agosto 21, 2014

[Cyber Cultura] Richard Stallman no TED

O Richard Stallman deu uma palestra sobre software livre no TEDx Geneva, realizado no dia 07 de abril deste ano. Nesta palestra, chamada "Introduction to Free Software and the Liberation of Cyberspace", ele descreve os pricípios básicos do movimento do software livre e sua importância na sociedade atual.



Vale a pena transcrever aqui quais são os 4 princípios básidos de liberdade que guiam o conceito de Software Livre:

  • Liberdade 0 - Liberdade de executar o programa como você desejar, com qualquer objetivo (ou necessidade)
  • Liberdade 1 - Liberdade de estudar o código-fonte do programa e alterá-lo, para que o software faça o que você quer que ele faça. Isto inclui o "controle coletivo", isto é, qualquer grupo de usuários deve ter a liberdade de alterar o código fonte do programa e adaptá-lo para as suas necessidades. 
  • Liberdade 2 - Liberdade de redistribuir as cópias exatas dos programas
  • Liberdade 3 - Liberdade de redistribuir as cópias das suas versões modificadas dos programas

Estas liberdades definem que os usuários controlam o programa, e não que os programas controlam os usuários. No caso do software proprietário, os desenvolvedores controlam os usuários, logo o programa se torna um instrumento para um poder que força uma injustiça entre o desenvolvvedor e o usuário. consequentemente, os softwares podem ter controle sobre os usuários, as vezes maléficos (como espionar o usuário, controlar seus dados, etc).

Segundo o Stallman, devido a importância dos computadores em nossa sociedade atual, o software livre se tornou um dos direitos humanos fundamentais de todos nós, que as sociedades devem proteger, junto com o direito a liberdade de expressão, liberdade de imprensa e a privacidade.

A palestra está disponível no YouTube, no site gnu.org e no site da Free Software Fundation. A propósito, o texto no site da FSF lembra que assistir este vídeo no YouTube te força a usar um Javascript proprietário ;)

agosto 20, 2014

[Cyber Cultura] Software Freedom Day

No dia 20 de setembro será realizado o Software Freedom Day (SFD), um evento para divulgar e ensinar o público sobre os benefícios do Software Livre.


O evento segue um modelo aonde são realizados pequenos eventos independentes pelo mundo todo, distribuídos em vários locais. Cada mini-evento se organiza em torno do tema Software Livre, realizando palestras, projetos e atividades diversas. Algumas palestras tem um cunho um pouco mais filosófico do que técnico.

O site do evento possui um mapa com os locais em todo o mundo: http://www.softwarefreedomday.org/map/index.php?year=2014

agosto 15, 2014

[Segurança] Secret bullying

Não demorou muito para dar problema...

Talvez os criadores do aplicativo Secret pensassem que ele seria algo bobinho: você poder compartilhar comentários e opiniões entre os amigos do Facebook de forma anônima. Poderia ser um segredo, um desabafo, um comentário engraçado, etc.



O aplicativo já é o mais abaixado na Apple (claro que existe também versão para Android).



Mas não demorou muito para descobrirem um uso malévolo para o aplicativo: falar mal dos outros. O Secret caiu como uma luva para pessoas interessadas em ofender, acusar ou fazer bullying anonimamente. Como os casos da professora ofendida pelos alunos ou da garota de 16 anos que teve fotos íntimas divulgadas pelo aplicativo. Outra garota, também de 16 anos, ficou sabendo por intermédio de amigos que o tamanho do seu nariz tinha virado assunto no aplicativo. E também teve repercussão o caso do jovem Bruno Machado, que entrou na Justiça após divulgarem uma foto íntima e frases ofensivas sobre ele.

O aplicativo permite denunciar publicações ofensivas ou inadequadas, mas também é possível a identificação dos usuários, através da Justiça. Isso porque a identificação do usuário pode ser feita facilmente pelos administradores do aplicativo, uma vez que ele está associado a uma conta no Facebook. Além disso, ele guarda informações de acesso como tipo de browser, horário, endereço IP, posts e páginas acessadas.

