novembro 27, 2009

[Segurança] Eventos de Segurança em Dezembro

Estamos nos aproximando do final de ano mas ainda restam alguns eventos importantes e de qualidade na área de segurança da informação, e ainda dá tempo de participar.

Neste final de semana, nos dias 28 e 29 de novembro, acontecerá em São Paulo a Hackers to Hackers Conference (H2HC), evento que está em sua sexta edição e reúne os principais pesquisadores de segurança brasileiros. As incrições para o evento ainda estão abertas, e no sábado, dia 28/11, das 10h as 12hs será realizado uma atividade em paralelo, o debate Hackers to CSO (H2CSO). O H2CSO será transmitido online (gratuitamente), e é organizado pelo evento em conjunto com a Decision Report e a TV Decision.

No dia 02 de Dezembro de 2009, a RNP ira celebrar o Dia Internacional de Segurança em Informática (DISI) com um evento que acontecerá em Salvador (Bahia) e será transmitida online para todo o Brasil. O tema central do evento neste ano é a segurança nas redes sociais.

No sábado dia 05 de dezembro, o Comitê Gestor da Internet, em conjunto com o NIC.BR e o Registro.BR, realizará o 14o encontro do GTS, o Grupo de Trabalho em Segurança de Redes, em São Paulo. Este é um encontro semestral que reúne dezenas de profissionais de segurança presencialmente e também online, pois o evento é retransmitido ao vivo pela Internet. Diversos profissionais reconhecidos pelo mercado estarão presentes e apresentando palestras interessantíssimas.

Neste ano eu estarei presente na Hackers to Hackers Conference no debate sobre Guerra Cibernética no domingo (29/11), as 17:30, junto com a Kristen Denessen, da iDefense. Também irei palestrar no GTS sobre "Cloud Computing: Riscos e Mitigação", das 11:30 ate as 12:10.

novembro 26, 2009

[Cyber cultura] Blogs, a verdade contra a censura

Já disseram que a pena é mais forte do que a espada. Hoje em dia, os bits se tornaram mais forte do que a pena. E diversos países que vivem sob regimes autoritários, com a população e a impensa mantida sobre extremo controle, estão começando a perceber a ameaça que a Internet lhes oferece, através da livre expressão que somente a grande rede permite.

Uma reportagem na revista Veja da semana passada conta a história de uma blogueira cubana que foi espancada pela polícia política de Fidel Castro.


Yoani Sánchez é uma cubana blogueira de 34 anos de idade conhecida mundialmente por driblar a censura do governo e manter há dois anos o blog Generación Y, onde escreve sobre as dificuldades do cotidiano de quem vive em Cuba e questiona abertamente o governo local, driblando totalmente a censura e as noticias da imprensa oficial, que descrevem um país muito melhor do que ele realmente é. Ela também é autora de um livro baseado em seu blog, chamado "De Cuba, com Carinho". Coincidentemente, eu tinha lido na semana anterior uma entrevista muitíssimo interessante que ela deu nas páginas amarelas de uma edição um pouco mais antiga da Veja, onde ela fala sobre as dificuldades existentes, a perseguição política e escancara como o governo esconde do mundo as reais dificuldades do povo. (ah, o post original dela denunciando o ataque que sofreu está aqui)
"Convido quem vê Cuba como um exemplo a vir para cá, sentir na pele como vivemos"


O site Global Voices criou um mapa-mundi interativo que mostra os blogueiros ameaçados, presos ou mortos em todo o mundo por exporem seus pensamentos, totalizando atualmente 192 bloggers. Esta é uma ótima iniciativa para denunciar os governos autoritários e opressores, que controlam seus cidadãos a mão de ferro e na base da censura. Não posso me esquecer do Twitter, que também está se tornando cada vez mais um meio eficiente para a livre manifestação do pensamento. A recente eleição no Irã mostrou para o mundo como o Twitter pode ser usado como um meio de protesto, onde a população pode contar o que realmente está acontecendo e pode externar seu descontentamento. Internautas da Venezuela, México e Brasil já seguiram esse exemplo e utilizaram o microblog para protestar contra os governantes e políticos locais.

