março 31, 2015

[Cyber Cultura] O e-commerce em 2014

O pessoal da consultoria E-bit lança, todo ano, um relatório muito completo sobre a evolução do mercado de e-commerce Brasileiro.

Batizado de WebShoppers, o relatório mostra o crescente amadurecimento do setor de e-commerce no Brasil, tanto na melhoria do lado das lojas (que, por exemplo, estão melhorando a experiência de navegação e compra), quanto no lado dos consumidores, que estão mais confiantes nas compras online e já apreenderam a aproveitar suas vantagens, como a praticidade, os descontos, a variedade de produtos e a facilidade de receber a mercadoria em casa.

O relatório de 2015 destacou que 2014 trouxe resultados bastante positivos para o comércio eletrônico brasileiro, e apresentou várias estatísticas sobre o mercado:
  • 51,5 milhões de consumidores fizeram compra pela Internet em 2014, sendo 10,2 milhões de estreantes (consumidores que tiveram sua primeira experiência de compras online);
  • Ao todo, o Brasil soma 61,6 milhões de e-consumidores únicos, aqueles que já fizeram ao menos uma compra online;
  • O faturamento do setor em 2014 foi de R$ 35,8 bilhões, um crescimento de 24% em relação a 2013;
  • Foram realizados 103,4 milhões de pedidos (um crescimento de 17% );
  • O tíquete médio das vendas foi de R$ 347, valor 6% acima do registrado em 2013.
  • As cinco categorias mais vendidas são: moda e acessórios (17% de participação no volume de pedidos), seguida por cosméticos e perfumaria/cuidados pessoais/saúde (15%), eletrodomésticos (12%), telefonia e celulares (8%) e livros e Revistas (8%);
  • Algumas datas importantes para o varejo: as compras de Natal (15 de novembro a 24 de dezembro) renderam ao comércio eletrônico R$ 5,9 bilhões, enquanto a Black Friday teve faturamento, em um único dia, de R$ 1,16 bilhão;
  • O mobile commerce (m-commerce) já representa 9,7% das compras pela Internet no Brasil;
  • Cesceu a participação de sites internacionais na preferência dos brasileiros: 4 em cada 10 brasileiros efetuaram alguma compra em lojas virtuais internacionais no último ano, com destaque para os Chineses, por oferecer produtos com preços mais baixos;
  • A E-bit prevê que até o final de 2015 o e-commerce alcance um faturamento de R$ 43 bilhões, 20% maior que o ano passado.

março 30, 2015

[Segurança] O maior Hacker de todos os tempos... da última semana...

A imprensa adora criar e utilizar títulos superlativos. Já tivemos o maior ataque DDoS de todos os tempos, o maior cyber crime da história e recentemente tivemos o maior roubo de e-mails e uma entrevista no programa do Danilo Gentili com o "maior hacker brasileiro".



Na entrevista no "The Noite", o tal Daniel Nascimento contou um pouco de sua vida e divulgou seu livro "DN pontocom - A Vida Secreta e Glamourosa de Um Ex-Hacker" (site), lançado no final do ano passado pela Idea Editora. Em 2004, aos 15 anos de idade, ele foi considerado o "melhor hacker do Brasil".

Ele se especializou em ciber crimes, fazia parte de um grupo criminoso até que foi preso em 2005 na Operação Ponto Com da Polícia Federal. Essa quadrilha era especializada em fraudes eletrônicas através do roubo de senhas por phishing e keyloggers, e o Daniel era o cara técnico do grupo. Eles atuaram por pelo menos um ano até serem presos, causando prejuízo estimado em R$ 1 milhão por mês. Pelo menos um dos membros do grupo continuou fazendo fraudes eletrônicas e foi preso novamente em 2008.

O caso do Daniel pode trazer a discussão de como avaliar quem é um bom e um grande "hacker". Pelo jeito, a imprensa "mede" o hacker pela quantidade de dinheiro roubado através de ciber crimes. Se foi preso, é melhor ainda. Ou seja, é a eterna e infeliz associação da imagem do "hacker" ao criminoso.

O Daniel ganhou o título de "maior hacker do Brasil" (sic) por ter atacado a Telemar e ter derrubado o link Internet por alguns dias. Ele não foi avaliado por ter um grande conhecimento em tecnologia, segurança da informação, em cultura hacker ou qualquer coisa. Na entrevista seu conhecimento limitado sobre esses assuntos florece em alguns momentos. No início o Danilo Gentili pergunta se ele é um Cracker ou um Phreaker e o Daniel faz cara de que não entendeu o que é um Phreaker (hacker especializado em telefonia).

Aualização (02/04): incluí o endereço do site do livro do Daniel.

março 27, 2015

[Segurança] CryptoRave 2015

Eu acho o evento tão bom que resolvi publicar parcialmente o texto de divulgação deles. Neste ano o pessoal da CryptoRave está com uma campanha de financiamento coletivo no Catarse, aceitando doações apartir de R$ 10.
Site oficial:: https://cryptorave.org
Campanha financeira:: https://www.catarse.me/pt/cryptorave2015
Quando:: 24 e 25 de abril
Onde:: Centro Cultural São Paulo, em São Paulo, SP

Inspirada no movimento das CryptoParties, a CryptoRave é um esforço coletivo para difundir os conceitos fundamentais de privacidade e liberdade na Internet e o uso de ferramentas de proteção de informações pessoais. São 24 horas de conversas e aprendizagem na área de segurança digital e criptografia.

É o maior evento aberto e gratuito deste tipo no mundo e reúne hackers, ciberativistas e cipherpunks de diversas regiões e países em um único lugar, com mesas redondas, palestras e oficinas para aprofundar e qualificar o debate sobre a defesa da privacidade na Internet como questão fundamental à democracia.

Em 2014, mais de mil pessoas participaram da primeira edição da CryptoRave no Centro Cultural São Paulo. Foi o primeiro momento em que criptógrafos, hackers e defensores dos direitos humanos se encontraram com um público mais amplo para tentar trazer este debate sobre criptografia, segurança e privacidade de uma maneira acessível. O objetivo agora é que mais pessoas possam se envolver nesta luta pela liberdade na internet.

