dezembro 31, 2013

[Segurança] Cronograma dos ciber ataques entre países

O artigo "It’s Time to Write the Rules of Cyberwar" tem um pequeno resumo dos principais ciber ataques entre países, que são incidentes que podem ser relacionados a guerra cibernética ou ações de ciber espionagem governamental.

Aproveitando este artigo, eu transcrevi abaixo a lista de ataques, com alguns incidentes adicionais que o artigo esqueceu de mencionar:
  • 2003, China x EUA, Ciber Espionagem: Os EUA são alvo de uma série de ciberataques coordenados conhecidos como "Titan Rain", direcionados a roubar informações de diversas empresas e órgãos do governo;
  • 2007, Estonia x Rússia, Guerra Cibernética: vários sites de agencias de governo, instituições financeiras e jornais da Estônia foram alvos de um grande ataque distribuído de negação de serviço (DDoS) originário da Rússia, devido a disputas políticas entre os dois países (iniciadas pela mudança do local de um memorial russo na capital de Estônia);
  • 2008, EUA, Ciber Espionagem: Durante a corrida eleitoral para a disputa pela presidência dos EUA, e-mails com malwares foram enviados por hackers de outros países para os assessores das campanhas de Barack Obama e John McCain, e conseguiram ter acesso a documentos internos de ambos os candidatos;
  • 2008, Georgia x Rússia, Guerra Cibernética: Nas semanas anteriores a guerra entre a Ríssia e a Georgia, foram realizados ataques DDoS contra a infraestrutura de Internet e sites governamentais da Georgia;
  • 2008, Georgia x Rússia, Guerra Cibernética: Três dias antes do início da guerra entre a Ríssia e a Georgia, um ciber ataque causou uma grande explosão em um oleoduto na Turquia, interligando o Mar Caspio com o Mar Mediterrâneo, e passando pelo Azerbajão e pela Georgia. Os atacantes infectaram o servidor Windows que gerenciava a rede de alarmes com um malware para desativar os alarmes, cortar as comunicações e aumentar a pressão de óleo a ponto de provocar a explosão. A Rússia é a principal suspeita;
  • 2009, China x Tibet, Ciber Espionagem: Neste ano foi descoberta uma grande campanha de espionagem online que ganhou o nome de GhostNet, aonde e-mails com malware foram usados para infectar computadores em diversas embaixadas, representantes de governo e centros de exílio em todo o mundo, relacionados aos Tibetanos e ao Dalai Lama;
  • 2009, Coréia do Norte x EUA e Coréia do Sul, quase uma Guerra Cibernética: Uma grande série de ataques de DDoS atinge vários sites de empresas financeiras e do governo na Coréia do Sul e EUA a partir do dia 4 de julho (Dia da Independência nos Estados Unidos), durando até 9 de julho;
  • 2010, China x EUA, Ciber Espionagem: No início do ano, o Google anuncia ter sido vítima de um grande esquema de ciber espionagem originário na China e direcionado a mais de 30 empresas americanas, que ficou conhecido como "Operação Aurora". Como retaliação ao ciber ataque, o Google anunciou que iria retirar suas operações na China;
  • 2010, EUA e Israel x Irã, Guerra Cibernética: O vírus Stuxnet afeta o programa nuclear Iraniano, alterando o funcionamento de centrífugas de urânio e sabotando a usina de enriquecimento de Natanz. O incidente marca o uso de malware como ferramenta de ataque cibernético a infra-estrutura de um país. Investigações do The New York Times, publicadas em livro, indicam que o Stuxnet foi criado em um esforço conjunto do governo Americano e Israelense;
  • 2010, India x Paquistão, Ciber Ataques: Um mês após os sites de vários ministérios do governo paquistanês serem derrubados e sofrerem defacement por grupos de hackers indianos, os sites das agências de segurança indianas são igualmente atacados por hackers paquistaneses;
  • 2011, China x Canadá, Ciber Espionagem: O governo canadense tem que desligar suas duas principais agências econômicas da Internet quando um vírus de computador varreu as redes do governo em busca de documentos classificados e enviá-los para fora. Os ataques foram rastreados para servidores na China;
  • 2012, Irã, Ciber Espionagem: Um malware que ficou conhecido como Flame é descoberto em computadores espalhados por todo o Oriente Médio, com a maioria dos infectados no Irã. O Flame revelou-se um sofisticado programa de ciber espionagem que compartilhou alguns trechos do códigos-fonte com o Stuxnet;
  • 2013, Coréia do Norte x Coréia do Sul, quase uma Guerra Cibernética: Uma série de ataques relacionados e conhecidos como DarkSeoul afetam as operações em várias estações de televisão e em grandes bancos da Coreia do Sul, que são alvos de ataques DDoS, roubo de dados financeiros e de um malware que deleta os discos dos computadores infectados​.


Atualizado em 15/12/2014.

[Segurança] Um supermercado e 40 milhões de clientes

Recentemente a Target, uma das maiores redes de supermercados dos EUA, anunciou que foi invadida e teve os dados de aproximadamente 40 milhões de dados de clientes roubados por ciber criminosos, referente aos dados de cartões de crédito e débito destes clientes. Este é um dos maiores casos de roubos de dados de 2013 e, até o momento, está entre os 15 maiores casos de todos os tempos.

O roubo dos dados dos cartões aconteceu entre os dias 27 de novembro e 15 de dezembro, e foram roubados dados das trilhas magnéticas de cartões de clientes americanos e até mesmo de extrangeiros que compraram em lojas da Target nos EUA.

