dezembro 31, 2016

[Segurança] Feliz Ano Novo, uma mensagem do Anonymous

O pessoal do Anonymous publicou um vídeo com uma mensagem de Feliz 2017, batizado de "Anonymous - Happy New Year 2017". Eu achei a mensagem do vídeo bem legal, e por isso resolvi compartilhar aqui, rapidinho, enquano minha família me espera para a ceia de final de ano.


Segue uma transcrição, em português, da mensagem deles:
Outro ano já passou, agora somado às notas de rodapé da história. 2016 ensinou-nos muitas lições, os cursos estabelecidos antes de nós neste ano passado têm o potencial para mudar o mundo. 2017 está agora na nossa frente, e com ele vem novas aventuras!
Nós enfrentamos muitos desafios este ano, no entanto eles são desafios que enfrentamos juntos. Embora possa ser difícil para aqueles com os olhos ainda fechados para ver, chegamos tão longe e estamos no curso como uma espécie para realizar muito mais.
Nós temos a oportunidade de fazer história. Este é o nosso tempo para fazer uma diferença positiva que vai durar para as gerações vindouras, este é o nosso tempo para liderar através do exemplo!
O tempo para restaurar o equilíbrio de poder é agora. Anonymous é apenas um reflexo de vocês, o povo. Vocês devem agir em vez de esperar que outros o façam. Este ano cabe às pessoas, você é a chave, você sempre foi. Uma revolução pacífica ainda é possível!
Façam suas vozes serem ouvidas, deixe que os líderes de seu país saibam que as pessoas não estão satisfeitas com o curso atual que aqueles que estão no poder estabeleceram. Deixe-os saber que a privacidade, a liberdade, e os direitos humanos importam!
Este ano é fruto do que você fizer por ele, para torná-lo muito bom, algo para se orgulhar. Entre em 2017 com uma mente aberta e um coração aberto, para juntos podemos realmente fazer deste um ano para ser lembrado!

dezembro 29, 2016

[Segurança] Previsões para 2017

Eu tenho dificuldade em pensar no que pode vir de ruim em 2017, pois ainda estou chocado com a grande quantidade de dados vazados em 2016, o volume gigatesco que atingiram os ataques DDoS a partir de redes de dispositivos IoT e a enorme quantidade de dados vazados. Isso sem falar que frequentemente vimso notícias de novas vulnerabilidades em tudo quanto é sistema operacional e aplicativos.

O ano de 2016 foi, sem dúvidas, muito intenso para todos nós. E não há motivos para imaginarmos que 2017 será menos pior.

Olhando algumas previsões para 2017 que foram publicadas por aí, eu aposto no seguinte:
  • Podemos, sim, ver pela primeira vez mortes de pessoas causadas por ciber ataques (ou numa ciber guerra, ou, provavelmente, por um ciber ataque a algum hospital - chegamos perto disso em 2016);
  • Poderemos ver danos físicos causados por ciber ataques a dispositivos de IoT;
  • Vamos entrar oficialmente na era da "Guerra Fria Cibernética" ("Cyber Cold War"), alimentados pela escalada de ciber ataques e pelas tensões geo-políticas impulsionadas pelo governo Trump (que tem uma tendência armamentista, além do fato de que ele já está causando treta com a China e que pode se alinhar com a Russia - ou, pelo menos, os dois países podem ter interesse em alimentar uma escalada militar); Some a isso o fato de que já tivemos tempo suficiente para muitas agências de espionagem de dos grandes países já terem invadido os sistemas de infra-estrutura crítica de praticamente todo mundo;
  • O alto volume de incidentes e a falta de profissionais no mercado (principalmente nos EUA), vai influenciar as empresas a investirem em ferramentas de automação ou terceirização de serviços de segurança, com destaque aos MSSPs (Managed Security Service Providers);
  • Conforme eu comentei recentemente, do ponto de vista de prevenção, em 2017 devemos ver tecnologias de Big Data apoiando a detecção de ataques e fraudes em segurança;
  • A batalha entre a privacidade online e a vigilância governamental vai se intensificar, e provavelmente vamos perder cada vez mais o nosso direito a privacidade;
Algumas previsões curiosas:
  • O grande volume de vazamento de dados pode começar a exigir que as empresas adotem políticas mais fortes de senha, e eventualmente motivar a adoção de biometria;
  • A necessidade de gestão de identidades vai fazer surgir o cargo de Chief Identity Officer (CIdO). Sério que vamos precisar de um alto executivo para isso!?
  • Proliferação dos Ransomwares sequestrando dispositivos IoT (imagine um ransomware bloqueando o seu carro!);
Algumas previsões bem óbvias que a galera tem dito por aí:
  • Os ciber ataques a dispositivos IoT e os ataques a partir de botnets baseadas em IoT vão se intensificar mais ainda;
  • Há coisas que já acontecem hoje e que os especialistas dizem que é tendência para 2017: o a profissionalização do ciber crime (e o "cyber crime as a service"), e a sofisticação dos ataques de ransomware e dos phishings.
Para saber mais:

dezembro 27, 2016

[Segurança] Os ciber ataques também estão indo longe demais!!!

Não são apenas os ataques DDoS que estão indo longe demais, causando impactos cada vez maiores e mais difíceis de serem mitigados pelas empresas.

Duas notícias recentes mostram casos preocupantes de ciber ataques que pode colocar as vidas das pessoas em risco!

Em Novembro, um ataque DDoS afetou o sistema de aquecimento de dois blocos de casas na cidade de Lappeenranta, na Finlândia. Uma parada desses serviços em pleno inverno poderia causar graves problemas para a população local!

Diversas empresas do setor de saúde (hospitais, planos de saúde, clínicas, etc) foram alvo constante de ciber ataques em 2016. Os ciber criminosos aproveitaram que empresas de saúde são alvos fáceis pois guardam grande quantidade de dados pessoais e, além disso, geralmente possuem poucos profissionais de TI em seus quadros. Grande parte dos ciber ataques que ganharam atenção na mídia foram casos de sistemas hospitalares infectados por ransomware, um tipo de ataque que aconteceu com frequência em 2016.

Mas, no início de Novembro, alguns hospitais em Lincolnshire, na Inglaterra, foram obrigados a cancelar consultas, exames hospitalares e cirurgias após um vírus infectar a rede do serviço nacional de saúde inglês (National Health Service - NHS). Felizmente não houve notícia de problemas sérios causados aos pacientes.



O pior de tudo é que os ransomwares são nada mais do que um simples vírus de computador que, além de se propagar pela rede e infectar computadores, ele também sequestra dados. Ou seja, se um ransonware conseguiu, de forma robotizada e sem muita intelugência, entrar na rede de um hospital e infectar sistemas críticos, imagina quantos atacantes realmente mal intencionados não poderiam fazer a mesma coisa? Me assusta profundamente a possibilidade de ciber terroristas com acesso a sistemas hospitalares, ou dados médicos de pacientes sendo utilizados para espionagem, chantagem ou atentados.

dezembro 26, 2016

[Segurança] Retrospectiva 2016

Certamente 2016 irá entrar na história como um ano marcante para todos. Seja por causa da eleição do Donald Trump, do impeachment da Dilma, dos escândalos do propinoduto da Odebrecht, a Dyrce vencendo o Masterchef Profissional, a morte do David Bowie e do George Michael, etc. E também teve a febre do Pokemon Go ;)

Se 2016 fosse um filme, o roteiro teria sido de George R. R. Martin e a direção, do Quentin Tarantino.



Do ponto de vista de segurança, também tivemos um ano tumultuado, com alguns eventos bem marcantes para o nosso mercado:
  • Proliferação de ataques a dispositivos IoT e ataques DDoS a partir destes dispositivos, com destaque para a botnet Mirai (cujo código fonte foi disponibilizado publicamente no Github)
  • Como consequência do surgimento das botnets baseadas em IoT, os ataques DDoS atingiram volumes marcantes e chegaram a desesperadora marca de 1.2 Tbps;
  • Continuamos com a onda de vazamento de dados, desta vez a todo o vapor, com destaque ao mega-vazamento de 1 bilhão de dados de usuários do Yahoo!
  • Na gringolândia, talvez a principal notícia do ano foi a possibilidade das eleições presidenciais terem sido hackeadas, ou a grande influência que os vazamentos de dados (direcionados ao partido Democrata e supostamente realizado por hackers russos) pode ter tido no resultado final das eleições;
  • No Brasil, este foi o ano dos Ransomwares. embora esse tipo de código malicioso não seja novidade para ninguém. Ainda assim, o sequestro de computadores ainda não tem sido realizado pelos ciber criminosos brasileiros (que ainda preferem focar em fraude bancária). Os usuários brasileiros foram infectados por ransomwares criados lá fora, e também sofreram com as diversas variantes que surgiram neste ano;
  • Ainda sobre os Ransomwares, vimos o surgimento de diversas iniciativas para tentar conter a epidemia dos Ransomwares, em particular o lançamento do portal NoMoreRansom.org.


