junho 30, 2015

[Segurança] Cyber Kung Fu

O pessoal do SecureNinjaTV tem um vídeo bem legal que mostra como algumas técnicas de artes marciais se assemelham com as estratégias de um ciber ataque: primeiro devemos conhecer nosso adversário e testar suas defesas, em seguida criar uma distração e, enfim, usar um ataque (exploit) contra nosso alvo, evitando um contra-ataque.



O vídeo é bem descontraído e divertido, contando com a participação Tom Updegrove, instrutor do Certified Ethical Hacker e faixa preta 8o grau de Karatê (além de ter experiência em outras artes marciais). A propósito, a experiência dele é de dar inveja...

junho 29, 2015

[Segurança] Os Controles Críticos de Segurança

O SANS Institute, em conjunto com a NSA e o Center for Internet Security (CIS), mantém o "Critical Security Controls", uma lista com os 20 controles de segurança mais críticos para as organizações. O objetivo é apresentar os principais controles que todas as empresas e entidades devem priorizar no momento de criar e investir em sua infra-estrutura de segurança.

São eles:

  1. Inventory of Authorized and Unauthorized Devices
  2. Inventory of Authorized and Unauthorized Software
  3. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
  4. Continuous Vulnerability Assessment and Remediation
  5. Malware Defenses
  6. Application Software Security
  7. Wireless Access Control
  8. Data Recovery Capability
  9. Security Skills Assessment and Appropriate Training to Fill Gaps
  10. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  11. Limitation and Control of Network Ports, Protocols, and Services
  12. Controlled Use of Administrative Privileges
  13. Boundary Defense
  14. Maintenance, Monitoring, and Analysis of Audit Logs
  15. Controlled Access Based on the Need to Know
  16. Account Monitoring and Control
  17. Data Protection
  18. Incident Response and Management
  19. Secure Network Engineering
  20. Penetration Tests and Red Team Exercises


Para ajudar a divulgar esta idéia, também existe um poster, disponível para download online, que resume o que é cada um destes controles, além do conteúdo existente na página do projeto.

junho 25, 2015

[Cyber Cultura] Snowden é pop !!!

O Edward Snowden está ficando pop !!!!

Recentemente a Anistia Internacional usou a imagem dele para divulgar uma petição online contra o vigilantismo indiscriminado dos governos dos EUA, Reino Unido, Austrália, Canadá e Nova Zelândia.


Nos últimos tempos a imagem do Edward Snowden tem sido cada vez mais associada a luta a favor da privacidade e da liberdade de expressão na Internet, e ele está gradativamente ganhando uma áura de herói e símbolo desta luta.

Para começar, vale lembrar que o documentário sobre ele, Citizenfour, foi ganhador do Oscar 2015. Em Março deste ano um grupo de artistas fez um busto em bronze dele e colocou em um parque em NY, em um antigo memorial de guerra. A instalação ficou bem legal, mas foi rapidamente retirada pelas autoridades locais. Em seguida, instalaram lá mesmo uma versão holográfica da escultura.


Recentemente, foi disponibilizada a versão 3D desta escultura, para que qualquer um pudesse imprimir em sua impressora 3D doméstica.



Em Maio, um artista Italiano fez uma instalação em uma praça de Berlin, a Alexanderplatz, com três estátuas em tamanho real de Edward Snowden, Julian Assange e Chelsea Manning.


Vale a pena lembrar também que edição de Setembro de 2014 da revista Wired publicou uma longa reportagem de capa sobre o Edward Snowden. O repórter viajou até Moscow para entrevistá-lo e para fazer uma sessão caprichada de fotos. A reportagem conta como era a vida dele antes do vazamento de informações, detalha as razões que o motivaram a fazer isso e como o vazamento foi feito.



junho 24, 2015

[Segurança] Um ano de Marco Civil

Neste dia 23 de Junho o Marco Civil da Internet completou um ano desde que entrou em vigor.

Para quem não se lembra, o Marco Civil foi sancionado pela presidente Dilma Rousseff no dia 23 de Abril de 2014, e se tornou a Lei nº 12.965, mas só entrou em vigor 60 dias após a sua publicação oficial.

Durante a BHack, o advogado Walter Capanema deu uma excelente palestra sobre o Marco Civil, e pode-se dizer que, como conclusão, pouco ou nada mudou desde que a lei foi promulgada. Não nos sentimos mais seguros online, nossos dados não estão mais protegidos, os crimes virtuais e o cyber bulling continua bombando, e por aí vai.


[Carreira] Nunca discuta com um idiota...