Conforme o tempo vai passando, ficamos sabendo de mais detalhes sobre este roubo de dados:
  • A história foi revelada dia 18 de dezembro pelo Brian Krebs, um jornalista bem conhecido e especializado em ciber crime - e a invasão foi descoberta pela Target poucos dias antes, 15/12;
  • A Target tem feito um belo esforço de comunicação e transparência, que inclui a participação do comitê executivo e do CEO da empresa e uma página de FAQ. A empresa também criou um hotsite para concentrar as notícias sobre o caso: Target.com/paymentcardresponse - tudo isso para não perder a credibilidade com seus clientes;
  • O roubo de dados aconteceu através de um malware que infectou o sistema de ponto de vendas; neste caso, é muito provável que um malware tenha infectado os computadores dos caixas, nos quais estão conectados os terminais de leitura de cartões;
  • Aparentemente, foram infectados 40mil dos 60mil terminais de ponto de venda da Target. O malware interceptava os dados das trilhas magnéticas e os enviava para um servidor externo;
  • A própria Target divulgou que alguns ciber criminosos tem usado o incidente para enviar mensagens de phishing em nome da Target;
  • O Brian Krebs relatou que os dados de cartões da Target que foram roubados já estão a venda no mercado underground, em lotes de um milhão de cartões e com preços variando entre 20 e 100 dólares por cartão;
  • Estima-se que a Target poderá gastar até 3,6 bilhões de dólares em multas;
  • Segundo a própria Target, os ciber criminosos também tiveram acesso as senhas (PINs) dos cartões de débito, porém eles acreditam que os ciber criminosos não terão acesso as senhas pois o arquivo estava criptografado (usando o arcaico, porém funcional 3DES);
  • Segundo a Target, além dos dados de 40 milhões de cartões de crédito, a empresa estima que os atacantes também acessaram os dados pessoais de 70 milhões de clientes;
  • Especula-se que a segunda invasão, de dados pessoais de 70 milhões de clientes, podem incluir dados de clientes que compraram na Target pelo menos nos últimos 10 anos;
  • O malware foi identificado: conhecido como Trojan.POSRAM, BlackPOS e como Kaptoxa, ele captura dados armazenados na memória do computador infectado aonde está rodando os softwares do equipamento de ponto de venda (PoS). Está a venda no mercado underground por preço entre US$ 1.800 e 2.300, dependendo da versão;
  • Os hackers conseguiram roubar cerca de 11 Gigabytes de dados, que foram enviados para um servidor FTP na Rússia;
  • A empresa CrowdStrike divulgou o conjunto de regras para serem usadas nas ferramentas Yara e Snort, que permitem a detecção do tráfego de rede gerado pelo malware utilizado no ataque a Target, batizado de BlackPOS (vide post no blog deles, Actionable Indicators for Detection of Signs of Compromise from Target-related Breaches);
  • Segundo a empresa IntelCrawler, o malware BlackPOS tem menos de 400 linhas de código, o que mostra sua eficiência, e foi criado por um programador russo de 17 anos;
  • Há suspeitas de que o mesmo malware que afetou a Target pode ter invadido também a cadeia de lojas Neiman Marcus (1.1 milhões de cartões roubados) e mais seis redes varejistas nos EUA;
  • Segundo investigações, a Target foi invadida através de uma prestadora de serviços de manutenção predial, que faz manutenção nos equipamentos de aquecimento e ar condicionado, e que utiliza um software para monitorar a temperatura e consumo de energia em várias lojas. Crdenciais de acesso desta empresa foram roubados após ela ter sido infectada por um malware (Citatel) enviado por e-mail;
  • Segundo a empresa invadida, ela tinha um link de dados com a Target para submeter cobranças eletrônicas, contratos e material relacionado a gestão de projetos;
  • Durante a invasão, os dados roubados foram enviados para servidores em todo o mundo, incluindo nos EUA, na Rússia e no Brazil;
  • A imprensa já destaca que a quantidade de dados roubados da Target pode atingir entre 70 a 110 milhões de clientes, já que inclui dados de dois ataques que a empresa sofreu, afetando 40 milhões de cartões de créditos e informações pessoais de 70 milhões clientes (e não está claro como esses números se sobrepoem, ou não);
  • A Target já anunciou que está contratando um novo CIO e criou um cargo de CISO (Chief Information Security Officer). A antiga CIO, Beth Jacob, deixou a compania no dia 05 de Março;
  • Segundo pesquisadores da empresa Seculert, o ataque seguiu o seguinte cronograma de eventos: "No dia 02/12/2013, o malware começou a transmitir payloads de dados roubados para um servidor FTP no que parece ser um site previamente invadido. Estas transmissões de dados ocorreram várias vezes por dia, durante 2 semanas. Também em 02/12, os cibercriminosos usaram um servidor virtual privado (VPS) localizada na Rússia para baixar do servidor FTP os dados roubados. Eles continuaram a fazer o download dos dados por mais de 2 semanas, representando um total de 11 GB de informações confidenciais de clientes que foram roubadas";
  • Já temos alguns dados sobre o impacto financeiro do roubo de dados para a Target: seu lucro no quarto trimestre de 2013 (referente a um faturamento de US $21.5 bilhões) caiu quase 50% e o lucro anual caiu mais de um terço. As ações cairam 9% desde o anúncio do roubo de dados. Além do mais, a empresa gastou US$ 17 milhões com o roubo de dados em 2013, e até o momento não sabe qual será o custo que ela terá que arcar por causa do roubo de dados durante 2014 :(
  • O roubo de dados da Target afetou, aproximadamente, 1/3 dos consumidores americanos;
  • A Bloomberg publicou mais alguns detalhes sobre o roubo de dados: uma vez que o malware conseguiu invadir a Target em 30/11, os dados só começaram a ser retirados para fora da rede em 02 de dezembro, sendo enviados automaticamente para três servidores diferentes nos EUA, apenas no horário entre as 10:00 e 18:00 para garantir que o tráfego de dados de saída seria confundido junto com o tráfego de rede durante o horário de trabalho. A partir desses servidores as informações foram enviadas para Moscou;
  • Os sistemas de segurança da Target, fornecidos pela FireEye seis meses antes, alarmaram durante o ataque: quando os invasores instalaram o malware e quando roubaram os dados para fora da empresa. Mas nada foi feito;
  • Alguns dos bancos americanos afetados pelo roubo de dados entraram com um processo contra a empresa e contra a Trustwave, a empresa de consultoria que certificou a Target dentro do padrão PCI/DSS (Payment Card Industry Data Security Standard) e que fornecia serviços de monitoração e detecção de intrusos para a Target, inclusive durante as 3 semanas em que durou a invasão.


  • No final de Abril/2014 a Target anunciou seu novo CIO (e continua procurando um CISO).
  • Segundo a Target, várias ações foram feitas para melhorar a segurança da empresa:
    • Melhorar o monitoramento e registro de logs, incluindo a implementação de regras adicionais, mais alertas e logs, centralizando os feeds de logs;
    • Instalação de whitelisting de aplicação nos sistemas de ponto-de-venda;
    • Melhor segmentação de redes, incluindo o desenvolvimento de ferramentas de gerenciamento dos pontos-de-venda, além da revisão e racionalização das regras de Firewall com base em um processo abrangente de governança;
    • Rever e limitar o acesso dos fornecedores, incluindo o cancelamento de alguns meios de acesso dos fornecedores, incluindo o bloqueio dos protocolos FTP e telnet;
    • Aumentar a segurança de contas de usuários: revisão de contas e senhas dos 445.000 membros da equipe da Target e terceiros, ampliação do uso de autenticação de dois fatores, desativação de várias contas de fornecedores, redvisão de privilégios para certas contas e conscientização e treinamento sobre troca de senha;
    • A partir do início de 2015, todos os cartões de crédito e débito da Target (chamados de REDcard) utilizarão chip (tecnologia chamada no mercado de CHIP-and-PIN) em parceria com a MasterCard.
  • No início de Maio/2014, a Target anunciou a saída do seu CEO;
  • Segundo dados de Agosto/2014, a Target gastou um valor estimado em 146 milhões de dólares com a invasão. Além disso, o lucro trimestral da empresa continua abaixo dos anos anteriores, representando perdas nos últimos três trimestres seguidos;
  • No final de Agosto de 2015, a Target e a Visa fecharam um acordo judicial no qual a Target vai reembolsar um total de 67 Milhões de dólares referente aos prejuízos dos emissores de cartões Visa afetados pelo vazamento de dados.

O roubo da Target foi menor que outros casos famosos como da TJX (94 milhões de cartões roubados em 2007) e da Heartland Payment Systems (130 mil cartões em 2009), nem chega aos pés do roubo de dados da Adobe que comprometeu dados de 152 mil usuários. Mas, mesmo assim, é um caso que ilustra a importância da devida proteção aos dados e, mas ainda, como as empresas tem que se esforçar para corrigir os problemas causados por um incidente destes.

Notas:
  • Post atualizado em 02/01/2014. Atualizado em 16/01 com a notícia do acesso aos dados pessoais de 70 milhões de clientes;
  • Atualizado em 17/01 com a informações sobre a quantidade de dados roubados (11 GB em 2 semanas) e sobre detalhes do malware;
  • Atualização 20/01 com link para o blog da empresa CrowdStrike com o conjunto de regras para detectar o BlackPOS no Yara e no Snort.
  • Atualização em 22/01: há suspeitas de que outras redes de lojas também foram invadidas; dois links para o blog da empresa IntelCrawler com novidades sobre o BlackPOS;
  • Atualizado em 22 e 24/02 com informações sobre como foi feita a invasão da Target (através de um prestador de serviços que tinha acesso a rede deles);
  • Post atualizado em 17/03 com algumas informações adicionais e a imagem dos dias em que ocorreu o roubo de dados;
  • Post atualizado em 27/03 com a informações sobre os alertas de segurança serem ignorados durante o ataque e sobre o processo contra a Target e a Trustwave.
  • Atualização em 02/05 com a notícia da contratação do novo CIO "pós-breach" e das medidas de segurança que a Target tem tomado.
  • Atualizado em 6/05 com a saída do CEO da Target.
  • Atualização em 18/9/14 com dados recentes sobre os prejuízos da Target.
  • Post atualizado em 03/09/15 com a notícia do acordo judicial com a Visa. Aproveitei e coloquei em destaque (negrito) os dados mais interessantes das noticias.

dezembro 27, 2013

[Cyber Cultura] A Internet é dos robôs!

Uma pesquisa da empresa Incapsula divulgada neste mês mostrou que o tráfego de Internet gerado por softwares "robôs" supera, em muito, a quantidade de tráfego produzido por nós, humanos.


De acordo com o estudo da Incapsula, quase 2/3 (61,5%) de todo o tráfego da Internet em 2013 foi gerado por bots (programas) !!! É muita coisa !!!

