novamente fizeram um super-hiper-mega-evento de encerramento em São Paulo, com um show sensacional e indescritível dos Titãs. Eles estão sempre de parabéns por levar conteúdo de qualidade pelo Brasil afora e pela grande revigorada nas competições de CTF. Me arrisco a dizer que, no Brasil, as competições de CTF se dividem em "antes do Roadsec" e "depois do Roadsec": antes elas eram raras e muitas vezes com poucos competidores, e agora existem competições com sucesso em vários eventos, com muita gente começando a entrar nesse mundo e apreendendo muito sobre segurança;


  • Os melhores eventos de 2015
    • Apesar do YSTS e da H2HC serem, tradicionalmente, os eventos mais importantes do mercado nacional, quando penso no que seria "o melhor evento do ano", há muito o que considerar. Por isso, meus votos vão para um evento novo, mas que nasceu grande (o Mind The Sec) atraindo os profissionais da área, e no outro extremo um evento pequeno, mas que atrai o público novo e velho de mercado, em pé de igualdade, com uma ótima grade de atividades e um ótimo ambiente (a BSidesSP):
    • Mind The Sec - Evento da Flipside que surgiu em substituição do SecureBrasil, o evento bombou este ano com a presença do pop-star Bruce Schneier - sem desmerecer os demais palestrante da grade caprichada, mas o Schneier é o Schneier, né !? A galera de SI fazia tietagem e fila para conseguir um autógrafo em algum de seus livros. Certamente foi um daqueles eventos para ver e ser visto;
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Evento muito bem elogiado por todos que participam. Realizamos duas edições neste ano: em 13/4 (véspera do YSYS) e em 23/11 (próxima a H2HC). Lógico que eu gosto e sempre vou falar bem do evento, pois sou um dos organizadores, mas mesmo assim acredito que merecemos destaque por ser um evento gratuito, com um leque diversificado de temas e com diversas atividades de excelente qualidade acontecendo simultaneamente: palestras, oficinas, Lightning Talks e um churrasco gratuito para os participantes. Neste ano duas das principais novidades foram a BSides 4 Kids e a campanha "Bloody Hacker";
  • As ótimas surpresas em 2015
    • A Cryptorave voltou com força total, e foi parcialmente bancada pela comunidade, através de Crowdfunding :)
    • O show dos Titãs no Roadsec São Paulo ;)
  • RIP :(
    • Tosconf - Evento pequeno, organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace de lá. Foi cancelando faltando poucos dias para o evento, pois o principal organizador cansou de ter que tocar tudo sozinho e com pouco apoio;
    • Black Hat São Paulo - Depois de duas edições em 2013 e 2014, a Black Hat resolveu pedir um tempo. Talvez volte neste ano ou em algum dia;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura sensacional. É um evento gratuito que ocorre sempre duas vezes por ano, no 1o e no 2o semestre. Todas as palestras são transmitidas online e disponibilizadas posteriormente;
  • Não valeu nem a visita
    • CSO Summit - Evento novo, realizado pela primeira vez este ano, que prometeu muito e entregou quase nada. Com uma grade de atividades confusas (os participantes foram convidados a palestrar, mas faltando poucos dias do evento descobriram que participariam de painéis) e uma infra-estrutura simples, até mesmo o tipo de público desapontou: pequeno e formado principalmente pelos estudantes do Mackenzie - não tenho nada contra estudantes irem em eventos, mas quando um evento chama-se "CSO Summit" e anuncia que vai ter executivos da área, ficamos desapontados ao ter a impressão que 99% da platéia era formada por estudantes. A única coisa que salvou foi a qualidade dos palestrantes;
    • Security Leaders: Todo ano eu repito a mesma coisa: este é um evento sem graça, formado por debates bem fracos e superficiais, com um palco lotado de participantes. O que salva é a área de exposição e o momento da premiação, que servem para babar no ovo de executivos que trabalham em grandes empresas;
  • Micos e roubadas
    • BHack Conference, em Belo Horizonte (MG) - embora bem intencionado e com um clima de camaradagem sensacional, o pessoal errou feio na organização do evento este ano, com atraso muito grande das palestras e uma grade de atividades confusa, com palestras mudando de local e horário sem ninguém saber. Mas valeu a visita assim mesmo, com ótimas palestras e excelente oportunidade de encontrar o pessoal mais influente na área de segurança;
    • Hackers to Hackers Conference (H2HC) - A H2HC é o mais importante e mais tradicional evento brasileiro de pesquisa em segurança, mas continua atraindo muito menos público do que merecia. Novamente, falha feio por insistir na escolha do local: o Novotel Morumbi é longe de tudo, de difícil acesso, com poucas opções de lugares para comer em volta e com um espaço muito pequeno para o evento. A sala principal de palestras, então, é horrível: por ser longa e retangular, metade da sala fica longe do palco e o pessoal não consegue enchergar os slides do palestrante. Outro grande mico na H2HC este ano foi o famoso episódio do ataque a competição de CTF. Embora tenha tido alguns aspectos divertidos ao presenciar o bafafá na hora, o problema é que os competidores foram desrespeitados na medida que investiram seu tempo para participar mas foram impedidos por conta do incidente;
    • Roadsec São Paulo - Até mesmo um evento sensacional e bem organizado como o Roadsec dá algumas poucas escorregadas - que em pouco comprometeram a qualidade geral do evento. O principal pecado foi montar uma área de alimentação pequena, que não dava conta de atender os participantes do evento (após enfrentar filas longas e demoradas, os Food Trucks abriram o bico e ficaram sem comida) - pior ainda porque os participantes não podiam sair do Audio Clube para comer fora. Neste ano se repetiu a confusão com as diversas pulseirinhas VIP. Ninguém, nem os seguranças, sabiam direito que pulseira dava acesso a qual área do evento. Pecaram também no final do evento, após o show dos Titãs: quem queria continuar no evento não tinha para onde ir, com informações confusas da casa sobre que espaço poderíamos ficar. Quem saía da área do show e dos camarotes era proibido de voltar, o tal show do DJ motherfoca estava deserto e a área externa de fumantes estava fechada;
  • Não vi mas vou opinar assim mesmo
    • You Shot the Sheriff (YSTS) - Um dos eventos de segurança mais importantes no Brasil, neste ano eles tentaram algumas mudanças que, aparentemente, não deram certo. Tentaram fazer o evento no meio da semana (5a feira), com a festa no mesmo dia, mas para 2016 já anunciaram a volta para o modelo dos demais anos, com o evento na segunda-feira. Pelo que eu vi no vídeo do evento, o local foi bem estranho também: parecia uma Igreja Evangélica !!!