No longínquo ano de 1994, eu estava trabalhando no meu primeiro emprego e, de repente, dei de cara com uma pequena frase, aparentemente atribuída a George Carlin :

“Never argue with an idiot. They will only bring you down to their level and beat you with experience.”

A tradução livre para o Português ficaria assim: "nunca discuta com um idiota. Ele leva a discussão para o seu nível e te vence pela experiência".

Eu tenho memória fraca para frases de efeito e piadas. Mas, por algum motivo, esta frase colou na minha cabeça desde então. Eu tinha ela impressa, fixada em minha baia (saudades do tempo em que eu tinha uma baia própria). Talvez eu tenha memorizado essa frase pela sua sinceridade, simplicidade, com pitadinhas de sarcasmo e de humor. E por refletir a verdade.

Uma coisa interessante é que podemos adaptar esta frase para outras situações do dia-a-dia. Por exemplo, "nunca discuta com uma pessoa anti-ética..." - A mesma verdade se aplica nesse caso: se você não sabe dar facada nas costas de seus colegas, ou queimar eles sem que percebam, não entre numa disputa com alguém assim. No decorrer de minha carreira eu já enfrentei três situações parecidas com isso (em que alguém agiu de forma anti-ética comigo) - e em uma delas eu quase perdi o emprego (justamente por não ter as mesmas manhas e limites que essas pessoas).

Aparentemente, esta frase é uma variação de uma frase parecida do Mark Twain: “Never argue with a fool, onlookers may not be able to tell the difference.”

junho 23, 2015

[Cyber Cultura] Visitando o Raul Hacker Clube

Após palestrar no Roadsec Pro (a versão "corporativa" do Roadsec) em Salvador (BA), eu aproveitei a oportunidade para visitar o Raul Hacker Clube, o hackerspace existente na cidade.

O Raul está prestes a completar seu primeiro ano de vida, e meu primeiro contato com eles aconteceu graças a Campus Party deste ano, em que dois integrantes deles foram até São Paulo e participaram ativamente do Dumont Hackerspace, o espaço que criamos na CPBR para receber o pessoal dos hackerspaces, makerspaces e coletivos semelhantes.

O Raul Hacker Clube tem uma localização privilegiada: fica no bairro Rio Vermelho, a área boêmia da cidade, cercado de vários bares e baladas. Como se isso não bastasse, eles ficam em um pequeno prédio de 3 andares que, no térreo, funciona um Pub Irlandês. Melhor ainda: de frente para o mar.

No dia de minha visita, o Raul ainda não tinha mudado de sede: eles estão prestes a mudar para uma sala no mesmo andar do prédio, um pouco maior, com cozinha e duas janelas grandes, de frente para o mar. Só a vista e a brisa entrando pela janela já valeriam a visita :) Atualmente eles ocupam uma sala pequena, mas que mesmo assim tem aproximadamente o dobro do tamanho da primeira sede do Garoa (no porão da CCD) ou da primeira sede do LHC, em Campinas. Além de tererm seu próprio Pub, no andar de baixo, no prédio também funciona uma pizzaria delivery.

No dia que eu visitei o Raul (sexta-feira a noite), estava rolando o encontro do "LampiãoSec", o pessoal que está estudando segurança da informação - eles viram a noite no hackerspace, estudando, converçando, fuçando no que puderem, sem limites para a criatividade. Nesta noite fuçamos um pouco no site deles e também na ferramenta ... Falamos um pouco sobre análise de Malwares, abrimos cadeado com o kit de lockpicking deles, e ainda dei uma pequeniníssima ajuda para limpar a sala nova.

O Gomex contou que os protestos de 2013 ajudaram na formação do Raul: graças a eles, vários coletivos se conheceram e se juntaram, gerando um caldo de idéias que ajudou no surgimento do Raul Hacker Clube. Enquanto víamos um dos vídeos do protesto, o pessoal se lembrava do momento e falava coisas como "nessa hora eu tava em tal lugar", ou "eu ajudei a fazer tal coisa".

Nesse ano de vida o Raul já realizou diversas atividades, como CineHacker, Global Game Jam, Cozinha (Feijoada) Hacker (incluindo feijoada vegana), e alguns Hackathons. Uma das atividades mais interessantes do Raul, na minha opinião, são as oficinas que eles fazem periodicamente para crianças, batizadas de Crianças Hacker.



No próximo dia 28 de Junho o Raul Hacker Club comemorará seu aniversário de um ano !!!

Para conhecer mais:



junho 20, 2015

[Cyber Cultura] Virada Hacker

Desde 2011 nós, do Garoa Hacker Clube, organizamos a Virada Hacker, uma série de atividades durante mais de 24h seguidas, sempre em paralelo com a Virada Cultural da cidade de São Paulo.