Outra informação interessante é que o estudo divide esse tráfego robotizado em doid tipos: os criados pelos "bots bons" (softwares e ferramentas válidas, tais como os motores de busca e ferramentas de desempenho web) e "bots maliciosos". Os bots maliciosos incluem os softwares de captura ou monitoramento de sites ("scrappers"), as ferramentas de hacking, os SPAMs e as ferramentas que o estudo chamou de "impersonators", e ferramentas que se fazem passar por acessos ou serviços válidos, incluindo ferramentas de ataques DDoS e ferramentas de inteligência de marketing.

dezembro 26, 2013

[Carreira] As principais causas de demissões

Uma pesquisa realizada pela Curriculum em 2010, feita com 417 empresas brasileiras, apontou quais são as principais causas de demissões nas empresas:
  • Falta de postura profissional e problemas comportamentais - isso inclui a postagem de mensagens inapropriadas em redes sociais, como aconteceu recentemente com uma executiva americana, Justine Sacco (e, pasmem, ela era uma diretora de comunicação!!!)
  • Problemas de desempenho
  • Falta de alinhamento com os valores e objetivos da empresa
  • Metas não atingidas
  • Cortes de custos

É interessante ver também quais são os principais sinais indicadores de uma demissão, já que normalmente a maioria dos colaboradores nunca fica sabendo se a companhia está pretendendo excluir algum empregado.:
  • Redução de responsabilidades e ausência de novos projetos (as atividades do profissional estão sendo restringidas de maneira programada)
  • Atribuição de tarefas de pouca importância ou sem nenhum objetivo ou sentido para o negócio da companhia
  • Reestruturação de equipes e mudanças (principalmente em casos de downsizing, reengenharia de processos e terceirização)
  • Negócios ruins para a empresa, uma situação clássica em que a companhia é obrigada a realizar cortes
  • Venda e fusão da empresa, em que há um processo natural de fusão e mudança equipes
  • Anúncio de vagas na mesma posição do atual funcionário sem que nenhuma expansão de equipe tenha sido comunicada
  • Conflitos com equipe e chefes
Isso tudo mostra que no ambiente de trabalho, o controle emocional, a postura e o relacionamento interpessoal são considerados tão importantes quanto o conhecimento técnico. E esse é algo importante para nós, que trabalhamos na área de segurança, lembrarmos sempre. Afinal, na grand emaioria das empresas a área de Segurança é relacionada a TI (tecnologia da informação) e tem um papel técnico.

Mas, para sobreviver no mundo corporativo e na carreira, temos que ir muito além do "tecnês".


dezembro 23, 2013

[Segurança] Um Natal Feliz e Seguro

Chega o final de ano e a época de avaliarmos os sucessos e fracassos do ano, além de comemorarmos nossas conquistas com a família e amigos.

Ou, podemos celebrar essa data de uma forma mais humorada:



Aproveitando a oportunidade, vale a pena ver a reportagem do pessoal do Olhar Digital sobre os golpes online mais comuns no final de ano e sobre cuidados que devemos ter no e-commerce. Nesta época do ano, os golpes online se multiplicam por conta da corrida da população pelas compras de Natal.



Segue um resumo de quais são os principais golpes de final de ano:
  • Cartões de natal eletrônicos maliciosos: Este provavelmente é mais antigo dos golpes nessa época do ano. Alguns cyber criminosos podem criar cartões digitais que apontem para um site malicioso ou que sejam um programa executávem que contenham um malware, que vai infectar o PC, tablet ou smartphone quando a vítima clicar no link para visualizar o cartão;
  • Lojas virtuais falsas: Sites falsos de e-commerce pipocam aos montes agora no final do ano e, normalmente, com promoções agressivas para atrair consumidores. Além de não entregar o produto, o ciber criminoso ganha de bandeja seus dados de cartão de crédito, endereço, telefone etc. que poderá usar para outras fraudes posteriormente. O Pocon de São Paulo mantém online uma relação com mais de 300 sites de e-commerce não recomendados, por já terem realizado vários tipos de golpes contra os consumidores;
  • Anúncios maliciosos de promoções imperdíveis e grandes ofertas: Outro golpe muito frequente nas datas comemorativas, em que há um aumento das compras, em que os ciber criminosos publicam anúncios em sites, redes sociais e também divulgam através de SPAM, que na verdade podem ser links para sites maliciosos de phishing. Uma vez redirecionados para estes sites, os usuários podem ser infectados por vírus ou trojans, ou podem ser redirecionados a lojas falsas;
  • Mensagens de SMS que oferecem promoções ou vale-presentes falsos: É comum o aumento de mensagens de testo, enviadas por celular, alegando que o destinatário ganhou algum tipo de promoção ou vale-presente. A vítima é induzida a ligar para um número telefônico, ou até mesmo clicar em um link enviado no SMS, para que os criminosos possam roubar seus dados pessoais ou praticar outros tipos de golpes;
  • Sites falsos de doações beneficentes: os ciber criminosos também aproveitam a generosidade das pessoas para criar falsos de entidades beneficientes. Se você pretende doar para uma causa digna, pesquise a instituição que está por trás dessas páginas e pense duas vezes antes de divulgar qualquer tipo de informação pessoal;
  • Aplicativos mal intencionados para dispositivos móveis: este é um golpe que tem se tornado cada vez mais comum no mundo todo, fruto da expansão do m-commerce e m-banking, em que ciber criminosos desenvolvem aplicativos maliciosos para roubar informações. Tenha cuidado ao baixar qualquer aplicativo e avalie com cuidado, através dos comentários de outros usuários e verificando a legitimidade dos criadores do software.

Por isso, vale a pena prestar atenção nas diversas dicas de como tem um comportamento seguro e se proteger online na hora de comprar, curtir e comemorar as festas:
  • Na dúvida, não se arrisque: Nunca clique em uma mensagem ou link suspeitos ou caso não se conheça o remetente. Nos casos de e-mails, verifique o endereço de origem do cartão eletrônico para conferir se ele pertence a uma empresa conhecida e legítima. É melhor prevenir do que remediar;
  • Instale no seu computador ou dispositivo móvel e mantenha atualizado produtos de segurança como programas de antivírus e o firewall;
  • Sempre mantenha seu computador com o sistema operacional e todos os softwares atualizados; 
  • Nunca realize transações online em lan houses, cybercafés ou computadores públicos, pois os computadores ou os links de comunicação com a Internet podem não estar adequadamente protegidos;
  • Desconfie de ofertas vantajosas demais;
  • Prefira lojas conhecidas e recomendados por amigos ou familiares;
  • Procure no site de e-commerce a identificação da loja e formas de contato (razão social, CNPJ, telefone e outras formas de contato além do e-mail);
  • Imprima ou salve todos os documentos que demonstrem a compra e a confirmação do pedido (comprovante de pagamento, contrato, anúncios, etc.);
  • Antes de comprar online em um site não conhecido, verifique no Procon-SP a relação dos sites de e-commerce não recomendados. Todos os endereços incluídos na lista negra não responderam às notificações sobre queixas registradas pelos consumidores e, portanto, devem ser evitados.

Nota (incluído em 26/12): o Ethevaldo Siqueira, comentarista da CBN, também fez alguns comentários (bem mais simplistas do que os meus) sobre quais os riscos online na época das compras Natalinas:

dezembro 19, 2013

[Segurança] Como foram os eventos de Segurança em 2013?

Chegamos ao final do ano, e porque não refletirmos sobre quais foram os melhores eventos de segurança que tivemos (juntando os eventos do primeiro semestre e do segundo semestre)? Eu já escrevi um post semelhante sobre os eventos de 2011, então decidi repetir a dose.

Antes de mais nada, vale destacar que neste ano vimos uma grande novidade no mercado brasileiro, a chegada da Black Hat em São Paulo.

