fevereiro 29, 2016

[Cyber Cultura] Conhecendo o Garoa Hacker Clube

O Hugo Borges, do Garoa, produziu um pequeno vídeo muito legal mostrando como é o Garoa Hacker Clube. O vídeo mostra quais são os principais ambientes na sede do garoa e para que são utilizados.

Vale a pena dar uma olhada:


fevereiro 26, 2016

[Segurança] Global Information Security Survey

A Ernest & Young (EY) lançou a 18a edição de sua pesquisa anual sobre adoção de segurança nas empresas, batizada de Global Information Security Survey (GISS). A pesquisa foi realizada com mais de 1700 empresas em 67 países espalhados pelo mundo, incluindo o Brasil (que foi 3o o país com maior n;umero de participantes, atrás dos EUA e India).

A pesquisa identifica quais são os principais desafios para a área de sregurança, como as empresas vêem seu nível de maturidade (ou seja, se a sua área de segurança está apta a atender as necessidades do negócio) e como as empresas podem melhorar - com foco no que a EY chamou de "Defesa Ativa" ("Active Defense"). Também compara os resultados de 2015 com o ano anterior, mostrando a variação do cenário de ameaças e o mercado.

O gráfico abaixo resume alguns dos principais indicadores identificados na pesquisa.


O release notes oficial para a imprensa também tem alguns dados interessantes:
  • 88% das empresas não acreditam que a sua estrutura de segurança da informação atende plenamente as necessidades de sua organização;
  • 69% dos entrevistados dizem que devem gastar mais dinheiro em segurança cibernética, e que seus orçamentos deve ser aumentado em até 50%;
  • Mais de um terço (36%) das organizações globais ainda não têm confiança na sua capacidade de detectar ataques cibernéticos sofisticados;
  • Os entrevistados acreditam que as fontes mais prováveis ​​de ataques cibernéticos são sindicatos do crime (59%), funcionários (56%) e hacktivistas (54%);
  • As empresas se sentem mais ameaçadas hoje pelos ataques de phishing (44% dos entrevistados) e malware (43% consideram o malware como sua maior ameaça);
  • A pesquisa constatou que as empresas atualmente se sentem menos vulneráveis ​​a ataques decorrentes de funcionários destreinados (44%) e sistemas desatualizados (34%);
  • 47% das emoresas não têm um centro de operações de segurança (SOC);
  • 36% não têm um programa de inteligência de ameaças;
  • 18% não têm um programa de gerenciamento de identidade e acesso;
  • Mais da metade (57%) disse que a função de segurança da informação está comprometida pela falta de talentos qualificados.
O hot site da pesquisa tem o relatório completo disponível para download.




fevereiro 25, 2016

[Carreira] Redes sociais e empregabilidade

Manter um perfil atualizado e ativo em redes sociais ajuda a se destacar frente aos head hunters e funciona como uma excelente vitrine profissional hoje em dia.

Segundo uma pesquisa do site de empregos CareerBuilder, 76% dos recrutadores do setor de tecnologia consultam a Internet para encontrar novos talentos. Isso significa que quem está por fora do mundo online pode acabar perdendo uma boa oferta de trabalho, pois mais de um terço (35%) dos recrutadores desistem de entrevistar um candidato se eles não conseguem encontrar informações sobre o profissional na Internet. Isso acontece porque a maioria (52%) dos recortadores usam as redes sociais para saber mais sobre os candidatos.

As empresas pesquisam os nomes de candidatos na Internet durante o processo seletivo, logo seu perfil nas redes sociais serve para validar, ou destruir, a imagem que você construiu em seu currículo.

Por isso mesmo, é preciso tomar muito cuidado com o que publicamos em nossos perfis nas redes sociais, como Facebook, LinkedIn e Twitter. De acordo com a pesquisa da CareerBuilder, 48% dos gerentes de RH afirmam já deixaram de contratar um candidato devido a conteúdos impróprios em sua página pessoal. Comentários discriminatórios sobre raça, religião, gênero, entre outros, também podem custar o emprego de um profissional, de acordo com 29% dos recrutadores.