A internet está comprometida. As revelações do ex-analista da NSA, Edward Snowden, escancararam para o mundo aquilo que a comunidade hacker já desconfiava: nós estamos sendo constantemente monitorados e gravados. Articulado entre organizações poderosas de diversos países, o sistema de Vigilância em Massa opera à margem do Estado de Direito interceptando e monitorando o conteúdo de comunicações eletrônicas pelo mundo todo.

Este ano, queremos realizar um evento ainda maior, com mais trilhas de conhecimento, convidades internacionais e melhor infra-estrutura. Porém, para garantir um evento independente de verdade, temos em acordo uma política bastante restritiva de doações e um ideal onde todas as despesas da CryptoRave possam ser cobertas por contribuições individuais.

Vale lembrar que a CryptoRave é um evento organizado de forma voluntária, encabeçado pelos coletivos Actantes, Saravá, Escola de Ativismo e O Teatro Mágico, mas realizado colaborativamente por muitos outros parceiros e indivíduos. Os recursos arrecadados aqui serão utilizados única e exclusivamente para a melhoria do evento, e não haverá nenhum honorário, cachê ou outra forma de pagamento para a organização, organizadores ou pessoas convidadas.

Para a CryptoRave 2015, estamos planejando 7 ambientes diferentes, sendo 5 trilhas temáticas, incluindo Política, Tecnologia e Hacking, além dos já conhecidos espaços de InstallFest e Desconferência.

Além disso tudo, a Cryptorave é um evento hacker que tem festa de verdade. A famosa festa vai rolar no jardim do CCSP, com música de qualidade em umas das melhores vistas da cidade de São Paulo.

O Call for Papers da CryptoRave 2015 receberá as propostas de atividades (palestras, desconferências e oficina) até o dia 02 de abril. A proposta deverá conter Título, Descrição (até 5 linhas), Minibio do palestrante (até 2 linhas) e ser enviada para contato em cryptorave.org . A organização não poderá custear despesas.

Convidados internacionais:

  • PETER SUNDE - Fundador do The Pirate Bay 
  •  EVA GALPERIN - Analista e conselheira técnica da Electronic Frontier Foundation (EFF) e da Freedom of Press
  • KATITZA RODRIGUES - Ativista da Electronic Frontier Foundation (EFF)
  • MICAH ANDERSON - Desenvolvedor do projeto LEAP (https://leap.se/) e do sistema operacional GNU/Linux Debian
  • ANDRE MEISTER - Ativista pelos direitos digitais, jornalista investigativo



Links:

março 25, 2015

[Cyber Cultura] O dia em que a Polícia usou a máscara do Anonymous

Aconteceu na Romênia, em Fevereiro deste ano.



Cerca de 500 policiais realizaram um protesto em Bucareste contra a decisão do governo de reduzir o salário de uma parte dos policiais. Durante os protestos, eles usaram a máscara do V de Vendetta, hoje em dia associada mundialmente o grupo Anonymous. Segundo um dos policiais, a máscara era para indicar que eles permaneciam anônimos, apesar de trabalhar diariamente - e a intenção deles era ser visto e ouvido pelo governo. Veja o vídeo (mas não dá para entender nada!) e algumas fotos.


março 23, 2015

[Segurança] Os astrólogos e falsos profetas de Segurança da Informação

O Carlos Cabral escreveu um ótimo em seu blog, com o título de "Os Astrólogos de Segurança da Informação", aonde ele descreve sete "crenças" que, mesmo infundadas ou incorretas, são frequentemente utilizadas no mercado por profissionais pouco qualificados ou "falsos profetas".

Estas crenças acabam alimentando um discurso generalizante dos "astrólogos", que assim conseguem atender o interesse dos mais variados tipos de pessoas e, ao mesmo tempo, traz a impressão de ser algo personalizado. Muitas vezes são utilizados modismos, que aumentam o grau de convencimento do "astrólogo" frente a suas vítimas - isto é, clientes. Como disse o Cabral, "Sem refletir, esses profissionais [os clientes] acabam mergulhando em um sistema de crenças e caso algo dê errado a salvação está em alegar que se seguiu as "melhores práticas do mercado'".