Na minha opinião, eu classifico os eventos de segurança no mercado brasileiro da seguinte forma:
  • Os melhores eventos de 2013
    • You Shot the Sheriff (YSTS), em 20/05. O YSTS continua sendo um dos eventos de segurança mais importantes no Brasil, com excelentes palestras e um clima descontraído. Certamente é um dos eventos para ver e ser visto ;)
    • GTS - Ocorre sempre duas vezes por ano, e em 2013 foi em 24/5 e 06/12. É um evento gratuito, com um conjunto de palestras técnicas de boa qualidade. Além de fornecer um ótimo ambiente para o público presente, as palestras também são transmitidas online.
    • BHack Conference, dias 22 e 23/06 - Segunda edição do evento, que está dando uma fomentada no mercado de segurança em Belo Horizonte (MG). Teve um ótimo mix de palestras técnicas e gerenciais, distribuídas em duas tracks simultâneas e com excelentes palestrantes. Só pecou em uma coisa: as salas de palestras estavam em prédios distintos, o que dificultava muito o trânsito das pessoas quando desejavam ir para outra trilha.
    • Vale Security Conference (ValeSecConf) (14 e 15/09) - Também em sua segunda edição, o evento atinge principalmente o público na região do Vale do Paraíba. Também teve um ótimo mix de palestras com temas técnicos e gerenciais, com ótimos palestrantes (e alguns nem tão bons assim).
    • SecureBrasil (22/08) - Evento muito bem organizado pela Flipside e com a chancela do (ISC)², o que atrai os principais profissionais de segurança do mercado - e, em especial, aqueles que são certificados CISSP. O evento conta com palestras direcionadas a profissionais experientes, com uma pequena área de exposições para os patrocinadores.
    • Décima edição da Hackers to Hackers Conference (H2HC) nos dias 05 e 06/10 - A H2HC é o maior, mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa, vulnerabilidades e novos ataques. Nesta décima edição, a H2HC contou com palestrantes gringos sensacionais, como Charles Miller e o FX (além de vários outros) e teve uma área de "lojinhas" muito frequentada e divertida. Só pecou, na minha opinião, pelo local: o Novotel Morumbi é longe de tudo, de difícil acesso, e com poucas opções de lugares para comer em volta.
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Neste ano tivemos três edições, em 15/05 (véspera do YSYS), 06/10 (junto com a H2HC) e 24/11 (próxima a Black Hat São Paulo). Apesar de ser um dos organizadores do evento, acredito que merece o destaque por ser um evento gratuito e aberto para toda a comunidade, com diversas atividades acontecendo simultaneamente: palestras, oficinas, debates e um churrasco gratuito para os participantes. Também criamos algumas atividades novas este ano: a Hacker Job Fair, o Brazilian Arsenal e fizemos um CTF. Mas, na verdade, o que eu gosto mais da Co0L BSidesSP é que, além da qualidade das palestras e das oficinas, nós nos esforçamos por trazer um leque diversificado de assuntos, como hardware hacking e temas relacionados aos aspectos legais e psicológicos do uso da tecnologia.
  • As ótimas surpresas em 2013
    • Black Hat Regional Summit São Paulo (26 e 27/11) - A Black Hat, um dos mais importantes eventos de segurança em todo o mundo, finalmente desembarcou no Brasil, através do formato "Regional Summit", com dois dias de palestras e uma área de exposições gigantesca. O evento teve boas palestras mas, na minha opinião, se destacou pelo excelente espaço de exposições, com dezenas de stands de fornecedores que ficaram cheios quase que o tempo todo. Ok, haviam alguns expositores que nada tinham a ver com o mercado de SI, mas eram minoria.
    • CryptoParty: Mais uma grande surpresa de 2013. Foi um evento pequeno, pouco divulgado, mas que atraiu um público de cerca de 100 pessoas (estimativa minha) em pleno sábado, para assistir palestras sobre criptografia e privacidade, além de oferecer install fest de ferramentas de criptografia. O evento aconteceu em um espaço de co-working muito caprichado e bem localizado (perto da Av. Paulista), atraindo um público que representou uma excelente mistura de pessoas técnicas e curiosos. E foi mais um ótimo evento gratuito ;)
  • Ignorado pela comunidade de segurança, mas muito bom
    • Tosconf (08/06) - Evento organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace lá de Campinas. A Tosconf tem a pretensão de ser uma "conferência tosca", mas na verdade é um evento excelente, com ótimas palestras e oficinas sobre hacking em geral, incluindo assuntos diversos como hardware hacking e segurança da informação. Isto sem falar que o evento é realizado na sede do LHC, um ambiente muito legal e acolhedor.
  • Não cheirou nem fedeu
    • CNASI São Paulo, de 16 a 18/09 - embora seja um evento tradicional, já atingindo sua 21a edição, o Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) tem atraído muito pouco os profissionais da área. Possui uma grade grande de palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança, com pouco ou quase nada de conteúdo técnico.
    • Silver Bullet, dias 27 e 28/09 - Mesmo em sua terceira edição, o Silver Bullet não conseguiu atrair uma grande quantidade de público. E a organização se esforçou: a grade de palestras estava boa, contou com dois espaços para oficinas dos hackerspaces (do Garoa e do SJCHC) e o The Pirates Bar estava bem animado. Mas, mesmo assim, ficou relativamente vazio. A edição deste ano estava quase do mesmo tamanho do que em 2012, que por sua vez foi bem menor do que em 2011 (em termos de espaço físico e quantidade de público presente).
  • Não vale nem a visita
    • Security Leaders: É um evento que eu não vejo a menor graça: é formado principalmente por debates que, além da platéia local, são transmitidos online. Mas os debates são bem fracos e superficiais, pois são curtos e os participantes são escolhidos entre os patrocinadores, e não entre especialistas no assunto. Tem uma área de exposição mas que é pouco frequentada, pois o evento atrai pouco público - exceto no momento da premiação, que nada mais é do que uma seqüência de pucha-saquismo para os executivos que trabalham em grandes empresas (se você não tem cargo de CSO em uma grande empresa, não adianta fazer um ótimo trabalho ou um mega-projeto, pois será ignorado).
  • Os micos e roubadas
    • Hacking Day SP (13/04) - Organizado pelo sempre polêmico Coruja de TI, o evento chamou a atenção por uma palestra que prometia mostrar como paralisar o metrô de São, Paulo, mas que foi cancelada por ordem do governo. Mas, além disso, ficou marcado pelo roubo do notebook do Gustavo Lima em cima do palco do evento (ou seja, roubaram o notebook do organizador do evento na frente de todo mundo, e ninguém viu).
    • Cancelamento do ICCyber 2013 (14 a 16/08) - A 10ª edição do ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos), o maior evento de forense da América Latina, foi cancelado repentinamente, faltando poucos dias para o evento.
    • Maratona no Vale Security Conference (ValeSecConf) - A organização se empolgou e agendou muitas palestras para o dia do evento, 14/09. Juntando a grade lotada com o atraso das palestras, o resultado é que ficamos lá até quase as 22h. Extremamente cansativo!
    • Debate sobre "Mulheres na Segurança" e encerramento do SecureBrasil (22/08) - Embora o tema do debate seja muito relevante e interessante, a inclusão e as dificuldades das mulheres no mercado, a discussão saiu poucas vezes do óbvio, e surgiram pérolas como "os meus chefes nunca me deram um aumento sem que eu fosse lá pedir e justificar"  (como se isso só acontecesse com as mulheres, e não com todo o mundo!). Ou pior, saí de lá com certeza de que abrir a porta para uma mulher ou se oferecer para carregar uma caixa para ela é machisno, e não cavalheirismo e gentileza, como sempre pensei. Mas "show de horror" mesmo foi que, logo após o debate, surgiu uma atriz fazendo um stand-up longo e extremamente chato, incluindo piadas machistas (algo surreal logo após um debate aonde discutiu-se o respeito as mulheres).
    • Black Hat Regional Summit São Paulo (26 e 27/11) - Pecou por um pouco pela desorganização (ficou confusa a divisão entre a Black Hat e a IT Expo Fórum, a entrada e mais algumas coisinhas) e pelos preços extorsivos: além da inscrição cara (que dava para pagar uma viagem de ida e volta para a Defcon), os participantes também tiveram que enfrentar o preço do restaurante e do estacionamento. Mas, o pior, foram os "Convites VIP" enviados pelos patrocinadores: Vips que não davam direito a nada.
  • Não vi e não vou opinar, mas mesmo assim acho que merecem destaque
    • RoadSec - novo evento organizado pela Flipside, que pretende ser um evento itinerante realizado em diversas cidades brasileiras. Oferece um dia com palestras previamente selecionadas, além de palestrantes locais e uma apresentação do patrocinador. Teve edições em Curitiba (21/09), Belo Horizonte (19/10) e no Rio de Janeiro (09/11). É uma excelente idéia para oferecer conteúdo de qualidade em várias cidades do Brasil, que raramente recebem eventos bons.
    • Sacicon (03 e 04/10) - Evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês. ou seja, palestrantes e visitantes extrangeiros são bem-vindos. Além do mais, o evento tem uma agenda no mínimo surreal: começa a noite com um keynote speaker e uma festa e continua no dia seguinte com palestras após um "hangover brunch".
Além dos eventos nacionais que citei acima, acredito que vale a pena citar dois eventos novos que surgiram este ano além de nossas fronteiras: BSides Lisboa (04/10) e Angeles & Demonios (12 e 13/12).

Sem mais delongas... And the winners are...

Resumo
Melhor Evento Black Hat Regional Summit São Paulo
Melhor Novidade Black Hat Regional Summit São Paulo
Maior Surpresa CryptoParty
Maior Mico Teatrinho de encerramento do SecureBrasil
Maior Roubada Convite VIP da Black Hat Regional Summit São Paulo
Melhor Evento Brazuca H2HC
O Mais Caro Black Hat Regional Summit São Paulo
Os Patrocinadores Pira Área de exposições da Black Hat Regional Summit São Paulo
Babação de Ovo Security Leaders
Alternativo Co0L BSidesSP e Tosconf
Visual Caprichado SecureBrasil
Organização mais Caprichada YSTS e SecureBrasil
Fora do Eixo Rio-São Paulo RoadSec
Para Ver e Ser Visto Área de exposições da Black Hat Regional Summit São Paulo
Para Poucos e Bons YSTS
Para o Público Técnico H2HC
Para o Público Gerencial SecureBrasil
Não fui mas queria ter ido Angeles & Demonios
Às Moscas Silver Bullet
Melhor Palestrante Paulo Veloso
Melhor Palestrante de todos os tempos Fernando Mercês
Pior Palestrante Marcelo Lau (ValeSecConf)
Melhor Dupla Sertaneja Espinhara & Albuquerque
Em 2014 eu quero ir na... Black Hat Regional Summit São Paulo
Em 2014 eu quero viajar para... 8.8 (Chile) e Angeles & Demonios (Argentina)
Não Pode Faltar no seu Evento    The Pirates Bar


As opiniões apresentadas aqui são minhas e não refletem necessariamente a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena eu escrever sobre ele.

