agosto 31, 2014

[Segurança] Setembro é o Mês de Segurança

Diversas instituições no Brasil e América Latina vêm se movimentando para transformar Setembro no "Mês da Segurança".


O objetivo é realizar coletivamente diversas ações de conscientização, promovendo a educação dos usuáros finais, com o intuito de fomentar a cultura de segurança da informação e divulgar amplamente as ações promovidas pelas instituições que aderirem. O Mês de Segurança acontece anualmente durante todo o mês de setembro.

O pessoal da Rede Nacional de Ensino e Pesquisa (RNP) criou um hot site para divulgar esta ação e para fomentar a participação de outras empresas e instituições no Mês de Segurança. Eles disponibilizam um guia com instruções, material de apoio e um formulário para cada instituição cadastrar seu evento.

No dia 09 de setembro a RNP vai realizar também o Dia Internacional de Segurança em Informática (DISI), um evento que acontece anualmente com palestras para educar e conscientizar usuários finais. As palestras este ano serão focadas no tema da Computacão em Nuvem e redes sociais, que serão apresentadas em Brasília e transmitidas online, em tempo real.

agosto 21, 2014

[Segurança] Defcon: invadindo o Rio e Paris

Mal acabou a vigésima segunda edição da Defcon e já foi anunciado que no ano que vem o evento mudará de endereço: ele acontecerá de 06 a 09 de Agosto de 2015 em outro cassino em Las Vegas, o Paris. Como o nome indica, este hotel/cassino é decorado imitando a cidade de Paris, com direito a uma réplica do Arco do Triunfo e da Torre Eiffel na entrada.

Isso significa:
  • Mais espaço - embora o Rio seja bem grande, a Defcon tem crescido muito a cada ano. Neste ano, a Black Hat recebeu 9 mil executivos, e a Defcon atingiu o número record de 16 mil presentes.
  • O evento volta para um cassino na Las Vegas boulevard, a avenida principal de Vegas, aonde ficam a maioria dos grande cassinos e hotéis. Assim, o acesso ao evento fica mais fácil.
Neste ano foi comum encontrar salas lotadas e grandes filas na Defcon. A fila para registro, no primeiro dia, foi recorde: demoramos cerca de 3 horas para conseguir fazer a inscrição.


Um fato bizzarro este ano foi ver filas gigantescas no banheiro masculino, enquanto o banheiro feminino estava praticamente vazio. Coisas que a gente só vê em evento de TI...


[Cyber Cultura] Richard Stallman no TED

O Richard Stallman deu uma palestra sobre software livre no TEDx Geneva, realizado no dia 07 de abril deste ano. Nesta palestra, chamada "Introduction to Free Software and the Liberation of Cyberspace", ele descreve os pricípios básicos do movimento do software livre e sua importância na sociedade atual.



Vale a pena transcrever aqui quais são os 4 princípios básidos de liberdade que guiam o conceito de Software Livre:

  • Liberdade 0 - Liberdade de executar o programa como você desejar, com qualquer objetivo (ou necessidade)
  • Liberdade 1 - Liberdade de estudar o código-fonte do programa e alterá-lo, para que o software faça o que você quer que ele faça. Isto inclui o "controle coletivo", isto é, qualquer grupo de usuários deve ter a liberdade de alterar o código fonte do programa e adaptá-lo para as suas necessidades. 
  • Liberdade 2 - Liberdade de redistribuir as cópias exatas dos programas
  • Liberdade 3 - Liberdade de redistribuir as cópias das suas versões modificadas dos programas

Estas liberdades definem que os usuários controlam o programa, e não que os programas controlam os usuários. No caso do software proprietário, os desenvolvedores controlam os usuários, logo o programa se torna um instrumento para um poder que força uma injustiça entre o desenvolvvedor e o usuário. consequentemente, os softwares podem ter controle sobre os usuários, as vezes maléficos (como espionar o usuário, controlar seus dados, etc).

