fevereiro 25, 2014

[Cyber Cultura] Social Media Guard

Putz, precisava ser a Coca-Cola a dar esse "tapa na cara"? Nesse vídeo bem-humorado, a gigante do consumo faz uma crítica ao vício na Internet, cada vez mais constante no nosso dia-a-dia. Para tirar as pessoas da frente dos smartphones e trocarem a interação online pela boa e velha interação pessoal, cara a cara, ela "lançou" o Social Media Guard:



Agora, falemos sério: pare tudo o que você está fazendo, não importa aonde você esteja. Olhe a sua volta e veja quantas pessoas estão com o smartphone colados na cara. É assustadoramente surpreendente.

Segundo a descrição do vídeo, a cada mês o mundo todo gasta o equivalente a 4 milhões de anos online.

Recentemente fui jantar com uns amigos e amigas, e uma delas levou a filha de 12 anos: do momento que saímos até a hora em que voltamos, a garota não tirou os olhos do smartphone!!! Fomos em um barzinho na Vila Madalena e, enquanto comíamos, bebíamos e conversávamos, a garota ficou o tempo todo no smartphone. A coisa era tão séria a ponto da mãe dela ter pedido para a garota apenas uma garrafa de água, que ela nem viu nem bebeu.

Conversando recentemente com outro amigo, levantamos a seguinte dúvida: Será que o número de acidentes de carro aumentou porque as pessoas ficam olhando no Waze (ou no GPS)? Acredito que sim.

#preocupado

fevereiro 20, 2014

[Cyber Cultura] Hackathons

Cada vez mais comuns, os Hackathons são "maratonas de hacking", ou seja, encontros de programadores que desenvolvem, sozinhos ou coletivamente, novos aplicativos para resolver problemas específicos de forma inovadora.

O interessante é que os Hackathons estão ajudando a desmistificar o aspecto negativo muitas vezes associado ao termo hacker, pois os Hackathons estão diretamente relacionados a valores como a criatividade e a inovação.


O primeiro Hackathon foi organizado pelo Yahoo em 2005 e popularizado através de diversas competições promovidas pelos gigantes da tecnologia, como Facebook e Google. Neste ano, já existem mais de 1.500 hackthons programados para acontecer em todo o mundo. Durante essas maratonas, equipes de programadores e desenvolvedores de software se reúnem voluntariamente e por prazer durante várias horas ao redor de seus computadores, com objetivo de criar novas aplicações e aplicativos, normalmente para a plataforma Web e para smartphones. Ao final do evento, um júri seleciona os vencedores, que ganham prêmios.

fevereiro 19, 2014

[Cyber Cultura] A imprensa e a Internet, em 1981

Este vídeo mostra uma reportagem de 1981 sobre como a imprensa americana estava começando a adotar as redes de comunicação para divulgação de notícias, que posteriormente se transformaram na Internet que temos hoje.



O vídeo nos permite refletir sobre como as tecnologias de comunicação online mudaram nesses 30 anos e, o mais interessante, como a perspectiva da imprensa mudou com as mudanças tecnológicas. A tecnologia que parecia revolucionária e ao mesmo tempo inofensiva em 1981, após 30 anos tornou-se um dos maiores carrascos da imprensa tradicional, escrita. Leitores migraram em massa dos jornais impressos para os sites de notícia, enquanto a mídia tradicional cada vez mais é substituída pelas fontes alternativas de mídia.

Vejamos alguns comentários que foram feitos no final da reportagem e que ilustram bem o avanço da tecnologia:
  • A repórter diz que uma edição do jornal demorava 2 horas para ser abaixada. Hoje em dia um acesso equivalente é praticamente instantâneo;
  • Considerando o custo de conexão telefônica na época (5 dólares por hora), a repórter conclui que o jornal online nunca iria superar o jornal impresso, pois os usuários não iriam gastar cerca de 10 dólares por um jornal online já que a versão em papel custa 20 centavos.

OBS: veja rápido o vídeo, intitulado "News report from 1981 about the Internet", pois a primeira versão que eu vi dele já foi retirada do ar!

fevereiro 13, 2014

[Segurança] Ataques DDoS cada vez mais parrudos

No ano passado a imprensa fez o maior estardalhaço por causa de uma série de ataque de DDoS que atingiu o site Spamhaus e chegou a um pico de 300 Gbps (gigabits por segundo), um valor absurdamente grande para a época.

Seria o fim da Internet? Vamos voltar a idade do lápis e papel? Idade da pedra?

Exageros a parte, o problema não para de crescer:

O super-hiper-mega ataque DDoS contra a Cloudfare, o maior registrado até o momento por enquanto, foi realizado por 4.529 servidores NTP rodando em 1.298 redes diferentes, apenas utilizando uma técnica já conhecida e que recebeu o nome de "NTP Reflection".