No ano que vem o calendário de eventos vai ser mais apertado por causa da Copa do Mundo: vários eventos do primeiro semestre estão antecipando suas datas e os do segundo semestre estão postergando as datas para próximo do final do ano. Preparem-se para o caos!

Para ficar antenado e ver uma lista bem completa com todos os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI.

Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

[Segurança] O que é um bom evento?

Eu sempre gostei de participar de eventos pois acredito que são uma ótima oportunidade para fazermos duas coisas fundamentais em nossa carreira:
  • nos manter atualizados
  • fazer networking
Isso sem falar na chance de rever os amigos :)

Na minha opinião, para um evento ser considerado bom ele tem que ter várias coisas;
  • Grade diversificada de palestras: não importa se o evento vai ter foco mais ou menos técnico, mais ou menos gerencial. É importante que o tema das palestras esteja de acordo com o público alvo e que tenha várias opções de assuntos;
  • Palestras interessantes, com assuntos novos ou apresentando novas abordagens sobre assuntos conhecidos. Você tem que sair da palestra com a sensação de que aprendeu algo;
  • Bons palestrantes: Não basta ter um bom assunto em mente. É muito importante saber transmitir suas idéias e ser um especialista no assunto. Palestrantes conhecidos são uma garantia de que o evento vai ter conteúdo interessante e de qualidade. Não tem nada que me desanima mais do que ver um título legal de uma palestra e notar em seguida que o palestrante é o gerente de marketing ou diretor comercial da empresa: já sei que ele vai falar só o óbvio;
  • Ótima infra-estrutura: salas amplas e confortáveis, espaço para circulação, área de coffee-break. Melhor ainda se tiver uma área para conversarmos sem atrapalhar as palestras;
  • Ótima localização: não adianta fazer seu evento em um lugar de difícil acesso, poucas opções de estacionamento ou, pior ainda, se for um evento que dure o dia todo e não tem lugares próximos para almoçar;
  • Bom controle do tempo: se a organização não pegar no pé, os palestrantes estouram o tempo. Isso porque o palestrante normalmente está tão entretido que poderia ficar falando por horas - mas ele tem apenas 30, 40 ou 60 minutos, no máximo. Cada palestra que atrasa faz um efeito cascata e, no final, o evento pode acabar uma ou duas hora mais tarde do que o planejado. O resultado é uma platéia exausta, que muitas vezes vai embora antes do final do evento.

Notem que eu não estou dizendo que fazer tudo isso é fácil. Muito pelo contrário, organizar um evento exige muito planejamento, dá muito trabalho e a organização precisa ter jogo de cintura para lidar com todos os tipos de problemas a medida que vão surgindo.

dezembro 18, 2013

[Segurança] Previsões para 2014

O Javvad, que sempre faz vídeos excelentes e bem humorados sobre segurança, publicou recentemente suas previsões para 2014:



O Javvad não tem uma bola de cristal nem é Nostradamus, mas segundo suas previsões para os próximos 12 meses:

  1. Vai haver um grande roubo de senhas. Cerca de 5 milhões de senhas serão vazadas para a Internet e os espacialistas vão analizar e descobrir que a senha mais frequente é 123456
  2. Novas histórias de espionagem, com denúncias que as agências de espionagem governamentais fazem espionagem
  3. O fim do APT (Advanced Persistent Threats): as ferramentas de segurança ficarão cada vez melhores e conseguirão detectar as APTs, fazendo com que muitos cuber criminosos fujam e, depois de um tempo, se reagrupem e criem um novo tipo de ameaça: as Advanced Advance Persistent Threats. E o cliclo continua...
  4. Segurança de aplicações na nuvem vai ficar cada vez mais importante e vai virar "business critical"
  5. Aumento dos White Hats; como resultado das previsões anteriores, os profissionais de segurança vão se juntar e se mobilizar para fazer algo. Como consequencia, 72 novos eventos vão surgir em todo o mundo e os palestrantes da área poderão viajar o mundo inteiro repetindo a mesma palestra, e as empresas de segurança terão mais lugares aonde gastar seu orçamento de marketing.

Agora é esperar os próximos dias e ver os fabricantes de segurança lançando suas previsões para 2014.

dezembro 17, 2013

[Carreira] Cuidados com a festa de final de ano na empresa

Chega o final de ano e vem o inevitável: a festa de fim de ano da empresa!



Os eventos sociais nas empresas podem melhorar o relacionamento entre os colaboradores, mas também podem causar desconforto ao misturar o ambiente profissional com o pessoal, ainda mais por juntar colegas de grupos diversificados. Por isso, estas festas tem que ser bem planejadas: os empregados tem que se sentir acolhidos e confortáveis desde que as empresas criem ambientes que facilitem a aproximação e o apoio entre os empregados, sem causar situações desconfortáveis, vexatórias, de conflito, ou que acentuarem as diferenças. Eu achei nesse site um exemplo bem inteligente e humorado de uma série de convites para a festa da empresa.

Do ponto de vista dos funcionários, muitos acabam considerando a participação como sendo obrigatória, e assim encaram estas celebrações como uma obrigação profissional, em vez de um momento de lazer e integração.

Essa mistura do ambiente de trabalho com um ambiente informal exige cuidados especiais em relação à atitude de todos e é preciso se atentar a diversos detalhes para não comprometer a imagem dentro da companhia: tudo deve ser feito dentro de limites do respeito, da decência e do bom-senso. O site Curriculum.com.br publicou, há algum tempo atrás, alguns cuidados importantes para essas ocasiões, que eu aproveitei e acrescentei com alguns detalhes extras:
  • Bom-senso e cuidado ao tomar bebidas alcoólicas;
  • Trajes para a(s) festa(s): Simplicidade e elegância são sempre bem-vindas. Terno e gravata, nem pensar. Muito menos colocar a gravata na cabeça no meio da festa. Gravata não é bandana...
  • Evitar intimidades exageradas com pessoas do sexo oposto (ou mesmo com pessoas do mesmo sexo);
  • Cuidado com as máquinas fotográficas. Qualquer escorregadinha ou cena minimamente comprometedora vai direto para o Instagram e o Facebook. Cuidado para sua performance na festa não ser imortalizada;
  • Presentes para o amigo secreto: capriche na escolha, para evitar exageros e demonstrar consideração e carinho para com a outra pessoa.
Infelizmente, nessas ocasiões sempre há alguém que perde o controle, passa dos limites e, por conta da informalidade, acaba indo além do que se pode considerar adequado. Dependendo do ocorrido, isso pode gerar situações difíceis de serem contornadas no pós-evento, o que acaba prejudicando o relacionamento do funcionário com seus colegas ou com a empresa. Por isso, preocupe-se com a festa e, principalmente, com o "after party".

dezembro 16, 2013

[Cyber Cultura] Natal em tempos de NSA

O vídeo abaixo, chamado "The NSA is Coming to Town", faz uma crítica divertida a espionagem realizada pela NSA:




No final, o vídeo deixa claro sua mensagem: "Você não deixaria os agentes do governo espionarem em pessoa seus momentos especiais durante as festas. Porque deixamos eles fazerem isso no mundo digital?"

dezembro 14, 2013

[Carreira] Por que as empresas mentem e os candidatos falam a verdade?

Nesta semana, o Max Gehringer fez um comentário muito interessante em sua coluna diária na rádio CBN, respondendo a seguinte pergunta: "Por que as empresas não dizem a verdade sobre o que vai acontecer depois que alguém é contratado?"



Segundo o Max, é verdade que as empresas mentem quando estão descrevendo o ambiente de trabalho ou a si mesmas quando um candidato participa de uma entrevista de emprego. Mentem para mostrar apenas os aspectos positivos da empresa ou, até mesmo, quando exigem do candidato características bem diferentes daquelas que ele vai encontrar non dia-a-dia (como exigir ter um bom relacionamento interpessoal e espírito de equipe, para trabalhar em um "ninho de cobras", como ele mesmo exemplificou).