A própria política de privacidade do Secret diz que os administradores se reservam no direito de denunciar posts com conteúdo ilegal e podem fornecer as informações pessoais dos usuários em caso de requisição judicial:
"If the content of a Post can reasonably be considered illegal or unlawful (or it seems like the Post is being used to engage in, encourage or promote such activities), in which case we may report your identity to proper authorities in order to protect the rights, property and safety of Secret, our users and/or others"

"While we make it difficult to do so, it is still technically possible for us to connect your Posts with your email address, phone number, or other personal data you have provided to us. This means that if a court asks us to disclose your identity, we may be compelled to do so. If we do happen to receive a subpoena or court order requesting that we disclose your information, we will attempt contact you if reasonably feasible before we disclose any information to give you time to fight the subpoena in court."
Infelizmente o Secret virou um meio das pessoas ofenderem seus conhecidos, amigos e parentes próximos. Algo que vai dar bastante trabalho aos advogados especializados em crime cibernético. Não é culpa do aplicativo: ele apenas reflete a personalidade de quem o usa.

agosto 13, 2014

[Segurança] Homenagem ao Alberto Fabiano no TDC 2014

O Vida de Programador fez uma charge representando os principais profissionais de TI que participaram da organização do The Developers Conference (TDC), e lá há uma pequena homenagem ao Alberto Fabiano:

Achou ele? Não? Ele está lá no canto superior da charge, com a sua eterna camiseta do 2600:

O Alberto faleceu em julho do ano passado, poucos dias após participar do TDC, do qual era frequentador assíduo e criador da trilha de Segurança. Mas ele deixou um legado: o Garoa Hacker Clube participou do evento este ano, com uma "barraquinha" na área dedicada para startups e makers:





agosto 06, 2014

[Segurança] Roubo de senhas em caixas eletrônicos

Nos últimos dias eu vi alguns casos de dispositivos para roubo de senhas em caixas eletrônicos sendo compartilhados no Facebook. Tais dispositivos são conhecidos em inglês como "skimmer" e, no Brasil, como "chupa-cabra". Mas esse tipo de golpe é antigo: eu mesmo já bloguei sobre este assunto em 2009 e três vezes em 2010. O Brian Krebs já escreceu dezenas de artigos sobre isso em seu blog.

Um dos primeiros casos que eu me lembo de ter visto publicamente foi de um chupa-cabra instalado em um caixa eletrônico do Bradesco, que tinha um leitor de cartões colocado na abertura do cartão para copiar a tarja magnética e um porta-panfletos falso ao lado do caixa eletrônico, que escondia uma pequena câmera para o criminoso gravar as senhas digitadas pelos clientes.



Uma técnica comum de fraude em caixas eletrônicos consiste em bloquear a saída de dinheiro (dispenser) para evitar a saída das notas. Desta forma, o cliente acha que o caixa eletrônico está com defeito e não deixou o dinheiro sair. Em seguida o criminoso retorna ao local para retirar o bloqueio e pegar o dinheiro.



O vídeo abaixo mostra um dispositivo colocado na frente da saída de dinheiro imitando a saída original do caixa eletrônico, mas que bloqueia a saída das notas.


Frequentemente os criminosos instalam o chupa-cabra na frente da leitora de cartões do caixa eletrônico e, para capturar a senha, instalam um teclado falso ou, mais normalmente, utilizam uma pequena câmera para gravar o cliente digitando sua senha.



O vídeo abaixo, de uma TV Colombiana, mostra um caixa eletrônico aonde o criminoso colocou uma leitora falsa sobre a original, inclusive feita com o memso material transparente. Uma micro câmera foi escondida dentro do dispositivo usado para esconder a digitação da senha.


Um tipo de golpe assustadoramente comum, mas muito complexo, é criar uma frente falsa de caixa eletrônico, que faz ao mesmo tempo a leitura do cartão de débito e intercepta a digitação da senha. A complexidade é tanta que tais dispositivos tem uma tela falsa, que simula a tela original do caixa eletrônico. Alguns destes dispositivos enviam os dados roubados via comunicação wireless (wi-fi ou pela rede de telefonia celular).

