março 29, 2012

[Cidadania] Quem mais precisa de banda larga não tem como pagar

Em Janeiro deste ano a ITU (International Telecommunication Union) lançou um vídeo mostrando os resultados de uma pesquisa mundial sobre a penetração e os custos da banda larga em todo o mundo.

Não é de se espantar que o custo do acesso Internet via banda larga nos países mais desenvolvidos é muito menor do que nos países sub-desenvolvidos ou em desenvolvimento. Ou seja: quem mais precisa do acesso a Internet e tm menos condições para pagar isso é quem paga mais caro. Nos países mais pobres do mundo a banda larga poderia ser o catalisador fundamental para o desenvolvimento em áreas como educação e saúde.



A Comissão de Banda Larga para o Desenvolvimento Digital da ITU definiu em Outubro de 2011 que o serviço de banda larga básica deve custar menos de 5% do rendimento médio mensal em todos os países do mundo até 2015.

Mas a realidade hoje em dia ainda está bem longe: enquanto em Mônaco a banda larga custa o equivalente a 0,3% do salário médio mensal, nos quatro países mais pobres da África a banda larga custa 1.000% (mil por cento!) do salário médio.

[Cyber Cultura] O que é mesmo um hackerspace?

Eu desconheço alguma definição oficial e definitiva sobre o que é um hackerspace, e por isso nós do Garoa Hacker Clube sempre acabamos nos deparando com situações aonde alguém nos pergunta sobre o que é um hackerspace ou vemos iniciativas cujo enquadramento como hackerspace gera algum tipo de dúvida ou questionamento.

Eu mesmo já tentei explicar o que eu entendo ser um hackerspace aqui mesmo, nesse blog.

Os sites hackerspaces.org e hackspace.org.uk oferecem uma definição relativamente clara, mas ainda assim dá espaço a uma névoa cinzenta sobre o que pode ou não ser considerado um "hackerspace", mesmo porque a possibilidades são várias e não existe uma definição suficientemente restrita e nem um "checklist".
  • "Hackerspaces are community-operated physical places, where people can meet and work on their projects." (hackerspaces.org)
  • "Hackerspaces are physical places where people can meet to learn, socialise and collaborate on projects." (hackspace.org.uk)


Mas estas definições tem algumas coisas em comum que, no meu ponto de vista, estabelecem o que eu considero serem os pilares do conceito de hackerspace:
  • Espaço físico: é um local aonde as pessoas podem se encontrar
  • Locais comunitários: Espaços abertos para a participação de qualquer pessoa interessada (logo, um laboratório ou empresa com acesso restrito não vale)
  • Hackers: Os hackerspaces somos convidados a experimentar e testar os limites da tecnologia, sem restrições a criatividade e ao pensamento. Também serve para difundir a cultura geek, a cultura hacker e o conhecimento científico.
  • Projetos: São espaços aonde o conhecimento e aprendizagem correm a solta, onde as pessoas compartilham o conhecimento e trabalham em projetos (individuais ou comunitários)

Eu acredito que o conceito de hackerspaces vai, intencionalmente, na contra-mão da tendência moderna de movermos para o mundo online e nos afastarmos cada vez mais da convivência física. Por isso eu, particularmente, gosto tanto da idéia de hackerspaces: ela resgata a socialização e interação presencial entre as pessoas.

março 28, 2012

[Segurança] Revisando os eventos de 2011

Tivemos vários eventos de segurança no Brasil em 2011, a ponto de que, durante alguns meses, haviam eventos diferentes quase que toda a semana. Alguns eventos foram bem interessantes e outros nem tanto. Por isso mesmo, eu decidi criar este texto para deixar a minha impressão pessoal sobre os principais eventos que tivemos no ano passado e que eu tive a chance de participar.

As opiniões apresentadas abaixo são minhas e não refletem necessariamente a opinião dos organizadores e participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os principais, maiores ou mais importantes eventos realizados em 2011, e somente os eventos nos quais estive presente a ponto de formar uma opinião sobre o que realmente aconteceu.