E as empresas agem dessa forma pois querem atrair os melhores profissionais possíveis e disputam isso com outras empresas, algo que dificilmente conseguiriam fazer se falassem a verdade! Por isso mesmo, se descrevem como se fossem um ambiente ideal. Para explicar isso, ele fez uma comparação com um anúncio de televisão: eles mostram somente a perfeição que gostariam de ter, em vez de mostrar as imperfeições que tem. Ou seja, nunca ouviremos um head hunter falar que um determinado emprego é para trabalhar com um chefe desqualificado e odiado, que a infra-estrutura de TI é uma zona, ou que é prática comum naquela empresa enganar os clientes e passar a perna nos parceiros.

Mas o Max nada falou sobre o mais interessante nessa história toda: se é "normal" a empresa mentir em um processo seletivo, isso significa que o candidato também podem mentir?

E a resposta é NÃO. A verdade é que as empresas não aceitam candidatos que mentem no currículo. Se alguma mentira for descoberta, o candidato será descartado no mesmo momento, exceto em casos muito raros aonde a mentira não seja considerada muito séria (ou seja, você disse que fala Russo fluente quando, na verdade, é meia-boca, e isso não faz nenhuma diferença no seu trabalho) e o candidato seja considerado muito bom pelo entrevistador.

Ou seja, a recíproca não é verdadeira: A empresa pode mentir, mas o candidato tem que ser sincero.

E por que essa discrepância? Simplesmente porque, no mundo corporativo, vale a lei do mais forte: quem tem mais poder dita as regras. Durante um processo seletivo, o entendimento geral é que o poder está nas mãos da empresa: ela que está contratando, ela que está tomando a decisão final, ela que tem direito a fazer todo o tipo de questionamento. Assume-se, também, que o candidato é o maior interessado, pois se ele (ou ela) está participando de um processo seletivo, é porque ele (ou ela) está procurando uma posição e, portanto, deseja sair do emprego atual (ou está desempregado). Esse é o desequilíbrio de poder: a empresa tem controle sobre o processo seletivo e o empregado tem o interesse (ou necessidade) em ser contratado.

O resultado desse cenário é o famoso caso do "manda quem pode e obedece quem tem juízo". Por exemplo: quando você vai em uma consulta médica, é muito comum que fiquemos esperando pela consulta 30 minutos ou até mesmo uma hora até ser atendido pelo médico, independente de ter horário marcado ou não. Mas, se você ligar no consultório avisando que vai chegar 15 minutos atrasado, o médico vai querer cancelar sua consulta. O médico pode atrasar o quanto ele quiser, mas o paciente não.

dezembro 11, 2013

[Cyber Cultura] A NSA me Segue

Na última Co0L BSidesSP eu tirei 10 minutos para apresentar uma pequena palestra durante a sessão de Palestras Relâmpago ("Lightning Talks", que foram palestras de até 10 minutos cada), e criei uma pequena apresentação, batizada de "A NSA me segue", resumindo toda a discussão sobre a espionagem americana. Também repeti ela na Cryptoparty.



O título foi criado pensando na camiseta que criamos para a sexta edição da Co0L BSidesSP. Se eu fosse transcrever a apresentação, ficaria mais ou menos como abaixo.

Em 1949 o escritor inglês George Orwel (pseudônimo de Eric Arthur Blair, 25 June 1903 – 21 January 1950) imaginou como seria um governo totalitário que controlasse a população “a mão de ferro" no futurístico ano de 1984, e assim lançou um de seus livros mais famosos. Nesse mundo futurístico, um governo monta uma infra-estrutura de monitoramento e propaganda para controlar a população: George Orwell imaginou uma estrutura aonde todo edifício, casa, cômodo e local público teria uma TELETELA, uma espécie de televisor bidirecional, que ao mesmo tempo monitorava as pessoas e anunciava mensagens e propagandas escolhidas (ié, manipuladas e censuradas) pelo governo. E asssim ele criou um mundo marcado pela onipresença do Grande Irmão, o líder supremo que ao país governa e a todos vigia.

E o George Orwel cunhou, para sempre, o termo “Big Brother” (“Grande Irmão”).

Fazendo um “Fast Forward” para 2013, nos deparamos com uma sociedade aonde o governo não precisa ir na casa das pessoas buscar as informações. Com a popularização e onipresença da Internet, dos smartphones, tablets e dos computadores pessoais, as pessoas disponibilizam suas informações pessoais online, abertas para todos que queiram ver. São fotos, informações sobre vida pessoal, amigos e familiares, além de localização, que na prática são concentradas em alguns grandes sites e provedores. E assim, basta o governo ter acesso a estes serviços e a infra-estrutura de telecomunicação para conseguir monitorar milhões de usuários de uma única vez. Ficou muito mais fácil do que previa George Orwel, não?

E é neste cenário que entram as denúncias de espionagem realizadas pelo Edward Snowden, tornadas públicas desde Junho/2013. Graças a ele, ficamos cientes ee que o governo americano, através da sua agência de espionagem (a NSA), criou uma estrutura global de espionagem e monitoração, que foi descrita por Mikko Hypponen, da F-Secure, como “Our worst fears might have been something like this, but we didn't know this was happening” (“Nossos piores temores poderiam ser algo assim, mas não sabíamos que isso estava acontecendo”).

Mas, porque o espanto? Qual é a novidade? Se todos sabemos que a NSA é uma agência de espionagem, então ela não deveria espionar? Na minha opinião...
  • Primeiro, porque o esquema de espionagem americano é indiscriminado. Ou seja, é direcionado a qualquer pessoa, a todos nós, e não somente a suspeitos ou alvos específicos, como terroristas. A cada dia que passa as revelações levam por água abaixo o argumento de que o esquema de espionagem foi montado para proteger os EUA contra ameaças terroristas! Afinal, empresas como a Petrobrás e líderes mundiais como o papa Francisco e a chanceler alemã Angela Merkel também foram espionados (só para citar alguns exemplos). Para exemplificar, em apenas um mês, entre 08 de fevereiro e 8 de Março de 2013, a NSA coletou 124,8 bilhões de informações de telefonia em todo o mundo e 97,1 bilhões de informações oriundas de dados de informática.
  • Segundo, porque a NSA explora nossa dependência tecnológica, tanto em termos de conectividade global através de redes de telecomunicações, quanto os serviços online que utilizamos no nosso dia-a-dia. A NSA conseguiu ter acesso aos grandes e principais serviços online, como mostram os materiais divulgados por Snowden - que, diga-se de passagem, são empresas Americanas, sob influência da legislação Americana.
  • O terceiro aspecto é que a NSA força várias empresas a colaborar com ela, empresas baseadas nos EUA e sujeitas as leis Americanas e a pressões do governo. Como denunciaram a CEO do Yahoo! e o CEO do Facebook, que disseram que foram obrigados a atender as solicitações da NSA e não podem revelar informações sobre isso sob risco de serem acusados de traição.
  • Quarto, porque a NSA explorou as tecnologias que usamos, e comprometeu a segurança de todos nós para fazer isso, através de backdoors instalados em produtos comerciais, escutas em cabos submarinos (que formam o backbone global de comunicação da Internet) e até mesmo invadiu redes de grandes empresas para conseguir ter acesso aos dados trafegados internamente. No caso do Google, por exemplo, a NSA percebeu que, embora o acesso ao Gmail seja protegido por criptografia SSL, a comunicação entre os servidores da Google dentro dos seus datacenters não é criptografada, e assim ela conseguiu interceptar dados da rede da Google e do Yahoo! capturando o tráfedo de dados interno, nos links de comunicação entre os datacenters. Segundo relatórios divulgados pelo Snowden, a NSA tem mais de 50 mil redes em todo o mundo que foram invadidas e que eles usam para capturar dados e espionar pessoas.

Nesse cenário, quem poderá nos defender?

Uma primeira opção é começarmos a adotar cada vez mais sistemas Open Source em vez de softwares proprietários – afinal, com eles é possível ter ao menos a mínima possibilidade de auditoria de código (pela comunidade), na busca por backdoors. Claro que poucas pessoas teriam capacidade técnica de perceber que um código foi modificado para permitir o vazamento de uma informação ou, o que sria mais difícil, perceber que um algoritmo criptográfico foi implementado de forma a torná-lo menos seguro. Outro problema seria o risco de um código-fonte "limpo" ter um backdoor implantado na hora em que for compilado porum compilador "malicioso". Mas, ao menos, o software Open source nos dá essa opção de verificar o que temos em nossa máquna. Outra opção é usarmos cada vez mais Criptografia em nossas comunicações e nossos dados. Mesmo que a NSA possa interceptar algumas informações, eles tem mais trabalho para obter dados que estão criptografados. Assim, podemos tentar vencê-los pelo cansaço.