Em 2010 a Polícia Civil do Rio de Janeiro apreedeu um equipamento deste tipo e o batizou de "Robocop". Ele simulava uma frente completa de um caixa eletrônico e, assim, era capaz de copiar de uma única vez os dados dos cartões de débito e as senhas dos clientes. Segundo a polícia, o equipamento custava em torno de R$ 60 mil no mercado negro de São Paulo.

Recentemente um dispositivo assim foi encontrado em um banco no Espírito Santo.



Este vídeo, que eu vi no Facebook, mostra um dispositivo similar:
\



Não custa lembrar uma dica importante: se você suspeitar de um caixa eletrônico, seja discreto e saia imediatamente do local. Somente ligue para a polícia quando estiver bem longe. Não tente bancar o herói nem queira sair na TV. Os criminosos gastam muito dinheiro para comprar um equipamento de chupa-cabra,e muitos deles não ficam contentes quendo alguém acaba com a festa deles.

Para saber mais sobre fraudes em caixa eletrônicos usando chupa-cabras, visite a página "All About Skimmers" do fabricante de dispositivos anti-skimming ase-ng, e visite também o blog do Brian Krebs.

Ah, embora este post tenha sido dedicado ao tema de chupa-cabras para o roubo de senhas via um dispositivo físico, nos úntimos anos temos ouvido cada vez se falar mais sobre o desenvolvimento de malwares específicos para infectar caixas eletrônicos, Ou seja, há muita emoção no ar, para todos os gostos ;)

julho 31, 2014

[Segurança] Internet das Coisas

A Internet das Coisas (em inglês "Internet of Things", ou "IoT") é uma tendência tecnológica que prevê a inclusão de poder computacional e conectividade em diversos objetos e equipamentos do dia-a-dia, tais como carros e aparelhos domésticos (automação residencial, geladeiras e TVs são os exemplos mais comuns).

Isso significa que, a cada dia, teremos mais dispositivos ao nosso redor coletando dados, acessando a Internet e compartilhando informação. Ou seja, já começamos a imaginar centenas, milhares ou milhões de novos dispositivos expostos na Internet, aguardando para serem hackeados.



Um pequeno artigo publicado recentemente no blog da RSA cita três preocupações sobre a adoção da IoT:
  • Segurança: geralmente a segurança não é priorizada no desenvolvimento de novos dispositivos ou serviços. Mas, quando pensamos em um equipamento doméstico que executa um programa, pode coletar dados e se conectar à Internet, surge o risco deste aparelho ser invadido ou comprometido, por falta de controles básicos de segurança. Isto pode facilitar o roubo de dados ou uso malicioso do dispositivo. Por exemplo, no início deste ano foi descoberta uma geladeira conectada a Internet que foi invadida e, por isso, fazia parte de uma botnet e enviava SPAMs. Recentemente pesquisadores de segurança conseguiram controlar uma lâmpada inteligente, pois ela era cntrolada via WiFi sem criptografia e com autenticação fraca, facilitando a re-engenharia de seus protocolos de comunicação e de controle. Idealmente, a segurança deveria fazer parte de um produto desde a sua concepção;
  • Interface e configuração limitadas: Muitos dos novos aparelhos da IoT não têm interface direta com o usuário, o que limita a capacidade do usuário de customizar configurações de privacidade e segurança, ou mesmo instalar softwares adicionais de segurança (como, por exemplo, anti-vírus);
  • Privacidade e guarda de dados: não sabemos como e onde os dados coletados por estes aparelhos serão armazenados, e assim surge a preocupação com a possibilidade destes dados serem roubados ou se a empresa que produziu o equipamento irá compartilhá-los com terceiros. Pense na situação em que o seu refrigerador pode conter dados sobre seus hábitos de consumo, que podem ser vendidos para empresas do setor alimentício. Ou pior: no início desde ano um pesquisador de segurança descobriu que as SmartTVs da LG coletavam dados dos clientes e os enviava para a LG.
Um sério problema é a invasão de um equipamento doméstico de forma que seja possível tomar controle dele, alterando seus comandos. Isto já aconteceu de forma até mesmo engraçada no ano passado: pesquisadores descobriram que uma "privada inteligente" muito popular no Japão (que pode ser controlada por um aplicativo no Android via Bluetooth) usava uma senha fraca para ser acessada, e assim qualquer pessoa poderia alterar os comandos da privada do vizinho.



