fevereiro 28, 2013

[Segurança] Crimes no Futuro

Em Junho de 2012, o pesquisador e ex-profissional Marc Goodman apresentou uma palestra bem interessante no TED, chamada "A vision of crimes in the future", em que ele discute como os criminosos e terroristas estão usando as tecnologias modernas e o provável futuro que nos aguarda.



Eles citam alguns casos em que criminosos e terroristas conseguem usar a tecnologia para conseguir vantagens sobre a polícia e governos, até então inimagináveis:
  • Os narco-traficantes Mexicanos construíram uma rede de telefonia própria, criptografada, para se comunicarem;
  • Uso de smartphones e imagens de satélite para identificar suas vítimas;
  • Terroristas no Paquistão já construíram centrais de operação para monitorar programas de TV e mídias sociais para monitorar o progresso de seus ataques em tempo real;
  • Durante o ataque terrorista de 2008 em Mumbai, os terroristas usaram tecnologia de comunicação (incluindo smartphones e telefones por satélite) para localizar suas vítimas e massacrá-las.
  • Usar quadricópteros, drones e robôs para fins criminosos;
  • Em que momento da nossa história um único criminoso conseguiria roubar 100 milhões de pessoas de uma única vez, como aconteceu no vazamento de dados da Sony?
Marc Goodman lembrou que as informações pessoais que compartilhamos nas redes sociais podem ser utilizadas contra nós por criminosos e terroristas, por isso devemos ter muito cuidado com o quanto nos expomos online.

Nesta apresentação, também foram mencionadas algumas tecnologias que podem ser utilizadas por criminosos em um futuro próximo, como a impressão 3D para fabricar armas domésticas e bio-hacking.

[Segurança] Estatísticas de Phishing em 2012

Um estudo recente da RSA sobre fraude online em 2012 trouxe algumas estatísticas sobre os casos de phishing em 2012:
  • O número de casos de phishing cresceu 59% em 2012 em todo o mundo;
  • Os prejuízos causados pelas fraudes de phishing atingiram cerca de US$ 1,5 bilhão em 2012, um aumento de 22% em comparação com 2011;
  • O Brasil está entre os cinco países com maior frequência de ataques de phishing, junto com o Reino Unido, Estados Unidos, Canadá e a Africa do Sul. Também somos o quarto país com maior quantidade de sites de phishing, logo após os EUA, Inglaterra e Alemanha.
A CBN apresentou uma pequena reportagem, bem objetiva, sobre este assunto:



As fraudes de phishing são realizadas através de e-mails e páginas web falsas, que simulam páginas ou mensagens verdadeiras de instituições conhecidas, ou tentam se fazer passar por mensagens de outras pessoas.

Os ataques de phishing sempre tem como objetivo final convencer a potencial vítima a preencher um formulário com dados pessoais ou a abaixar um arquivo com um trojan ou vírus que irá infectar o seu computador. Os casos mais comuns de phishing hoje em dia no Brasil são mensagens que se fazem passar por avisos de bancos, promoções de cartões de crédito, prêmios de empresas aéreas e programas de milhagem, além de mensagens do Serasa, Receita federal, e supostos boletos eletrônicos e fotos de amigos.

O CAIS, da RNP, possui um catálogo online com vários exemplos de ataques de phishing. Este site mostra como os ciber criminosos brasileiros as vezes conseguem criar mensagens bem convincentes.

fevereiro 27, 2013

[Segurança] As principais ameaças em Cloud Computing

Nesta semana, a Cloud Security Alliance (CSA) lançou a segunda versão de seu guia sobre as principais ameaças de segurança relacionados a Cloud Computing, que recebeu o título de "The Notorious Nine’ Cloud Computing Top Threats in 2013".