Neste ano não seria diferente e, neste sábado e domingo (20 e 21 de junho), o Garoa estará aberto para hackers, makers, biohackers, amigos, curiosos e para a população em geral.

A Virada Hacker está na agenda e no site oficial da Virada Cultural:

Durante a virada, o pessoal do Garoa Hacker Clube irá oferecer palestras, oficinas, debates e atividades culturais para fomentar a cultura hacker, a cultura da colaboração, a inovação tecnológica e o aprendizado. Na programação da virada Hacker teremos: hardware hacking, Biohacking, Impressão 3D, arte digital, Coding Dojo, Jogos de Tabuleiro, Cine Hacker, Hacking de Literatura, Canhão Gerador de Vórtices, Hacking Beer , SexHacking e tudo o que você gostaria de saber sobre como montar um hackerspace e ser um hacker mirim, mas não tinha coragem de perguntar.

junho 19, 2015

[Segurança] Estratégia de Segurança Cibernética do Governo Brasileiro

O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) publicou no Diário Oficial do dia 12/05/2015 a Portaria CDN Nº 14, de 11 de maio de 2015, que homologa a “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal – 2015/2018, versão 1.0″.

Tal norma foi elaborada pelo Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República (DSIC/GSIPR), com objetivo de fortalecer as ações de seguranca da informação no governo federal, incluindo as infraestruturas críticas e os serviços públicos nacionais. Ela descreve as diretrizes estratégicas para o planejamento de segurança governamental, com objetivos estratégicos e metas para os próximos quatro anos (2015 a 2018).

O documento tem 77 páginas (mas dá para pular até a página 37...) e apresenta dez objetivos estratégicos, conforme abaixo:
  1. Institucionalizar o tema de SIC e de SEGCIBER no planejamento e no orçamento Federal;
  2. Garantir continuamente o aprimoramento do quadro de pessoal da APF em SIC e SEGCIBER, de forma qualitativa e quantitativa;
  3. Garantir continuamente a pesquisa, o desenvolvimento e a inovação em SIC e SEGCIBER na APF;
  4. Instituir modelo de governança sistêmica de SIC e SEGCIBER na APF, com coordenação executiva, acompanhamento e avaliação do órgão central (GSI/PR);
  5. Alinhar o planejamento de SIC e SEGCIBER ao planejamento estratégico dos órgãos e entidades da APF;
  6. Ampliar e fortalecer ações colaborativas em SIC e SEGCIBER com a academia, setores público, privado e terceiro setor, no país e no exterior;
  7. Elevar o nível de maturidade de SIC e SEGCIBER na APF;
  8. Reforçar a SIC e SEGCIBER como alta prioridade na agenda de governo;
  9. Valorizar e ampliar ações que fortaleçam a segurança das infraestruturas críticas da informação;
  10. Promover mecanismos de conscientização da sociedade sobre SIC e SEGCIBER.

Além dos objetivos acima, o documento também indica várias metas para serem alcançadas a cada ano, de 2015 a 2018 - tais como, por exemplo, " Promover campanhas de conscientização da sociedade nas áreas de SIC e de SegCiber".

junho 17, 2015

[Cyber Cultura] Maker Day

No ano passado, o presidente americano Barack Obama decretou que o dia 18 de Junho seja celebrado como "Maker Day", ou "National Day of Making".

A idéia é celebrar, nesta data, a inovação causada pelo Movimento Maker, que tem ganho muito mais força nos últimos anos com a democratização do conhecimento e das tecnologias.

As impressoras 3D são um excelente ecemplo disso: até pouco tempo atrás o seu uso era restrito apenas a grandes indústrias. Com a popularização das impressoras 3D domésticas, hobbistas e pequenos inventores também podem fazer uso dessa tecnologia para criar novas ferramentas e protótipos de suas invenções.

Outro exemplo da crescente influência do movimento maker na sociedade é a popularização dos hackerspaces, makerspaces e FabLabs, fornecendo um espaço para encontro, troca de conhecimentos e produção de pequenos projetos.

junho 12, 2015

[Segurança] Profissão do momento: Pentest

Já que é para polemizar com as buzzwords, ameaças e ferramentas que estão na modinha, porque não lançamos qual é a "profissão da moda"?

Não basta trabalhar com Segurança ou ser Hacker. Quem é fodão na área deve trabalhar com...

Pentest

Até pouco tempo atrás, a modinha era trabalhar com Análise Forense. Mas isso já não tem mais graça.