Uma reportagem recente da revista Exame mostrou alguns comportamentos comuns nas redes sociais que pegam muito mal do ponto de vista dos recrutadores de RH:
  • Postagens e fotos inadequadas podem ser motivo para cortar um profissional de uma seleção;
  • O "crítico mal-humorado", sem limites para suas críticas e observações ácidas;
  • O "viciado em selfies" (inclusive no trabalho) - passa a impressão de ego inflado;
  • O "detalhista", que posta sobre praticamente tudo (festas, viagens, refeições, reuniões, etc) aumenta as chances de que ocorra alguma postagem inadequada para seus colegas de trabalho ou recrutadores. Na minha opnião, também mostra que a pessoa não está preocupada com a sua privacidade (portanto, não terá cuidado com a privacidade da empresa);
  • O "acumulador de conexões", que manda e aceita convites de qualquer um, acaba formando uma rede de contatos vazia, ineficiente e que em nada acrescenta a sua carreira. Certa vez recebi um incite no Linkedin de uma pessoa com a qual tinha acabado de fazer uma reunião. Em seguida, um pedido de recomendação (como vou recomendar alguém que acabei de conhecer durante uma reunião de 1 hora?);
  • O "ausente", que não publica nada nem atualiza seu perfil, acaba perdendo visibilidade no mercado. Além disso, causa uma má impressão, de que a pessoa tem algo a esconder ou não tem um bom networking. Infelizmente, hoje em dia ter uma presença online é algo obrigatório para as interações sociais, e quem não faz isso é considerado um "estranho no ninho".

Por isso, invista seu tempo em montar um perfil caprichado nas redes sociais, com fotos não-comprometedoras. Tenha um cuidado bem especial no Twitter e, principalmente, no Linkedin, que podem ser as suas duas principais vitrines para o mercado. Coloque uma descrição objetiva sobre você, destaque seus pontos fortes, coloque uma foto caprichada, séria, e use seu perfil para compartilhar notícias interessantes sobre o mercado - e, sobre isso, lembre-se de que qualidade importa mais do que quantidade.

fevereiro 24, 2016

[Cyber Cultura] Vamos combater o ciber bullying

O pessoal da Nethics Educação Digital, uma empresa voltada a educação de crianças, jovens e adolescentes sobre o uso ético e seguro da Internet, produziu um cartaz de conscientização bem caprichado com algumas dicas simples e objetivas sobre como podemos ajudar a combater o ciber bullying.

Além desses, eles tem alguns outros cartazes bacanas sobre cidadania digital e como ter bom aproveitamento de games. É uma pena que não podemos compartilhar livremente este material, pois ele está protegido por direito autoral.



fevereiro 22, 2016

[Segurança] SmartTVs fofoqueiras

Recentemente eu vi algumas notas na imprensa de que a Samsung teria confirmado que as suas Smart TVs estão gravando as vozes dos consumidores, e por isso a empresa estaria avisando a todos os clientes para não falar sobre assuntos pessoais perto dos televisores. Aparentemente, a ferramenta de ativação de voz nas Smart TVs capta todas as conversas próximas, e por isso o aparelho de TV pode compartilhar essa informação com a Samsung e outras empresas parceiras.

É um pouco assustador imaginar que todas as nossas conversas pessoais, no nosso lar, podem ser escutadas, gravadas e enviadas para terceiros que nem conhecemos. Mais ainda se imaginarmos que qualquer dispositivo acionado por voz está, na prática, "ouvindo" o ambiente a sua volta o tempo todo, esperando reconhecer quando alguém pronuncia um comando específico. Isso inclui a sua Smart TV, o seu Google Glass, diversos modelos de smart phones, e muitos outros cacarecos eletrônicos que nos cercam.

Facilmente conseguimos nos lembrar do cenário descrito no livro 1984, de George Orwell - aquele que criou o termo "Big Brother" (o Grande Irmão), posteriormente avacalhado pela TV Globo e seu bossal "Big Brother Brasil".

Mas, pera lá... não achei nada recente sobre o assunto no site da Samsung.

E, pesquisando um pouco mais, rapidamente descobri que esse assunto já tinha saído na imprensa há mais de um ano atrás.

No início de 2015 alguém resolveu ler a política de privacidade da Samsung e notou um trecho bem específico sobre o recurso de "Voice Recognition":
"Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition."
Na ocasião, a Samsung publicou uma nota aonde tentou minimizar o caso e atualizou sua política de privacidade. Segundo explicação da Samsung, "os dados de voz são enviadas para um servidor, que procura o conteúdo solicitado, em seguida, devolve o conteúdo desejado para a TV.". Enquanto isso, alguns sites (como esse aqui) tentaram dar explicações não-técnicas e pouco precisas de como as SmartTVs eram inofensovas. Um dos argumentos mais comuns foi de que a TV possui um indicador luminoso (um ícone na tela) indocando quando está "ouvindo" o ambiente. Além deste artigo supor que em casa sempre conversamos olhando para a TV (caso contrário, como iremos notar o indicador de captura de som ativo dela?), qualquer bom paranóico sabe muito bem que um atacante habilidoso poderia colocar um código malicioso para ocultar este ícone.