Esta é uma versão melhorada do guia anterior, que listava sete categorias principais de riscos. O interessante é que, para identificar as principais ameaças que deveriam ser incluídas nesta nova versão do guia, a CSA realizou uma pesquisa com os especialistas do mercado, coletando suas opiniões sobre os maiores problemas na computação em nuvem. A CSA usou os resultados dessa pesquisa para identificar os riscos, que foram posteriormente relacionados com outros documentos já publicados pela CSA. Assim, este relatório reflete reflete as principais preocupações existentes no mercado.

Nesta edição do relatório as seguintes ameaças foram consideradas críticas à segurança da computação em nuvem:
  • Data Breaches (Violações de dados)
  • Data Loss (Perda de Dados)
  • Account Hijacking (Sequestro de contas)
  • Insecure APIs (APIs inseguras)
  • Denial of Service (Negação de Serviço)
  • Malicious Insiders (insiders maliciosos)
  • Abuse and Nefarious Use (Abuso e Uso mal intencionado)
  • Insufficient Due Diligence (Due Diligence insuficiente)
  • Shared Technology Issues (Problemas no compartilhamento de tecnologias)


O relatório pode ser abaixado gratuitamente no site da CSA.

fevereiro 22, 2013

[Segurança] Censura à pesquisa no Brasil

Viramos Cuba? China?

Mal a "Lei Carolina Dieckmann" entrou em vigor, ameaçando criminalizar a pesquisa em segurança no Brasil, e já temos a primeira baixa: o governo de São Paulo solicitou o cancelamento da palestra "Como paralisar uma linha de trem em São Paulo" no evento Hacking Day.

A palestra pretendia mostrar uma vulnerabilidade na arquitetura do sistema de controle dos trens que poderia causar o paralisamento do transporte público (metrô e trem) em São Paulo. Pelo jeito, em vez de corrigir o problema, o governo optou pela solução mais fácil: censura.

A preocupação com a segurança do sistema de controle do metrô não é novidade, e ganhou um destaque extra no ano passado, quando uma colisão entre dois trens da Linha 3 - Vermelha do Metrô levantou o questionamento sobre a segurança da Linha 4 - Amarela, que usa um sistema computadorizado para controle dos trens, que operam sem maquinistas.

Fingir que o problema não existe e ameaçar prender quem discute isso não resolve nada, é como varrer a sujeira para debaixo do tapete: ela continua lá, pronta para ressurgir no primeiro vento.

Quando falamos em segurança da informação, censurar a divulgação de uma vulnerabilidade não corrige o problema. Muito pelo contrário, o risco continua existindo e pode ser explorado por qualquer ciber criminoso ou pessoa mal intencionada que se esforce em pesquisar e descobrir esta vulnerabilidade. E a censura só chama mais a atenção para o problema.

Na minha opinião, o cancelamento da palestra no Hacking Day é um precedente muito perigoso para todos nós: já pensou se a partir de agora o governo começar a censurar as pesquisas e os eventos de segurança? Posso ser um pouco paranóico, mas não podemos abrir mão da nossa liberdade de expressão nem de pensamento.

Que também fique claro que eu não estou advogando pela divulgação irresponsável de vulnerabilidades. O correto, que no mercado chamamos de "responsible disclosure", é avisar o fabricante ou a empresa responsável sobre a vulnerabilidade encontrada e somente divulgá-la publicamente após a empresa tomar as devidas medidas corretivas. Isso garante que uma nova vulnerabilidade não será explorada por pessoas mal intencionadas quando ela for anunciada.

[Cyber Cultura] Garoa Hacker Clube de casa nova

O Garoa Hacker Clube tem uma nova sede!



Após cerca de 2 anos e meio habitando um simpático porão da Casa da Cultura Digital, no final de Janeiro assinamos o contrato de aluguel de uma casa em Pinheiros e anunciamos a mudança, que aconteceu no final de semana passado. Nesta semana já realizamos as primeiras atividades oficiais na nova sede, incluindo um encontro do Turing Clube e uma Noite do Arduino.