Sem mais delongas... and the Oscar goes to...

Resumo
Melhor Evento Brasileiro Roadsec e Mind The Sec
Melhor Evento do Universo CCCamp
Melhor Novidade Bloody Hacker e BSides 4 Kids (BSidesSP)
Maior Surpresa Show do Titãs no RoadSec São Paulo
Maior Roubada CSO Summit
Festa estranha com gente esquisita O local do YSTS. Pelas fotos e vídeos, parece que o pessoal estava numa igreja evangélica.
Maior Mico Derrubar os competidores no Capture The Flag da H2HC
Maior WTF? Passar fome no Roadsec São Paulo
Maior Sem Noção Discutir com o segurança do Roadsec se a sua pulseira VIP dá direito a entrar no camarote patrocinado pela sua empresa
Os Patrocinadores Pira Babar no ovo do pessoal no Security Leaders
Alternativo BSidesSP e Criptorave
Visual e infra Caprichados GTS
Organização mais Caprichada Flipside (MindTheSec e Roadsec)
Melhor Local Audio Clube (Roadsec São Paulo)
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS, sempre!!!
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC e BHack
Para o Público Gerencial MindTheSec
Para quem está começando Co0L BSidesSP, Roadsec e H2HC University
Para competir no CTF RoadSec
Para não competir no CTF H2HC
Para ver os amigos Roadsec SP, H2HC e BHack
Para Beber com os amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP: tinha 3 (ou mais?) níveis diferentes de VIPs. Melhor ainda se você conseguisse pegar várias pulseiras, cada uma de uma cor, quase dava para fechar o braço
Para levar as crianças BSidesSP
Para ver palestrante gringo e não entender nada do que ele fala H2HC
Não fui mas queria ter ido Ekoparty
Às Moscas BHack :(
Palestrante mais pica grossa Bruce Schneier, sem dúvida! (MindTheSec)
Melhor Palestrante Nacional Alexos, Flavio Shiga (ambos da iBliss) e Diego Aranha
Melhor Palestrante de todos os tempos Fernando Mercês continua imbatível
Em 2016 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty
Em 2016 eu quero ir na... YSTS
Em 2016 eu quero viajar para... Defcon, 8.8 (Chile), Eko e as BSides na América Latina - além da BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp
Não Pode Faltar no seu Evento The Pirates Bar e uma competição de CTF organizada pelo CTF-BR
Patrocinadores "ponta firme" Conviso e Trend Micro