Mas os problemas de segurança não se aplicam somente a aparelhos domésticos, na nossa cozinha ou no banheiro de casa. Os problemas começam a ficar especialmente graves quando tratamos de aparelhos médicos ou vislumbramos a crescente automatização de automóveis e pensamos nos riscos que podem surgir caso alguém obtenha acesso remoto a um marca-passo, uma bomba de insulina ou um carro.

E isto não é ficção científica. Recentemente, por exemplo, pesquisadores chineses conseguiram hackear um carro da Tesla Motors e, com isso, controlar funções vitais (incluindo abrir portas e janelas) enquanto o carro estava em movimento. O vídeo abaixo, de 2013, mostra dois pesquisadores de segurança demonstrando para um jornalista da Forbes como eles conseguiram obter controle total de um carro.



De vez em quando ouvimos notícias de problemas de segurança em aparelhos domésticos conectados na Internet. A tendência é cada vez surgirem mais desses problemas na medida em que popularizarem as tecnologias e produtos relacionados a IoT. Isso porque os fabricantes de software e hardware ainda não se acostumaram a aplicar boas práticas e cuidados básicos de segurança durante o projeto e desenvolvimento de novos produtos. O OWASP (Open Web Application Security Project), por exemplo, tem muito material que descreve boas práticas no processo de desenvolvimento, que eliminam pelo menos os erros mais rudimentares.

julho 30, 2014

[Segurança] Décima edição da Co0L BSidesSP em Novembro

No dia 23 de novembro deste ano realizaremos a décima edição da Co0L BSidesSP, um evento gratuito sobre segurança da informação e cultura hacker.

Esta edição acontecerá novamente no campus Consolação da PUC-SP e a data escolhida foi o domingo anterior a Black Hat São Paulo. Ainda estamos preparando a agenda, mas pretendemos seguir a tradição de realizar diversas atividades legais simultaneamente, tais como:
  • Duas trilhas de palestras técnicas
  • Um debate
  • Duas trilhas com oficinas
  • Diversas competições no Capture The Flag (CTF), incluindo uma competição de robótica amadora e de drones
  • A "Hacker Job Fair" com palestras e discussões sobre carreira
  • A Brazilian Arsenal, para apresentação de ferramentas open source de segurança desenvolvidas por brasileiros
  • Palestras Relâmpago (Lightning Talks)
  • A BSidesSP 4 Kids, com atividades específicas para crianças e adolescentes
  • Uma área de descompressão, com lojinhas
  • “Churrascker” gratuito para os presentes.
Algumas das atividades acima foram criadas pensando em fortalecer a nossa comunidade, como a Hacker Job Fair, a Brazilian Arsenal e as competições de CTF.

Neste ano a BSides Las Vegas, que foi a primeira Security BSides em todo o mundo, completa seu 5o ano de existência. Nestes 5 anos, já foram realizadas mais de 130 edições, em mais de 60 cidades, cobrindo onze países, como por exemplo os EUA (que concentra a maioria das BSides), Alemanha, Inglaterra, Austria, Portugal, África do Sul e Austrália - entre outros.

Contando um pouquinho da história da Co0L BSidesSP, nossa primeira edição aconteceu em maio de 2011, como uma forma de apoio do Garoa ao You Sh0t the Sheriff (YSTS). A idéia inicial era fazer alguma atividade no Garoa na véspera do YSTS, justamente para divulgar o nosso espaço e atrair o pessoal de segurança para o Garoa, que tinha sido inaugurado fazia pouco mais de 6 meses. A idéia da BSidesSP surgiu em uma troca de e-mails entre eu e o Alberto Fabiano, enquanto discutíamos entre nós dois como poderíamos viabilizar o apoio do Garoa ao YSTS. Assim que começamos a nos empolgar com a idéia de fazer uma BSidesSP, consultamos o pessoal do YSTS (Luiz Eduardo, Nelson e Willian) e algumas pessoas da diretoria do Garoa, que nos apoiaram.