  • 28 e 29/03: CNASI Rio de Janeiro - Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorreu no Rio de Janeiro. Foi um evento pequeno, com poucas pessoas e nenhum stand de patrocinador. Os dois dias de palestras e debates foram marcados por um conteúdo mais voltado para o público gerencial ou iniciante no mercado, que aparentemente é o foco tradicional do CNASI. Na minha opinião, o evento tem o grande mérito de levar conteúdo para um público fora de São Paulo.
  • 09 e 10/04: Web Security Forum - Um evento novo, em sua primeira edição, organizado pelo Gustavo Lina do blog Coruja de TI. Eu gostei muito da grade de palestras, com diversos temas e alguns debates bem interessantes e um bom equilíbrio entre assuntos técnicos e gerenciais. O principal destaque, na minha opinião, foi na organização do evento: primorosa, com um ambiente bem organizado e decorado. Incluiu refeição para todos os presentes e uma van para quem se deslocou até lá via transporte público. Ótima quantidade de patrocinadores e uma boa área de exposição para eles. Pena que a área comum era um pouco pequena e ficava bem lotada nos intervalos. Muita gente legal participando do evento.
  • 14/04: SecureBrasil - Esta é a principal conferência do (ISC)² e a primeira vez que foi realizada no nosso continente. Ótimas palestras, boa área de patrocinadores e um público bem seleto e de qualidade. Também foi um evento muito bem orgnizado.
  • 13 e 14/05: GTS-17 - Esta foi a 17ª Reunião do Grupo de Trabalho em Segurança de Redes, do NIC.br. Como sempre, foi um evento gratuito, com um foco um pouco mais técnico e palestras de boa qualidade. Tem uma grande audiência, com muita gente presente e com transmissão online.
  • 15/05: Conferência O Outro Lado (Co0L) - Primeira edição da mini-conferência gratuita organizada pelo Garoa Hacker Clube seguindo o modelo das Security B-Sides, realizada no dia seguinte ao GTS e na véspera do YSTS. Teve diversas atividades acontecendo simultaneamente, como palestras, oficinas, debates e um churrasco. Vale a pena pelo ambiente descontraído, pelo networking e pelas palestras também. A desvantagem, na minha opinião, é a limitação do espaço, que é pequeno e, por isso, as pessoas ficam apertadas.
  • 16/05: You Shot the Sheriff (YSTS) - Um dos eventos Brasileiros mais importantes, o YSTS destaca-se pela excelente qualidade das palestras (com foco técnico e gerencial) e pelo clima descontraído do evento, em parte graças ao open bar que acontece após o almoço. Nesta edição, porém, eles pecaram pela escolha do lugar: como foi um ambiente muito grande, houve pouca interação entre os participantes e o pessoal ficou a maior parte do tempo em suas mesas.
  • 16 e 17/05: CNASI Brasília - A edição do CNASI em Brasília (DF) também é um evento menor do que o de São Paulo. A grade foi muito parecida com o do Rio, mas teve uma quantidade maior de público do que a edição carioca. Assim como todos os CNASIs, o conteúdo é mais focado no público gerencial e de complexidade mediana. Também tem o mérito de levar conteúdo para um público fora de São Paulo
  • 12 e 13/07: CNASI Nordeste/Recife - O CNASI de sempre ocorreu pela primeira vez no Nordeste. Assim como as demais edições regionais, esta foi uma edição pequena, porém me pareceu que foi maior do que as edições no Rio e em Brasília - inclusive com mais patrocinadores. Tem o grande mérito de levar um evento de segurança para o Nordeste.
  • 12 e 13/08: VI Workshop SegInfo - Um evento de segurança tradicional e importante no mercado do Rio de Janeiro, que possui excelente qualidade em termos de palestras, tanto com foco técnico e gerencial - e inclui também uma competição de War Games. Eu, particularmene, gostei muito da organização, que foi impecável e tratou muito bem os palestrantes.
  • 03 e 04/09: Vale Security Conference - Um evento novo, em sua primeira edição, focada na região do Vale do Paraíba e São José dos Campos, em especial. Teve um ótimo mix de palestras e contou com palestrantes de excelente qualidade. Também foi bem organizado e merece minah adimiração pela iniciativa de criar um evento em São José dos Campos (me fez sentir saudades do antigo SSI, um evnto que acontecia anualmente no ITA). Curiosidade: Eu fiquei tão impressionado com a qualidade das palestras que eu fiquei morrendo de medo quando subi no palco para palestrar.