Do ponto de vista de prevenção, neste ano começamos a ver as primeiras iniciativas de se utilizar Big Data como forma de identificar fraudes e ataques, algo que deve amadurecer em 2017. Também nesta linha, a IBM começou a utilizar o Watson para identificar ciber ataques.

Nota (adicionada em 26/12): Esqueci de mencionar uma coisa: em 2016 vimos a massificação da cultura hacker, principalmente em função do grande sucesso da série Mr. Robot. Eu acredito que o Mr. Robot é tão influente para a geração atual quanto foram os filmes War Games e Hacker (1995) nos anos 90. Ou seja, a popularização do hacking, através de uma série televisiva bem feita, e de escala mundial, está influenciando novas gerações a entrarem nesse mercado (tanto para o lado bom quanto para o lado escuro da Força). Aqui no Brasil, além do sucesso da série Mr. Robot, estamos vivendo uma grande popularização das competições de Capture The Flag (CTF), o que colabora para atrair o interesse de estudantes e jovens profissionais.


Nota 2 (adicionada em 05/01/17): A Dell EMC publicou um pequeno artigo destacando os principais ciber ataques de 2016. Vale a leitura.

dezembro 23, 2016

Boas Festas !!!

Para muitos, é época de desejar Feliz Natal.
Para muitos, desejamos um Feliz 2017.
Para alguns, desejamos Boas Festas.



Para muitos de nós, esta é uma época de renovação, de repensar o que aconteceu no ano anterior e fazer planos para o ano seguinte. É época de celebrar com a família e com amigos. É época de compartilhar alegrias.

dezembro 22, 2016

[Segurança] Ransomware: O novo (e genial!) modelo de negócio

Neste ano, um dos eventos de segurança realizou um painel sobre Ransomwares batizado de "Ransomware: O novo (e genial!) modelo de negócio". Estes são os softwares maliciosos que sequestram os computadores das vítimas, bloqueando a tela ou criptografando os dados locais, e só liberam mediante o pagamento de uma taxa para o ciber criminoso.

Mas eu lamento dizer: os Ransomwares não tem nada de novo.

Esta praga existe há vários anos - desde 2005 segundo a Trendmicro e a Symantec (ano da primeira onda de ransomwares modernos, com o surgimento do Trojan.Gpcoder). Em 2013 (três anos atrás) surgiu o “CryptoLocker”, o primeiro Ransomware que criptografava os arquivos locais das vítimas.


O pessoal do portal CSO Online fez um slideshow com a história do Ransomware, desde o primeiro caso conhecido, o trojan AIDS de 1989, passando pelo surgimento do Cryptolocker em 2013 e chegando até os dias atuais.

Os Ransomwares representam 1 em cada 20 ataques de códigos maliciosos (trojans, vírus, etc), e o valor médio exigido das vítimas é de US$ 300.

A única novidade, se é que podemos chamar assim, é que me parece que tivemos um volume recorde de ataques de ransonware no BRasil este ano. Não digo por causa de estatísticas, mas por ver tantas histórias e tanta gente pedindo ajuda por aí. Mas isso não significa que o ciber criminoso brasileiro está fazendo Ransomwares - muito pelo contrário, eles continuam ganhando muito dinheiro com fraudes bancárias. Os casos de usuários brasileiros infectados existem porque eles foram infectados por Ransomwares feitos e controlados por ciber criminosos lá fora. Eles foram infectados acidentalmente, ou seja, não eram o alvo específico de tais gangs.

Para ajudar pessoas e empresas a combaterem infecções de Ransomwares, o European Cybercrime Center da Europol e a polícia holandesa (através do National High Tech Crime Unit), em conjunto com as empresas Kaspersky Lab e Intel Security lançaram o portal "No More Ransom" (NoMoreRansom.org).



Para saber mais:

dezembro 21, 2016

[Segurança] A nuvem sumiu!

De repente, a Serverloft, uma empresa brasileira de serviços de Cloud Computing, deixou seus clientes fora do ar, devido ao que eles alegaram ser um problema jurídico com o fornecedor deles, a Equinix. Com isso, as empresas que tinham seus sites e aplicações hospedados na Serverloft ficarm sem nada do dia para a noite - e estão assim desde o dia 14/12.



Segundo uma reportagem no site Baguete, pelo menos 16 mil clientes estão com sites fora do ar, alguns deles sem acesso a backup. Ainda segundo a reportagem, os serviços da Serverloft ficariam hospedados na Equinix de São Paulo, com um ambiente de backup no Rio de Janeiro - embora o site da Serverloft diga que a infra-estrutura de Cloud Computing estava hospedada no datacenter da ALOG, usando blades DELL. Aparentemente o encerramento dos serviços aconteceu porque a Serverloft acumulava uma conta de seis meses com a Equinix, embora seguisse cobrando seus clientes normalmente - até que a Equinix finalmente cortou a conexão deles na semana passada.

O caso da Serverloft reforça a necessidade das empresas tomarem muito cuidado ao contratarem um serviço de hospedagem ou de Cloud Computing:
  • Antes de contratar o serviço, é necessário pesquisar muito sobre a empresa. Talvez isso não resolvesse no caso da Serverloft, pois fazendo uma pesqusa rápida no Google não encontrei notícias anteriores sobre a empresa - exceto um post de 2011 em um fórum aonde eles relatam que tiveram problemas com um fornecedor. E há apenas 5 reclamações no Reclame Aqui. Ainda assim, me chamou a atenção que no próprio site deles há informação desencontrada de que os serviços ficam hospedados na ALOG, e não na Equinix;
  • O barato pode sair caro. Essa é uma lei universal, que vale para tudo, inclusive Cloud Computing. Amazon e Google são caros? UOL é caro para seu budget? Contratar um provedor baratinho pode trazer riscos extras. Avalie a relação custo x benefício, além dos possíveis riscos, antes de contratar o serviço;
  • Mantenha backups diários do seu site e de seus dados. E mantenha eles com você - e não com o provedor de Cloud, pois se ele sumir, seus backups somem também.

dezembro 20, 2016

[Segurança] Resumo da palestra "A Idade da Pedra na Era da Informação"

O pessoal do You Sh0t the Sheriff contratou uma equipe de facilitação gráfica que criou um desenho resumindo o entendimento das palestras do evento.

Ficou um trabalho legal, e segue abaixo o resumo visual dos principais tópicos abordados na minha palestra sobre "A Idade da Pedra na Era da Informação":



dezembro 16, 2016

[Segurança] Um bilhão de dados vazados!!!

A que ponto chegamos, Yahoo! !?!?!?


Como se não bastasse o vazamento recorde de 500 milhões de dados de usuários do Yahoo! que foi anunciado em Setembro deste ano, agora ficamos sabendo de um novo vazamento de dados, referente ao roubo de informações de 1 bilhão de usuários do Yahoo!

O que isso significa?
  • O vazamento de Setembro (500 milhões de dados) já era preocupante, pois além de informações de usuários e senhas (incluindo nada mais e nada menos do que nomes completos, datas de nascimento, endereços e números de telefone), também vazaram as perguntas secretas - aquelas perguntas e respostas que cadastramos em alguns sites para recuperar a senha. Ou seja, os ciber criminosos agora sabem qual é a sua senha e como recuperar ela!
  • As senhas estavam protegidas usando o algoritmo de hash MD5, que é considerado inseguro atualmente;
  • Em Agosto deste ano surgiram rumores de que um ciber criminoso estava tentando vender na Deep Web dados de 200 milhões de usuários do Yahoo!;
  • Ja existiam especulações de que o número total de contas roubadas no vazamento anunciado em Setembro poderia ser bem maior do que 500 milhões, possivelmente variando entre 1 e 3 bilhões de usuários afetados;
  • O Yahoo! já tinha admitido que desde o final de 2014 seus funcionários já sabiam que os sistemas da companhia haviam sido hackeados;
  • Aparentemente,  o vazamento anunciado agora é outro, diferente do anunciado em Setembro. Logo, a quantidade total de usuários afetados pode variar entre 1 bilhão e 1,5 bilhão!
  • O vazamento anunciado agora está relacionado a dados roubados do Yahoo! em 2013. ou seja, os ciber criminosos já tem estas senhas há cerca de 3 anos!
  • 1 bilhão de usuários é, mais ou menos, 1/3 de todos os usuários Internet (considerando que o roubo de dados aconteceu em 2014, nesse ano tivemos 2,9 bilhões de usuários, e a estimativa atual é de 3,4 bilhões - segundo o site Internet Live Stats);
  • Segundo a empresa InfoArmor, toda a base de dados dos mais de 1 bilhão de usuários do Yahoo foi vendida na Deep Web por US$ 300 mil;
  • Os vazamentos de dados no Yahoo! já ganharam uma página na Wikipedia!!!
  • A Verizon, que estava negociando a compra do Yahoo! por 4,8 bilhões de dólares (em dinheiro!), já começou pedindo um desconto de US$ 1 bilhão por conta do vazamento de dados em Setembro;
  • Dando uma olhada no valor das ações do Yahoo!. percebe-se que elas vinham em alta desde o início do ano, atingindo um pico de $44,15 em 22 de Setembro (dia do anúncio do vazamento de 500 milhões de contas), e desde então começou a cair. No dia 14/11 (dia do anúncio do segundo vazamento de dados) ela foi negociada a $40,91 e no dia seguinte despencou para $38,41. 