novembro 19, 2009

[Segurança] A PF e o crime cibernético

O Diário do Nordeste publicou uma entrevista interessante com delegado Carlos Sobral, chefe da unidade de repressão a crimes cibernéticos da Polícia Federal. Segundo ele, os três crimes cibernéticos mais preocupantes para a PF são a distribuição de material pornográfico (e, principalmente, a pornografia infantil), as fraudes financeiras ("pelo grande valor que transfere para a criminalidade - são somas altíssimas") e a venda ilegal de medicamentos pela Internet (inclui "produto falsificado, contrabandeado, proibido no Brasil").

A seguir eu transcrevo algus dos trechos mais importantes,na minha opinião:

  • Normalmente, a polícia judiciária está sendo chamada quando ele (o hacker) consegue completar a ação danosa. (...) Se não conseguimos ter acesso rápido à informação - e rápido é questão de horas, de dias; demora-se meses, às vezes -, não conseguiremos fazer boas investigações.
  • A internet é uma ferramenta de interação humana. Você encontra amigos que pensou nunca mais ver na vida. Na verdade, pessoas de má índole usam essa informação para prática de crimes e vão continuar usando. A tecnologia vai avançar, aproximar cada vez mais pessoas e aí temos que estar preparados para garantir a segurança.
  • Falar que a tecnologia é culpada pela prática do crime, não é. O fato é que facilita, é um facilitador. Culpadas são as pessoas que usam essa tecnologia (para praticar crimes).
  • [os administradores de sites] têm de ajudar no combate [aos crimes cometidos pelos usuários]. É dever de todos: da Polícia, do Estado e da sociedade. (Os donos dos sites) são responsáveis não pela conduta (dos usuários), mas pela prevenção e por auxiliar na repressão. ... Não é “vigilantismo”, não é cerceamento de liberdade, pelo contrário, é uma conscientização de que a segurança é dever de todos, para garantir às pessoas que continuem usando (a internet) sem correr risco de ser lesadas nas formas patrimonial ou moral.
  • [A legislação brasileira para internet] é falha. Falta disciplina, por exemplo, na questão do armazenamento de informações básicas para nossas investigações. Hoje, não há uma normatização se os registros de conexão com a internet devem ser armazenados ou não, quanto tempo devem ser armazenados...
  • Também falta uma legislação sobre crime cibernéticos puros, relativos à tecnologia propriamente dita: se a invasão de um site, a invasão de um computador, é proibida ou não.
  • Você tem que dar à autoridade policial o direito de conhecer, sendo necessário conhecer. Quanto mais informações relacionadas ao fato nós temos, mais é correta e profunda a nossa investigação. O que você tem que ter é uma forma de controle para evitar abusos e desvio de finalidade da informação. Se você depois apurar que essa informação foi solicitada para fins outros que não investigar o crime, você pune a autoridade que fez a requisição e pune de forma exemplar: demite-se, pune-se com prisão se for o caso.

novembro 17, 2009

[Segurança] Hackers, apagão e urna eletrônica na Globo News

Na onda da polêmica sobre a hipótese de "hackers" terem causado o recente apagão e dos recentes testes de segurança realizados contra a urna eletrônica, a Globo News criou o programa "Hackers: Inimigos ou aliados?", dentro da série "Espaço Aberto Ciência & Tecnologia", que se propõe a discutir esses dois assuntos com diversos especialistas da área, incluindo o Willian Caprino, o atual presidente da ISSA Brasil.

A reportagem é longa, dura aproximadamente 23 minutos, mas é bem didática. É interessante que esses dois assuntos, a possibilidade de invasão do sistema elétrico e a avaliação da segurança da urna eletrônica, exemplificam como o conhecimento em segurança da informação pode ser utilizado para o mal ou para o bem.