O Cabral descreve as seguintes crenças:
  • A crença nas ferramentas: É talvez a busca pela "bala de prata", pela solução que vai nos salvar de todos os problemas de segurança. É fácil encontrar "histórias de organizações que dedicaram muito dinheiro na compra de soluções tecnológicas que, após sua instalação contribuíram pouco para a proteção das informações. Seja por problemas de interoperabilidade com sistemas legado, por falta de equipe treinada e/ou dedicada para administrar a ferramenta ou porque essa solução foi inserida em uma arquitetura mal desenhada, cheia de “puxadinhos” que são herança de ambientes do passado." Eu mesmo já vi empresas que, na incapacidade de resolver seus problemas de segurança através de ferramentas, elas... compram mais ferramentas !!! Mas não resolvem o real problema: organizar e conhecer o ambiente de TI, configurar corretamente as ferramentas existentes, corrigir processos, treinar o seu pessoal em conceitos básicos e em como usar as ferramentas que tem;
  • A crença de que o legado vai sumir: As aplicações e ambientes legado são algo que sempre farão parte da realidade das empresas, seja por evolução natural do negócio ou da infra-estrutura de TI. O erro está em não documentar corretamente o ambiente aual nem o legado, e achar que o ambiente legado um dia vai sumir ou não apresenta nenhum risco. Já trabalhei em uma empresa que um dos legados era um link de conexão que ligava a antiga "matriz", que existia por causa da comunicação de "alguma coisa" (que ninguém sabia o que era) com o mainframe da antiga matriz. Ninguém sabia o que trafegava naquele link e, por isso, não existia controle nenhum. Até um dia que entrou um vírus por lá (um desses vírus que infectam o mundo todo em poucos minutos). O legado também é mestre em ganhar "Band-Aid's": é mais fácil colocar um WAF na frente do servidor do que buscar falhas de segurança e corrigir uma aplicação;
  • A crença no discurso do terror: O mercado de segurança é baseado principalmente no discurso do medo. Esse é uma tática altamente convincente e muito fácil, principalmente porque diariamente surgem novas vulnerabilidades e recebemos constantemente notícias de empresas que foram atacadas - inclusive grandes empresas. As empresas deveriam comprar soluções baseadas em suas reais necessidades, identificadas por uma análise de risco. Em vez disso, buscam as soluções "da moda" para se proteger do "ataque do momento";
  • A crença na doutrina do compliance: O mercado está repleto de normas e regulamentações que são enfiadas nas empresas "pela goela abaixo", e isso se aplica em especial ao mercado de segurança. Quantas empresas não devem ter investido por causa do PCI, Sox (Sarbanes-Oxley) e HIPAA sem sequer terem lido essas normas e, eventualmente, nem serem afetadas por elas? É muito fácil vomitar uma sopa de letrinhas na cara do profissional desesperado;
  • A crença nas consultorias: O consultor é idealizado como a "fonte soberana e inesgotável de um conhecimento específico", e como destaca o Cabral, o problema é mais sério naquelas consultorias/auditorias globais gigantescas, que utilizam jovens profissionais recém-formados, obrigados a encarar jornadas de trabalho extenuantes, e são vendidos como consultores ultra-especializados; As empresas tem que tomar cuidado com os consultores que forneçam recomendações baseadas apenas em "templates", sem real experiência e sem conhecer de perto as necessidades da empresa. Já vi muitas empresas aonde o consultor mandava mais que que o pessoal interno, e certa vez eu vi uma empresa aonde o consultor queimou o gerente de TI e pegou o cargo dele;
  • A crença no Hacker Ético: O Cabral não aborda esta crença desta forma, mas o mercado adora a imagem do "hacker ético", do cara que sabe proteger simplesmente porque sabe atacar. E esta crença gera algo muito pior: a crença no PenTest (sigla para "Penetration Test", ou testes de invasão). É muito fácil achar uma falha de segurança e mostrá-la, e isso impressiona qualquer um - ou melhor, impressiona qualquer um com conhecimento baixo ou mediano. Mas estas 2 crenças (do Hacker Ético e da salvação pelo PenTest) ignoram o fato de que o atacante precisa encontrar uma única porta aberta para invadir, enquanto o defensor tem que proteger todas as portas e janelas (a chaminé e o porão também!). Ou seja, o conhecimento e o trabalho necessário para defender são muito mais extensos e complexos do que o necessário para conseguir realizar um ataque;
  • A crença nas certificações profissionais: Elas são um dos maiores benefícios e malefícios da área de TI. Embora as certificações profissionais permitam aos bons profissionais comprovar que tem bom conhecimento, elas também não identificam os maus profissionais, aqueles que tem pouca experiência, falhas éticas ou tinham apenas o conhecimento mínimo necessário para passar na prova. Como disse o Cabral, elas acabam sendo "um mecanismo de exclusão que divide os profissionais em castas". Assim, corremor o risco de vangloriar ou super valorizar um profissional apenas pelo seu certificado. E há profissionais que parecem o cachorro Mutley, que estão mais preocupados em ganhar "medalhas" (certificações) do que aprender algo ou gerar algum conhecimento.

Na minha opinião, faltou ao Cabral mencionar também a crença do ataque interno: este é um dos mantras da área de segurança: a maioria dos ataques são de origem externa, mas os ataques internos causam maior dano. Esse argumento é ótimo para vender ferramentas de segurança para vigiar a rede interna e os próprios funcionários.

Tais crenças servem como "muletas" para profissionais e gestores pouco capacitados: na falta de um real entendimento do nosso complexo e mutante mercado de segurança, fica mais fácil se apoiar em chavões, buzzwords, crenças e falsos experts do que buscar o conhecimento e, principalmente, o auto-conhecimento.

março 18, 2015

[Segurança] Fotos da Máquina Enigma

O Simon Singh, autor do livro "The Code Book", publicou em seu site um conjunto de fotos em alta resolução da Máquina Enigma - ou melhor, da Máquina Enigma DELE !!!

As fotos são sensacionais - muito bem feitas e capturam vários ângulos das máquinas.



As fotos estão disponíveis para uso não-comercial, e ele apenas pede que, quando utilizadas, seja dado o devido crédito: “Courtesy of Simon Singh“.

Vale a pena lembrar que o site da Wikimedia Commons também disponibiliza algumas fotos e diagramas da Máquina Enigma. Lá, as fotos que eu mais gosto são algumas fotos antigas da máquina em uso, durante a guerra.


março 16, 2015

[Cidadania] Os mitos sobre a Ditadura Militar no Brasil

A revista Super Interessante publicou uma ótima reportagem com os 10 mitos sobre a ditadura no Brasil (ou Por que você não deve querer que ela volte).


Desde a época da eleição presidencial tornou-se comum ver muita gente nas ruas e nas redes sociais clamando pela volta do regime militar - e ainda mais agora, quando muitas pessoas protestam a favor do impeachment da nossa presidenta. Na minha opinião, isso apenas mostra que, infelizmente, tem muita gente que não conhece a história do nosso país ou tem memória curta.


O interessante é ver pessoas jovens clamando pela volta da ditadura, pois são pessoas que, certamente, não viveram aquela época, não vivenciaram as reais vantagens e desvantagens do regime militar e simplesmente não sabem do que estão falando.

Eu vejo por mim como é impossível que algum jovem saiba sobre o que está falando quando defende a ditadura: tenho lá meus 40 anos e eu era uma criança na época do regime militar, ou seja, não tinha consciência nenhuma do que estava realmente acontecendo do ponto de vista político e econômico. As poucas coisas que me lembro daquela época são a imagem do General Fiqueiredo na TV, o programa do Viva o Gordo criticando os militares, alguns shows dos festivais de música (lembro de ter assistido a Tetê Espíndola pela TV), as aulas de Educação Moral e Cívica no colégio e o fato de que tínhamos que cantar o hino nacional toda a semana, enfileirados no páteo do colégio. Ou seja, eu me lembro de algumas coisas mas não posso dizer que sofri realmente as consequências (boas ou ruins) daquela época. Ah, também lembro que a TV só falava de dívida externa e vivíamos na época da inflação galopante, mas eu não tinha a menor idéia de como isso poderia impactar a minha vida, já que nem ganhava mesada dos meus pais (mas as vezes juntava moedinhas para comprar doces).