Mas eu já tenho a impressão que o mercado de Pentest está deixando de ser novidade, e daqui a pouco o pessoal vai anunciar serviço de pentest de site nos classificados do Primeira Mão. Eu acho que provavelmente a próxima profissão da moda será "Analista de Inteligência" ou "Analista de Malware" ou os dois, mas isso só o tempo dirá (não sei dizer se a minha bola de cristal está bem lustrada ou não...).

junho 11, 2015

[Segurança] Bala de Prata do momento: Criptografia e Cofre de Senhas

Frequentemente o mercado de segurança lança um novo tipo de produto que, rapidamente, é tratado como uma "bala de prata", oou seja, como se fosse a salvação contra todas as ameaças e problemas que afetam as empresas.

Nos primórdios, segurança era ter Antivírus e Firewall. Em seguida surgiu o IDS (Intrusion Detection System), posteriormente substituídos pelos IPS. No final dos anos 90 a modinha era achar que a Certificação Digital iria emplacar no mercado e atingir as massas. Depois surgiu o PCI. Vieram os SIEMs. Até mesmo o Pentest já foi considerado como a solução mágica para identificar os problemas de segurança da empresa.

Atualmente, eu vejo o mercado dando grande valor a dois tipos de soluções, a primeira delas levada a categoria de hype desde as revelações de espionagem da NSA pelo Edward Snowden:

Criptografia

Cofre de Senhas

Cofre de senhas é novidade no mercado, e talvez isso ajude a chamar tanto a atenção para este tipo de solução.

junho 10, 2015

[Segurança] Ameaça do momento: Deep Web

A indústria de segurança funciona na base do medo. Quanto mais assustadores os ataques, na medida que incidentes ocorrem com as empresas, maiores são os investimentos na área. Parece que é mais fácil conseguir investimento em equipamentos e pessoas depois de que ocorreu um ataque do que antes, preventivamente :(

Por isso, nosso mercado sempre deu muito destaque as ameaças e ataques que acontecem. Durante os anos 90 os destaques da mídia eram para os defacement de web sites (existentes desde os primórdios da Internet) e os ataques de vírus. Nesta época eram comum grandes infestações que afetavam milhões de computadores em todo o mundo, destruindo dados de usuários e empresas, e alguns vírus se tornaram pupular, como o Michelângelo e o Sexta-Feira 13, dentre muitos outros. O final dos anos 90 e início da década de 2000 também foi a época das primeiras infestações por "vermes" (worms) como o Melissa, o Code Red, o Nimda e o SQL Slammer, impulsionando a nascente indústria de segurança, principalmente os anti-vírus, os primeiros Firewalls e IDSs.

Ainda nos meados dos anos 90, sofremos com o medo do Ping da Morte. Já no início dos anos 2000 os ataques de DDoS causaram o terror em toda a Internet, derrubando grandes sites pela primeira vez.

Fast forward... Recentemente, toda apresentação sobre ameaças tinha que falar sobe APTs criadas pela China e citar o Stuxnet. Afinal, o que pode ser mais aterrador do que um ataque que não pode ser detectado, rouba todos os dados de sua empresa e, além disso, ainda pode destruir seus equipamentos industriais!?

Atualmente, a grande ameaça do momento é tudo aquilo que o nosso imaginário acha que existe nas profundezas da Internet. O pesadelo de toda empresa é a...

Deep Web

junho 09, 2015

[Segurança] Buzzword do momento: Cyber Security

Resolvi criar um novo tipo de post aqui no blog, para destacar qual é a Buzzword da moda - ou seja, qual é a expressão mais "cool" no mercado de segurança no momento.
  • Você quer parecer antenado com as novas tendências de mercado?
  • Você quer fazer uma palestra sobre um assunto matador?
  • Quer dar destaque ao seu evento ou ao seu produto?

Não perca esta oportunidade... a buzzword da moda é...

Cyber Security


O que "Cyber Security" significa de tão especial? Nada, na minha opinião - e por isso eu considero isso nada mais do que uma buzzword, ou seja, uma palavra bonita para chamar a atenção, com conteúdo insignificante.

Várias outras buzzwords já foram modinha no passado. Até pouquíssimo tempo atrás, a moda era SIGINT -  não basta você manjar de Inteligência em Segurança - quem é fodão consegue construir uma frase completa usando a palavra SIGINT.

Cada vez que eu perceber que o mercado está vidrado em uma nova buzzword, vou postar isso aqui no blog ;)

junho 08, 2015

10 anos de Blog

No dia 08 de Junho de 2005 eu fiz meu primeiro post neste blog. Há exatos 10 anos, direto do túnel do tempo !!!