A discussão sobre a possibilidade de invasão ao sistema elétrico brasileiro foi fortemente baseada na entrevista com James Lewis, um especialista americano em segurança cibernética do CSIS, Center for Strategic and International Studies, um dos que acreditam nesta possibilidade. Mas note que, quando o repórter questiona de onde ele tirou a informação sobre a veracidade dos ataques cibernéticos no Brasil em 2005 e 2007, ele responde que se baseia no fato de que outras autoridades já haviam dito isso (e cita três delas, incluindo o presidente americano Obama). Ou seja, não há uma fonte real e específica que pode comprovar os fatos, ele simplesmente está repassando o que ele "ouviu dizer por aí". Afinal, nenhuma das pessoas citadas por ele também citaram de que fontes elas obtiveram a informação da suposta invasão.

Nesses últimos dias já vi muitas reportagens sobre esta história do "cyber apagão", ou seja, hackers terem invadido o sistema das operadoras de energia para causar intencionalmente os blackouts de 2005e 2007 ou mesmo o apagão da semana passada (ou blackout, como o governo prefere chamar o fato para desviar a discussão para o aspecto semântico da palavra, e não para a raiz do problema em si). Infelizmente, este assunto tem dado margem a diversos artigos e reportagens na imprensa que, além de não explicar nada, só servem para espalhar mais confusão e falsas verdades nessa história.

Na verdade, até o momento não existe nada que comprove que já tenha ocorrido um "cyber blackout" no mundo, ou seja, um blackout provocado intencionalmente a partir de uma invasão ao sistema de uma empresa do setor. A única verdade dentre as informações publicadas até agora é que um "hacker" brasileiro, Maycon, resolveu investigar o site da Operadora Nacional do sistema (ONS) após ouvir esses boatos e descobriu que a empresa tinha uma aplicação disponível online que, aparentemente, estaria vulnerável a ataques. Não há nenhuma informação clara sobre a importância e criticidade daquele sistema nem sobre a possibilidade deste sistema ter sido invadido. Alguns especialistas em segurança da informação afirmam que a análise realizada pelo Maycon não é suficiente para indicar claramente que existia realmente uma falha que pudesse permitir uma invasão ao sistema (por "invasão", entenda-se como a concretização do acesso não autorizado ao sistema, o equipamento ou a rede da empresa). Além do mais, diversos especialistas em segurança no Brasil com quem já coversei e alguns no mundo acreditam que, embora exista a possibilidade dos sistemas das empresas do setor elétrico estarem vulneráveis, um ataque desse tipo é muito difícil e complexo. Além do mais, as empresas do setor costumam separar fisicamente as redes internas: a rede do escritório e a rede que controla a operação do sistema - e essa rede não costuma ter acesso a Internet. Ou seja, um atacante teria que invadir a rede corporativa da empresa e depois achar uma "brecha" para passar para a rede que controla o sistema elétrico. Além do mais, também é consenso entre os especialistas que as empresas do setor energético no Brasil usam sistemas antigos, e estes sim, dependem pouco do uso de redes de comunicação como as que temos atualmente. Essa preocupação de ataques via rede TCP/IP e via Internet faz mais sentido em países com uma infra-estrutura mais avançada e automatizada, que não é o caso brasileiro atualmente.

De qualquer forma, como a reportagem da Globo News diz, ao final, devemos ver estes acontecimentos como uma oportunidade para iniciarmos a discussão e a prevenção, antes que fiquemos realmente vulneráveis.

novembro 14, 2009

[Segurança] Esse apagão deu o que falar !

De repente, no meio da noite, 70 milhões de pessoas ficam sem luz. Um apagão atingiu 18 estados no dia 10 de novembro, durando até 7 horas em algumas regiões. O maior apagão da história? Maior até do que o apagão de 1999.

