fevereiro 27, 2015

[Cyber Cultura] Poema com Números

Segue um pequeno poema, publicado há alguns anos atrás em um pequeno blog sobre matemática.

M473M471C0 (53N54C1ON4L):
4S V3235 3U 4C0RD0 M310 M473M471C0.
D31X0 70D4 4 4857R4Ç40 N47UR4L D3 L4D0
3 P0NH0-M3 4 P3N54R 3M NUM3R05.
C0M0 53 F0553 UM4 P35504 5UP3R R4C10N4L.
540 5373 D1570, N0V3 D4QU1L0...
QU1N23 PR45 0NZ3...
7R323N705 6R4M45 D3 PR35UNT0...
M45 L060 C410 N4 R34L
3 C0M3Ç0 4 F423R V3R505 D3 4M0R
C0M R1M4 0U 4T3 53M R1M4 N3NHUM4

O poema acima usou o dialeto conhecido como "leetspeak", que é muito popular na cultura hacker.

fevereiro 26, 2015

[Cyber Cultura] MariaLab, um hackerspace de mulheres para mulheres

Diversas mulheres que trabalham com tecnologia estão se juntando para montar o MariaLab, que é um hackerspace, um espaço coletivo e aberto para a criação e troca de conhecimento, com foco em projetos voltados para o público feminino. É um espaço criado por mulheres para mulheres.

A idéia de criar um hackerspace para o público feminino não é nova: o Mothership HackerMoms, na Califórnia, se descreve como o primeiro hackerspace para mulheres no mundo. E ela não surgiu a tôa: no Brasil e no mundo, as mulheres sofrem muito preconceito ao trabalhar na área de tecnologia e de TI. O preconceito vai desde ouvir constantemente comentários e piadas machistas ou sexistas, ou até mesmo na maior dificuldade que elas tem em alcançar melhores postos de trabalho e melhor remuneração.

A situação é tão grave que está ficando comum ouvirmos histórias de mulheres que abandonam a área de TI :(

Para saber mais sobre o MariaLab, visite também a página delas no Facebook.

fevereiro 24, 2015

[Segurança] Aspectos jurídicos da Cloud Computing

O Dr. Walter Capanema realizou uma palestra sobre os aspectos jurídicos da Cloud Computing no palco de Segurança e Redes da Campus Party. O Walter é advogado especialista em crimes cibernéticos e diretor do capítulo brasileiro da Cloud Security Alliance (CSABR).

O pessoal da Campus já disponibilizou o vídeo da palestra, aonde ele falou sobre as preocupações que devemos ter com os contratos com os provedores de serviços na nuvem, os riscos com o surgimento da Internet das Coisas (IoT), o risco de espionagem versus a  importância da proteção à privacidade, o impacto do Marco Civil para o mercado de Cloud (e a preocupação com a neutralidade da rede) e o nosso Projeto de Lei sobre Cloud Computing (PL 5.344/2013). A qualidade do som e da imagem está muito boa :)



O Walter Capanema levanta vários pontos interessantes em sua palestra, como por exemplo:
  • Estamos confiando demais na nuvem!
  • O modelo de negócio da Computação em Nuvem pode acabar prejudicando o consumidor, a partir do momento em que somos obrigados a usar softwares na nuvem e manter nossos dados lá, pois acabamos dependentes deste serviço;
  • Do ponto de vista de segurança, também ficamos totalmente dependentes da segurança embutida no serviço da nuvem - e, consequentemente, de suas vulnerabilidades.
A palestra veio em uma boa hora, pois a ISO/IEC deve lançar ainda neste ano uma regulamentação específica para Cloud Computing, a ISO/IEC 27017 ("Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services").

fevereiro 23, 2015

[Segurança] Os Elbonianos hackearam nossa empresa !!!

O Scott Adams lançou uma pequena sequencia de quadrinhos entitulada "Elbonians hack Dilbert's company network Series".

De uma forma bem divertida, nesta pequena série o Dilbert é encerregadode ir até a Elbônia e destruir a Internet do país, em retalhação a um ciber ataque que sua empresa sofreu.