Importante: As opiniões apresentadas aqui são minhas somente e não refletem a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci (pouco provavel) ou porque considero que nem vale a pena escrever sobre ele.

OBS: Post atualizado em 21/01 para incluir uma pequena nota sobre a Black Hat São Paulo e referência a BSides Lisboa.

janeiro 18, 2016

[Segurança] Internet of Threats

Recentemente eu vi a sigla IoT (Internet das Coisas, do inglês "Internet of Things") ser referenciado como "Internet of Threats" (Internet das Ameaças).

Esta é uma abordagem interessante para destacar o potencial problema de segurança com essa nova onda de "Internet das Coisas". Ou seja, muito tem se falado e feito para criar os mais diversos tipos de dispositivos e equipamentos conectados na Internet (como aparelhos domésticos, carros, brinquedos, roupas e vestuário, etc), mas pouco tem se investido em segurança no desenvolvimento destas novas tecnologias.

Um exemplo recente desse tipo de problemas foi o vazamento de dados pessoais e fotos dos clientes dos brinquedos produzidos pela empresa americana VTech, incluindo fotos de crianças - o que assustou ainda mais os usuários e a imprensa em geral.

As boas práticas de desenvolvimento de sistemas, já existentes, deveriam se aplicar também ao mundo de IoT. O problema, pelo que eu vejo, é que o principal pessoal por trás do desenvolvimento destas novas tecnologias são os times de engenharia e hardware, que trabalham em embarcar novas tecnologias de conectividade a novos componentes de hardware ou equipamentos. Mas, na prática, esse pessoal da área de engenharia e de hardware tem relativamente pouca experiência com desenvolvimento e, muito menos ainda, com desenvolvimento para projetos em ambiente web. Logo, lhes falta a experiência dos desenvolvedores tradicionais e, pior ainda, falta a experiência de desenvolvimento seguro - algo que a área tradicional de desenvolvimento penou para apreender nas últimas décadas, e o pessoal de hardware está caindo de cabeça agora.

janeiro 14, 2016

[Segurança] Ataques DDoS para o Infinito e Além

Frequentemente vemos notícias sobre "o maior ataque DDoS" da história, e neste começo de ano não seria diferente:


Ou seja, na noite de ano novo a rede de TV britânica BBC sofreu um ataque DDoS de assustadores 602 Gbps de tráfego - segundo notificado pelos atacantes, o grupo hacktivista New World Hackers. Os atacantes alegam que utilizaram uma ferramenta chamada Bangstresser para realizar o ataque.



Segundo a imprensa, isto representa quase que o dobro do maior ataque reportado até o momento pela Arbor Networks em 2015, que foi um ataque de 334 Gbps. A Akamai, por outro lado, estima que o maior ataque DDoS até metade de 2015 foi de 240 Gbps (contra "apenas" 149 Gbps registrado no 3o trimestre de 2015). E vale a pena lembrar que, em Fereveiro de 2014 (ou seja, há quase 2 anos atrás), a Cloudfare foi vítima de um ataque DDoS que chegou a atingir 400 Gbps de tráfego. Pior ainda: há 5 anos atrás, o maior ataque de 2011 tinha sido de míseros 45 Gbps.