Atualização (20/12): Não custa compartilhar a piada abaixo...



dezembro 15, 2016

[Segurança] Ciber Fraude na Black Friday

A empresa de segurança gringa Iovation divulgou um estudo sobre o crescimento das fraudes de cartão durante a Black Friday e Cyber Monday americanas.

A empresa comparou dados de 2014, 2015 e 2016:

  • houve um aumento de 20% no número de fraudes envolvendo cartões de crédito em compras online do ano passado para agora (a chamada "fraude de cartão não presente") durante a Black Friday e Cyber Monday. Entre 2014 e 2016, o aumento foi de 34%;
  • Em 2016, as transações fraudulentas durante a Black Friday e Cyber Monday representaram 0,38% das transações - contra 1,13% durante o restante do ano;
  • Em 2016, 59% das transações fraudulentas no comércio eletrônico durante a Black Friday e Cyber Monday foram relacionadas a fraude de cartão de crédito;
  • 55% das transações realizadas no período partiram de smartphones e tablets contra 49% no restante de 2016.


É interessante notar que a quantidade percentual de fraudes durante o período de compras da Black Friday e Cyber Monday foi menor do que no restante do ano. Isso vai de contra o que o mercado de segurança costuma dizer, de que deve ter mais fraudes e, portanto, as empresas devem investir mais. Esta queda na quantidade percentual de fraudes provavelmente se deve porque o fraudador não precisa se preocupar em comprar mercadorias em promoção (afinal, ele não está pagando a compra com dinheiro dele). Além do mais, o período da Black Friday representa o momento em que os sites tem muito acesso e, assim, podem estar mais lentos, com problemas de acesso, enquanto os lojistas estão de plantão e trabalhando em regime especial para garantir as vendas. Logo, há maior chance de uma compra fraudulenta não acontecer por problemas técnicos no site ou porque a área de fraudes estava de plantão especial. Ou seja, não há vantagem para os fraudadores profissionais atuarem nesse período.

dezembro 14, 2016

[Segurança] Os maiores vazamentos de dados

O portal Information is Beautiful criou um infográfico interativo bem legal, batizado de "World's Biggest Data Breaches", que mostra os principais vazamentos de dados. É possível visualizar as estatísticas por ano, por quantidade de dados vazados em cada incidente, por tipo de vazamento (acidental, ciber ataque, segurança fraca, etc).


Por ser interativo, o infográfico permite mudar a forma de visualização e adicionar alguns filtros para facilitar. Ao passar o mouse sobre algum dos incidentes reportados, é possível ver detalhes sobre ele (quantidade de dados envolvidos e, clicando uma vez mais, um pequeno resumo do caso). Também há um link para a história original.


Além de visualizar as estatísticas nesse infográfico, o site também disponibilizou os dados brutos em uma planilha no Google.

O infográfico mostra estatísticas de casos em que o vazamento envolveu dados de pelo menos 30 mil pessoas e agrega dados dos portais DataBreaches.net e IdTheftCentre, com notícias que sairam na imprensa.

dezembro 12, 2016

[Cyber Cultura] Cadê as mulheres palestrantes?

Nós, da Security BSides São Paulo, sempre tivemos pouca (ou nenhuma) subimissão de palestras vindas de palestrantes do sexo feminino. Isso é muito frustrante, pois eu conheço excelentes profissionais do sexo feminino e acredito que elas tem igual condições de palestrar (em termos de capacidade técnica e de comunicação), tanto quanto qualquer outro palestrante masculino.

Ou seja, nós não fazemos distinção nenhuma do sexo do palestrante que nos envia alguma sugestão de conteúdo, e assim avaliamos todas as propostas de atividades (palestras, oficinas, etc) pelo seu caráter técnico. Ë claro que em algumas ocasiões já aconteceu de recusarmos palestras de profissionais do sexo feminino por acharmos que o conteúdo sugerido não era adequado ao evento - mas mesmo assim, os casos de propostas recebidas, aceitas ou rejeitadas foram muito raros pela simples falta de ofertas de conteúdo.

A Marina, que trabalha na organização do Roadsec, escreveu um texto interessante no Facebook, aonde ela comenta que "Eventos de tecnologia costumam ser ambientes hostis com mulheres (na verdade quase todo evento costuma ser)" e destaca que, mesmo fazendo esforço para atrair mulheres para os eventos, muitas delas não enviam propostas de palestras porque "o mundo da tecnologia como um todo não é muito agradável quando uma mulher tem um microfone e a liberdade de dizer aquilo que quiser."

E ela completa: "Eu sei muito bem disso, já não foi uma só vez que escutei que devo 'controlar minha boca e minhas maneiras, agir como menina'."

Nós, da BSidesSP, já discutimos internamente algumas idéias de como atrair palestrantes mulheres, mas ainda não chegamos a uma conclusão de qual seria o modelo ideal. Algumas idéias que pensamos para atrair mulheres e fazê-las se sentir confortáveis e seguras para apresentar em um ambiente não hostil foram as seguintes:

  • Criar uma trilha específica na programação para palestrantes mulheres - assim, todo mundo que for nessa trilha sabe que lá vai encontrar palestrantes do sexofeminino. Talvez isso atraia mais público feminino também, aumentando assim a simpatia entre a platéia e a palestrante. Talvez isso iniba eventuais comportamentos sexistas por parte de participantes da platéia;
  • Limitar o acesso apenas de mulheres as palestras oferecidas por mulheres - certamente isso tornaria o ambiente mais confortável para as mulheres, mas eu receio que esta segregação só aumentaria o problema, em vez de resolvê-lo, pois não tenho certeza que essa segregação em feudos torne todo o ambiente do evento mais amigável. Eu receio que forçar essa separação por sexos pode trazer mais reações negativas do que positivas;
  • Oferecer trilhas de palestras de nível básico pode atrair mais palestrantes do sexo feminino. Como poucas mulheres palestram, a maioria delas tem pouca ou nenhuma experiência de falar em público. Oferecer uma trilha de atividades de nível básico pode ser mais atraente para palestrantes com pouca experiência (de ambos os sexos, a propósito!)
  • Sempre convidar mulheres para mesas de debate - essa talvez seja a solução mais fácil de ser adotada e de atrair a participação feminina. Em uma mesa de debates formada por vários participantes, não há dificuldade nenhuma em incluir partici[pantes de ambos os sexos. Como a conversa e as discussões são diluídas entre os participantes, eu acredito que dimunuimos o risco de pessoas da platéia direcionarem comentários negativos a participante mulher.
Enfim, nós ainda estamos conversando sobre como ajudar as profissionais de TI a ter um ambiente agradável dentro de um evento de tecnologia, e qualquer idéiaou sugestão é bem-vinda. Isso não é algo fácil pois um simples comentário inadequado de uma única pessoa pode levar por água abaixo meses de trabalho para promover a igualdade e respeito entre os sexos. Além do mais, é muito difícil para um homem entender todos os problemas de segregação, preconceito e sexismo que as mulheres sofrem diariamente - e é igualmente difícil para um homem encontrar uma solução para isso.

O fato é que todos nós nos beneficiamos de um ambiente de trabalho diversificado e equalitário.

dezembro 09, 2016

[Cyber Cultura] A tabela periódica do mundo IoT

O pessoal da CB Insights criou há poucos anos atrás a "Tabela Periódica do IoT", aonde eles desenharam as principais empresas e investidores no mercado de Internet das Coisas. Embora isso me pareça meio bizarro, não deixa de ser bonitinho.

Mas, para ser sincero, eu veria muito mais utilidade se essa fosse uma tabela periódica que mostrasse as tecnologias e usos de IoT, em vez de mostrar as empresas que estão envolvidas nesse mercado.



Como mérito da iniciativa, a tabela identifica as principais sub-áreas relacionadas com o mundo IoT:

  • Wearable Tech
  • Connected Home
  • Building Blocks & Platforms (empresas que criam e fornecem tecnologias para o mundo IoT)
  • Industrial Internet
  • Healthcare
  • In-store Retail
  • Connected Car

dezembro 08, 2016

[Cyber Cultura] Hackers como "Personalidade do ano"

Anualmente a revista americana Time eleje a personalidade mais marcante daquele ano. O Donald Trump acabou de ser eleito a personalidade de 2016, mas o interessante mesmo é dar uma olhada na lista final de nomeados para esse prêmio:
  • Hillary Clinton
  • Os Hackers
  • Recep Tayyip Erdogan, o presidente da Turquia
  • Os pesquisadores que criaram um tel de CRISPR, aparentemente uma técnica na medicina para manipulação de DNA
  • A cantora diva superpoderosa Beyoncé

Não é que os Hackers quase foram escolhidos como "a personalidade do ano"!? Há alguns anos atrás, em 2011, quando os protestos e ciber protestos estavam em alta no mundo todo, a Time elegeu "The Protesters" como a personalidade mais influente daquele ano. No ano seguinte, o Grupo Anonymous foi incluído na lista das 100 personalidades mais influentes do mundo em 2012,

Neste ano, os Hackers ganharam destaque na opinião da Time pelos maus eventos associados aos hackers, principalmente sobre os incansáveis casos de roubos e vazamentos de dados (dados pessoais, senhas de diversos sites grandes ou pequenos, além de segredos de empresas e governos), pelos ataques DDoS em grande escala e pelos problemas causados pelos Ransomwares.