Veja abaixo uma transcrição parcial dos primeiros e-mails sobre esse assunto:
Date: Thu, 17 Mar 2011 18:39:00 -0300
From: Anchises Moraes
To: Aleph
Subject: Re: YSTS & GHC
Oi Alberto
(...)
Ca entre nos, todo ano o YSTS faz um leilao beneficiente p/ o pessoal que montou o HCF (Hackers Construindo Futuro), e eu estou so esperando eles me responderem s/ o apoio p/ eu perguntar, em seguida, se podemos pegar uma carona no leilao :)
De qquer forma, podemos ate mesmo pensar em fazer um "BSidesSP - YSTS" no domingo, o q vc acha?

Date: Thu, 17 Mar 2011 18:53:51 -0300
Subject: Re: YSTS & GHC
From: Aleph
To: anchises
Cara, acho a idéia bem legal... no fundo eu estava comentando isto ontem com uns malucos lá no SNight.
Por outro lado, tem uns caras que estão só de look no movimento do Garoa mas não apareceram por lá ainda, (...), fazendo um BSidesSP se bobear eles aparecem também.

Date: Thu, 17 Mar 2011 19:19:22 -0300
Subject: Re: YSTS & GHC
From: Anchises Moraes
To: Aleph
Meu maior receio eh que um "BSidesSP" possa atrair mais pessoas do que temos capacidade de comportar, mas nao vejo isso como um gde problema....
(...)
Mas, ca entre nos, agora q pensei na ideia do Bsides, fiquei empolgado. Como vc disse, isso possivelmente vai atrair muito mais pessoas do que fazermos uma simples festa. Poderiamos fazer as apresentacoes no estilo light talk, das 13h as 17h na area de vivencia (terreo), com oficinas no porão e tudo isso com cerveja e bebidas (vendidas), o que emendaria com uma festa a noite.
[]s
Anchises

Reparem nas datas dos e-mails: a idéia surgiu cerca de 2 meses antes do YSTS daquele ano. Após intensa troca de e-mails por alguns dias, começamos a organizar o evento. No dia 16 de Abril eu enviei um e-mail para a lista pública do Garoa anunciando publicamente a idéia e no dia 20 outro e-mail foi enviado buscando voluntários para ajudar na organização. Com isso, o Ranieri e o Ponai se juntaram a mim e ao Alberto. Em paralelo, eu entrei em contato com o pessoal da Security BSides pedindo autorização para realizar a "BSides São Paulo". Meu e-mail para eles também foi enviado no dia 16 de Abril e, após uma rápida troca de e-mails, recebemos a resposta final deles na semana seguinte: não nos autorizavam a realizar o evento pois acreditavam que era impossível organizá-lo em cerca de mês. A resposta final foi educada, no estilo próprio dos americanos de dizer "não". Veja o pequeno trecho derradeiro:
Date: Sat, 23 Apr 2011 11:54:19 -0700
(...)
In your earlier email you said you wanted the event to raise awareness of the hacker space that you started. We feel it would be better to host a BSides SaoPaulo another time of the year when you can focus on local participants and get a planning team together.
(...)
We want this to be positive for you, the participants, and the community.

Mas nós somos Brasileiros e não desistimos nunca... Por isso, resolvemos fazer uma BSides que não fosse uma BSides, ou seja, um evento seguindo a idéia e a receita-de-bolo da BSides, mas com outro nome, e assim surgiu a idéia de batizar o evento de "Conferência o Outro Lado (Co0L)". E, acreditem, no começo achamos a idéia do nome "Co0L" bem legal e não reparamos no cacófato :(


Por este motivo, as duas primeiras edições se chamavam apenas "Co0L". No final do ano, agora com mais tempo de antecedência, entramos em contato novamente com o pessoal da BSides nos EUA e pedimos novamente a autorização para fazer uma BSidesSP na véspera do YSTS de 2012. Eu estava nos EUA a trabalho e aproveitei para me encontrar pessoalmente com um dos fundadores da BSides, o Jack Daniel. Nosso jantar durou mais de 3 horas, com uma excelente conversa e um ok verbal para a primeira BSides São Paulo, que também foi a primeira BSides na América Latina :) Por isto, desde Maio de 2012 nós assumimos o status oficial de BSides São Paulo e decidimos adotar o nome de Co0L BSidesSP, para manter nossas origens :)