  • 05 a 07/10: VIII ICCyber - Neste ano o ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos) ocorreu em Florianópolis. É um evento que possui um foco bem específico em combate ao crime cibernético e forense computacional, mas neste ano eu saí muito frustrado, com a impressão que várias palestras foram de baixa qualidade. Em alguns casos, a minha frustração foi tão grande que eu me retirei de algumas palestras após ficar poucos minutos na sala. Mas não foi sempre assim: nos anos anteriores que eu fui, eu gostei muito das palestras que vi. O destaque é a área de expositores e também o fato do evento acontecer cada ano em um estado diferente.
  • 10 e 11/10: III Congresso Crimes Eletrônicos - Não consegui ir no evento devido a coincidência de muitos eventos em pouco tempo. Em 2010 eu fi e gostei - das palestras (que tem um foco também em aspectos legais), do espaço e da área de exposições.
  • 18 a 20/10: Vigésima edição do CNASI-SP, um evento tradicional que não deixa de ser o maior evento brasileiro de segurança. Embora eles tenham um processo de CFP que tentam priorizar a qualidade das palestras, o CNASI é normalmente associado a idéia de palestras de qualidade mediana e foco mais gerencial e pouco técnico. O evento segue um formatão tradicional, congelado no tempo, mas que atende ao formado de "grande conferência". Tem quatro trilhas de palestras e debates e uma área de expositores (que é menos expressiva do que a área do Security Leaders).
  • 29 e 30/10: A oitava edição da Hackers to Hackers Conference (H2HC) manteve o seu tradicional foco em palestras técnicas de boa qualidade relacionadas principalmente pesquisa de vulnerabilidades e novos ataques. Embora a conferência tenha mudado para um local melhor, ela manteve mais ou menos o mesmo tamanho do ano anterior. Teve uma área de exposição de patrocinadores boa, mas que ficou escondida no final do espaço reservado para o evento. Eu fiquei particularmente frustrado pois esperava que a H2HC deste ano pudesse ser bem melhor e maior do que a do ano anterior.
  • 12 e 13/11: Silver Bullet - Este foi um novo evento criado com o objetivo de ser uma versão maior do You Sh0t the Sheriff, com dois dias e duas trilhas de palestras. Apesar da boa qualidade das palestras, teve poucos participantes (menos do que seria o seu potencial) e, na minha opinião, faltou algo que caracterizasse o espírito da conferência (para mim, saí com a impressão de que a Silver Bullet foi um evento comum, sem nenhuma característica em especial que o diferenciasse dos demais eventos). O evento também teve um espaço para fornecedores, mas acredito que o ponto forte foi a sala lounge dedicada para o relacionamento e networking dos participantes.
  • 23 e 24/11: Security Leaders - A segunda edição do Security Leaders manteve o formato original, voltado principalmente em torno de debates, que foram transmitidos ao vivo pela Internet. O ponto forte é a grande área de expositores, que conta com as principais e maiores empresas de segurança. A desvantagem, na minha humilde opinião, é a baixa qualidade da programação: os debates são muitas vezes superficiais e não tem tempo suficiente para todos os particiantes opinarem nem se aprofundarem no assunto discutido.
  • 02 e 03/12: GTS-18 - Reunião do Grupo de Trabalho em Segurança de Redes (GTS) do NIC.br. Manteve o formato de palestras principalmente técnicas. A grande diferença desta edição é que os organizadores tentram inovar um pouco e, pela primeira vez, não colocaram uma bancada no palco aonde eles ficavam. Assim, ele perdeu um pouco do ar demasiadamente formal que o evento tinha (ponto positivo!).
  • 15/05: Conferência O Outro Lado (Co0L) - A segunda edição da Co0L foi realizada no dia seguinte ao GTS. Assim como na edição anterior, teve diversas atividades acontecendo simultaneamente, como palestras, oficinas, debates e um churrasco. Esta edição foi melhor organizada que a anterior, porém teve menos participantes - e parte do motivo, na minha opinião, foi o azar da data coincidir com o final do campeonato brasileiro.