Como se isso tudo não bastasse, os americanos estão assustados com a possibilidade de ciber ataques e ciber espionagem terem afetado a recente eleição americana. Imagina se eles tivessem as nossas urnas eletrônicas!

Um fator que não foi citado pela reportagem é que agora, mais do que nunca, ser hacker é ser "cool". A série televisiva Mr. Robot trouxe a cultura hacker para o grande público, justamente numa época em que estamos hiper conectaos e que a tecnologia permeia a vida de todos. Ou seja, ser hacker (do bem ou do mal) está virando modinha e está na ponta da língua do grande público.

Mas a reportagem e a escolha da Time se concentrou nos aspectos negativos e nos problemas de segurança ocorridos neste ano. Como resumiu o artigo da Time...
"They made vulnerability the new normal and took aim at democracy itself" 

dezembro 06, 2016

[Carreira] Perguntas ao final de uma entrevista de emprego

Normalmente uma entrevista de emprego termina com o entrevistador fazendo a derradeira pergunta "tem algo que você gostaria de perguntar".

Nessa hora, após ser sabatinado, sobreviver a tensão da entrevista e estar com os neurônios fritos, nos resta poucas energias e nenhuma inspiração para perguntar algo. eu, particularmente, raramente perguntava algo, pois geralmente eu estudo um pouco sobre a empresa e pego referências antes da entrevista.

Mas, recentemente, eu estava conversando com um amigo que passou por um processo de recrutamento e ele comentou que fez algumas perguntas ao final que impressionaram o executivo com quem ele conversou - e nessa hora, eu percebi que fazendo perguntas inteligantes ao final de uma entrevista é algo surpreendente até mesmo para o entrevistador - e, portanto, /e a oportunidade de encerrar o processo deixando uma ótima impressão.

Portanto, qual não foi a minha surpresa ao ver uma reportagem na Exame sobre a importância de encerrar uma entrevista com uma "prgunta de ouro".

Veja alguns exemplos de perguntas interessantes, que eu tirei da reportagem da Exame e da conversa que tive com o meu amigo:

  • “Qual foi o seu melhor momento aqui na empresa?” - Essa é a pergunta indicada pela Exame, pois eles alegam que assim você estimula o entrevistador a buscar boas memórias e associar isso a sua entrevista;
  • "Como você me vê daqui a 5 anos, aqui na empresa" - assim, você joga a tradicional pergunta "como você se vê aqui na empresa" para a perspectiva do entrevistador e, também, da cultura da empresa em promover um plano de carreira e o crescimento dos proficcionais;
  • "O que te mantém nesta empresa?" - Esta pergunta vai estimular o entrevistador a te dizer quais características da empresa e da cultura dela que ele consideram mais importante, e assim o tornam motivado a continuar nesta empresa - e isso pode valer para você também. Tem o apelo extra de cutucar os sentmentos do entrevistador;
  • "Eu costumo <fazer tal coisa>, e qual é a política da empresa com relação a isso?" - Esta é uma oportunidade para você destacar um hobby ou alguma atividade que você faça fora do horário do expediente e que você considere interessante reforçar. Por exemplo, se você gosta de pesquisar novas tecnologias, palestrar em eventos, participar de associações profissionais ou fazer trabalhos voluntários. Todas estas atividades podem ter passado desapercebidas durante a entrevista, mas nesse final, você pode aproveitar para dar um destaque a isso.

Se pararmos para pensar, nós temos a tendência natural de relembrar com mais facilidade das coisas mais recentes, e assim, o que você fizer no final de uma entrevista pode se tornar a sua "assinatura", ou seja, a principal lembrança que vão ter de você.


dezembro 05, 2016

[Segurança] Como vai ser a Guerra Cibernética

Um artigo curto, porém interessante, do USA Today comenta como poderia ser um cenário atual de Guerra Cibernética e suas consequências.

Possivelmente, uma guerra cibernética envolverá os seguintes cenários:
  • Blackout da Internet de um país
  • Ciber ataque contra a capacidade de comando e controle do adversário
  • Ciber ataques causando danos a infraestrutura crítica de um país, causando blackouts de energia, problemas de comunicação, etc
O artigo também destaca que, em muitos aspectos, os ciber ataques representam uma forma dos países se envolverem em conflitos sem precisar chegar a ponto de se envolver em ataques armados, no mundo físico. Através de ciber ataques, governos podem impactar outros governos adversários ou cidadãos vazando documentos sensíveis e informações privadas, causando danos a imagem ou anulando ações de seus adversários.

dezembro 02, 2016

[Segurança] Cartilhas sobre Segurança online e práticas seguras

Aproveitando, o Instituto Coaliza mantém uma página com várias cartilhas de conscientização dispníveis para download. São 44 cartilhas produzidas por diversas entidades, englobando assuntos como dicas básicas de segurança online, práticas de segurança, ciber bullying, combate a pedofilia, direitos humanos, uso de redes sociais, compras online com segurança, etc. Vale a pena dar uma olhada.

novembro 30, 2016

[Segurança] Como podemos melhorar a BSides São Paulo?

A cada edição da Security BSides São Paulo que realizamos, nós tentamos melhorar um pouco mais o evento e, na medida do possível, não repetir os erros das edições anteriores. Após 14 edições, eu acredito que estamos conseguindo ir bem, melhorando aos poucos.

Para obter o feedback do público de maneira mais fácil, desde algumas ediçõões atrás, nós incluímos no formulário de inscrição uma pergunta sobre "Como podemos melhorar o evento?". Fizemos isso no momento da inscrição, em vez de uma pesquisa após o evento (que é o mais usual), principalmente porque todo mundo que vai no evento se inscreve, e portanto é obrigado a responder esta questão, enquanto normalmente poucas pessoas, muito poucas, costumam responder pesquisas de satisfação. Muito poucas mesmo.

O meu objetivo principal, com isso, foi o de identificar alguns problemas que podemos consertar ou algumas novas idéias legais que ainda não tínhamos pensado antes. Na prática, recebemos centenas de respostas que variam desde comentários úteis, engraçados, e alguns inúteis, que não ajudam em nada.

Os dois tipos de comentários mais comuns que recebemos são de pessoas cobrando maior divulgação do evento (raramente com dicas sobre como podemos fazer isso) e daqueles que participam pela primeira vez e, por isso, acham que não tem como sugerir alguma melhoria. Por exemplo:
  • "Melhorando a divulgação."
  • "Mais informativos através de redes sociais."
  • "Divulgar em escolas como o SESI."
  • "Divulgar nas empresas como Embraer por exemplo."
  • "Com uma maior divulgação na mídia."
  • "Nunca fui ao evento, mas pelo que eu percebi não muita divulgação, seria legal mais pessoas da area terem conhecimento do evento!"
  • "Anunciando mais pela web"
  • "Realizar uma divulgação dentro das universidades levando a camiseta."

Além desses, segue uma compilação dos mais de 600 comentários que recebemos nas inscrições da BSidesSP v13, alguns deles com pequenas observações minhas destacadas em itálico. Essas observações são de cunho pessoal, e não necessariamente refletem a opinião de todos os organizadores do evento.

Obrigado pelos elogios :)
  • "Sendo gratuito ele já e incrível"
  • "Como está atualmente está muito bom"
  • "Acho que o evento está ótimo não melhoraria nada no momento."
  • "O evento já é muito bom"
  • "Tá bom assim se melhorar estraga"
  • "O evento é sempre ótimo. Parabéns aos organizadores"
  • "Continuem ele, forever!"
  • "Já é bom, não parem!"
  • "Está du caralho."
  • "Evento fodastico, difícil falar o que melhor, evento muito Top."
  • "O evento já e foda"
  • "Nunca participei, mais fiquei fascinado com a grade de palestras e oficinas tudo isso gratuitamente. Isso é um maravilha pra o conhecimento livre. Estão de parabéns!"
  • "Precisamos de mais Anchises!"
  • "É a primeira vez que participo, porém, pela qualidade dos organizadores, sei que será um grande evento."
  • "Se mantendo neste nível de excelência"
  • "continue a nadar :)"
  • "Continuando a fazer este maravilhoso evento de networking e humanizaçao"

Críticas construtivas são muito bem vindas, pois indicam coisas que precisamos melhorar:
  • "Melhorar os projetores das salas de aulas. Não dá para enxergar principalmente quando acessam cmd e Shell."
  • "Começar as palestras no horário certo e melhorar os equipamentos  de som"
  • "Colocando mais palestras hackers e menos palestras de Nerd punheteiro."
  • "Mais conforto."
  • "Talvez em um local maior e com palestras cada vez mais instrutivas, não somente show"
  • "Tendo mais churrasco"
  • "No ano passado ficou um pouco confusa a organização e localização das salas, um mapa mais bem definido ajudaria!"
  • "Maior sala para treinamentos, pois fiquei sem vaga para participar CSIRT"
  • "O site podia ser mais intuitivo e centralizado. Parece que as informações estão divididas em alguns diferentes sites (Garoa HC, Security BSides e a página principal).A página do SP do SP13 dá a entender que os palestrantes ainda não foram convocados."