A nova sede fica em uma ampla casa na Rua Costa Carvalho, 567, Fundos, bem próximo ao metrô Pinheiros. O local tem cerca de 100 m², com cinco salas, um depósito e uma cozinha, além de um quintalzinho aonde já fizemos alguns churrascos.

Neste novo espaço conseguiremos receber mais pessoas e fazer diversas atividades simultaneamente, sem aperto. As salas ainda estão sendo organizadas, mas planejamos ter um laboratório de eletrônica, uma oficina de marcenaria, um estúdio de som e uma sala para biblioteca e ludoteca.

O mais legal de tudo é que a nova sede foi alugada em nome do Garoa, sem necessidade de fiador, com pagamento feito a partir de nossa conta bancária, com nossos fundos!


View Larger Map

fevereiro 20, 2013

[Cyber Cultura] Obesidade virtual?

Você já parou para pensar o quanto você está dependente dos serviços online e quanto tempo você passa conectado por dia? Quantas vezes você ou um amigo já interrompeu um almoço ou uma conversa para verificar o Facebook?

Provavelmente por conta disso, uma galera criou um tal de "índice de massa virtual", algo parecido com o famoso "índice de massa corpórea" (IMC), que mede a quantidade de gordura em nosso corpo.

Uma reportagem da revista Isto É no ano passado sobre o vício em redes sociais apresentou um questionário criado por Daniel Sieberg, autor do livro “The Digital Diet”, que ajuda a testar o quanto cada um usa as tecnologias digitais a nossa disposição. Este teste se propõe a ajudar no diagnóstico da dependência, o primeiro passo para adotarmos um controle (dieta) visando regular os excessos de uso.



Não sei quenato a você, mas o meu score deu 49 - ou seja, eu devo ter algo que poderiam chamar de "obesidade virtual mórbida"!!!

Mas nem tudo está perdido. Primeiro, ter é diferente de usar. Ou seja, podemos ter diversos perfis em redes sociais, mas não precisamos ficar conectados nelas o tempo todo! A reportagem dá algumas dicas para reduzir o uso e a dependência das redes sociais:
  • Estabeleça horários específicos para usar as redes sociais e a Internet
  • Mantenha uma vida também fora da Internet, visitando parques, encontrando amigos, etc.
  • Não use seus dispositivos eletrônicos (principalmente smartphone e tablet) se você estiver acompanhado. Deixe para usá-los quando estiver sozinho e aproveite mais a compania dos amigos e familiares.
  • Evite a tentação de ficar sempre atualizando seus gadgets. Sempre haverá um aparelho novo esperando ser comprado.
  • Cuidado ao postar informações pessoais nas redes sociais. Só compartilhe informações que você compartilharia também na vida real.
  • Evite usar o smartphone nas horas da refeição. E nunca o leve para a cama.

[Cyber Cultura] Convivendo com Trolls

Tem um Troll pegando no seu pé? Então os seus problemas acabaram: chame o Paulo Coelho!

Recentemente o Paulo Coelho escreveu um texto em seu site chamado "Manual de matar trolls" aonde ele dá dicas de como lidar com os Trolls, ou seja, pessoas que ficam importunando e provocando outras (que hoje em dia chamamos de "bulling" ou "trolling").

Segundo o artigo do Paulo Coelho, os trolls são pessoas com um comportamento doentio e covarde, que se aproveitam da suposta anonimidade na Internet, para fazer o bulling (trolagem). Normalmente as provocações são direcionadas a quem tem algum destaque no grupo, que está fora dos padrões e, em vários casos, está acima da média - incluindo celebridades. Entretanto, isto pode causar mal para as pessoas mais fracas, e já existem casos de adolescentes que passaram por depressão ou até mesmo que se suicidaram por isso.