Além dos eventos comentados acima, eu reforço a minha adimiração pela Defcon (realizada nos EUA) e pela conferência argentina Ekoparty. A Defcon é a maior conferência hacker do mundo, com mais de 6 mil pessoas e dezenas de palestras e atividades simultâneas, enquanto a Ekoparty é um excelente evento de segurança com foco principal em pesquisa em segurança. Na minha opinião, a qualidade das palestras da Ekoparty é superior a de todos os eventos brasileiros.

Para encerrar, eu quero destacar quais eventos eu considero que foram os melhores em 2011. Na minha opinião, os eventos que mais gostei e que merecem destaque foram:
  • Web Security Forum - Foi um dos melhores e mais bem organizados do ano. Foi o evento mais "metrosexual" de todos, pelo capricho na decoração do ambiente. E teve ótimas palestras.
  • SecureBrasil - Merece destaque pela qualidade do público presente.
  • CNASI Nordeste/Recife - Parabéns por levar um evento para o Nordeste.
  • Workshop SegInfo - Muito bem organizado, excelentes palestras e destaque ao tratamento dado aos palestrantes.
  • Vale Security Conference - Excelente iniciativa de promover um evento em São José dos Campos. Excelentes palestras e organização bem feita. Tiro o chapéu para o Jordan Bonagura.



Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

[Segurança] Eventos de Segurança no primeiro semestre

Já estamos praticamente na metade do primeiro semestre de 2012, mas mesmo assim quero destacar os vários eventos de segurança que teremos aqui no Brasil.

Segue abaixo uma lista pequena com os principais e maiores eventos de segurança no primeiro semestre de 2011:
  • Fevereiro/2012
    • 14/02: GRC Meeting 2012 - A nona edição do evento organizado pela Módulo Security Solutions abriu o calendário de eventos de 2012. O GRC Meeting é focado em governança, gestão de riscos e compliance.
  • Março/2012
    • 26 e 27/03: CNASI Rio de Janeiro- Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorre no Rio de Janeiro. Assim como as demais edições regionais do CNASI, o evento possui duas trilhas de palestras e debates com foco principalmente gerencial, além de uma pequena área de expositores.
    • 26/03: 1º Fórum Brasileiro de CSIRTs - O Fórum Brasileiro de CSIRTs é um evento dedicado à discussão de assuntos relacionados com tratamento de incidentes e resiliência das organizações face a incidentes de segurança.
    • 27 a 30/03: 2012 FIRST Symposium, Sao Paulo - Evento dedicado à discussão de assuntos relacionados com tratamento de incidentes, com foco em palestras técnicas nos dois primeiros dias e treinamentos nos dias 29 e 30. O evento é restrito a membros do FIRST (Forum of Incident Response and Security Teams).
  • Abril/2012
    • 23 e 24/04: CNASI Rio Grande do Sul- Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorre em Porto Alegre. Dois dias de palestras e debates.
  • Maio/2012
    • 03 a 05/05: GTS-19 - A 19ª Reunião do Grupo de Trabalho em Segurança de Redes, do NIC.br, ocorrerá em Natal (RN). É um evento gratuito, com um foco um pouco mais técnico. Ocorre junto com o GTER - Grupo de Trabalho de Engenharia e Operação de Redes.
    • 06/05: Conferência O Outro Lado BSides São Paulo - A terceira edição da mini-conferência sobre segurança da informação organizada pelo Garoa Hacker Clube acontecerá na véspera do You Sh0t the Sheriff e, pela primeira vez, assume o status oficial de Security BSides São Paulo. A conferência será gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras, oficinas, debates e churrasco.
    • 07/05: You Shot the Sheriff (YSTS) - Um dos eventos mais importantes no Brasil, o YSTS é um evento que preza pela excelente qualidade das palestras e pelo clima descontraído. A maioria dos convites são distribuídos para um público seleto, indicado pelos patrocinadores - mas os organizadores, que também são responsáveis pelo podcast I Shot the Sheriff, também colocam a venda uma pequena quantidade de ingressos.
    • 14 e 15/05: CNASI Brasília - Edição do CNASI que ocorre em Brasília (DF). Possui duas trilhas de palestras e inclui uma área com expositores.
  • Junho/2012
    • 14 a 17 de junho: BHack Conference - Primeira edição de um evento de segurança que será realizado em Belo Horizonte (MG), com um mix de palestras técnicas e gerenciais. As palestras foram divididas de forma que os dois primeiros dias serão mais gerenciais e os dois últimos mais técnicos.
  • Julho/2012
    • 02 e 03 de julho: GRC International + DRI Day América Latina - Evento de GRC e Continuidade de Negócios, com palestras focadas em assuntos gerenciais. O GRC International + DRIDay fomenta a discussão de como criar e aplicar diretrizes de governança nos domínios de gestão de riscos (Segurança da Informação, Governança Corporativa e de TI, Continuidade de Negócios, Responsabilidade Social, Sustentabilidade e Meio Ambiente).
    • 23 e 24/04: CNASI Recife- Segunda edição do CNASI que ocorre no Nordeste, em Recife (PE). Dois dias de palestras e debates focados principalmente em temas de gestão, além de uma área de expositores. (adiado)