E eis que aparece essa reportagem da "SUPER" desmistificando os 10 principais mitos sobre a ditadura, para nos lembrar o que era realmente viver sob o regime militar e qual é a importância da democracia. Resumindo...
  1. “Não havia tanta criminalidade”: Isto não consta na reportagem da SUPER, mas eu ouço frequentemente. Quem diz isso esquece que o Comando Vermelho, a primeira grande organização criminosa brasileira, surgiu nessa época. Assim como os "esquadrões da morte", formado por policiais com objetivo de exterminar bandidos e fazer uma limpeza social (vide esta tese, pág 111). É difícil achar dados dessa época e mais ainda comparar com os dados atuais (pois o país, a população, a sociedade a economia e até a criminalidade mudaram muito), além de que a Justiça ser diferente naquela época: o regime militar iniciado em 1964 provocou importantes mudanças na estrutura do Poder Judiciário, em seu perfil e em suas atribuições. O AI-5, de 13/12/1968, por exemplo, suspendeu o instituto do habeas corpus e as garantias constitucionais da magistratura, além de excluir da apreciação judicial qualquer medida praticada com base em seus dispositivos (isto é, o Exército podia prender e não dependia da Justiça para isso). Houveram 60.703 prisões em 1973 contra 711.463 presos em todo o país em Junho de 2014 - um aumento de mais de 10x sendo que a população cresceu pouco mais de 2x nesse período (de 94 milhões para 203 milhões de habitantes). Mas esse dado pelo menos mostra que certamente havia criminalidade naquela época;
  2. “A ditadura no Brasil foi branda”: a ditadura brasileira não foi “mais branda” nem “menos violenta” que outros países latino-americanos como Argentina e Chile. Em todos os países ela foi sanguinária, pois direitos fundamentais do ser humano eram constantemente violados por aqui: torturas e assassinatos de presos políticos (e até mesmo de crianças) eram comuns nos “porões do regime”. Para quem acredita nesse mito, eu sugiro visitar o Memorial da Resistência, no centro de São Paulo;
  3. “Tínhamos educação de qualidade”: Naquele época havia um intenso controle sobre informações e ideologia – o que engessava o currículo – e disciplinas de filosofia e sociologia foram substituídas por Educação, Moral e Cívica e por OSPB (Organização Social e Política Brasileira), matérias destinadas à transmitir a ideologia do regime. Segundo o Inep, o Mobral (Movimento Brasileiro para Alfabetização) fracassou - e lembro que na época já era motivo de piada. Com o baixo investimento na escola pública, as unidades privadas prosperaram. O sucateamento também chegou às universidades: foram afastadas dos centros urbanos – para evitar “baderna” – e sofreram a imposição do criticado sistema de crédito. Isso sem falar na quantidade de professores universitários que foram presos, mortos ou exilados;
  4. “A saúde não era o caos de hoje”: O acesso à saúde era restrito: o Inamps (Instituto Nacional de Assistência Médica da Previdência Social) era responsável pelo atendimento público, mas era exclusivo aos trabalhadores formais (quem tinha carteira de trabalho assinada). Assim, cresceu a prestação de serviço pago, com hospitais e clínicas privadas. Em 1976 essas instituições abrangeram quase 98% das internações. Planos de saúde ainda não existiam e o saneamento básico chegava a poucas localidades;
  5. “Não havia corrupção no Brasil”: Em um regime de exceção, não havia conselhos fiscalizatórios, controle dos gastos nem denúncias de corrupção. Depois da dissolução do Congresso Nacional, as contas públicas não eram sequer analisadas. Além disso, os militares investiam bilhões e bilhões em obras faraônicas – como Itaipu, Transamazônica e Ferrovia do Aço -, sem nenhum controle de gastos. O ministro Armando Falcão, da ditadura, já adimitia que “o problema mais grave no Brasil não é a subversão. É a corrupção...”. A SUPER sugere buscar no Google termos como “Caso Halles”, “Caso BUC” e “Caso UEB/Rio-Sul”. Eu prefiro lembrar que o maior símbolo nacional da corrupção na cultura popular é o Sr. Paulo Maluf, filhote da ditadura, ex-governador biônico do Estado de São Paulo indicado pela ditadura, e ex-deputado da ARENA, o partido da ditadura. Também lembre-se que, com a censura cerrada em cima da imprensa, era praticamente impossível denunciar qualquer coisa contrária ao regime, incluindo casos de corrupção;
  6. “Os militares evitaram a ditadura comunista”: o governo do presidente João Goulart era constitucional, pois ele assumiu após a renúncia de Jânio Quadros, de quem era vice. Além disso, pesquisas feitas pelo Ibope às vésperas do golpe, em 31 de março, mostram que Jango tinha um amplo apoio popular, chegando a 70% de aprovação na cidade de São Paulo. Porém, segundo a SUPER, quando Jango assumiu a Presidência, a imprensa bateu na tecla de que em seu governo havia um “caos administrativo” e que havia a necessidade de reestabelecer a “ordem e o progresso” através de uma intervenção militar. Foi criada, então, a ideia de um “golpe comunista” e de um alinhamento à URSS, o que virou motivo para a intervenção; 
  7. “O Brasil cresceu economicamente”: Um grande legado econômico do regime militar é indiscutível: o aumento da dívida externa, que permaneceu impagável por toda a primeira década de redemocratização. Em 1984, o Brasil devia a governos e bancos estrangeiros o equivalente a 53,8% de seu PIB, o equivalente a US$ 1,2 trilhão nos dias de hoje, ou seja, o quádruplo da atual dívida externa. Além disso, o suposto “milagre econômico brasileiro” – quando o Brasil cresceu acima de 10% ao ano – mostrou que o bolo crescia sim, mas poucos podiam comê-lo. A distribuição de renda se polarizou: os 10% dos mais ricos que tinham 38% da renda em 1960 chegaram a concentrar 51% da renda em 1980. Já os mais pobres, que tinham 17% da renda nacional em 1960, caíram para 12% nos anos 80. Quer dizer, quem era rico ficou ainda mais rico e o pobre, mais pobre que antes;
  8. “As igrejas apoiaram”: As igrejas tiveram um papel destacado no apoio ao golpe, mas também houve religiosos que criaram grupos de resistência, deixaram de aceitar imposições do governo, denunciaram torturas, foram torturados e mortos e até ajudaram a retirar pessoas perseguidas pela ditadura no país. Destacam-se nomes como o dom Paulo Evaristo Arns, o rabino Henry Sobel e o pastor presbiteriano Jaime Wright;
  9. “Durante a ditadura, só morreram vagabundos e terroristas”: Dizem que quem não pegou em armas nunca foi preso, torturado ou morto pelas mãos de militares. Além do genocídio de povos indígenas na Amazônia durante a construção da Transamazônica, a ditadura fez vítimas que não faziam parte da guerrilha, como jornalistas e políticos. É o caso de Rubens Paiva, ex-deputado, cassado depois do golpe, que foi morto durante tortura porque os militares suspeitavam que, através dele, conseguiriam chegar a Carlos Lamarca, um dos líderes da oposição armada. Para entrar na mira dos militares durante a ditadura, bastava defender a democracia – mesmo sem armas na mão;
  10. “Todos os militares apoiaram o regime”: Havia uma corrente de militares que apoiava João Goulart e via nas reformas de base um importante caminho para o Brasil. Houve focos de resistência em São Paulo, no Rio de Janeiro e no Rio Grande do Sul. Durante o regime, muitos militares sofreram e estima-se que cerca 7,5 mil membros das Forças Armadas e bombeiros foram perseguidos, presos, torturados ou expulsos das corporações por se oporem à ditadura;
  11. “Naquele tempo, havia civismo e não tinha tanta baderna como greves e passeatas”: Quando os militares assumiram o poder, uma das primeiras medidas que tomaram foi a suspensão dos diretos políticos de qualquer cidadão. Com isso, as representações sindicais foram duramente afetadas e passaram a ser controladas com pulso forte pelo Ministério do Trabalho. Assim, os sindicatos passaram a ser compostos mais por agentes do governo que trabalhadores e os direitos dos trabalhadores foram reduzidos à vontade dos patrões. Passeatas eram duramente repreendidas. Havia também uma forte repressão ao movimento estudantil;