Qualquer semelhança com o caso da invasão da Sony Pictures deve ser mera coinciidência. Ou não ;)

fevereiro 20, 2015

[Segurança] Superfish

Um grande escândalo abalou a indústria de TI: a Lenovo foi acusada de instalar um adware em seus notebooks, batizado de Superfish.

Pelo menos desde 2010, a Lenovo tem pré-instalado o spyware Superfish VisualDiscovery em alguns de seus notebooks. Este software intercepta a navegação web dos usuários para fornecer anúncios direcionados, e por isso é chamado de "adware". Algo desagradável, né?

Mas o problema não para por aqui. É bem pior do que isso, na verdade: para também conseguir interceptar comunicações encriptadas (acesso a sites com o HTTPS), o Superfish instala um certificado auto-assinado de CA raiz confiável, e assim consegue interceptar a comunicação com um ataque clássico de Man-in-the-Middle, ou seja, descriptografando e re-criptografando a comunicação para o navegador. Para piorar mais ainda: como é possível recuperar a chave privada do certificado usado pelo Superfish, um ciber criminoso pode gerar um certificado digital para qualquer site (como sites falsos de banco), que serão acessados pelo usuário sem qualquer tipo de aviso de erro no browser.

A Lenovo já adimitiu o problema e disse que vai ajudar os usuários a desinstalar o Adware. Eles já emitiram um alerta de segurança para seus clientes, com instruções de como remover o Superfish.

Também é possível verificar se o seu notebook possui o Superfish através do site https://lastpass.com/superfish/.

Para um pouco mais de informações, eu recomendo uma leitura do FAQ criado pelo pessoal da Tripwire.

Nota (24/02): A Lenovo está trabalhando em conjunto com a Microsoft e fabricantes de anti-vírus para incluir o Superfish na lista de malwares e, assim, automatizar a remoção dele.

fevereiro 19, 2015

[Cyber Cultura] Open Data Day

O Open Data Day é um evento mundial organizado pela Open Knowledge para promover a cultura dos dados abertos, que vai acontecer em várias cidades no dia 21 de fevereiro.

Neste dia irãoacontecer mais de 100 eventos simultaneamente em mais de 50 países, com o objetivo de difundir a cultura do conhecimento livre e estimular o uso dos dados abertos, principalmente em governos. A programação pode variar de cidade em cidade, com atividades gratuitas relacionadas a dados abertos tais como palestras, oficinas, ações para estimular a publicação de dados públicos, desenvolvimento de aplicativos para captura, visualização e análise de dados, criação de mapas colaborativos, etc.

O principal objetivo é sensibilizar os governos (e outros grupos ou organizações) para a importância de adotarem políticas de dados abertos, ou seja, transparência e abertura de informações online, permitindo assim o uso da tecnologia para uma melhor participação da comunidade no governo e nas políticas públicas.

fevereiro 18, 2015

[Cyber Cultura] Como montar um hackerspace na sua cidade

Durante a Campus Party 2015 eu fiz uma apresentação sobre como montar um hackerspace na sua cidade no palco da comunidade de Software Livre, baseada principalmente na nossa experiência em criar o Garoa Hacker Clube, o primeiro hackerspace brasileiro.

Esta apresentação resume uma série de dicas que já disponibilizamos no site do Garoa, e já coloquei ela no meu Slideshare.



Eu também participei de um painel sobre hackerspaces na Campus Party (veja o vídeo abaixo) e fiz uma outra apresentação sobre hackerspaces, que foi uma pequena atualização do que apresentei no Roadsec São Paulo.

fevereiro 13, 2015

[Cyber Cultura] Hacker - o que é?

A maioria da população está acostumada a associar a palavra hacker a atividades criminosas :(


Isso não acontece a tôa, pois a imprensa constantemente utiliza a palavra hacker para se referir as pessoas que cometem crimes online, ou realizam atividades maliciosas em geral. E isso não acontece há pouco tempo. Desde o início da popularização das redes de comunicação nos anos 80, a atividade phreacker e hacker nos EUA começou a florescer e se popularizar entre diversas comunidades de amantes de tecnologia. Temendo o crescimento descontrolado dessa nova cultura, as empresas e o governo americano começaram a criminalizar fortemente estas atividades e, assim, popularizaram a visão negativa dos hackers.
 