Dicas legais, que vamos avaliar com bastante carinho:
  • "Café de graça" - nesta edição conseguimos um patrocinador para o café :)
  • "Organizar melhor a fila do churrasquer." - sim, a fila no almoço costuma ser muito grande mesmo, pois é difícil dar vazão para tanta gente!
  • "ter 2 mesas separadas pro almoço ao invés de uma, com o propósito de diminuir a fila." - o interessante é que já fizemos isso 3 vezes (e vamos continuar fazendo), mas tem gente que insiste em pegar a fila maior!
  • "Pão de alho no churrasco" - boa!!!
  • "Com mais opções de palestras."
  • "Better description"
  • "Poderiam divulgar o evento em mais faculdades da area"
  • "cadastro mais simples"
  • "Variar o local!"
  • "Com um espaço mais amplo"
  • "Promover mais competições"
  • "Com maratonas em CTF"
  • "Criando um campeonato de Game of Dhrones com o objetivo de se tornar um esporte"
  • "acredito que incentivando mais as meninas" - sim, estamos preocupados em como atrair mais garotas na platéia e, principalmente, nos palcos
  • "Buscando mais equidade de gênero"
  • "Colocar no twitter interação automatica com discusão entre os participantes e as palestras" - interessante!!!
  • "mais interação em horários de palestras"
  • "Compartilhar conversas sobre as apresentações via canal twitter por exemplo"
  • "VIDEO GAME STATIONS"
  • "Talvez realizando um pequeno campeonato de "League of Legends""
  • "trazer pesquisadores renomados também do exterior."
  • "Trazendo convidados internacional"
  • "convidados famosos na area"
  • "Mais fiscalização para não deixar os menores de idade sair do local sem acompanhante."
  • "Ainda não sei (pois não participei), mas acredito bastante na cultura de maratonas de programação"
  • "Está ótimo, mas gravar e disponibilizar na internet as palestras, isso ajudaria ainda mais na divulgação do evento."
  • "Levar empresas expondo seus projetos inovadores"
  • "Usando avaliações imediatas das palestras (com cartões verdes/amarelo/vermelhos) organizando um fishbow, palestras de 20 minutos e palestras relâmpago." - gostei desta idéia das avaliações imediatas :)
  • "Além da venda pelo Eventbrite, o evento poderia ser divulgado através do MeetUp, que costuma ter maior visibilidade e um algoritmo eficiente para a divulgação de eventos para as pessoas que estariam interessadas."
  • "gostaria de comprar a camiseta e fazer a doação, mas só que gostaria de pagar com boleto, como não tem fico impossibilitado de comprar."
  • "talvez valha pensar num alumini para quem ja foi a mais de 5 edições!"
  • "Como se trata de um evento que conta com um grande número de pessoas acho interessante que tenha uma central de atendimento de emergência." - estamos pensando nisso!!!
  • "Melhorem a pagina de inscrição do evento para acessar Mobile... A cada das inserir ela volta ao topo."
  • "oferecer mais treinamentos no sábado"
  • "Financiamento coletivo para ajudar novas caravanas e trazer novos palestrantes."

Comentários legais, mas de coisas que dificilmente pensaríamos em mudar:
  • "Fazendo mais vezes durante o ano.!!!" - em duas ocasiões realizamos 3 BSidesSPs em um único ano, e realmente foi muto cansativo para nós :(
  • "Palestras de mais duração" - na verdade, eu tenho vontade de fazer palestras mais curtas, tipo TED. 40 minutos já é meio que padrão de mercado, mas para assuntos mais longos temos as oficinas e mini-treinamentos 
  • "treinamentos mais pratico" - sim, seria o ideal, mas na realidade, ninguém leva o computador pronto para o treinamento. Mesmo que você indique um checklist (ex: traga notebook com tal SO, com VM, com tais softwares pré-instalados), a maioria da galera não traz nada, e aí um treinamento prático precisa ter 1 hora inicial só para que todo mundo prepare seus computadores para as atividades. Isso inviabliza uma atividade prática em pouco espaço de tempo;
  • "Agenda dos palestrantes: nem sempre todos eles podem comparecer" - quiséramos poder controlar a vida dos outros. Pelo menos, raramente os nossos palestrantes faltam, ao contrário dos inscritos: nosso no-show (gente que se inscreve, toma vaga dos outos, e não aparece) é maior do que 50%
  • "Divulgando as fotos das camisetas dessa edição no site." - as camisetas são criadas uma semana antes do evento, e a arte é realizada no momento da encomenda. Não temos condições de divulgar a arte antes disso simplesmente porque ela não existe até então. Além do mais, nós gostamos do suspense e do "efeito surpresa"
  • "Deveria haver camisetas famininas." - nós sempre fazemos uma pequena quantidade de camisetas baby look
  • "Sugiro publicar as apresentações Slide para os participantes" - isso dependende cada palestrante
  • "Cerveja trincando"
  • "Incluindo outras cidades, como Rio de Janeiro" - Já quisemos fazer isso, mas para nós fica muito difícil realizar eventos fora de São Paulo, principalmente por 2 motivos: aumento de custos e os organizadores são voluntários e, por isso, possuem pouco tempo disponível para organizar os eventos (e, fazer fora de São Paulo traz um nível extra de trabalho que não conseguimos suportar)
  • "Aumentar o número de palestras" - estamos muito perto do limite possível em termos de horário e infra-estrutura viável
  • "aumentar a quantidade de dias do evento" - isso iria aumentar em muito o trabalho da organização, e não temos pique nem interesse em fazer isso
  • "Buscar um modelo mais colaborativo de parcerias para promover/sustentar as oficinas e o evento. A Bsides faz um trabalho nobre para a comunidade, porém o valor percebido pelo patrocinio do evento é visto puramente como sendo institucional."
  • "Efetuando mais premiação para os convidados." - o foco do evento é oferecer conhecimento, e não prêmio
  • "Fazendo mais parcerias, ou até mesmo usando incentivos do governo a cultura para arrecadar mais fundos e assim conseguir criar o evento em mais areas de são paulo" - eu, particularmente, quero distância do governo
  • "Poderia ser criado um banco de curriculos para ajudar aos que estão tentando entrar na área de seginfo." - a idéia é boa, mas foge do nosso foco

Comentários sobre o conteúdo (a maioria são bem-vindos e alguns temas estão em nosso radar):
  • "Poderia montar mais treinamentos que aprofunda em segurança"
  • "Palestras informativas da area de segurança, ou game dev."
  • "mais palestras sobre iot
  • "Mais oficinas de hacking"
  • "Colocar palestras sobre deep web"
  • "Mais palestras sobre segurança da informação"
  • "Evento está show, Podem acrescentar palestras de gestão tbm, ISO 27002, gestão de risco, dicas para quem está começando na area e motivação." - nosso foco é mais em palestras técincas, mas valeu pelsa sugestão :)
  • "mais palestras voltada para informática sem ser programação"
  • "Mais oficinas de eletronica."
  • "Mais Palestra sobre a Area de Servidores e Redes"
  • "I think u could improve it doing more workshops, like lock-picking, mobile hacking, social engineering etc"
  • "Explicando como funciona CTF como descobre melhor as flags, quais ferramentas colocar coisas refeintes a matemática"
  • "incluir palestras sobre CTF 101 por exemplo"
  • "Abrindo mais para a área de Design" - hum, acho que aí começa a fugir muito do foco do evento
  • "Eventos de empreendedorismo;Eventos com incubadoras de startups;" - hum, acho que aí começa a fugir do foco do evento (2)
  • "Inserir oficina de pentes,programação"
  • "Inclusão de palestras e conhecimentos relacionados aos sistemas na web"
  • "que as palestras trouxessem cases práticos do dia-a-dia, ou compartilhando conhecimentos que gerem insights no público (algumas são assim, a maioria não sai com essa percepção). Ex.: houve uma palestra de análise de malware via dump de memória que segue isso que falei. Ao sair da palestra vc tem vontade de estudar e sai com um conhecimento básico dos passos para se analisar malware via dump de memória e as ferramentas utilizadas."
  • "Oferendo cursos voltados para iniciantes da area de Segurança da Informação"

Comentários engraçados (ou tristes, se preferir):
  • "Liberando conhecimento para minha mente sedenta..."
  • "No formato atual o evento já está muito bom, o único problema é que nunca sou sorteado no encerramento...."
  • "sgsdgsdgsdg"
  • "Disponibilizando prostitutas para os participantes." - talvez os pais que levem seus filhos no evento possam não gostar dessa idéia. Além do mais, para ser justos com os participantes de ambos os sexos, deveríamos ter garotos de programa também. De qualquer forma, me parece que a BSides não é o tipo de evento para este tipo de coisa.
  • "Melhor que isso só se tivesse stripers, o que não é o caso , mas seria uma boa ideia... rsrs" - vale o mesmo comentário anterior.
  • "javascript:alert('Hello World');"
  • "Teste"
  • "=)"
  • "Sempre convidem o Nelson kkk"
  • "Fazer a BsidesSP mensal ou quinzenalmente \o/!"