A receita do Paulo Coelho pode ser resumida em uma única palavra: "vingança". Ou, como ele disse:
  • "Só existe uma maneira de reagir: deixando bem claro que qualquer coisa que escreverem sobre você terá consequências no futuro."
  • "(...) um dia eles vão precisar de sua ajuda. E você, claro, não vai ajudar."
  • Crie uma lista com o nome de todos os que "pertencem às trevas"e mantenha-a atualizada.
  • "Cabe a você lutar contra aqueles que querem cobrir o mundo de negatividade e de trevas."

Isto até pode ser efetivo, mas o Paulo Coelho esqueceu das três dicas que eu considero serem as mais importantes e que são as que melhor funcionam contra os Trolls:
  • "Não Alimente os Trolls" (expressão originária do inglês "Do Not Feed The Troll"). Esta é a principal dica: não dê motivos para ser trollado. Não se exponha mais do que o necessário e, se você perceber que está na mira de um Troll, fique na sua e evite se expor ou fazer algo para motivar ainda mais o chato que está no seu pé.
  • Ignore-os. Os Trolls gostam de sentir que estão importunando alguém e gostam de chamar a atenção. Eles se motivam ao ver que estão irritando ou fragilizando alguém. Se você não der atenção para as provocações e não demonstrar que ficou abalado por isso, em breve eles vão te ignorar e buscar outra pessoa para atacar. por outro lado, se você reclamar, enfrentá-los ou mostrar que foi afetado pelos ataques, eles vão se sentir motivados a continuar.
  • Nunca discuta com um Troll. Ele não segue argumentos racionais. Ele leva a discussão para um ponto de vista idiota e injustificado, e vai te vencer pela experiência. Os Trolls tem prazer e experiência em irritar e importunar os outros, por isso, quanto mais você discutir com eles, estará dando mais combustível para eles, mais motivos para eles continuarem no seu pé.


fevereiro 07, 2013

[Segurança] Backdoor em produto de segurança. WTF!?

Acredito que muita gente acabou nas fogueiras da Santa Inquisição por muito menos do que isso... Enfim... Há poucos dias atrás, a Barracuda Networks divulgou uma vulnerabilidade descoberta por um grupo de pesquisadores da SEC Consult Vulnerability Lab, que encontrou uma backdoor em alguns dos principais produtos de redes e segurança da Barracuda: Barracuda Spam Firewall and Vírus, Web Filter, Message Archiver, Web Application Firewall, Link Balancer, Load Balancer, e appliances VPN SSL. Na verdade, é mais fácil listar os produtos não afetados do que os que apresentaram esta pequena "feature indesejada" (todos os appliances foram afetados, exceto o Barracuda Backup Server, Barracuda Firewall, e Barracuda NG Firewall).

Backdoor é um pequeno "truque" que o desenvolvedor de um software coloca para permitir que ele tenha acesso ao seu programa a qualquer momento, normalmente passando os controles tradicionais de acesso ao sistema. Normalmente, também, o backdoor é de conhecimento somente da empresa que desenvolveu o software, e não é documentado nem informado ao usuário final. Backdoors já foram muito comuns e populares nos primórdios da indústria de TI, pois permitiam que os desenvolvedores debugassem e corrigissem seus programas mais rapidamente. Não é a tôa que um backdoor é citado no filme War Games, de 1983: o personagem do então jovem Matthew Broderick descobre um backdoor no super computador do NORAD, o centro de monitoramento do exército americano, e consegue controlar o computador através deste backdoor - no caso, uma senha que correspondia ao nome do filho falecido do principal desenvolvedor, e que dava acesso total ao sistema. O vídeo abaixo mostra um trecho do filme aonde explicam para o jovem Matthew Broderick o que é um backdoor:



Mas eis que, quase 30 anos depois, a ficção torna realidade...