Por pior que possa parecer, a democracia ainda é o melhor regime político existente no mundo todo. E é muito melhor do que a ditadura, que beneficia somente uma pequena parcela da população (os goverrnantes) e tira os direitos fundamentais de todos os demais.



março 13, 2015

[Cyber Cultura] Arduino Day 2015

O Arduino Day é um evento internacional que será realizado simultaneamente em dezenas de cidades ao redor do mundo no dia 28 de Março, para comemorar o aniversário de lançamento do Arduino e divulgar o seu uso.

Neste ano serão realizados 5 eventos oficiais (em Torino, Malmo/Suécia, Bangalore/Índia, Boston e Budapeste) e diversos eventos organizados pelas comunidades locais, em qualquer lugar do mundo. Os eventos que acontecerão neste dia, em sua maioria, serão formados por palestras e workshops sobre o uso do Arduino (básicos, intermediários e/ou avançados), voltados para desenvolvedores, makers e curiosos. Os eventos são direcionados a usuários novatos ou experientes. Todos são bem vindos.

Aqui no Brasil, alguns hackerspaces estão organizando seus próprios eventos neste dia. Na cidade de São Paulo, por exemplo, algumas comunidades se juntaram para organizar um evento em conjunto.

O site oficial do Arduino Day possui diversas dicas e orientações para quem quiser organizar uma edição local do evento.

março 11, 2015

[Cyber Cultura] A História do Garoa Hacker Clube

Há poucos dias foi lançado o Livro De Baixo Para Cima, que em um dos seus capítulos fala sobre o surgimento dos laboratórios comunitários no Brasil e discute sua importância como espaços para fomentar a criatividade, inovação e a invenção.

O livro conta, de forma bem resumida, superficial e um pouco distorcida, uma pequena parte da história da fundação do Garoa, e o maior pecado dele é ignorar o que eu considero ser o principal aspecto da criação do Garoa: esse foi o resultado de um grande esforço coletivo e colaborativo, aonde várias pessoas que não se conheciam (ou pouco se conheciam) se juntaram para criar o primeiro hackerspace brasileiro.

No site do Garoa nós tentamos transcrever um pouco desta história, que começou a tomar corpo em Junho de 2009 quando um dos fundadores do Garoa criou uma comunidade no Ning para divulgar a idéia de criar um hackerspace em São Paulo (na época, o Ning era gratuito, mas quando passou a ser pago nós desativamos a comunidade). Esta comunidade permitiu que várias pessoas familiarizadas com a idéia de um hackerspace começassem a se juntar, e foi nesta comunidade que começamos a discutir como viabilizar a idéia, começamos a mobilizar as pessoas interessadas e a planejar o que seria necessário para criar um hackerspace. O esforço durou mais de um ano, até que em agosto de 2010 conseguimos um espaço físico permanente na Casa da Cultura Digital e, no dia 20 de Fevereiro de 2011 realizamos a Assembleia de Fundação do Garoa.

Eu, particularmente, tive contato com a idéia de hackerspaces pela primeira vez em 2009, na Ekoparty, quando o Philippe Langlois (do hackerspace franc6es /tmp/lab) realizou uma palestra sobre os hackerspaces. Na época eu adorei a idéia, mas as pessoas com quem eu conversei achavam que não seria viável criar um espaço desses no Brasil. Eu frequentava periodicamente o site Hackerspaces.org até o dia em que vi que alguém tinha cadastrado lá o interesse em criar um hackerspace em São Paulo. Aí me juntei ao grupo e, assim, tive a feliz oportunidade de participar da fundação do Garoa. Contamos com 12 fundadores, e a maioria deles estão na foto abaixo.


março 09, 2015

[Cyber Cultura] Grandes mulheres do mundo da tecnologia

Em homenagem ao Dia Internacional da Mulher, a EMC Brasil colocou em sua página no Facebook uma série de posts homenageando quatro mulheres que fizeram a diferença e marcaram a história da tecnologia da informação:

  • Ada Lovelace: Celebrada como a primeira programadora da história, em 1842 ela escreveu o primeiro algoritmo para ser processado por uma máquina - a máquina analítica de Charles Babbage. Também desenvolveu os algoritmos que permitiriam à máquina computar os valores de funções matemáticas;

  • Grace Hopper: Certamente uma das mais famosas mulheres que trabalharam em TI, ela foi analista de sistemas da Marinha dos Estados Unidos e criou a linguagem de programação Flow-Matic, que foi a base para a criação do COBOL. Hopper também criou o primeiro compilador, de COBOL, primeira linguagem de programação de computadores a se aproximar da linguagem humana. A ela também é atribuído a identificação do primeiro "bug" de computador em 1947, quando um inseto causou um curto-circuito em um relay do computados Mark II;

  • Dra. Dana Ulery: Cientista da computação e pioneira em aplicações de computação científica, Ulery foi a primeira mulher engenheira da NASA, no Laboratório de Propulsão a Jato.
  • As programadoras do ‪‎ENIAC‬: O ENIAC (Electronic Numerical Integrator Analyzer and Computer - Computador Integrador Numérico Electrónico) foi o primeiro computador digital eletrônico de grande escala. antes dele, 80 mulheres na Universidade da Pensilvânia calculavam manualmente as equações para os cálculos de balística - o Exército chamava essa função de: computadores. Quando o ENIAC ficou pronto, seis mulheres foram escolhidas para testar a nova máquina.

Estas são apenas quatro, de muitas mulheres que influenciaram e continuam influenciando o mercado de TI. É importante relembrar suas histórias e destacar a participação feminina nesse mercado, que até hoje ainda trata as mulheres com preconceito. Pesquisas da Catho e do IBOPE confirmam que as mulheres ganham um salário, em média, 30% abaixo de seus colegas do sexo masculino.

março 05, 2015

[Segurança] Eventos de Segurança no primeiro semestre de 2015

Seguindo a tradição dos últimos anos, abaixo eu fiz uma pequena lista com os eventos de segurança mais relevantes no primeiro semestre deste ano aqui no Brasil. Ou seja, esta lista mostra os eventos (pequenos ou grandes) que eu considero serem os mais importantes, pois trazem conteúdo de qualidade ou que, ao menos, merecem ser vistos.

O pessoal da Flipside é responsável pelas principais novidades deste ano: a entrada do Roadsec com força, prometendo realizar edições em diversas cidades, e o SecureBrasil sendo rebatizado para "Mind The Sec" e já anunciando o Bruce Schneier como Keynote Speaker. Além disso, os ratos de evento notarão que o pessoal do YSTS quebrou a tradição e, em vez de realizar a conferência em uma segunda-feira, neste ano farão o evento e a festa pós-evento no mesmo dia, na quinta-feira, dia 28 de Maio.

  • Fevereiro/2015
    • 03/02 a 08/02: Campus Party (twitter @campuspartybra) - Embora a CPBR não seja um evento específico de segurança, já fazem algumas edições que ela mantém uma trilha temática dedicada a Segurança e Redes (batizada nese ano de Arquimedes). Esta trilha é organizada pelo pessoal do Nic.br e do CERT.br e traz palestras interessantes para o público do evento;
  • Março/2015
    • 24/03: Security Leaders Forum Brasília (twitter @Security_Leader) - Versão "mini-me" do Security Leaders, realizada em algumas capitais e com apenas um dia de duração. Segue o formato original do evento em São Paulo, que agrada o público corporativo: uma série de debates moderados pela Graça Sermoud com conteúdo fraco e um palco lotado de gente. Inclui também uma pequena área de expositores;
    • 28/03: RoadSec Campo Grande (twitter @roadsec) - Campo Grande inaugura a agenda de 2015 deste evento itinerante organizado pela Flipside, que será realizado em diversas cidades brasileiras durante o ano. É uma ótima oportunidade para o publico local aproveitar um dia repleto de oficinas, competições e palestras com alguns palestrantes previamente selecionados e palestrantes locais, escolhidos por Call for Paper;
  • Abril/2015
    • 11/04: RoadSec Brasília (twitter @roadsec) - A nossa capital federal também recebe o Roadsec, com diversas oficinas, competições e palestras;
    • 25/04: RoadSec Manaus (twitter @roadsec) - Manaus é uma das cidades que vão receber o Roadsec pela primeira vez. Oficinas, competições e palestras imperdíveis;
    • 24 e 25/04: CryptoRave 2015 (twitter @cryptoravebr) - Excelente evento gratuito focado em privacidade e criptografia, que acontece em 2 dias seguidos, vsarando a noite adentro. Os organizadores prometem mais de 37 atividades sobre segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede. Além de música de qualidade a noite;
  • Maio/2015
    • 07/05: Security Leaders Forum Rio de Janeiro - Os cariocas também recebem a versão "mini-me" do Security Leaders. Debates sem graça com uma pequena área de expositores, que faz a alegria do público corporativo;
    • 16/05: RoadSec Fortaleza (twitter @roadsec) - O Roadsec também passa pelo Nordeste, começando por Fortaleza. Troque a praia por excelentes oficinas, competições e palestras;
    • 24/05: Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) (twitter @bsidessp) - Mini-conferência sobre segurança da informação e cultura hacker que acontecerá no final de semana anterior ao You Sh0t the Sheriff. A conferência é gratuita, com diversas atividades programadas para acontecer simultaneamente: 2 trilhas de palestras, oficinas, competição de CTF e de robótica amadora, Brazilian Arsenal (ferramentas open source criadas por brasileiros), Hacker Carreer Fair e os participantes ainda contam com o nosso "churrascker" e com a presença do Pirates Bar (ambos também são gratuitos);
    • 28/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) - O YSTS continua sendo um dos eventos de segurança mais importantes no Brasil, "o evento" para ver e ser visto. Tem palestras de excelente qualidade e um clima descontraído, principalmente por conta do open-bar no período da tarde. Também contribui o clima de exclusividade, pois os convites são distribuídos somente pelos patrocinadores (mas em alguns anos os organizadores também colocam uma pequena quantidade de ingressos a venda);
    • 28 a 30/05: GTS-25 (RJ) - O Grupo de Trabalho em Segurança de Redes (GTS), do NIC.br é um evento gratuito, com um foco técnico. Ocorre duas vezes ao ano junto com o GTER - Grupo de Trabalho de Engenharia e Operação de Redes. O GTER-39 e o GTS-25 acontecem neste semestre no Rio de Janeiro, mas quem não comparecer presencialmente sempre pode assistir e interagir remotamente. O GTER acontece no dia 28/5 e o GTS no segundo dia, 29/05. Desta vez o Nic.br também ofereceu tutoriais de redes no sábado 30/05, abordando IPv6 Básico e Roteamento IPv4+IPv6;
    • 30/05: Tosconf  (twitter @tosconf) (Campinas) - a "conferência tosca" organizada todo ano pelo Laboratório Hacker de Campinas (LHC). É um evento com foco técnico em hacking e hardware hacking, que acontece na sede do LHC com palestras e oficinas. Não tem a pretensão de ser um grande evento, mas pela qualidade das palestras e pelo pessoal que frequenta, merece muito a visita. Imperdível.
    • 30/05: RoadSec Natal (twitter @roadsec) - Blá blá blá oficinas, competições e palestras imperdíveis na belíssima cidade de Natal (RN);
  • Junho/2015
    • 13/06: RoadSec Aracaju (twitter @roadsec) - Blá blá blá Sergipe, oficinas, competições e palestras;
    • 15 e 16/06: CNASI Brasília - Edição regional do CNASI que ocorre em Brasília (DF). Possui duas trilhas de palestras com foco em auditoria, gestão e segurança, e inclui uma área com expositores;
    • 16 a 18/06: CIAB - O CIAB não é um evento de segurança, mas é um evento aonde todos os fabricantes vão. Este é um evento focado na venda de soluções tecnológicas para o mercado financeiro (ou seja, o pessoal que tem grana), variando desde segurança de TI até caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. O evento tem uma área de exposição enorme, com grandes stands e uma grade de palestras para atrair os bancos brasileiros. Presença é obrigatória para quem trabalha no setor financeiro ou em algum fornecedor de soluções de segurança;
    • 20/06: RoadSec Salvador (twitter @roadsec) - Quem disse que baiano só gosta de Axé? Salvador também recebe o Roadsec com, adivinhe... excelentes oficinas, competições e palestras ;)
    • 20 e 21/06: BHack Conference (Belo Horizonte) (twitter: @bhackconference) - Terceira edição deste evento de segurança mineiro, que inclui alguns cursos e um mix de palestras técnicas e gerenciais de excelente qualidade.
Falando em alguns dos eventos internacionais imperdíveis, nesse ano também teremos o CCCamp na Alemanha (13 a 17 de Agosto), evento que acontece apenas uma vez a cada 4 anos. E será uma semana depois da Defcon (que acontece em Las Vegas/EUA de 06 a 09 de Agosto). É uma ótima oportunidade para emendar as duas viagens ;)