Comentários que fica difícil saber o que fazer com eles:
  • "Preco" - Como alguém reclama de "preço" em um evento gratuito? Será que querem que comecemos a cobrar em vez de fazer de graça?
  • "Publicacao do catalogo do que nos espera no evento com duas semanas de antecedencia" - nós já fazemos bem melhor do que isso: nós publicamos a agenda no evento no site um mês antes, junto com a abertura das inscrições. Assim, todo mundo que se inscreve sabe exatamente o que vai ter no evento: palestras, oficinas, atividades, etc.
  • "Incluindo opções vegetarianas no Churrascker... :-P" - já temos salada, berinjela, batata, arroz. farofa.
  • "mais palestras de securty" - a grande maioria das palestras já são de segurança.
  • "Ter o evento duas vezes por ano" - o evento já acontece 2x por ano!
  • "Girls free ;D" - os ingressos já são free para todo mundo! Será que a sugestão aqui é começar a cobrar do público masculino? Lamento, preferimos dar ingresso gratuito para todos.
  • "Tradução do site para português brasileiro" - What!?
  • "Descrição dos minicursos nas opções, pois apenas o nome deixa muito vago sobre o que será tratado, se será prático ou teórico." - nós publicamos as descrições no site (ok, nesta última edição nós demoramos alguns dias a mais para subir as descrições das palestras, oficinas e mini-treinamnetos)
  • "Banindo alguns palestrantes que faltam e chegam demasiadamente atrasado em suas respectivas palestras." - isso raramente aconteceu
  • "áreas do conhecimento" - What!?

Coisas que já fazemos:
  • "Com música"
  • "Estandes para arrecada curriculum e fazer entrevista no local." - infelizmente sempre tivemos pouca adesão de empresas e participantes nas atividades do "Hacker Carreer Fair"
  • "Providenciar água"
  • "Mantendo o planejamento sem atrasos." - raramente atrasamos a programação das palestras
  • "Deixando água gratuita disponível para os visitantes e banheiros." - normalmente disponibilizamos água no bar e os banheiros disponíveis são os próprios banheiros da 
  • "Oferecendo mais prêmios"
  • "Divulgando a programação com maior antecedência." - já divulgamos a grade quase completa pelo menos um mês antes do evento, coisa que muitos eventos brasileiros muito maiores do que o nosso não faz

novembro 28, 2016

[Cyber Cultura] Snowden, o filme

Nesse final de semana eu assisti o filme Snowden, do diretor Oliver Stone (veja aqui informações sobre ele no IMDB). O filme não é uma produção qualquer: ele reúne um diretor fodástico, com alguns atores bem conhecidos (incluindo o Nicholas Cage, fazendo um papel coadjuvante, de um especialista da NSA), para tocar em um assunto bem sensível: as revelações deitas pelo Edward Snowden em 2013 sobre os programas de espionagem em massa da NSA, e as motivações que o levaram a isso.



Eu achei o filme bem legal, principalmente para nós nerds, e para quem acompanhou toda a história dessas revelações. Obviamente, ele traduz tudo o que aconteceu para o público leigo, e só por isso já tem o grande mérito de levar para o grande público essa discussão sobre a espionagem governamental versus os direitos individuais e nossa privacidade online.

Mas, será que o filme conseguiu isso mesmo? Eu tenho as minhas dúvidas, principalmente porque aqui no Brasil o filme estreiou em 10 de novembro e, 2 semanas depois, ele está passando em pouquíssimos cinemas, na maioria das vezes em apenas um horário específico (na rede Cinemark, ele está passando apenas em 2 cinemas de São Paulo, um em Campinas e uma sala no Rio de Janeiro, com 2 horários apenas).



Ou seja: as grandes redes de cinema decidiram que o filme não atrai o público. Além disso, eu acredito que se houvesse demanda de píblico para assistí-lo, provavelmente ele ainda estaria passando em várias salas e horários.

No final do filme, eu ainda fiz um comentário sarcástico com os meus amigos: "ele fez isso tudo para, no final, elegerem o Trump como presidente!". Na verdade, o comentário é uma piada mesmo, pois acredito que certamente nenhum presidente norte-americano iria mudar o programa de espionagem deles. O próprio filme deixa claro que o programa nasceu no governo Bush e foi mantido, isto é, expandido, na administração Obama. Certamente nem a Hillary Clinton nem o Donald Trump tem o menor interesse em diminuir a capacidade de vigilância e espionagem do governo. Mais do que uma promessa de campanha, isso é questão de política de estado e estratégia de defesa global do governo americano.

Mas, de uma coisa eu garanto: quem assistiu o filme vai ficar muito tentado a tampar a webcam de seu computador!

novembro 25, 2016

[Cyber Cultura] Quando teremos um hackerspace no Rio de Janeiro?

Recentemente eu recebi a notícia de um grupo que está formando o com objetivo de ser um hackerspace no Rio de Janeiro.

É o pessoal do Área 21 Hacker Clube (Facebook), que está se juntando para criar um hackerspace voltado para as áreas de Segurança, Software Livre e Programação. Eles iniciaram suas atividades em Outubro através da Roadsec Rio e e, nas palavras de um dos organizadores, eles estão agora procurando um espaço físico em uma universidade para se consolidar. Eles estiveram presentes no Roadsec São Paulo, fizeram uma oficina improvisada na BSidesSP e aproveitaram a visita para conhecer o Garoa.

O Rio tem uma quantidade enorme de profissionais e estudantes de tecnologia, em áreas diversas como engenharia, eletrônica, computação, segurança da informação, etc. Possui também várias comunidades de Segurança, Arduino e, principalmente, Software Livre. Inclusive, foi lá que eu participei de meu primeiro Coding Dojo, uma atividade de programação coletiva bem legal e muito usada para ensinar ou aperfeiçoar nossos conhecimentos de programação. O Rio também possui várias universidades excelentes. Ou seja, a cidade tem praticamente todos os ingredientes para formar um hackerspace grande, ativo.

Mas, antes do Área21, já tivemos a iniciativa do Kernel 40° (que já fechou), do Rio Hacker Space e do Carioca Hackerspace. Além deles, ainda existe o OHMS (Our Home Makerspace) (site em construção aqui) e o Weekend Thinkers, projetos com jeito de Makerspace realizados principalmente por uma única pessoa, o Dado Sutter, um cara sensacional, por sinal.

Com tantos ingredientes, com tantas iniciativas, com tantas tentativas, já passou da hora de termos um hackerspace no Rio de Janeiro. Mas, enfim, quando conseguiremos isso?

Na minha humilde opinião, infelizmente a resposta é nunca.
:(

Me parece que falta o principal ingrediente dessa mistura: o senso de comunidade.

Digo isso porque eu conheço vários grupos no Rio de Janeiro que poderiam se juntar e fazer um hackerspace fodástico, agregando várias pessoas super capacitadas, e várias comunidades muito ativas. Também conheço várias das pessoas envolvidas nas iniciativas acima. Mas o problema é que, além dessas comunidades serem relativamente pequenas para manter o seu próprio espaço individual, cada uma delas insiste em querer montar "o seu próprio hackerspace" e esperam que as demais comunidades venham se juntar ao espaço delas.

Ou seja, infelizmente sobra individualismo e ego, e falta o verdadeiro espírito de comunidade, que é o que faz um verdadeiro hackerspace acontecer.

Um hackerspace é um espaço comunitário e, como tal, não tem dono. Peguemos o exemplo do Garoa: foram 12 membros fundadores, os principais responsáveis pela criação do espaço. Destes, 7 ainda continuam participando do Garoa, mas hoje temos mais de 40 associados ativos (participantes que contribuem financeitramente com a manutenção do espaço). E, nestes mais de 5 anos de existência, pelo menos 74 pessoas já foram associados, frequentando o espaço, organizando atividades e hackeando. Isso sem falar das centenas de pessoas que frequentam esporadicamente o nosso espaço.

novembro 23, 2016

[Cyber Cultura] Como não cair nos boatos da Internet

Eu vi no Facebook um post com um infogáfico bem simples, e bem legal, resumindo dicas para identificar - e não compartilhar - boatos distribuídos nas redes sociais.