E outra coisa que podemos fazer é protestar. Nos EUA, diversas personalidades públicas e organizações já começaram a protestar contra o poder exagerado de espionagem e vigilância da NSA. Na ONU, o governo Brasileiro e Alemão já estão protestando através de uma declaração conjunta sobe o direito de privacidade na era da Internet.

dezembro 10, 2013

[Cyber Cultura] Revenge porn

O uso da Internet como uma ferramenta de humilhação e vingança ganhou uma nova buzzword: "revenge porn" (ou vingança pornô, na tradução literal do inglês).

No "revenge porn", um dos cônjuges (sejam namorados ou casados) compartilha na Internet vídeos e fotos sensuais gravados na intimidade do casal ou gravado por uma das partes, com o objetivo de humilhar publicamente o (a) outro(a). Assim, a intimidade das vítimas é exposta e, uma vez que uma foto ou vídeo é colocado online pela primeira vez, é praticamente impossível evitar sua replicação em diversos sites, aumentando exponencialmente a humilhação da vítima.

O "revenge porn" é uma consequência maligna de uma prática muito comum entre adolescentes, que é a troca de conteúdo (fotos e vídeos) eróticos entre amigos ou namorados, seja por celular ou Internet - uma prática que já foi batizada de "sexting" (mistura de "sex" com "texting", ou ema, o ato de trocar mensagens online). As principais vítimas do "revenge porn" são as mulheres, que rapidamente começam a sofrer um linchamento moral, fruto da nossa cultura machista aonde o homem que faz sexo é o "garanhão" e a mulher é a "vadia". É uma lógica machista que inverte os valores, massacra a vítima e inocenta o verdadeiro criminoso.

As causas de "revenge porn" são as mais variadas possíveis, e incluem o sentimento de vingança e a sensação de orgulho ferido após o rompimento de uma relação, além da onipresença e facilidade de compartilhamento de vídeos e fotos através da Internet (muitas vezes anonimamente). Também é uma consequência da nossa cultura de super exposição através das redes sociais.

Aqui no Brasil, relatos desse tipo de crime estão se tornando cada vez mais comuns, e recentemente, duas garotas que se suicidaram após serem expostas na Internet: a gaúcha Giana Fabi, de 16 anos, que teve uma foto sua seminua compartilhada nas redes sociais, e a piauiense Júlia dos Santos, de 17 anos, após compartilharem pelo WhatsApp um um vídeo de sexo dela com outro casal. Há poucos meses atrás, Francyelle Santos, uma estudante goiana de 19 anos conhecida como Fran, ficou famosa após um vídeo em que fazia sexo com um ex-namorado (com quem tinha relacionamento há 3 anos) ter se espalhado rapidamente pela Internet (caso você não lembre do caso, é a garota que virou meme por conta da frase "quer meu cozinho apertadinho?"). Uma reportagem recente da revista Época mostra vários outros casos tristes, de garotas que se suicidaram por não aguentar a humilhação online.

Segundo uma pesquisa da Safernet, 20% dos brasileiros entrevistados, entre 9 a 23 anos, já receberam textos ou imagens eróticas de amigos e conhecidos e 6% já repassaram esse tipo de conteúdo. Nos EUA, um em cada sete adolescentes americanos já compartilhou fotos ou vídeos de si mesmo nu ou seminu, segundo uma pesquisa da Universidade do Sul da Califórnia (USC).

dezembro 06, 2013

[Segurança] Black Hat bazuca faz sucesso ;)

Nos dias 26 e 27/11 tivemos a Black Hat Regional Summit São Paulo, que foi a edição regional da Black Hat, um dos mais importantes eventos de segurança em todo o mundo. O evento foi em um dos pavilhões do Transamerica Expo Center em São Paulo, e contou com uma área de palestras, no mezanino, e uma grande área de expositores, no andar térreo.

O que eu vi foi um evento grande, lotado de pessoas, aonde pude encontrar a maioria dos colegas de trabalho que conheço. A área de exposições era aberta a visitantes e foi sensacional: era bem grande, sem comparação com nenhum outro evento de segurança que conhecemos aqui no Brasil. E estavam presentes lá grandes e médias empresas, formando uma mistura bem representativa do nosso mercado. E, o que é melhor para os expositores e patrocinadores: a área de exposições tinha uma grande circulação de pessoas durante todo o evento, garantindo stands cheios. Lembrou um pouquinho os tempos áureos da Fenasoft e da Comdex.

 

Quanto as palestras, o formato "Regional Summit" contempla dois dias de palestras, com duas trilhas por dia. A maioria das palestras tinham um certo foco técnico, e várias pareceram ser bem interessantes. Ouvi reclamações e elogios, mas acredito que na média a avaliação foi positiva. As palestras eram de acesso restrito aos que se inscreveram no congresso (que era caro para os padrões brasileiros), mas a cada dia haviam dois keynote speakers em um grande auditório aonde os visitantes tinham acesso. Os visitantes também podiam desfrutar uma série de pequenas palestras que aconteciam em dois espaços dedicados no salão de exposições.

O aspecto mais estranho foi o fato da Black Hat acontecer em conjunto com o IT Forum Expo, que na verdade aconteceu em uma área isolada, e por isso haviam duas áreas de exposições e duas áreas de congressos distintas, o que causou um pouco de confusão entre os presentes. Ouvi muitas pessoas dizerem que, ao contrário do que aconteceu no espaço da Black Hat, a área de exposições do IT Expo Forum estava bem vazia.

E o troféu "pagação de mico" foi para a "Credencial VIP" que os patrocinadores distribuíram para algumas pessoas. Embora ela não desse nenhum detalhe sobre que tipo de acesso daria, muitas pessoas foram no evento crentes que poderiam assistir as palestras com a tal "credencial VIP". Entretanto, ela só dava acesso a área de exposições (VIP para quê, mesmo?), o que deixou muita gente frustrada, ou melhor, revoltada mesmo!



Na minha opinião, entre acertos e erros, a Black Hat não decepcionou ao desembarcar no Brasil. E, o que é melhor: já podemos reservar nossas agendas: a próxima Black Hat São Paulo ocorrerá nos dias 25 e 26 de Novembro de 2014.

No final de semana anterior a Black Hat tivemos a Co0L BSidesSP Black Hat Edition, a sétima edição da Co0L BSidesSP que ocorreu no domingo, 24/11, na Fatec de São Caetano do Sul. O evento foi um sucesso, e inclusive São Pedro e São Caetano ajudaram e nos pouparam da chuva: tivemos um dia parcialmente ensolarado e parcialmente nublado, mas sem chuva - o que foi ótimo para o evento.


Tivemos 220 presentes, incluindo uma caravana de alunos da universidade Federal de Itajubá, além de participantes que vieram de Limeira, São José dos Campos e BH. Todas as atividades tiveram um bom público, incluindo as duas trilhas de palestras e duas trilhas de oficina. O público também participou bastante das Lightning Talks, aproveitaram as palestras sobre carreira durante a Hacker Job Fair (parabéns ao Thiago Bordini, quem organizou isso) e lotaram a Brazilian Arsenal, uma atividade que criamos para divulgar as ferramentas open source de segurança desenvolvidas por brasileiros. E as crianças se divertiram na piscina de bolinhas!

Recebemos vários elogios pelas palestras e, principalmente, pelos comes e bebes: pela primeira vez em todas estas edições tivemos churrasco com direito a bastante salada (incluindo maionese, farofa, e tortas de frango e palmito) e o pessoal do The Pirates Bar serviu a todos com bebida farta: refrigerante, suco, cerveja, Jack Daniels e Vodka. Tudo isso, como manda a nossa tradição, era gratuito a todos ;) Claro que isso só foi possível graças aos nossos patrocinadores: Beyond Security, Conviso, ThinkLogical (que também patrocinou as bebidas) e a Trend Micro, além da Daryus Education.

O único aspecto negativo foi o roubo de um notebook durante o evento. Infelizmente sabíamos que isto poderia acontecer mais cedo ou mais tarde, pois roubo de notebooks é algo relativamente comum em qualquer evento. Mas, quando isso acontece conosco, é muito mais chato.

Já podem reservar na agenda também: a próxima Co0L BSidesSP será no dia 13 de Abril de 2014, na véspera do You Shot the Sheriff (YSTS).

dezembro 04, 2013

[Cyber Cultura] Amazon Prime Air

A popularização dos drones (as pequenas aeronaves pilotadas remotamente) atingiu um novo patamar: nesta semana a Amazon divulgou seus planos de criar o "Amazon Prime Air", um serviço de entrega rápida (em até 30 minutos) usando drones.