É importante lembrar que nada disso teria acontecido sem o apoio do pessoal do Garoa e do YSTS, sem o esforço e dedicação trio Alberto, Ranieri e Ponai, e sem o apoio de todos os patrocinadores (pois são eles que nos permitem fazer um evento de qualidade, gratuito, com comida e bebida oferecidos a vontade para os presentes). A primeira edição foi patrocinada pela Conviso e pela Trend Micro, e a Trend Micro é a única empresa que nos apoiou em todas as edições em que tivemos patrocinadores !

julho 29, 2014

[Cyber Cultura] Apple CarPlay

Na falta de algo como um iCar (meu favorito é esse aqui), bem que eu me contentaria com o Apple CarPlay.



Anunciado pela primeira vez em Março deste ano, o CarPlay é uma interface da Apple para uso em painéis de carros, que permite uma facil integração com o iPhone. Assim, o CarPlay oferece uma interface incrivelmente intuitiva para fazer chamadas, visualizar mapas, ouvir músicas e acessar mensagens com apenas uma palavra (via o Siri) ou um toque. Além de permitir instalar alguns aplicativos adicionais. Assim, é possível integrar o sistema do carro com o iPhone para fazer chamadas com acesso aos contatos do telefone, alé, de ouvir e responder mensagens usando o Siri.

Inicialmente o CarPlay foi disponibilizado para carros da Ferrari, Mercedes-Benz, Volvo, Honda e Hyundai, mas o site da Apple cita vários fabricantes de automóveis que também devem ter este recurso, tais como Audi, BMW , Ford, GM, Kia, Mitsubishi, Nissan, Peugeot, Citroën e Toyota. Hum, acho que não sobrou ninguém... tem até a FIAT na lista ;)

Sei que este post parece propaganda, mas na verdade é pura e simples babação mesmo...

julho 28, 2014

[Cidadania] Você Fiscal

O professor Diego Aranha, da Unicamp, lançou um projeto bem interessante para ajudar a sociedade a validar os resultados das eleições deste ano, chamado Você Fiscal.

A idéia do projeto é criar um aplicativo para que os próprios eleitores possam ajudar a auditar os resultados das eleições, através de uma totalização independente dos resultados. Após o final das eleições, os mesários fixam um "boletim de urna" em cada seção eleitoral, com a contagem de votos das urnas daquela seção. Com o aplicativo, qualquer pessoa poderá escanear o resultado impresso em sua seção eleitoral e enviar para um servidor central, que irá comparar o resultado impresso na seção com o divulgado pelo TSE, e depois vai totalizar um resultado independente (por amostragem, pois não terá acesso a todas as urnas) e vai comparar com o resultado oficial da eleição divulgado pelo TSE.



Para sair do papel, o projeto está pedindo doações através do Catarse.


O Diego Aranha é um dos principais críticos das nossas urnas eletrônicas. No site do projeto Você Fiscal ele destaca alguns dos problemas das urnas eletrônicas:
  • Falta segurança: Apesar do que é divulgado, a urna eletrônica brasileira tem falhas gravíssimas de segurança, conforme já foi comprovado nas poucas auditorias externas que o TSE permitiu serem realizadas;
  • Falta transparência no processo eleitoral: Ninguém da sociedade civil tem acesso aos detalhes de como os votos são contados pelo software da urna;
  • Falta auditoria: Os últimos testes, mesmo limitados e curtos, quebraram com facilidade o sigilo do voto. Novos testes foram suspensos neste ano, então não temos como saber se as falhas encontradas foram corrigidas nem temos como verificar se há mais problemas nas urnas.
Este projeto foca única e exclusivamente na totalização dos votos que é a única parte de todo o processo eleitoral aonde é possível realizar algum tipo de auditoria totalmente independente do TSE, graças aos boletins de urna. Mas, que fique claro que isso não resolve a maioria dos problemas existentes nas urnas eletrônicas, mas pelo menos ajuda a população a validar o único pedacinho aonde é possível fazer algum esforço de auditoria independente.

julho 25, 2014

[Cyber Cultura] Quando o espírito de Comunidade falha

Recentemente foi anunciado que o hackerspace de São José dos Campos, o SJCHC (também conhecido carinhosamente como "Sabugosa") vai fechar as portas.