O que esses números mostram? O óbvio: a capacidade de ataque aumenta dia-a-dia. E sempre vai continuar aumentando.

No caso de um ataque DDoS, isso significa que a cada dia surgem novas técnicas de ataque na mesma velocidade que crescem os links de comunicação. Com o aumento da capacidade de tráfego dos links Internet em escala global, as empresas investem no crescimento de seus links para atender a demanda dos usuários e também minimizar a chance picos de tráfego (que podem acontecer por ataques ou mesmo por motivos válidos - como o aumento espontâno de acesso ao site em um determinado momento). Os atacantes, por outro lado, tem links maiores para realizar seus ataques - ou seja, um dos limitantes da capacidade de ataque é o link de comunicação da máquina (ou "das máquinas") que está realizando o ataque. Atacantes com mais banda a sua disposição podem representar um ataque final com maior volume de tráfego (falando genericamente, pois obviamente isso depende do tipo de ataque DDoS utilizado).

janeiro 12, 2016

[Cyber Cultura] Dumont Hackerspace na Campus Party 2016

Pelo segundo ano consecutivo, os hackerspaces brasileiros estarão representados na próxima Campus Party Brasil através do Dumont Hackerspace.


O Dumont Hackerspace surgiu em Maio de 2014 para ser um espaço autônomo e itinerante, idealizado pela comunidade brasileira de hackerspaces, existindo como um meta-hackerspace temporário dentro de alguns eventos de grande porte. O Dumont Hackerspace serve como ponto de encontro para receber os representantes de diversos hackerspaces, makerspaces e coletivos brasileiros, que aproveitam aquele evento para realizar atividades típicas de um hackerspace, tais como palestras, oficinas, debates, conversas ou simples socialização. Assim, levamos conosco o espírito de comunidade que é típico dos hackerspaces.

Durante a Campus Party em 2016 teremos um espaço de livre acesso na área de Campuseiros, aonde vamos oferecer a mesma experiência de um autêntico hackerspace. Veja quais são alguns dos Hackerspaces e Makerspaces que já confirmaram a sua presença:

A 9ª edição da Campus Party Brasil será realizada no Centro de Convenções do Anhembi em São Paulo entre os dias 26 e 31 de Janeiro de 2016. A Campus Party é o maior acontecimento tecnológico do mundo nas áreas de inovação, ciência, cultura e entretenimento digital, reunindo milhares de pessoas - os campuseiros -  para debater os principais temas de cada um destes universos. Os participantes mudam-se com seus computadores, malas e barracas para dentro de uma arena, onde se conectam a uma rede super veloz e convivem em torno de oficinas, palestras, conferências, competições e atividades de lazer.

Para saber mais



janeiro 11, 2016

[Segurança] Botnet das Coisas

Há um ano atrás, em janeiro de 2015, a Bluecoat publicou um artigo sobre uma botnet capaz de invadir e utilizar mini-PCs, e assim controlar dispositivos relacionados a "Internet das coisas".

O artigo, batizado de "The Botnet of the Internet of Things", descreve um framework para desenvolvimento de malware chamado Inception, que possui executáveis para processadores ARM, SuperH e PowerPC. Os ataques incluem, mas não estão limitados, a roteadores domésticos e webcams, por exemplo.

Utilizando um honeypot, eles conseguiram identificar alguns malwares direcionado a processadores ARM rodando Linux, dois dos quais foram o Powbot e o Linux.Backdoor.Fgt. Eles são capazes de realizar ataques de DDoS, tais como DDoS explorando o protocolo DNS, ou DDoS baseado em UDP e TCP, além da capacidade de jogar dados aleatórios (lixo) em portas específicas de servidores (indicados pelo seu IP e porta).

O artigo mostra que há mais de um ano ciber crimonosos estudam como explorar e invadir qualquer tipo de dispositivo conectado a Internet, não se limitando aos tradicionais PCs e SmartPhones.

Nas suas previsões para o mercado de segurança em 2016, a Imperva destacou justamente ela, a "Botnet das Coisas", como uma das tendências de ataques que devem amadurecer neste ano.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.