Dá para ver que não é a toa que a Amazon é o maior site de e-commerce do mundo... Obviamente este projeto de entrega via drones é, ao mesmo tempo, uma jogada de marketing para mostrar o pioneirismo da empresa e, muito possivelmente, um teste algo que eles estão mesmo desenvolvendo e que pode se tornar realidade em um futuro próximo. Tecnologia para isso existe - afinal, o governo americano usa drones para entregar coisas muito mais pesadas em lugares muito mais distantes... ;)

Segundo o site da Amazon, no momento a empresa está realizando testes da tecnologia e está aguardando a regulamentação da agência americana de aeronáutica (a Federal Aviation Administration - FAA) para a utilização dos drones. Isso, segundo previsão da Amazon, deve ocorrer até 2015. O provável uso de drones permitirá a Amazon inaugurar e, possivelmente, liderar um futuro mercado de entregas ultra rápidas.

Aqui no Brasil ainda não existe uma regulamentação específica para o uso de drones, ou pelo que pesquisei me parece que isso ainda está bem confuso. Mas, segundo a Agência Nacional de Aviação Civil (Anac), todo e qualquer tipo de aeronave não tripulada, independente de peso e altitude de voo, não poderia operar sem ter um Certificado de Autorização de Voo Experimental (Cave), que é expedido após avaliação do projeto técnico. Para cada voo também é necessário avisar o Departamento de Controle do Espaço Aéreo (Decea), da Aeronáutica, para que o espaço aéreo seja reservado e os pilotos de aeronaves tripuladas sejam avisados. Além do mais, drones não podem voar em áreas próximas a aeroportos. Além de empresas que usam os drones para prestar serviços (como filmagens, monitoramento, etc), há casos de polícias e outros órgãos públicos e privados que também já estão operando drones aqui no Brasil.

Além da jogada de marketing e agilidade na entrega para clientes próximos, os drones poderiam também ser utilizados para entregas em lugages de difícil acesso ou mesmo sem estradas, como o Andreas Raptopoulos sugeriu em sua palestra no TED, em meados desse ano. Em sua palestra, ele sugere o termo "Matternet" para descrever essa idéia: uma rede de entrega de materiais formada por drones, estações no solo (para entrega e reabastecimento dos drones) e um sistema de roteamento de mercadorias pelos drones (em oposição a Internet, uma rede de informação). Ele fala muito sobre entrega de remédios em países em desenvolvimento (como vários países na África), mas nada impede que essa tecnologia seja usada no comércio em grandes cidades.



A idéia da Amazon é interessante: Para isso funcionar, o cliente deveria morar próximo a algum centro de distribuição (cerca de 10 milhas = 16km) e fornecer suas coordenadas GPS. Ou, na versão "expandida" imaginada por Raptopoulos, poderiam ser construídos algumas estações (para pouso aonde haveria um reabastecimento ou troca dos drones), para poder cobrir uma área maior. Pelo menos para curtas distâncias, seria relativamente simples fazer isso.

Só que não.

Há algumas preocupações de segurança (física e tecnológica) que são relativamente complexas para viabilizar o projeto de entrega de mercadorias via drones, principalmente em áreas populosas:
  • Evitar que o drone atinja pessoas, seja por conta de falha, rota mal traçada, ou voar baixo? Ou mesmo durante o pouso;
  • Não custa lembrar que as hélices dos drones podem cortar ou causar ferimentos graves!!! Por isso, seria melhor adotar modelos aonde as hélices não ficam expostas;
  • Risco de falha no drone, que pode causar sua queda em pleno vôo. E, nessa hora, pode atingir alguém ou cair sobre alguma coisa, causando um dano maior. Imagine um drone caindo no meio de uma avenida movimentada...
  • O drone precisará desviar de coisas que podem atrapalhar o seu vôo, como objetos, árvores, edificações, antenas, pássaros ou até mesmo outros drones;
  • Há o risco do cliente malicioso, que vai fazer uma encomenda para tentar roubar o drone na hora em que ele  pousar;
  • Podem haver pessoas tentando capturar os drones para roubar o drone em si ou a mercadoria, e para isso pode tentar atingir o drone (um pouco difícil e arriscado), ou usar algum tipo de rede para capturá-lo. Além de lucrativo, pode ser algo divertido...
  • Há também o risco de alguém tomar o controle ou confundir os drones usando sinais de GPS adulterados ou uma ferramenta chamada SkyJack (um drone criado especialmente para interceptar e roubar o sinal de controle de outros drones - atualmente criado para os drones Parrot, mas que eventualmente pode ser adaptado para outros modelos);
  • Privacidade: Uma possibilidade para tornar o vôo drone mais seguro é que ele seja controlado por uma câmera. Mas aí, além da necessidade de ter uma pessoa pilotando cada drone (o que vai encarecer o projeto e dificultar o crescimento em escala, pois não há tantos pilotos de drone sobrando por aí), pode surgir uma discussão sobre privacidade, como bem lembrou a Wired. Quem garante que o drone não vai ver ou filmar coisas indevidas? Ou o operador do drone pode resolver dar uma paradinha no meio do caminho para dar uma "espiadinha" a lá BBB?

Mas a Wired fez outra crítica bem interessante sobre a viabilidade econômica do Amazon Prime Air: isso exigiria mudar a estratégia de estoque e distribuição da empresa, com um custo exorbitante e perdendo o ganho em escala.

O modelo de entrega no mesmo dia, pela necessidade de velocidade e agilidade, foge do modelo de negócios utilizado pelas grandes lojas, como a Amazon, que centralizam seus estoques em grandes centros de distribuição, que normalmente são poucos, localizados em pontos estratégicos e dependentes de terceiros que fornecem a estrutura de distribuição capilar (Como Fedex, Sedex, etc). No modelo desses grandes "hubs", a necessidade de se conectar com um carregador no mesmo dia demanda muito tempo e, na prática, inviabiliza uma entrega no mesmo dia. Além do mais, no modelo atual de distribuiçõa, um mesmo transportador pode usar um caminhão que entrega vários pedidos - em média, um caminhão medio da UPS pode entregar 120 pacotes. Para viabilizar a entrega via drones, A Amazon deveria construir centros de distribuição pequenos ou médios em áreas urbanas densas para tornar a entrega no mesmo dia viável, o que implicaria em um grande investimento, além de aumentar o custo total da empresa com estoque (cada centro local desses tem que ter um estoque de mercadorias).

Aqui no Brasil, talvez esse modelo funcionasse um pouco com a Americanas.com, pois além de ter seus centros de distribuição, ela também conta com centenas de lojas de bairro e lojas em shopping (várias delas foram herdadas com a compra da Blockbuster em 2007. A Americanas, ao contrário da Amazon, teria a capilaridade necessária para fazer entrega de alguns ítems (os mais comuns em suas lojas) através de drones locais. Ou através de entregadores usando bicicleta, né? #ficaadica

dezembro 01, 2013

[Cidadania] Dia Mundial de Luta contra a AIDS

Hoje, dia 01 de Dezembro, é mais um Dia Mundial de Luta contra a AIDS.

O que me chamou a atenção neste ano é que a data não mereceu praticamente nenhum destaque nos grandes portais da Internet: UOL, IG e Terra. No máximo, uma única chamadinha muito discreta para alguma matéria relacionada a AIDS pode ser vista no UOL e no IG. A data não é citada nem mesmo no site oficial do governo, o aids.gov.br, que ten apenas uma chamada tímida para uma única notícia sobre o assunto. Foi difícil até mesmo achar notícias ou imagens recentes para eu usar neste post :(

Por outro lado, andando por São Paulo pude ver alguns monumentos iluminados de vermelho nestas últimas noites, em homenagem ao dia de hoje. Ainda bem que nem todo mundo esqueceu desta data...

Mas será que a AIDS desapareceu das nossas vidas assim como sumiu da mídia? Acabou? Não é o que dizem as estatísticas recentes da doença:
  • A AIDS matou 1,6 milhão de vítimas em 2012 em todo o mundo, depois de alcançar um auge de 2,3 milhões em 2005;
  • No Brasil as mortes caíram 38,9% entre os anos de 2001 e 2012;
  • O número de novos infectados no mundo foi de 35,3 milhões de pessoas no ano passado, apenas 200 mil novos casos a menos do que no ano anterior;
  • O número de infectados no Brasil em 2012 foi de 530 mil.
Ou seja, o número de mortes por AIDS no mundo caiu drasticamente nos últimos anos, graças aos novos remédios e ao sucesso dos tratamentos, que conseguem controlar a doença e garantir uma certa qualidade de vida para as pessoas que convivem com o vírus. Mas o número de pessoas infectadas pelo vírus do HIV continua alto: só no Brasil, isso representa mais de 1.400 pessoas por dia!

O que me emocionou, na verdade, foi ver três amigos que resolveram retomar as ações da Hackers Construindo Futuro (HCF), e ontem foram visitar uma creche para crianças carente em Carapicuiba, o LAP - Lar Amor ao Próximo, que recebe crianças portadoras do vírus do HIV.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.