Eles ocupam (ou seria melhor escrever "ocupavam"?) uma casa excelente e bem localizada, próximo ao shopping de SJC e próximo da rodovia Dutra. Mas o problema era financeiro: os custos com a manutenção do espaço eram maiores do que o quanto eles arrecadavam com os associados. Segundo um de seus diretores, a soma das mensalidades em dia todo mês não cobria 1/3 dos gastos fixos (aluguel, água, luz). Em Abril deste ano eles já haviam feito uma campanha para arrecadar doações, mas que infelizmente só serviu para adiar o inevitável :(

Isso me fez lembrar de um ano atrás, quando soube que um hackerspace em Portugal também fechou as portas por falta de dinheiro :(

Isso mostra alguns problemas que são muito comuns em todos os hackerspaces:
  • Ter uma arrecadação superior as despesas do dia-a-dia
  • Atrair novos associados para aumentar a arrecadação
  • Manter um baixo nível de inadiplência (sim, muita gente não paga em dia, o que prejudica muito quando as contas já estão apertadas)
  • Identificar o problema de fluxo de caixa e conseguir resolvê-lo antes que seja tarde demais.
As mensalidades são a principal fonte de receita dos hackerspaces, mesmo porque deveriam garantir uma entrada de dinheiro constante. Além disso, arrecadações esporádicas com doações, festas e venda de comes e bebes dentro do espaço ajudam a engordar um pouco mais o caixa.

Quando eu vejo um hackerspace fechar, a primeira coisa que posso pensar é que falhamos como comunidade.

Afinal de contas, apesar de serem espaços comunitários e abertos, poucas pessoas participam e frequentam os hackerspaces, e mesmo entre elas, poucas realmente colaboram com a manutenção do espaço.

Aparentemente todos sofremos, em algum grau, da Tragédia dos Comuns: o acesso livre e exagerado a um bem comum (formado por recursos finitos) termina por condenar o recurso por conta de sua superexploração. Acostumados a receber tudo de graça, de bandeja, as pessoas não percebem que também depende delas colaborar para ajudar a manter o que conquistamos.

Provavelmente todos os hackerspaces tem pequenas histórias para contar de falta de colaboração no dia-a-dia. Transcrevo abaixo um relato do SJCHC:
"Nós temos um bardentro do clube. Por incrível que pareça, ele ajudava a pagar alguns custos, no início. Porém, inúmeras vezes eu chegava no clube e encontrava garrafas de refrigerante e cerveja levadas pelos frequentadores. Nós vendemos a cerveja gelada a 3 Reais!! Apenas UM Real de lucro bruto! Mais barato que em qqr bar da região (E olha que só tem pé sujo na região). Poxa... Colocamos um espaço seguro pras pessoas se encontrarem, com eletricidade, internet, ferramentas, banheiro. Tudo de graça! Custava deixar UM REAL a mais pela cerveja?"

Isso também acontece no Garoa: temos uma caixinha para as pessoas deixarem dinheiro para ajudar no que consomem, mas frequentemente percebemos que algumas pessoas não contribuem. Eu vivo esse drama a cada edição da BSidesSP: os ingressos gratuitos esgotam-se rapidamente, mas quando colocamos ingressos ao custo de R$ 15, esses saem a conta-gotas. OK, se a pessoa acha que o conteúdo do evento (um dia de palestras e oficinas) não vale R$ 15, pelo menos o evento deveria valer isso por oferecer comida e bebida de graça, a vontade !!! Mas, mesmo assim, as pessoas preferem não colaborar.