O "NTP Reflection" utiliza a técnica de amplificação de pacotes através do uso de servidores de Network Time Protocol (NTP) - veja também o alerta do US-CERT que descreve o ataque. É uma técnica conhecida, com direito até mesmo a script em Python no github. E, o pior: este ataque explora servidores NTP vulneráveis (versões inferiores a 4.2.7p26), para os quais existe correção desde abril de 2010. Para saber se o seu servidor NTP está vulnerável, visite a página do NTP Scanning Project.

Vários serviços baseados no protocolo UDP podem ser utilizados para realizar ataques de DDoS através da técnica de amplificação, principalmente o DNS e, como vimos agora, o NTP. Eles se aproveitam, primeiro, do fato de que o UDP permite enviar diversos pacotes independentes, sem controle do status da conexão (e, portanto, mais facilmente burláveis e mais difíceis de detectar e bloquear - quando sua ferramenta de segurança vê o pacote passar pela rede, no mesmo instante ele já chegou no destino), e também de vulnerabilidades nos protocolos que permitem a recepção e resposta a requisições de origem anônima ou com endereço IP falsificado. Desta forma, um atacante pode enviar um pacote UDP para um servidor, com endereço de origem falsificado para parecer com o da vítima, e o servidor vai responder diretamente para a vítima.

A amplificação acontece porque o pacote de resposta é maior do que o pacote original: no caso do DNS, para cada byte enviado, a resposta pode ter de 28 a 54 bytes. No caso do NTP, a resposta pode ser 556,9 vezes maior, segundo estimativas do US-CERT. Comparando os ataques contra a Cloudfare e contra Spamhaus no ano passado (30.956 DNS resolvers que geraram um ataque de 300Gbps), o uso do NTP Reflection permitiu um ataque 33% maior com apenas 1/7 do número de servidores vulneráveis.

A moral da história é que a cada dia surgem novas formas de ataques, o que faz com que tenhamos sempre que tomar cuidado com nossa infra-estrutura. Ataques gigantescos como o da Cloudfare são raros, felizmente, mas mostram como os limites dos atacantes são flexíveis e estão sempre aumentando o nosso risco. A Prolexic divulgou algumas estatísticas e um infográfico que resumem quais foram os maiores ataques DDoS que a empresa mitigou no ano passado:
  • Q1 2013: Ataque de 130 Gbps de banda direcionado a uma empresa de serviços financeiros 
  • Q2 2013: Ataque de 144 milhões de pacotes por segundo direcionado a uma empresa de serviços financeiros 
  • Q3 2013: Ataque de 111 Gbps direcionado a uma empresa de midia/entretenimento 
  • Q4 2013: Ataque de 179 Gbps direcionado a uma empresa de midia/entretenimento

Nota: este post foi enriquecido com várias referências que o Sandro Suffert compartilhou sobre o assunto em uma lista de discussão.
Nota 2: Post atualizado em 14/02, com correção de alguns erros de digitação.

[Cyber Cultura] Laboratório Hacker da Câmara dos Deputados

Nos dias 18 e 19 de Fevereiro ocorrerá a inauguração do Laboratório Hacker da Câmara dos Deputados (página no Facebook), um espaço para promover a interação entre a população e o congresso através do mundo digital, com o acesso e uso de dados abertos e das tecnologias livres no governo, além de promover a participação colaborativa da sociedade através da tecnologia.

A agenda de 2 dias inclui rodadas de apresentações e debates sobre "o que" e "como" ele deverá funcionar, e contará com a participação de várias pessoas relacionadas ao movimento de dados abertos, hackerspaces, "casas de cultura digital", ciber ativismo e transparência governamental.

O Laboratório Hacker (ou Ráquer) irá contar com um espaço físico aberto ao público e pretende fomentar a interação dos diversos órgãos da Câmada dos Deputados com a sociedade através das redes sociais e de ações cívicas como as "maratonas hacker", que permitirão utilizar os dados da gestão pública para ações da cidadania, e de forma colaborativa.



A iniciativa pretende estimular o trabalho colaborativo entre os cidadãos, o Parlamento e o próprio ambiente organizacional da Câmara. Os 3 principais desafios que o laboratório tem que assumir são: auxiliar no processo de gestão do e-democracia (espaço digital da Câmara onde os cidadãos participam de debates), desenvolver uma inteligência em relação às redes sociais para o Parlamento ouvir melhor os brasileiros, e criar novas plataformas de interação com maior transparência através do Laboratório Hacker.

Atualização (21/02): A inauguração do LabHacker da Câmara foi um grande sucesso e contou com participação do pessoal do Garoa Hacker Clube, do Tarrafa (hackerspace de Florianópolis) e de mais algumas ONGs relacionadas a cultura livre, transparência, etc. e teve um pouco de cobertura e vídeos da mídia:






fevereiro 11, 2014

[Cyber Cultura] The Day We Fight Back

O dia de hoje, 11 de fevereito, foi escolhido para marcar os protestos em todo o mundo contra o esquema de espionagem e vigilantismo criado pela NSA. É um movimento global para exigir o fim da vigilância em massa realizada por qualquer país, independente de fronteiras ou de princípios políticos.