Neste caso, os pesquisadores descobriram que os appliances da Barracuda podem ser acessados remotamente via SSH e com uma conta de usuário não-privilegiada disponível nos equipamentos, que os tornam acessíveis a partir de um pequeno conjunto de endereços IP pré-definidos. O sistema operacional dos appliances tem várias contas de usuário, algumas das quais com senhas fracas, que podem ser descobertas rapidamente e com o uso de um pequeno dicionário. Segundo o relatório, uma destas contas, "product", permite acesso remoto ao equipamento a partir de um conjunto de IPs pré-definidos, e através dela é possível também acessar a base de dados interna, MySQL, que roda sob usuário root, sem senha de acesso. Com o acesso a base de dados, é possível, entre outras coisas, adicionar novos usuários com acesso privilegiado ao sistema. Aparentemente o backdoor existe desde, pelo menos, 2003.

A Barracuda lançou uma atualização de seus equipamentos, mas aparentemente recusou-se a retirar algumas destas contas (root, cluster e remote), o que continua permitindo o acesso remoto se o atacante descobrir a senha de acesso do usuário root (os demais usuários tem controle de acesso via uso de chaves públicas e privadas).

O grande problema, na minha humilde opinião, é a questão de credibilidade do fabricante, uma vez que é deveras inconveniente descobrir um backdoor em produtos de segurança - ou seja, o produto que deveria proteger a sua empresa tem uma função escondida que permite que pessoas de fora acessem o equipamento sem o seu conhecimento. Para piorar mais ainda, a Barracuda insistiu em manter o backdoor que dá direito ao acesso remoto, apenas aplicando algumas correções para  torná-lo menos vulnerável.

Para saber mais:

fevereiro 05, 2013

[Segurança] Dia da Internet Segura

Dia da Internet Segura - 2013


Hoje, 5 de Fevereiro, é realizado o Dia da Internet Segura (Safer Internet Day) em vários países, uma data utilizada para campanhas de conscientização sobre segurança online direcionadas principalmente aos usuários finais.

O dia é "comemorado" em mais de 80 países, e neste ano acontece pela décima vez e todo o mundo. O evento ganhou a hashtag "#SID2013" no Twitter, que é utilizada para divulgar ações e notícias sobre o tema. Aqui no Brasil, o site da Safernet disponibiliza vários materiais para ajudar na divulgação da data e conscientização dos usuários finais, incluindo vídeos, folhetos, etc.





Em uma ação bem interessante, a Safernet e o Google vão realizar um hangout hoje, as 16h, com o Marcelo Tas, a Ministra dos Direitos Humanos da Presidência da República Maria do Rosário e o Deputado Federal Jean Wyllys.

Várias das campanhas para o Dia da Internet Segura estão focadas na questão do cyberbulling, mas coincidentemente, o evento deste ano acontece poucos dias depois do Twitter ter anunciado que mais de 250 mil contas foram comprometidas, o que nos faz lembrar que há vários tipos de perigo online. Coincidentemente, também há poucos dias o Jornal Hoje da Rede Globo fez uma reportagem surpreendentemente bem feita sobre crimes cibernéticos (com o título "Mais de 28 milhões de brasileiros já foram vítimas de golpe na internet"), que finalizou com algumas dicas importantes para os usuários online:
  • Ao receber um e-mail veja se você conhece a pessoa (e não clique em links nem anexos de mensagens que você receber de desconhecidos - nem via e-mail, nem via as redes sociais)
  • Bancos e órgãos públicos só mandam mensagens se você tiver solicitado, por isso, não acredite nas mensagens que você receber dizendo ser do seu banco (ou uma multa, consulta de CPF, promoção de cartão de crédito, etc)
  • Crie senhas fortes (difíceis de serem adivinhadas por outras pessoas) e troque-as com frequência.

Também vale a pena lembrar que é importante manter o sistema operacional e todos os softwares do seu computador atualizados, além de manter o anti-vírus atualizado (os produtos pagos são melhores e tem mais recursos que os antivírus gratuitos, mas de qualquer forma, é melhor ter o anti-vírus gratuito do que não ter nenhum). E nunca clique em um link, abaixe um arquivo ou instale um software sem ter certeza de que é legítimo, que realmente precisa e quer fazer isso.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.