Mas o problema não é só financeiro. Poucas pessoas frequentam os hackerspaces:
  • Como é possível um hackerspace em São José dos Campos, um dos principais pólos tecnológicos do país, não ter pessoas o suficiente para manter um hackerspace !?
  • Como é possível um hackerspace em Campinas, uma das maiores cidades de São Paulo, cercada por faculdades e empresas de tecnologia, viver as moscas?
  • Como é possível o hackerspace de São Paulo, a maior cidade do Brasil, ficar vazio 6 dias por semana? (isto é, o Garoa só fica cheio de gente as 5as-feiras, nos demais dias da semana geralmente recebemos em torno de 5 pessoas, ou até menos)
Será que falhamos como comunidade? Será que existe mesmo um espírito de comunidade? Estamos prontos para cooperar e participar de atividades comunitárias?

Frequentemente temos a impressão que uma parcela significativa das pessoas que vão nos hackerspaces estão esperando achar um lugar aonde receberão um "curso" de graça, ou seja, terão um expert dando uma aula com Power Point e tudo mastigadinho. Mas os hackerspaces são laboratórios coletivos e comunitários: a grosso modo são uma bancada aonde as pessoas sentam juntas para fazer qualquer coisa, ou não fazer nada, sem uma ordem ou obrigação definida. Uns ajudam os outros em pé de igualdade. Muito diferente do ensino tradicional ao qual estamos acostumados desde criancinha: um expert na frente de todos, transmitindo o conhecimento de forma unidirecional.

Será que estamos prontos para isso? Será que estamos prontos para compartilhar o conhecimento?


Nota 1 (28/07/14): Ao contrário do que comenta o Coruja de TI, eu não disse que o dois hackerspaces brasileiros estão fechando nem foi minha intenção passar qualquer idéia errônea de que a "onda" dos hackerspaces está acabando: apenas um hackerspace fechou (o Sabugosa), dos 16 hackerspaces brasileiros que conhecemos. Minha intenção não é divulgar o fechamento de um hackerspace, mas sim questionar se existe um espírito de comunidade entre nós e se nós, dentro da nossa cultura, estamos preparados para conviver em um espaço baseado na coletividade, no espírito de empreendorismo, na cultura do faça você mesmo  e do compartilhamento de conhecimento. Como disse em meu texto acima, os hackerspaces tem uma abordagem totalmente diferente da escola tradicional, que todos nós frequentamos desde o prézinho. Além do mais, basta ler o "hackerspace design patterns" para ver que o problema de atrair participantes é recorrente e acontece em todo o mundo. Vi meu post ser comentado em algumas redes sociais e listas de discussão, e fico aliviado em ver que apenas uma pessoa entendeu tudo errado.

Nota 2 (28/07/14): O Sabugosa está entregando o imóvel aonde eles ficam, mas continuará existindo. Segue a transcrição de uma nota que eles colocaram no Facebook:
"Lendo algumas notícias[1][2] que saíram na internet, comentando que o SJC Hacker Clube havia encerrado suas atividades ou "fechado as portas", resolvemos escrever este texto para esclarecer alguns pontos e explicar o que realmente significa "fechar as portas" no nosso caso. Assim como qualquer hackerspace, existem dificuldades financeiras que atrapalham e até inviabilizam a posse de uma sede própria. No nosso caso, mesmo com a ajuda extra que recebemos depois do apelo que fizemos há alguns meses atrás, não conseguimos manter uma receita suficiente para manter o espaço e tivemos que abrir mão da nossa sede.
No entanto, para evitar qualquer mal-entendido, gostaríamos de deixar uma coisa bem clara e dedicaremos um parágrafo somente para isso:
"O SJC Hacker Clube, embora TEMPORARIAMENTE sem sede própria, CONTINUA com as suas atividades semanais no Parque Santos Dumont, e também CONTINUARÁ a realizar eventos periódicos, como o SJC LIGHTNING TALKS e o HORA EXTRA. A idéia de ter um espaço colaborativo onde é possível compartilhar experiências e conhecimento ainda está viva nos membros do clube. A procura por uma nova sede permanecerá."
Ainda estamos definindo os pormenores dessa nova fase do clube e daremos mais notícias assim que tivermos respostas oficiais. Agora, mais do que nunca, pedimos ajuda a todos vocês para podermos arrumar uma nova sede o quanto antes, e podermos termos o nosso local novamente.
Caso tenham qualquer dúvida, estamos à disposição para esclarecimentos.
Atenciosamente,
SJC Hacker Clube"
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.