Para ver uma lista mais completa com todos os eventos de TI e segurança no Brasil e os principais eventos no mundo, eu recomendo que você visite o site Agenda TI e o site da LMS Treinamentos. Além disso, o IDETI, que organiza o CNASI, mantém em sua home page uma lista com todos os eventos que eles irão realizar este ano.

Se eu esqueci de algum evento brasileiro importante, me avise.

março 23, 2012

[Segurança] Hacktivismo e roubo de informação

A empresa americana Verizon lançou a versão 2012 de seu relatório anual "Data Breach Investigation Report" que destaca, entre outras coisas, que 58% dos casos de roubo de dados em 2011 foram resultados de campanhas de hacktivistas, que envolve invações por motivação política, ao contrário dos ataques tradicionais, com motivação criminal (como roubo de dados, fraude ou espionagem). Esta estatística é interessante pois representa a primeira vez em que a maioria dos ataques são causados por hacktivistas em vez de ciber criminosos, como nos anos anteriores.

De fato, os dois tipos de campanhas de hacktivismo mais comuns atualmente são a derrubada de sites do ar através de ataques de negação de serviço (ou DDoS, do termo em inglês Distributed Deny of Service) e, justamente, o roubo e vazamento de informações confidenciais, como dados cadastrais de clientes ou funcionários, e de mensagens internas (e-mails) que possam ser comprometedoras.

Outro fato interessante mostrado pela pesquisa da Verizon é que 96% dos ataques não foram muito complexos e 97% dos ataques poderiam ser evitados com controles de segurança simples ou intermediários.

março 21, 2012

[Cyber Cultura] O fim da enciclopédia

Após 255 anos, a Enciclopédia Britânica anunciou que não irá mais produzir a sua tradicional enciclopédia em papel. As últimas edições ainda estão a venda no site deles, pelo preço de US$ 1.395,00.

Sinal dos tempos.

De fato, o fim da versão impressa da Enciclopédia Britânica mostra várias coisas interessantes sobre o mercado editorial hoje em dia.
  • Antes de mais nada, é interessante ver que a Britânica, de certa forma, previu isso e soube se adaptar aos novos tempos: há vários anos atrás eles lançaram a versão online. Segundo uma notícia da CBN, atualmente apenas 15% das receitas da empresa vêm da enciclopédia, e a maior parte vem da venda de assinaturas on-line e aplicativos para celulares e tablets.
  • Não podemos deixar de mencionar que a Britânica sofria uma concorrência da Wikipedia, uma biblioteca online, gratuita, colaborativa e multilingue. Enquanto os 32 volumes da Britânica tem cerca de 120 mil verbetes, somente a versão inglesa da Wikipédia tem quase 4 milhões, e a versão em português tem mais de 716 mil verbetes.
  • Isto também representa uma mudança no perfil dos leitores: cada vez mais, o acesso a conteúdos digitais (online ou através de e-books) tende a superar o conteúdo impresso (em papel tradicional). Embora as pessoas de gerações mais antigas ainda prefiram manipular os livros e revistas impressas, eu acredito que cada vez mais as novas gerações irão consumir o conteúdo digital.