Existem diversos sites que publicam notícias falsas ou distorcidas, para enganar o público ou influenciar a opinião de quem o lê. Mas, por outro lado, também existem sites que investigam e desmentem os boatos na medida que surgem, como é o caso do boatos.org, por exemplo.

Há pouco tempo atrás, eu escrevi um post com dicas para identificar os boatos na Internet, que complementa o infográfico acima.

novembro 22, 2016

[Segurança] Os ataques DDoS estão indo longe demais!!!

Não basta os ataques de DDoS terem passado a marca assustadora de 1 Tbps, e um único ataque a um provedor DNS ter impactado o acesso a diversos sites do nosso dia-a-dia.

Agora, parece que a nova moda vai ser tirar países inteiros do ar!

No início do mês surgiram notícias de que um ataque DDoS usando novamente a botnet Mirai tirou do ar a Liberia, um país minúsculo na quase esquecida Africa. O ataque durou duas semanas e, na verdade, afetou o provedor Lonestar MTN e causou impacto em 60% do tráfego Internet do país.


OK, por um lado não é muito difícil atacar um país Africano, uma vez que a infraestrutura de conectividade de todo o continente é bem capenga pois muitos países tem problemas sérios de infra-estrutura causados pela falta de investimento ou destruição por frequentes guerras civis. Além disso, todo o continente é servido por poucos cabos submarinos. A Liberia, por exemplo, é atendida por apenas um babo submarino, o "African Coast to Europe (ACE)", que sai da França e vai até a Africa do Sul, podendo chegar a uma capacidade de até 5,12 Tbps.

Mas, com a capacidade dos atacantes subindo rapidmente, torna-se cada vez mais fácil direcionar ataques a empresas de forma a causar grandes impactos aos usuários.

novembro 21, 2016

[Cyber Cultura] Enigma no crachá da BSidesSP

Nesta última BSidesSP, a Dani do Garoa Hacker Clube criou alguns desafios para os participantes, valendo prêmio. Em um deles, o pessoal teria que decifrar a mensagem secreta que estava codificada no crachá do evento.


Pois bem, o texto dentro do trevo de quatro folhas é um código escrito em Brainfuck, uma linguagem de programação louca e bem zoeira, que foi criada justamente para ser escrita em um código praticamente incompreensível. O texto era o seguinte:



Utilizando um interpretador online, é possível descobrir a mensagem resultante da execução desse código:
"Privacy is not something that I'm merely entitled to, it's an absolute prerequisite"

[Cyber Cultura] 5 anos de BSidesSP

Neste final de semana, 19 e 20/11, tivemos a 13a edição da Security BSides São Paulo. Somada com a BSides Latam que organizamos em junho deste ano, já são 14 BSides em 5 anos, desde 15 de maio de 2011.

Ainda não fechamos a contagem de presentes, mas facilmente passamos de 500 participantes, que aproveitaram dos mini-treinamentos no sábado e das diversas atividades no Domingo. Nosso objetivo era fazer um evento com 400 pessoas, mas a comunidade não deixou. Mesmo com as inscrições enceradas mais de uma semana antes do evento, os pedidos de participação e as listas de convidados e caravanas não paravam de chegar. Tentamos fazer um evento pequeno, mas a comunidade queria mais!


Esta edição, assim como as demais, teve uma grande energia positiva, marcante, com praticamente todas as atividades lotadas e muita troca de conhecimento até o último momento. Tivemos alguns palestrantes que entraram na grade no último minuto e, mesmo no susto, deram excelentes palestras. O pessoal do Área 21, um hackerspace em formação no Rio, também estava presente e deu uma oficina surpresa na biblioteca, dividindo espaço com robôs e crianças. Tivemos uma feijoada feita na véspera no Garoa (com direito a acabar o gás no meio da madrugada), que ficou excelente, e um dos participantes que foi levado ao Corpo de Bombeiros para tirar a algema da oficina de Lockpicking.



O evento foi sensacional, e isso só foi possível graças a energia do público presente, as excelentes palestras, aos patrocinadores que acreditam na qualidade do evento (Trend Micro, e-SaferNewSpace e Conviso, além da Cipher, que bancou o café, e a Trend Micro, que novamente patrocinou também o bar do evento) e ao apoio do Garoa e da PUC-SP. Também marcaram presença a Novatec e o pessoal da Robocore, com as suas lojinhas. Sem eles, nada disso seria possível.

O evento acontece porque cinco amigos (eu, Bordini, Marcelo, Ponai e Ranieri) tem a ajuda de mais um punhadinho de voluntários, nossos "Hands of King" (Fábio, Yumi, Mônica, Subnet, Lincoln, Damião, Logan, Joel, Priscila e Victor). Além dos voluntários que nos ajudaram no dia do evento (Ygor, Slayer, Erik e mais alguns outros). Obrigado também a equipe do Bar (Brandão, Maira, Vita e Diego) e aos dois Nelsons que tiveram a louca idéia de fazer uma feijoada para a galera! Fizeram simplesmente porque acharam que ia ser divertido e que o pessoal iria gostar. E todo mundo gostou!

Uma cena, ocorrida durante o campeonato de robótica, descreve o espírito da BSidesSP: como um dos robôs seguidores de linha estava com problemas, os demais falaram para suspender as provas e dar tempo para o colega consertar o seu robozinho.

No ano que vem teremos mais uma BSidesSP na véspera do You Sh0t the Sheriff, nos dias 20 e 21 de Maio. E, em Setembro de 2017 o pessoal da BSides Colombia vai organizar uma BSides Latam em Medelín.


novembro 18, 2016

[Cyber Cultura] Internet of Toys

Recentemente eu aprendi uma nova versão para a sigla "IoT":


Internet of Toys


A Internet dos "brinquedos" surge a medida em que chegam ao mercado brinquedos eróticos que podem ser controlados a distância por controle remoto ou por um app. Imagina se conectar isso a Internet então... Alguém vai lançar (se é que já não lançou) um acessório desses para casais que vivem a distância ;)



Imagine, etnão, regular a intensidade do seu brinquedo intímo por um app no smartphone? Se nós pudermos fazer isso, os "piratas da informática" também podem tentar conseguir acesso remoto para implantar malware e realizar ataques a partir do seu brinquedo. Ou controlar a intensidade de vibração dele sem que você saiba!

Já pensou o que vem pela frente? Teremos uma "ciber doença venérea"!? E essas novas botnets baseadas em dispositivos IoT vão realmente "botar para f*". ;)

novembro 15, 2016

[Segurança] Revenge Hack

Que o nosso mercado de segurança é hostil, isso não deve ser novidade para ninguém!

As vezes essa hostilidade é velada, disfarçada como uma brincadeira ou uma trollagem. É o caso, por exemplo, de vários eventos que fazem um "Wall of Sheep" para expor as senhas capturadas em aberto na sua rede local. Na H2HC, criou-se a cultura do "leak do banheiro": de vez em quando você vai no benheiro masculino e encontra senhas ou dados pessoais de alguém em um papel, colocado no espelho ou na pia.


Mas em outras ocasiões vemos esse tipo de hostilidade atingir níveis mais sérios, com brigas e discussões em listas públicas (discussões que vão muito além de um simples "flame war"), até mesmo campanhas de ciber ataques para invadir ou humilhar colegas de profissão ou empresas da area. São exemplos, neste último caso, a "operação AntiSec" que aconteceu principalmente nos Estados Unidos no início da década, comandada pelo grupo Lulzsec. Ou, no Brasil, o Project Mayhem, uma série de ataques a profissionais e empresas brasileiras, que aconteceu na segunda metade da década de 2000.


Às vezes, essas campanhas são direcionadas a pessoas que uma parte da comunidade de segurança considera serem charlatões ou mau profissionais, ou que não mereça fazer parte da comunidade. Um exemplo recente, neste caso, foram algumas ações que aconteceram contra o Luís Vieira e o Gustavo Lima (Coruja de TI).

Mas, recentemente, vimos um caso que, na minha opinião, foge desses comportamentos "padrão", e que eu prefiro batizar de "Revenge Hack". Tentando resumir a história, já comentada pelo Carlos Cabral: durante a última H2HC, um colega nosso que estava responsável pelo bar do evento tratou mal vários participantes do evento que iam se servir no bar (comportamento em parte causado por conta do jeito bonachão-mal-interpretado dele, e em parte por outros agravantes que não vem ao caso). O fato é que várias pessoas se sentiram incomodadas com o desrespeito que sofreram e um pequeno grupo decidiu se vingar: conseguiram ter acesso a várias contas pessoais do responsável pelo bar e "hackearam" o seu perfil no Linkedin, seu blog, apagaram seu iPhone, entre outras coisas. Pior ainda: mandaram mensagem para o chefe dele, a partir do perfil dele no Linkedin. Nesse momento foi cruzada a linha entre a trollagem e a vingança.