A direção de Itaipu diz que o problema foi nas linhas de transmissão de Furnas e cria uma conta no Twitter para manter a população informada (meus parabéns ao time de comunicação e marketing da empresa!). Furnas diz que não teve problema. O Governo, na pressa de achar uma desculpa, diz que uma tempestade com raios atingiu três linhas de tansmissão e o INPE diz que não teve raio, após consultar seus sistemas. E agora, o que fazer? O governo "decreta" que o assunto está encerrado, que ninguém mais discorde da versão oficial.

Além do mais, esse apagão teve um componente cibernético inusitado. Coincidência (ou não?), no domingo, dia 08/11, o programa 60 Minutes da rede americana CBS fez uma reportagem sobre terrorismo cibernético, onde foi dito que o blackout de 2007 no Estado do Espírito Santo, que afetou mais de três milhões de pessoas, e um incidente menor no Rio de Janeiro, em 2005, foram causados por hackers. O governo brasileiro já desmintiu a reportagem, que é fruto de uma grande série de boatos envolvendo um suposto blackout causado por hackers fora dos EUA. Para colocar mais lenha na fogueira, um hacker brasileiro não teve muita dificuldade para encontrar um sistema web da Operadora Nacional do Sistema (ONS) disponível na Internet aparentemente vulnerável.

Como sugestão de leitura, a Daryus publicou um artigo muito interessante com uma coletânea de dicas para as pessoas e as empresas se prevenirem e se prepararem para uma situação dessas. Vale a pena a leitura.

novembro 04, 2009

[Segurança] O exemplo vem de cima

Quando uma empresa decide implementar uma nova política de segurança, costumamos dizer que é fundamental que a iniciativa tenha o apoio da alta direção. Isto ocorre quando os executivos, diretores e o presidente da empresa estão conscientes dos riscos existentes e da necessidade de criar normas e regimentos internos relacionados a Segurança da Informação.

Este tipo de comprometimento "top-down" é muito importante pois o ser humano tem uma tendência natural em rejeitar mudanças, ainda mais quando se tratam de novas normas e regras que, em muito casos, limitam e regulam acessos e direitos pré-existentes de muitos funcionários. Quando os executivos da empresa manifestam seu apoio a política de segurança, eles estão incentivando os demais funcionários a fazer o mesmo (seja por imposição ou por darem um bom exemplo).

Por isso eu fiquei muito entusiasmado quando assisti o vídeo abaixo, do presidente americano Barack Obama, disponibilizado pelo canal da Casa Branca no YouTube. O vídeo foi produzido como parte das ações de conscientização do "National Cybersecurity Awareness Month", uma iniciativa americana que elegeu o mês de Outubro para divulgar e difundir os riscos e cuidados que todos devem tomar ao utilizar a Internet.



No vídeo, Obama discursa sobre os riscos existentes na era da informação, sua importância e como os EUA são dependentes das redes digitais hoje em dia - e, ao mesmo tempo, altamente vulneráveis a cyber attacks. O governo Obama elegeu as redes como bens críticos e está priorizando sua proteção. Ao mesmo tempo que, como consumidores, utilizamos a Internet para fazer compras e pagar contas ou impostos, o presidente Obama lembra que somos vulneráveis a ataques que violam nossa privacidade ou roubam nossa identidade.

Segurança cibernética é responsabilidade do governo, setor privado e da população em geral. No vídeo, são apresentados três conselhos para os internautas se manterem seguros online:
  • Mantenha seus softwares de segurança e sistemas atualizados (o mesmo vale para o sistema operacional de seu micro e as principais aplicações que utilize);
  • Sempre saiba com quem você está interagindo online, seja uma empresa ou uma pessoa;
  • Nunca forneça suas informações pessoais e financeiras sem antes verificar se está lidando com alguém legítimo.

São conselhos simples e que sumarizam os principais cuidados que todos devemos ter ao utilizar a Internet.

[Segurança] Teste se você é uma isca fácil para ladrões de senhas na Internet

O UOL Tecnologia colocou no ar um teste online muito simples e interessante, para você saber se os seus hábitos na Internet te colocam no "grupo de risco" dos que sofrem fraude online.