Eu dei uma rápida olhada em alguns dos posts mais antigos e percebi que, em alguns casos, eles citavam sites ou outros blogs que já não existem mais. Não estamos mais na era do conhecimento de papel, aonde um livro pode ser referenciado 10, 100 ou 1000 anos depois. Na Era da Internet, o conhecimento é volátil. Aquele site ou dica de hoje pode não ser mais válido amanhã :(

Eu criei este blog com o objetivo de guardar notas e informações para mim mesmo, mas que ao mesmo tempo pudessem ser compartilhadas com todo o mundo. Este blog é, e sempre foi, uma forma de compartilhar o conhecimento que tenho adquirido no decorrer da minha carreira, inclusive de forma aberta, uma vez que sempre mantive meu blog sob licença Creative Commons que permite o compartilhamento de tudo o que eu publico aqui.

Além disso, nunca tive intenção de entrar na paranóia de conseguir visitantes a qualquer custo, já que esse é um blog que eu faço para mim mesmo, como uma espécie de hobby. Tenho alguns posts mais populares, claro, mas a grande maioria dos meus posts devem ter menos de 100 visualizações. E estou bem contente assim ;)

Um fato interessante é que, desde 2011 eu resolvi ter uma meta pessoal de publicar, em média, 10 posts por mês. Para ajudar a manter esta frequência, desde o ano passado eu comecei a usar frequentemente a idéia de escrever parcialmente algum post e salvar como rascunho, e diversas vezes eu preparo algum post com antecedência e deixo a sua publicação já programada (normalmente as 19h durante a semana). Algumas vezes eu publico com maior ou menor frequência, dependendo do pouco tempo que tenho disponível (que varia em função de carga de trabalho, compromissos pessoais, etc). Assunto mesmo nunca faltou, pois o nosso mercado de segurança é muito intenso e tem novidades diariamente.

O engraçado é que, olhando os posts antigos, eu tenho a sensação e que tenho o Blog há mais tempo. Considerando que tenho quase 20 anos de carreira, eu me arrependo por não ter começado a blogar antes :(

junho 07, 2015

[Cidadania] Parabéns O Boticário

Para promover o Dia dos Namorados, a loja O Boticário lançou uma campanha especial, relacionada a uma nova coleção de fragrâncias Egeo,  que causou grande polêmica por representar casais hetero e homossexuais. O vídeo da campanha é muito bonitinho, com trilha da música "Toda Forma de Amor", de Lulu Santos, mas mesmo assim não passou desapercebido pelos preconceituosos de plantão.




A campanha foi alvo de protestos e recebeu vários comentários negativos nas redes sociais, carregados de preconceito homofóbico. Mas uma olhada rápida na página da campanha no Facebook, por exemplo, revela que também houve muito apoio dos consumidores.





De fato, o vídeo no YouTube coleciona, neste momento, mais de 40 mil comentários, e quase o dobro de "likes" do que de "deslizes".



Segundo o Boticário, o comercial quer dizer que "química e paixão vão além das convenções". Eles também estão de parabéns por manifestarem seu apoio a diversidade, uma vez que a proposta da campanha foi de abordar, com respeito e sensibilidade, as mais diferentes formas de amor - independentemente de idade, raça, gênero ou orientação sexual.

Essa polêmica toda me lembrou um pouco um filme que assisti recentemente, chamado Selma (site), que aborda um capítulo muito especial na luta contra o preconceito racial nos EUA, ocorrido no Alabama em 1965. Resumindo bastante a história, a comunidade negra marcou um protesto pacífico em favor do direito ao voto para os negros, através de uma passeata que deveria ir da cidade de Selma até Montgomery. O resultado: os participantes foram reprimidos com muita violência pela polícia diversas vezes, inclusive com o apoio da população local branca, até então dominada pelo preconceito racial.



Casos como o comercial do O Boticário ou os protestos em Selma, há 50 anos atrás, mostram a importância de lutar contra o preconceito, em favor da igualdade de direito a todos.

junho 03, 2015

[Cyber Cultura] Financiamento coletivo para os hackerspaces

Arrecadar dinheiro necessário para manter suas infra-estrutura (aluguel, luz, equipamentos, etc) sempre foi um problema para os hackerspaces.

Por isso, não é nenhuma surpresa ver que, dentre os diversos Hackerspaces brasileiros em operação hoje em dia, alguns começaram a usar o serviço do Unlock, uma plataforma online para financiamento coletivo recorrente. Através dela, os hackerspaces estão conseguindo receber doações para ajudar a cobrir parte dos fundos necessários para manter seus espaços.

Por isos, não perca tempo e seja mais um a ajudar os hackerspaces !!!!
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.