Quando se discute a concorrência entre a Enciclopédia Britânica e a Wikipedia, o argumento mais comum a favor da enciclopédia tradicional está baseado na confiabilidade da informação. Uma enciclopédia tradicional possui um processo editorial sólido, com todos os verbetes escritos e revisados por especialistas. A Wikipedia, por outro lado, é um site colaborativo aonde qualquer pessoa pode colocar a definição que lhe convier, e muitas vezes estas informações podem ser imprecisas, incompletas ou estar intencionalmente erradas, como no caso de "sabotagens" de cunho político ou ideológico (afinal, "espírito de porco" tem em todo o lugar!). Eu mesmo, em alguns momentos, corrigi alguns verbetes relacionados a segurança da informação, pois percebi que na época haviam muitas imprecisões.

Por isso mesmo, as duas maiores dúvidas que devem atormentar o mercado editorial hoje em dia são, primeiro, até que ponto o cliente vai preferir a edição em papel ou em mídia digital, e até que ponto os leitores atuais estão dispostos a pagar por uma informação que podem encontrar facilmente na Internet, e de graça.

As enciclopédias foram as primeiras a virar peça de museu. Acredito que a mesma mudança vai acontecer com os livros, jornais e revistas, mas será um processo de mudança bem mais lento, porém inevitável.

março 20, 2012

[Cyber Cultura] A história das redes sociais

Outro infográfico interessante que merece ser blogado: O site OpenForum publicou um infográfico com a história das mídias sociais.

Apesar de misturar um pouquinho a história das tecnologias com a história das mídias sociais, o infográfico é bem legal. Ele falha principalmente em omitir o surgimento da primeira rede social, o SixDegrees.com, lançado em 1997 e que durou apenas até o ano 2000. O infográfico também não menciona o Orkut, mas isto é perdoável pois o Orkut nunca teve uma participação muito significativa no mundo todo (ele chegou a ser a rede social dominante em poucos países, como o Brasil, India e alguns outros).

[Cyber Cultura] Exposição em redes sociais

A Bitdefender criou um infográfico que mostra algumas estatísticas sobre o quanto as pessoas tem exposto sua privacidade nas redes sociais. Alguns dados interessantes:
  • 99% dos entrevistados já compartilharam informações pessoais com seus amigos nas redes sociais
  • 87% já compartilharam informação sobre a atividade que estão fazendo naquele momento
  • 75% já divulgaram o seu endereço e 38% já divulgaram o seu número telefônico nas redes sociais
  • 89% dos entrevistados disseram que nunca pensaram que as informações que eles publicam nas redes sociais poderia prejudicar-lhes de alguma forma
  • Embora 67% dos entrevistados concordam que publicar fotos de suas casas pode atrair criminosos, mesmo assim eles fazem isso.


março 14, 2012

[Cyber Cultura] Cyber ativismo e redes sociais: Kony 2012

De repente, o mundo todo passou a conhecer o Joseph Kony, o líder de um grupo guerrilheiro religioso que atua no coração da África há décadas.

O documentarista Jason Russell e a ONG Invisible Children lançaram uma bem feita campanha de marketing viral chamada "Kony 2012" que, em poucos dias, chamou a atenção de pessoas no mundo todo, alcançou milhões de views no YouTube e no vimeo, mas também se envolveu em meio a críticas e polêmicas. Eles produziram um documentário de cerca de meia hora, bem feito e emocionante, chamado "Kony 2012" (se preferir, veja a versão com legenda em português), que descreve os crimes realizados por Joseph Kony e a campanha que a ONG tem realizado contra ele.

O objetivo da campanha é chamar a atenção para o problema existente em Uganda e seus países vizinhos (incluindo Congo e Sudão), aonde o grupo guerrilheiro liderado por Kony tem atuado há cerca de 20 anos e, principalmente, tem capturado crianças para servirem de soldados (no caso dos meninos) ou escravos sexuais (no caso das meninas). Através da mobilização mundial em torno da campanha, a ONG pretende pressionar governos a tomarem ação contra o líder terrorista e ajudarem nos esforços para sua captura. Os EUA, por exemplo, já enviaram 100 militares que estão treinando e fornecendo apoio logístico para o exército local localizar e combater os terroristas.