Segundo o Stallman, devido a importância dos computadores em nossa sociedade atual, o software livre se tornou um dos direitos humanos fundamentais de todos nós, que as sociedades devem proteger, junto com o direito a liberdade de expressão, liberdade de imprensa e a privacidade.

A palestra está disponível no YouTube, no site gnu.org e no site da Free Software Fundation. A propósito, o texto no site da FSF lembra que assistir este vídeo no YouTube te força a usar um Javascript proprietário ;)

agosto 20, 2014

[Cyber Cultura] Software Freedom Day

No dia 20 de setembro será realizado o Software Freedom Day (SFD), um evento para divulgar e ensinar o público sobre os benefícios do Software Livre.


O evento segue um modelo aonde são realizados pequenos eventos independentes pelo mundo todo, distribuídos em vários locais. Cada mini-evento se organiza em torno do tema Software Livre, realizando palestras, projetos e atividades diversas. Algumas palestras tem um cunho um pouco mais filosófico do que técnico.

O site do evento possui um mapa com os locais em todo o mundo: http://www.softwarefreedomday.org/map/index.php?year=2014

agosto 15, 2014

[Segurança] Secret bullying

Não demorou muito para dar problema...

Talvez os criadores do aplicativo Secret pensassem que ele seria algo bobinho: você poder compartilhar comentários e opiniões entre os amigos do Facebook de forma anônima. Poderia ser um segredo, um desabafo, um comentário engraçado, etc.



O aplicativo já é o mais abaixado na Apple (claro que existe também versão para Android).



Mas não demorou muito para descobrirem um uso malévolo para o aplicativo: falar mal dos outros. O Secret caiu como uma luva para pessoas interessadas em ofender, acusar ou fazer bullying anonimamente. Como os casos da professora ofendida pelos alunos ou da garota de 16 anos que teve fotos íntimas divulgadas pelo aplicativo. Outra garota, também de 16 anos, ficou sabendo por intermédio de amigos que o tamanho do seu nariz tinha virado assunto no aplicativo. E também teve repercussão o caso do jovem Bruno Machado, que entrou na Justiça após divulgarem uma foto íntima e frases ofensivas sobre ele.

O aplicativo permite denunciar publicações ofensivas ou inadequadas, mas também é possível a identificação dos usuários, através da Justiça. Isso porque a identificação do usuário pode ser feita facilmente pelos administradores do aplicativo, uma vez que ele está associado a uma conta no Facebook. Além disso, ele guarda informações de acesso como tipo de browser, horário, endereço IP, posts e páginas acessadas.

A própria política de privacidade do Secret diz que os administradores se reservam no direito de denunciar posts com conteúdo ilegal e podem fornecer as informações pessoais dos usuários em caso de requisição judicial:
"If the content of a Post can reasonably be considered illegal or unlawful (or it seems like the Post is being used to engage in, encourage or promote such activities), in which case we may report your identity to proper authorities in order to protect the rights, property and safety of Secret, our users and/or others"

"While we make it difficult to do so, it is still technically possible for us to connect your Posts with your email address, phone number, or other personal data you have provided to us. This means that if a court asks us to disclose your identity, we may be compelled to do so. If we do happen to receive a subpoena or court order requesting that we disclose your information, we will attempt contact you if reasonably feasible before we disclose any information to give you time to fight the subpoena in court."
Infelizmente o Secret virou um meio das pessoas ofenderem seus conhecidos, amigos e parentes próximos. Algo que vai dar bastante trabalho aos advogados especializados em crime cibernético. Não é culpa do aplicativo: ele apenas reflete a personalidade de quem o usa.

agosto 13, 2014

[Segurança] Homenagem ao Alberto Fabiano no TDC 2014

O Vida de Programador fez uma charge representando os principais profissionais de TI que participaram da organização do The Developers Conference (TDC), e lá há uma pequena homenagem ao Alberto Fabiano:

Achou ele? Não? Ele está lá no canto superior da charge, com a sua eterna camiseta do 2600:

O Alberto faleceu em julho do ano passado, poucos dias após participar do TDC, do qual era frequentador assíduo e criador da trilha de Segurança. Mas ele deixou um legado: o Garoa Hacker Clube participou do evento este ano, com uma "barraquinha" na área dedicada para startups e makers:





agosto 06, 2014

[Segurança] Roubo de senhas em caixas eletrônicos

Nos últimos dias eu vi alguns casos de dispositivos para roubo de senhas em caixas eletrônicos sendo compartilhados no Facebook. Tais dispositivos são conhecidos em inglês como "skimmer" e, no Brasil, como "chupa-cabra". Mas esse tipo de golpe é antigo: eu mesmo já bloguei sobre este assunto em 2009 e três vezes em 2010. O Brian Krebs já escreceu dezenas de artigos sobre isso em seu blog.

Um dos primeiros casos que eu me lembo de ter visto publicamente foi de um chupa-cabra instalado em um caixa eletrônico do Bradesco, que tinha um leitor de cartões colocado na abertura do cartão para copiar a tarja magnética e um porta-panfletos falso ao lado do caixa eletrônico, que escondia uma pequena câmera para o criminoso gravar as senhas digitadas pelos clientes.



Uma técnica comum de fraude em caixas eletrônicos consiste em bloquear a saída de dinheiro (dispenser) para evitar a saída das notas. Desta forma, o cliente acha que o caixa eletrônico está com defeito e não deixou o dinheiro sair. Em seguida o criminoso retorna ao local para retirar o bloqueio e pegar o dinheiro.



O vídeo abaixo mostra um dispositivo colocado na frente da saída de dinheiro imitando a saída original do caixa eletrônico, mas que bloqueia a saída das notas.


Frequentemente os criminosos instalam o chupa-cabra na frente da leitora de cartões do caixa eletrônico e, para capturar a senha, instalam um teclado falso ou, mais normalmente, utilizam uma pequena câmera para gravar o cliente digitando sua senha.



O vídeo abaixo, de uma TV Colombiana, mostra um caixa eletrônico aonde o criminoso colocou uma leitora falsa sobre a original, inclusive feita com o memso material transparente. Uma micro câmera foi escondida dentro do dispositivo usado para esconder a digitação da senha.


Um tipo de golpe assustadoramente comum, mas muito complexo, é criar uma frente falsa de caixa eletrônico, que faz ao mesmo tempo a leitura do cartão de débito e intercepta a digitação da senha. A complexidade é tanta que tais dispositivos tem uma tela falsa, que simula a tela original do caixa eletrônico. Alguns destes dispositivos enviam os dados roubados via comunicação wireless (wi-fi ou pela rede de telefonia celular).

Em 2010 a Polícia Civil do Rio de Janeiro apreedeu um equipamento deste tipo e o batizou de "Robocop". Ele simulava uma frente completa de um caixa eletrônico e, assim, era capaz de copiar de uma única vez os dados dos cartões de débito e as senhas dos clientes. Segundo a polícia, o equipamento custava em torno de R$ 60 mil no mercado negro de São Paulo.

Recentemente um dispositivo assim foi encontrado em um banco no Espírito Santo.



Este vídeo, que eu vi no Facebook, mostra um dispositivo similar:
\



Não custa lembrar uma dica importante: se você suspeitar de um caixa eletrônico, seja discreto e saia imediatamente do local. Somente ligue para a polícia quando estiver bem longe. Não tente bancar o herói nem queira sair na TV. Os criminosos gastam muito dinheiro para comprar um equipamento de chupa-cabra,e muitos deles não ficam contentes quendo alguém acaba com a festa deles.

Para saber mais sobre fraudes em caixa eletrônicos usando chupa-cabras, visite a página "All About Skimmers" do fabricante de dispositivos anti-skimming ase-ng, e visite também o blog do Brian Krebs.

Ah, embora este post tenha sido dedicado ao tema de chupa-cabras para o roubo de senhas via um dispositivo físico, nos úntimos anos temos ouvido cada vez se falar mais sobre o desenvolvimento de malwares específicos para infectar caixas eletrônicos, Ou seja, há muita emoção no ar, para todos os gostos ;)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.