São algumas perguntas simples e que abordam as principais artimanhas que os criminosos cibernéticos utilizam para enganar os internautas e roubar suas informações (dados pessoais e suas senhas de acesso).

Faça o teste: Você é uma isca fácil para ladrões de senhas e dados na internet?

novembro 03, 2009

[Segurança] Internet, covil de covardes e terra de maravilhas

A romancista e poetisa Lya Luft publicou um texto muito interessante em sua coluna na revista Veja desta semana, com o singelo título "Não fui eu!" e o provocante subtítulo "Como tantas coisas neste mundo contraditório, a internet é ao mesmo tempo covil de covardes e terra de maravilhas".

O artigo está disponível online somente para assinantes da revista ou do portal da editora Abril, mas um blog disponibilizou uma cópia dele online. Eu não vou transcrever o artigo, para evitar questionamentos com relação ao direito autoral (da editora Abril, no caso), mas recomendo fortemente a leitura e reflexão.

A Lya Luft toca em dois pontos atuais e que fazem parte da vida de qualquer autor famoso ou mesmo de qualquer pessoa ou empresa que se aventure a publicar um conteúdo online. No primeiro caso, constantemente circulam textos na Internet (através de e-mails e daqueles power points anexados a mensagens) cuja autoria é indevidamente atribuída a algum escritor famoso, provavelmente para dar alguma credibilidade a mensagem. Ela mesmo menciona que constantemente recebe textos atribuídos indevidamente a Carlos Drummond de Andrade, Fernando Pessoa, Érico Verissimo, Clarice Lispector ou algum texto indevidamente indicado como se fosse dela mesma. Já vi um artigo do Érico Veríssimo dizendo o mesmo, há alguns anos atrás.

Convenhamos, independente da qualidade literária do texto ou do teor da mensagem, quem gostaria de ver um texto distribuído na Internet e indevidamente atribuído a si? Ser indicado como autor de um texto que nunca escreveu? E que, eventualmente, pode ser discordante da sua opinião pessoal? Na Internet, isso acontece. As pessoas estão se acostumando a publicar qualquer tipo de conteúdo online, certas do anonimato e da impunidade. Por outro lado, uma multidão de internautas está acostumada a repassar ou republicar qualquer mensagem que receba, sem verificar a sua autenticidade ou a credibilidade da fonte.


"No espaço cibernético podemos caluniar e destruir ou elogiar e endeusar quem quer que seja, sem revelar nossa identidade."
(Lya Luft)

Outra ocasião em que vemos a selvageria da Internet, conforme rapidamente citado pela Lya Luft, é no festival de comentários online que normalmente acompanham temas polêmicos. Seja em um artigo de uma revista online, ou um post de um blog, ou um vídeo popular no You Tube. Se o assunto é polêmico, dezenas, centenas ou milhares de ínternautas irão expressar suas opiniões. Algo que é excelente, diga-se de passagem, se não fosse uma minoria que se faz valer do anonimato para, covardemente, usar os comentários para ofender ou agredir as pessoas, sem que o autor ou os demais participantes possam se defender devidamente (no máximo, o ofendido publica uma resposta ou, quando se trata de um site mais cuidadosamente administrado, o post ofensivo é removido). Isso acontece constantemente; eu sugiro a todos prestarem mais atenção nas seções de comentários do You Tube ou de seu site favorito. O tema é polêmico? Tem relação com política, governo, preconceito, violência?

A Internet é uma ótima ferramenta para todos, permite o acesso fácil e rápido a notícias e informações no mundo todo. Quando bem utilizada, é uma maravilha. Porém, a maioria dos usuários ainda precisa apreender a lidar com isso, a separar o certo do errado. E, como a Lya Luft comenta em seu artigo, quando algo de errado acontece, o internauta fica sem saber para quem pedir ajuda. Como retirar um conteúdo ofensivo do ar? Que lei utilizar? Há lei? Há como identificar o ofensor? Como punir?

A Internet ainda é uma terra sem lei, no estilo do "Velho Oeste".
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.