Os protestos são centralizados em divulgar o site e a campanha chamada de "The Day We Fight Back" (ou, em Português, "O dia em que contra-atacamos"), que propõe estimular as pessoas a enviarem mensagens, fazerem telefonemas ou assinarem petições online direcionadas ao governo americano, para que este reduza os poderes de vigilância massiva que foram dados para a NSA.



Um dos objetivos da campanha também é divulgar os 13 Princípios Internacionais sobre a Aplicação Dos Direitos Humanos na Vigilância Das Comunicações, que explicam porquê a vigilância em massa é uma violação dos direitos humanos e que destacam a privacidade como um direito a ser protegido.

O vídeo abaixo, em espanhol, explica muito bem e de forma resumida a questão da vigilância em massa na Internet.

fevereiro 07, 2014

[Cidadania] 2014, o ano que não deveria existir

Alguém deveria soltar um decreto dizendo que amanhã é 2015. Sim, vamos pular 2014. Copa? Decidimos o vencedor no sorteio. Eleições? No palitinho. Vamos fazer de conta que 2014 nunca aconteceu.

Digo isso porque 2014 concentrou uma enorme quantidade de acontecimentos, que potencialmente transformarão este ano em um caldeirão explosivo aqui no Brasil. Vejam só:

  • Ano da Copa do Mundo no Brasil, como todos já sabemos. Hospedar a Copa no nosso país é algo muito legal, mas o problema é que a construção dos estádios consumiu bilhões de reais dos cofres públicos - mais precisamente, 8 bilhões de Reais, ou 3 vezes o valor previsto em 2007 (sim, tivemos 7 anos para nos preparar para a Copa !!!). A grande maioria condenada a se transformar em verdadeiros elefantes-brancos após a Copa. Isto sem falar nas obras atrasadas dos estádios, potencialmente super faturadas, e nas escassas obras de melhoria nos aeroportos e de mobilidade urbana nas cidades que vão hospedar os jogos. E o trem-bala? O provável resultado disso é que presenciaremos um verdadeiro caos pelo país por conta da movimentação da torcida e de pessoas durante a temporada de jogos;
  • Ano de Eleições para governadores, congresso e Presidente, o que acirra o ânimo dos políticos de situação e oposição, que estão babando para criar qualquer tipo de acusação ou factóide contra os partidos adversários;
  • Neste ano fazem 50 anos do golpe militar de 64, o que certamente tem um significado especial para os militares e para os opositores aos militares. Preparem-se para cada vez mais vermos frases aclamando a volta dos militares ou dizendo que o Brasil era melhor durante a ditadura. Já há rumores até de um general se candidatando a eleição para presidente!

Estou só pensando nos grandes acontecimentos que tenso este ano. Não estou considerando a possibilidade de apagão energético, nem o conflito sócio-econômico causado pelos "rolezinhos", etc.

E, como se este conjunto explosivo de eventos não fosse suficiente, temos vários "estopins" prontos para explodir tudo, em função dos prováveis protestos que teremos pela frente. Desde o ano passado, a população percebeu que pode ir às ruas protestar. As manifestações populares que vimos durante a Copa das Confederações devem se repetir este ano, a medida que a Copa do Mundo se aproximar e a população lembrar do super faturamento e da "sub finalização" das obras da Copa. E aí entra uma galera pronta para quebrar tudo:
  • Os "Black Blocks", grupos de manifestantes dispostos a depredar o patrimônio público como forma de protesto e dispostos a agir com violência;
  • As forças policiais, que agora já estão se preparando para reprimir as manifestações e os Black Blocks, e já estão acompanhando e monitorando estes movimentos através da Internet;
  • Os nossos governantes, que tem grande interesse em reprimir os protestos durante a Copa do Mundo para não queimar a imagem deles frente a imprensa internacional;
  • Os partidos políticos, que querem utilizar estas manifestações como massa de manobra e direcionar os protestos contra ou a favor de grupos específicos, manipulando a opinião pública e se infiltrando nos protestos.


Me desculpem se sou pessimista, mas não vejo como isso tudo pode dar certo... Acredito que presenciaremos muitas manifestações, muita tentativa de manobra pelo governo e pelos partidos políticos, e muita repressão policial em todo o país :(

fevereiro 04, 2014

[Cyber Cultura] Programação Orientada a Gambiarra

Esta é uma ótima apresentação sobre Programação Orientada a Gambiarra (POG), uma técnica milenar de desenvolvimento de código usada mundialmente.




A POG surge quando os desenvolvedores utilizam artimanhas inesperadas ou ineficientes para resolver ou corrigir programas, de forma deselegante ou até mesmo incompreensível para outros programadores. Ela inclui diversas técnicas, que são mostradas na apresentação acima.


Mas acalme-se, a Programação Orientada a Gambiarra não é uma técnica de verdade, ou seja, não é séria. Foi criada como uma sátira as más práticas de programação, geralmente fruto de programadores com baixa capacitação ou projetos mal especificados, elaborados e documentados. O maior problema da POG, para nós que trabalhamos com segurança da informação, é que um software mal desenvolvido tende a ter mais frequência de bugs e vulnerabilidades.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.