Eu já vi algumas críticas a campanha e a ONG, a maioria delas relacionadas ao fato do vídeo simplificar demais o problema e não mostrar o real nível de crueldade que acontece realmente em Uganda (mas, afinal de contas, a população mundial estaria preparada para ver cenas de crianças matando, sendo mortas e sendo violentadas? Acredito que não). Além do mais, alguns críticos dizem que o grupo de Kony não está mais atuando em Uganda e outros dizem que o vídeo acaba por levantar apoio ao governo de Uganda, que é uma ditadura e que também já cometeu várias atrocidades. Também vi críticas sobre o repasse do dinheiro arrecadado, como exemplificado no gráfico abaixo, publicado pelo jornal britânico The Guardian.

Image source: http://www.guardian.co.uk/news/datablog/2012/mar/12/kony-2012-infographic

Críticas a parte, o vídeo mostra uma forma interessante de como o ativismo tradicional pode se aliar com a Internet e se beneficiar dela: uma campanha bem feita é capar de atrair a atenção de milhões de pessoas em pouco tempo. Além do mais, além de ajudar na divulgação de uma mensagem, a Internet também permite que pessoas em todo o mundo se mobilizem em torno de uma causa e possam apoiá-la, como através de abaixos-assinados virtuais ou arrecadação de fundos, seja via doação ou comprando material online para divulgar a causa.

março 07, 2012

[Segurança] Hacktivistas e Traíras

Enquanto as autoridades estão comemorando, alguns hacktivistas estão em maus lençois: poucos dias após a Interpol ter prendido alguns membros do Anonymous na América Latina, o FBI anunciou outro duro golpe: prendeu os líderes do grupo LulzSec, que também são membros ativos do Anonymous. E, o que é pior: eles foram dedurados pelo seu principal líder, conhecido como Sabu, que foi pego pelo FBI em Junho do ano passado e, desde então, tem trabalhado como informante para os policiais americanos a fim de reduzir sua pena.

A história é conhecida por quem já assistiu filmes policiais: um dos criminosos dá uma escorregada (no caso do Sabu, aparentemente ele deu azar de acessar um canal IRC uma vez sem utilizar o TOR), é pego e aceita fazer um acordo para denunciar seus colegas e livrar-se de uma condenação mais rigorosa. Isto não é a primeira vez que isso acontece e não será a última: seja por causa de uma vantagem, chantagem ou tortura, muita gente não segura as pontas depois de ser preso. Coincidentemente, neste final de semana eu assisti um documentário interessante sobre grupo eco-terrorista ELF (Earth Libertation Front), que era muito ativo nos EUA no início dos anos 2000, mas teve o mesmo fim: seus membros foram delatados e condenados depois que um deles foi pego pela polícia.

As figurinhas mais conhecidas do LulzSec agora estão nas mãos das autoridades: "Kayla" (Ryan Ackroyd, de Londres), “Topiary” (Jake Davis, Londres), “pwnsauce” (Darren Martyn, Irlanda), “palladium” (Donncha O’Cearrbhail, Irlanda) e “Anarchaos” (Jeremy Hammond, de Chicago). E, certamente, muita gente está morrendo de medo de ser o próximo, inclusive os membros brasileiros do Anonymous, que mantinham contato com o Sabu.

Certamente este é um duro golpe para os hacktivistas do Anonymous, mas não acredito que isto causará um grande impacto no grupo e na maioria de suas operações. Mesmo que a prisão de alguns membros e líderes assuste e desmotive uma parte do pessoal que apóia o Anonymous, a principal característica do Anonymous é justamente a sua falta de liderança formal. Ou seja, o grupo não precisa de líderes, e para funcionar ele somente precisa de pessoas que apoiem seus ideais. O hacktivismo teve grande destaque nos últimos dois anos e conquistou milhares de apoiadores.