Através do tumblr da Fa Conti, eu vi um vídeo bem curto, objetivo e bem feito do sociólogo Sergio Amadeu, que explica rapidamente o que é hacker e a como a cultura hacker influencia e foi influenciada pelos movimentos sociais. Ele destaca um dos valores básicos da cultura hacker, que é o compartilhamento do conhecimento, e também a aproximação da cultura hacker com causas sociais e políticas.

fevereiro 11, 2015

[Segurança] Roadsec divulga a agenda para 2015

O pessoal do Roadsec não dorme em serviço !!!

Após uma excelente sequencia de eventos em 2014, que culminou com um mega encerramento em São Paulo, o Roadsec acaba de anunciar sua agenda para 2015 e volta com todo gás: serão realizadas edições em 15 cidades, incluindo alguns estados que não receberam o evento no ano passado, como Mato Grosso do Sul, Amazonas, Sergipe, Rio Grande do Norte e Santa Catarina!

Confira a agenda do Roadsec 2015:

O Roadsec 2015 começa no final de março em Campo Grande (MS), na Anhanguera UNIDERP, prometendo novidades para a temporada deste ano: novas oficinas, novos palestrantes e novas competições. O Roadsec está dividido em 4 eixos: Roadhack (oficinas como Drone e Lock Picking), Roadsec Race (nova competição criptográfica patrocinada pela Thales Security, valendo viagem para o encerramento em São Paulo), o Hackaflag (competição de Capture the Flag, que foi um grande sucesso em 2014) além das palestras, com palestrantes locais e de todo o Brasil.

O Call for Papers está aberto para palestrantes de todo o Brasil.

fevereiro 10, 2015

[Segurança] Chega a conta para a Sony Pictures

Em Dezembro de 2013 ficamos sabendo do roubo de dados da Target. No final de Novembro de 2014 a vítima foi a Sony Pictures Entertainment, da qual teriam sido roubados 100 TBytes de informações, incluindo e-mails e dados pessoais dos funcionários, executivos, e contratados e alguns segredos da empresa tais como as versões finais de alguns filmes.

A Target já gastou com a invasão 236 milhões de dólares até o terceiro semestre de 2014. Agora começou a chegar a conta para a Sony Pictures:
  • Até o final de Dezembro de 2014 a Sony Pictures já tinha gasto 15 milhões de dólares por causa do incidente, com a investigação e correção de problemas;
  • A diretora Amy Pascal foi afastada (foi dela o e-mail que vazou com comentários racistas sobre o presidente americano Barack Obama).
Porque não aproveitar e fazer uma pequena comparação dos dois incidentes?

Target Sony Pictures
Data do anúncio Dez/2013 Nov/2014
Tipo de ataque Roubo de Cartões e dados de clientes Roubo de dados corporativos
Meio de ataque Malware BlackPoS para infectar terminais de venda Destrover, um malware do tipo "wiper"
Duração do ataque 19 dias ?
Extensão do ataque 110 milhões de dados 100 TB de informações
Motivação Financeiro Ideológico / Vingança
Impacto financeiro
(Primeiros meses)
US$ 17 milhões US$ 15 milhões
Cabeças que rolaram CEO e CIO 1 Diretora

fevereiro 02, 2015

[Segurança] Panelinhas...

O Gustavo Lima, que sempre recheou seu blog com críticas a área de segurança, recentemente publicou um pequeno post criticando a baixa qualidade das pesquisas nacionais na área. O que me chamou a atenção, na verdade, foi a charge que ele utilizou no post, que achei hilária:



Esta charge, em minha opinião, reflete uma verdade universal no mercado de trabalho, qualquer que seja a área: não basta ter talento, é preciso conhecer e reconhecer o trabalho de seus pares, e ser reconhecido por eles. Ok, eu fiz uma interpretação extremamente positiva da charge acima. O extremo negativo também existe, e é conhecido por todos como ser "puxa saco".

O que diferencia um do outro é a sinceridade e a verdade por trás das opiniões. Ninguém consegue mentir para sempre, e até o mais talentoso dos mentirosos e puxa-sacos acaba sendo desmascarado mais cedo ou mais tarde.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.