Para quem tem vontade de ir em eventos aqui na América Latina, teremos 4 edições da BSides na região: BSidesBolivia (Twitter @BSidesBolivia - 29 Abril 2015), a BSidesPeru (@BSidesPeru - 06 de Maio), Porto Rico (@BSidesPR - 29 e 30 de Maio), a BSides Chile (@BSidesCL - 20 e 21 de Outubro) e a BSides Colombia (@BSides_CO). Além delas, em Portugal será realizada a segunda edição da BSidesLisbon (Twitter: @BSidesLisbon), no dia 3 de Julho.

Putz, parece muita coisa, né? E olha que eu excluí alguns eventos que eu considero que tem pouca relevância, pois não trazem nenhuma novidade em termos de conteúdo ou formato, ou simplesmente parecem não ter conteúdo de qualidade. Veja, por exemplo, os eventos abaixo e tende achar a diferença entre eles...
  • No dia 31/03/15 a FIESP vai fazer o "Congresso Nacional de Segurança Cibernética"
  • No dia 26/05 o Mackenzie vai fazer o "1º Seminário Nacional de Cyber Segurança" (um evento que promete ser formado por painéis, igual ao Security Leaders)
Passa o Google translator nos 2, troca seminário por congresso (ou vice-versa) e temos 2 eventos idênticos, e provavelmente cada um deles se acha a maior novidade no pedaço. Outro triste exemplo é a Conferência it-sa Brasil, a versão Brazuca de um mega-evento alemão que veio para cá em 2014, que recebe mais de 7000 participantes lá fora e que aqui, no ano passado, juntou apenas 100 (cem) pessoas.

Se você tiver a oportunidade de participar de algum evento neste semenstre, a minha recomendação é que não deixe de ir na Co0L BSidesSP, no YSTS e na BHack. Também vamos ficar de olho na agenda do GTS (que ainda não tem nem data anunciada). E, se possível, participe da Tosconf também, em Campinas. E vá também na CryptoRave 2015 !!!

Como normalmente o segundo semestre é lotado de eventos, já vou adiantar um pouquinho da agenda...
Para ver uma lista mais completa com todos os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site HackAgenda e a lista disponível no site concise-courses.com. Além desses dois, o site Agenda TI e o site Security Phresh costumavam ser boas referências, mas aparentemente não são atualizados há alguns meses :(

Se eu esqueci de algum evento brasileiro importante, me avisem.

Notas:
  • Exceto quando indicado em contrário, o evento é em São Paulo (por isso já dá para perceber como SP concentra uma grande quantidade de eventos!).
  • Post atualizado em 19/03 com informações sobre a CryptoRave 2015 (dias 24 e 25/04), e as nossas BSides vizinhas: BSidesBolivia, BSidesPeruPorto RicoBSides Chile, a BSides Colombia e a BSidesLisbon, em Portugal.
  • Atualização em 02/06: Correção na data do CNASI SP e incluão (póstuma) de informações sobre o GTS-25.

março 04, 2015

[Segurança] FREAK attack no SSL

No final desta 3a feira sairam algumas notícias sobre um novo bug do SSL batizado de FREAK, que força usuários ou servidores a utilizar cifras de criptografia inseguras, possibilitando a exposição de sua comunicação.