Já ouvi muitos colegas falando muita coisa sobre esse incidente. Na minha opinião pessoal, os dois lados agiram errado, de forma vergonhosa: quem ofendeu e quem vingou a ofensa, pois acredito que um erro não justifica outro erro. E, no final do dia, o maior perdedor é justamente o senso de comunidade. Novamente testemunhamos atitudes desnecessariamente desrespeitosas.

Por um lado, eu acredito que este incidente recente de vingança na H2HC foi um caso isolado em nossa comunidade, um ato que não se encaixa nos comportamentos tradicionais de hostilidade latente do mercado. Não se encaixa, mas foi consequência da comunidade de segurança que todos nós criamos em todos esses anos.

Em todos estes anos, nós construímos e toleramos uma comunidade baseada principamente na trollagem, mais do que no compartilhamento de conhecimento, aonde é mais fácil criticar alguém que se destaque do que contribuir com a comunidade. Como se não bastasse trollar os colegas ao minimo deslize, os ataques desrespeitosos com o fim de humilhar podem atingir qualquer pessoa que se exponha um pouco mais na comunidade, fazendo ou não por merecer uma resposta de ódio.

Para quem não faz parte desse pequeno grupo que centraliza as conversas e as atividades existentes na área de segurança, estes incidentes reforçam a ideia de "panelinha", uma visão muito comum para quem está lado de fora ou mais a margem dos acontecimentos. Eu acredito, inclusive, que tais ações acabam intimidando e afastando pessoas interessadas em contribuir com a área, principalmente quem está começando na área. Arrisco até a dizer que esse tipo de comportamento ajuda a afastar potenciais palestrantes - não é a tôa que a maioria dos eventos de SI contam sempre com a mesma meia dúzia de palestrantes de sempre,e  temos dificuldade em renovar isso.

Devemos aproveitar e pensar se este é realmente o modelo de comunidade que queremos para nós. Viver em comunidade significa saber respeitar o próximo e as diferenças entre todos, e estar disposto a acolher e ajudar a todos. Em um ambiente saudável, tanto os mais experientes quanto os menos experientes podem se beneficiar de uma interação saudável em comunidade.

Nota (incluida em 12/12): O DMR escreveu um texto interessante, com um contraponto das opiniões minhas e do Cabral: "0 ch0r0 3h l1vr3". Vale a leitura e reflexão.

novembro 13, 2016

[Cyber Cultura] Os significados de IoT

Não basta a Internet das Coisas (IoT, "Internet of Things") ser a tecnologia da modinha. Aos poucos, vão surgindo algumas interpretações irônicas sobre o que significa IoT. Eu já ouvi algumas:
  • Internet of Threats
  • Internet dos Trem (em homenagem ao pessoal de Minas Gerais)
  • Internet dos Treco
  • Internet das Treta

Além disso, já surgiram termos omo...

novembro 11, 2016

[Segurança] Como proteger o seu Smart Device

O pessoal do site The Hacker News publicou algumas dicas bem simples de cuidados mínimos de segurança com os seus dispositivos IoT. Vale a pena dar uma olhada:
  1. Altere as senhas padrão de seus dispositivos: Se você tiver qualquer dispositivo conectado à Internet em casa ou no trabalho, altere as senhas padrão qu vem de fábrica;
  2. Desativar o recurso Universal Plug-and-Play (UPnP): Verifique se há recursos de "Universal Plug and Play" em seu equipamento. Muitas vezes, o UPnP vem habilitado por padrão em dispositivos IoT;
  3. Revise as restrições de Gerenciamento Remoto: Em particular, desabilite o acesso remoto através de Telnet e por uma rede pública (permita o acesso administrativo apenas pela rede local). Isso é particularmente crítico nas configurações do roteador com a Internet e roteador WiFi;
  4. Verifique as atualizações de software e os patches: Mantenha sempre os seus dispositivos IoT e roteadores atualizados com o firmware mais recente do fornecedor;
  5. Aproveite e verifique se o dispositivo IoT está vulnerável ao malware Mirai. Já existe um site aonde é possível fazer essa verificação online, que usa dados do Shodan: http://iotscanner.bullguard.com



novembro 09, 2016

[Segurança] O Marco Civil e a Guarda de Logs - II

Dando continuidade ao meu post anterior sobre o impacto do Marco Civil nas práticas de guarda de logs das empresas, vale a pena destacar as novidades trazidas pelo Decreto nº 8.771, de 11 de Maio de 2016, que regulamentou as questões pendentes do Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014).

Para quem trabalha com Segurança da Informação, a guarda de logs foi um dos pontos centrais do Marco Civil, uma vez que ele, finalmente, trouxe algum tipo de regulamentação formal para esse assunto. Até então, as poucas práticas utilizadas pela indústria eram baseadas em o que cada empresa ou cada setor considerava útil. e havia muita polêmica sobre a necessidade de guarda de logs verus privacidade dos usuários e versus o custo que seria imposto as empresas para manter estes registros.

Assim, em 2014 o Marco Civil trouxe diversos artigos sobre a guarda de logs para provedores de acesso a Internet, provedores de conteúdo e de aplicações online. Já o Decreto nº 8.771 trouxe  algumas regras mais específicas, e somando as duas coisas, resumidamente ficamos com o seguinte cenário:
  • os provedores de acesso devem manter seus logs por apenas 1 ano;
    • não é permitda a terceirização da guarda dos logs;
    • não podem guardar logs dos acessos que seus clientes fazem a sites e aplicações; (uu seja, devem registrar os dados cadastrais de quem utilizou um determinado endereço IP em um determinado horário, mas não pode registrar que tipo de acesso este usuário fez)
  • os provedores de aplicação (sites, portais web) devem manter seus logs por 6 meses;
    • a não guarda dos registros de acesso a aplicações não implica em responsabilidade sobre danos por terceiros.
  • se o provedor não coletar dados cadastrais, tudo bem !!! quando questionado, ele deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados!!! OMG!!!
  • a disponibilização dos registros de log deverá ser precedida de autorização judicial;
    • os provedores somente podem fornecer os logs de acesso a Justiça mediante consentimento formal do usuário final;
  • as regras de guarda de logs se aplicam a qualquer tipo de acesso em que pelo menos uma das pontas da conexão (usuário ou site) ou uma ação (algum tipo de acesso) ocorra em território nacional. Em caso de empresa sediada no exterior, também se aplica se o serviço for ofertado ao público brasileiro ou se tiver operação ou filial no Brasil.
  • Sobre os padrões de segurança para a guarda, armazenamento e tratamento de logs:
    • deve haver controle estrito de acesso aos dados, com definição de responsabilidades e de privilégios de acesso, com mecanismos de autenticação de acesso (como, por exemplo, sistemas de autenticação dupla) e log dos acessos a estes registros. Também prevê o uso de soluções para gestão dos registros que garantam a inviolabilidade dos dados e como criptografia;
    • Os provedores de conexão e aplicações devem reter a menor quantidade possível de logs (dados pessoais, comunicações privadas e registros de conexão e acesso) e deve excluí-los tão logo atingida a finalidade de seu uso (caraca, o que é isso!?) ou assim que encerrado o prazo determinado por obrigação legal (6 meses ou um ano).
Segue abaixo uma transcrição parcial do Decreto nº 8.771/2016, contendo apenas os artigos que são relacionados a guarda de logs. Os destaques em negrito foram feitos para os artigos que considerei mais relavantes.

CAPÍTULO III
DA PROTEÇÃO AOS REGISTROS, AOS DADOS PESSOAIS E ÀS COMUNICAÇÕES PRIVADAS

Seção I
Da requisição de dados cadastrais

Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.
§ 1º O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados.
§ 2º São considerados dados cadastrais:
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
Art. 12. A autoridade máxima de cada órgão da administração pública federal publicará anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo:
I - o número de pedidos realizados;
II - a listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;
III - o número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações; e
IV - o número de usuários afetados por tais solicitações.

Seção II
Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas

Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e
IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

§ 1º Cabe ao CGIbr promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e o porte dos provedores de conexão e de aplicação.
§ 2º Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:
I - tão logo atingida a finalidade de seu uso; ou
II - se encerrado o prazo determinado por obrigação legal.

Art. 14. Para os fins do disposto neste Decreto, considera-se:
I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e
II - tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Art. 15. Os dados de que trata o art. 11 da Lei nº 12.965, de 2014, deverão ser mantidos em formato interoperável e estruturado, para facilitar o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 13 deste Decreto.
Art. 16. As informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet, respeitado o direito de confidencialidade quanto aos segredos empresariais.
Assim, juntando o Marco Civil com o decreto da sua regulamentação, temos um conjunto de leis que define alguns padrões mandatórios para a guarda de logs por empresas. Em minha opinião, alguns artigos tem caráter muito mais político de proteção exarcebada da privacidade do que utilizade técnica, como os casos que excluem os provedores de obrigação de guarda de logs ou o período de tempo muito curto em que esta guarda é obrigatória. Mas a principal aberração mesmo é obrigar a exclusão desses registros.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.