Mesmo em um dia como o de hoje é interessante rever um vídeo de 2004, sobre uma apresentação realizada na Defcon daquele ano sobre cyber ativismo, ou "Electronic Civil Disobedience", que já pregava o uso de ataques online como uma forma de ativismo político. O interessante é que as várias formas de ataques que o palestrante propôs realizar contra a convenção republicana se tornaram realidade nos dias de hoje.

março 06, 2012

[Segurança] Explicando o Stuxnet

Neste final de semana a rede de TV americana CBS levou ao ar um documentário sobre o Stuxnet, o vírus descoberto em 2010 e destinado a destruir as centrífugas de enriquecimento de urânio na usina nuclear de Natanz, no Irã. Embora a reportagem explique bem didaticamente o que foi o Stuxnet e o risco que sua criação representa nas mãos de ciber criminosos ou países adversários, a reportagem não traz nenhuma novidade em si.

O vídeo da reportagem "Stuxnet: Computer worm opens new era of warfare", de quase 15 minutos, está disponível no YouTube e no site da CBS, que inclui também alguns vídeos extras com trechos das entrevistas.



Muito já foi relatado sobre o Stuxnet - várias reportagens, relatórios e vídeos já surgiram desde 2010. Muito se fala do Stuxnet porque, acima de tudo, este foi um vírus inovador, que pela primeira vez mostrou na prática como alguém pode infectar e prejudicar o funcionamento de um sistema industrial. O Stuxnet é altamente complexo, direcionado para atacar um sistema muito específico, com uso de zero days e certificados digitais falsos, e com um código bem enxuto e eficiente.

Em particular, eu destaco os posts que o Sandro Suffert e o Tony Rodrigues já publicaram sobre o Stuxnet, que servem de ótima referência sobre o assunto:


Para qum procura um artigo técnico sobre o Stuxnet, em Setembro de 2011 um estudante egípcio publicou um longo artigo detalhando o funcionamento do vírus, chamado "Stuxnet Malware Analysis Paper".
Ralph Langner, um dos principais responsáveis por descobrir e analisar o Stuxnet, já fez uma apresentação no TED em Março de 2011 explicando muito bem o Stuxnet e como ele conduziu sua pesquisa sobre o vírus, chamada "Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon". Ele também já fez uma apresentação de uma hora detalhando o vírus.



O vídeo "Stuxnet: Anatomy of a Computer Virus" abaixo tem o mérito de apresentar uma explicação bem didática e visualmente caprichada do Stuxnet, porém falha ao mostrar algumas informações erradas ou imprecisas (a pior de todas foi dizer que o Stuxnet explorou 20 zero-days).

Stuxnet: Anatomy of a Computer Virus from Patrick Clair on Vimeo.



Especula-se até hoje que os Estados Unidos e Israel seriam provavelmente os países responsáveis pela criação do Stuxnet. Na minha opinião, essa hipótese traz uma discussão interessante: se os EUA estivessem por trás do Stuxnet, porque o governo americano não mandou todo mundo abafar o caso, em vez de deixar as empresas de anti-vírus analisar o código do Stuxnet livremente e publicar dezenas de artigos e relatórios sobre o assunto? Ou será que eles tentaram abafar, até o momento em que surgiu um pesquisador alemão que começou a estudar o vírus e divulgar suas descobertas?

Atualização em 29/3/2012: Em um artigo na revista Smithsonian Magazine, o americano Richard Clarke disse acreditar que os EUA criaram e disseminaram o vírus Stuxnet para atacar Natanz.

março 02, 2012

[Segurança] As três fontes de ciber ataques

Nesta palestra realizada no TEDx de Bruxelas em Novembro de 2011, Mikko Hypponen apresenta o que ele considera serem as três prinipais fontes de ataques cibernéticos hoje em dia:
  • Ciber Criminosos
  • Hacktivistas
  • Governos

O interessante é o destaque que ele dá aos governos como fonte de ataques cibernéticos, mas não apenas aos governos que usam a Internet para espionagem ou censura: Mikko Hypponen também destaca o risco de governos democráticos também usarem a Internet para espionar e controlar a população. E, no final de sua apresentação, ele dá um aviso: não podemos abrir mão de nossa liberdade online por nenhum motivo, pois uma vez que o fazemos, isso é para sempre. Mesmo que hoje confiemos cegamente em nosso governo, não sabemos o que pode acontecer aqui a, digamos, 50 anos.



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.