O ataque afeta usuários de Android e Apple (iPhone e Macs) e servidores SSL/TLS que aceitam o esquema de criptografia RSA_EXPORT (que utiliza chave RSA de apenas 512 bits e é associado a algoritmos simétricos com chave de 40 bits). Os servidores podem ser vulneráveis se forem mal configurados (isto é, se aceitarem por padrão este conjunto de chaves fracas) ou se forem vulneráveis ao bug CVE-2015-0204 do OpenSSL.



Como já virou modinha na área de segurança, todo bug sério e problemático ganha um nome chamativo, um logo e um site. Nesse caso, não poderia ser muito diferente, e pelo menos o site já existe: o site https://freakattack.com permite testar se o seu browser está vulnerável, tem várias informações sobre o bug e, ainda, lista quais dos 10 mil sites mais visitados da Internet são vulneráveis ao ataque. A lista inclui sites como businessinsider.com, americanexpress.com, groupon.com, bloomberg.com, 4shared.com, instructables.com e o mit.edu.



O pior é que alguns appliances e sistemas embarcados também podem ser vulneráveis, por utilizarem o OpenSSL :( Para testar o seu browser, utilize o site https://freakattack.com; para testar se o seu site (ou da sua empresa) está vulnerável, utilize o excelente SSL Test da Qualys.



O protocolo SSL/TLS permite que o cliente (browser) e o servidor web negociem o conjunto de algoritmos criptográficos que vão utilizar para cifrar a comunicação. Dentre os diversos conjuntos de cifras existentes (como o TLS_RSA_WITH_AES_256_CBC_SHA ou o TLS_RSA_WITH_IDEA_CBC_SHA), algumas das cifras possíveis são antigas e consideradas fracas, como por exemplo as cifras que utilizam os algoritmos RC4 para criptografia e o MD5 para assinatura digital, que são considerados fracos hoje em dia (como por exemplo o caso do TLS_RSA_WITH_RC4_128_MD5), ou pior ainda o conjunto de cifras TLS_RSA_EXPORT_WITH_DES40_CBC_SHA (pois o DES de 40 bits é um algoritmo de criptografia simétrica antigo e absurdamente fraco).

O problema da "família" RSA-EXPORT (como no caso do conjunto de cifras TLS_RSA_EXPORT_WITH_RC4_40_MD5) é que ela utiliza uma chave RSA de 512 bits, que também é considerada fraca para os dias de hoje. Esses conjuntos de algoritmos datam do final da década de 1990, quando os EUA limitavam os algoritmos criptográficos que podiam ser exportados para fora dos EUA e o tamanho das suas chaves. Naquela época, qualquer site de empresa não-americana era obrigado a usar esses conjuntos de cifras mais fracas. Hoje em dia, estes algoritmos e tamanhos de chave não deveriam ser mais utilizados, pois comunicações criptografadas com eles podem ser facilmente decifradas.

Nota (atualizado em 04/03): O site CryptographyEngineering.com tem um texto detalhado sobre o FREAK attack e a Akamai publicou um pequeno artigo em seu blog que também explica o problema, principalmente do lado dos servidores.

março 03, 2015

[Segurança] Os primórdios da Guerra Cibernética

Durante a Campus Party 2015, o Adriano Cansian deu uma palestra interessante sobre "cibergeopolitica" (veja o vídeo aqui), aonde ele comentou sobre um caso  acontecido no final dos anos 90 que, por pouco, não foi o primeiro caso de guerra cibernética na história.

No final de Dezembro de 1998 o grupo Legion of the Underground (LoU) lançou uma "declaração de guerra" contra os governos do Iraque e da China, por conta de violações de direitos humanos e das medidas repressivas nestes países. O grupo declarou a intenção de interromper e desabilitar a infra-estrutura de Internet nos dois países, Iraque e China.

Em resposta, vários representantes da comunidade hacker Americana e Européia condenaram o ataque. Uma declaração pública (outra cópia aqui) foi feita em 07 de janeiro daquele ano, assinada pelo pessoal da revista 2600 e do ezine Phrack, do Chaos Computer Club da Alemanha, e pelos grupos Cult of the Dead Cow, !Hispahack, L0pht e Pulhas, entre outros. O texto é sensacional e merece ser lido. Em um trecho do documento, eles disseram algo sensacional:
"Declaring "war" against a country is the most irresponsible thing a hacker group could do. This has nothing to do with hacktivism or hacker ethics and is nothing a hacker could be proud of."
Ou seja, "Declarar "guerra" contra um país é a coisa mais irresponsável que um grupo hacker poderia fazer. Isto não tem nada a ver com hacktivismo ou ética hacker e não é nada que um hacker pode se orgulhar."

No final das contas, o grupo Legion of the Underground desistiu da sua tentativa de ciber protesto. (veja aqui uma notícia no site da CNN na época)

março 02, 2015

[Geek] Vida Longa e Próspera

Na semana passada ficamos chocados com a notícia do falecimento do Spock, isto é, do Leonard Nimoy, o ator que ficou famoso por interpretar esse personagem por muitos anos.



A notícia é triste pois o Spock não foi um personagem qualquer de ficção científica: ele foi um dos personagens principais da série Star Trek, que alimenta nossa imaginação desde 1966. O seriado Star Trek e seus personagens são amados desde muito antes dos nerds virarem moda. Antes dos nerds, havia o Spock, E o seriado foi, e continua sendo, um dos melhores a retratar um futuro aonde as viagens espaciais sejam realidade. O seriado também foi inovador ao retratar um tempo aonde raças distintas vivem em harmonia e sem preconceito. O próprio Spock é fruto de uma união interracial, entre uma terráquea e um vulcano.

Apesar de ter ficado famoso por este único papel, isto não desmerece seu trabalho como ator. O Leonard Nomoy conseguiu algo impressionante: transmitir um enorme carisma interpretando um personagem que, em teoria, é frio, extremamente racional e lógico. Além de conseguir construir um personagem tão carismático e marcante, o próprio Nimoy criou o jargão que virou sinônimo de série: "Vida longa e próspera" ("Live long and prosper"), um cumprimento vulcano que ele sempre usava.

O seriado original do Star Trek durou apenas 3 temporadas, de 1966 a 1969, mas rendeu outros 12 filmes e 'deu origem a outras séries, como The Next Generation, Deep Space Nine e Voyager.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.