A propósito, o trecho acima da política de privacidade não existe mais. Atualmente, a política de privacidade deles parece menos assustadora:
"To provide you the Voice Recognition feature, some interactive voice commands may be transmitted (along with information about your device, including device identifiers) to a third-party service provider (currently, Nuance Communications, Inc.) that converts your interactive voice commands to text and to the extent necessary to provide the Voice Recognition features to you. In addition, Samsung may collect and your device may capture voice commands and associated texts so that we can provide you with Voice Recognition features and evaluate and improve the features. Samsung will collect your interactive voice commands only when you make a specific search request to the Smart TV by clicking the activation button either on the remote control or on your screen and speaking into the microphone on the remote control."
Além disso, a política de privacidade também aborda a feature de "Facial Recognition", presente em alguns modelos de Smart TVs e tenta mostrar que ela é inofensiva (até que alguém prove o contrario):
"Once you complete the steps required to set up facial recognition, an image of your face is stored locally on your TV; it is not transmitted to Samsung."

A Samsumg não é a primeira empresa a ter dores de cabeça por causa de seus dispositivos inteligentes. Em 2013 a LG enfrentou uma acusação de que suas SmartTvs enviavam informações sobre os hábitos dos consumidores para eles. Em 2015, o fabricante de brinquedos tecnológicos VTech foi hackeado teve os dados de seus clientes vazados, incluindo fotos das crianças que usavam os brinquedos.

fevereiro 21, 2016

[Segurança] Uma década de fraude e ciber crime

A RSA publicou recentemente o vídeo "A Decade of Fraud and Cybercrime", que resume os principais eventos e estatísticas sobre o que aconteceu no últimos 10 anos, de 2006 até 2016:


Veja alguns dados exibidos no vídeo:
  • Em 2015...
    • 4 de 10 transações fraudulentas foram realizadas através de dispositivos móveis;
    • o Zeus ainda é o principal malware financeiro em todo o mundo, responsável por 40% dos ciber ataques;
    • o hack de veículos força as empresas a repensarem a segurança para a Internet das Coisas;
    • a RSA identifica um novo ataque de phishing a cada 60 segundos;
    • o ransomware TeslaCrypt ataca usuários de jogos online;
  • Em 2014...
    • tivemos o bug Heartbleed;
    • destaque para o ransomware CryptoLocker e para a botnet GameOverZeus - ambos causaram perdas de mais de US$ 100 milhões;
  • Em 2013,
    • a RSA identificou cerca de 450 mil ataques de phishing, que causaram perdas de US$ 5,9 bilhões para as empresas;
    • desenvolvedores do trojan Zeus ofereciam seus serviços através de redes sociais;
    • os ataqtes DDoS causavam perdas aos bancos americanos de US$ 30 mil a cada minuto que o site ficava offline;
    • eram populares os SMS sniffers, malwares para roubar mensagens de SMS em dispositivos móveis;
    • malwares de PoS afetam várias lojas grandes e mais de 100 milhões de dados de cartões são roubados;
    • mais de 1 milhão de aplicativos maliciosos para plataforma Android;
  • Em 2012,
    • surge o trojan Citatel, que se populariza rapidamente e é usado para atacar bancos;
    • hacktivistas atacam os bancos americanos em uma série de ataques DDoS;
  • Em 2011,
    • 43% dos usuários de redes sociais receberam ataques de phishing;
    • o Trojan bancário Zeus causou um prejuízo estimado de 1 bilhão de dólares em todo o mundo;
    • o mercado negro vê a populrização das lojas para venda de dados roubados;
  • Em 2010,
    • 1 entre cada 4 mensagens de SPAM contém alguma forma de malware;
    • os malwares para smartphones crescem 33%;
  • Em 2009,
    • aparecem os call-centers operados por fraudadores no mercado Underground;
    • ataques de phishing usam a técnica de "chat-in-the-middle" para roubar dados de clientes através de sessões falsas de chat online;
  • Em 2008...
    • a adoção de autenticação forte causa o aumento de ataques de Vishing e ataques contra sistemas de PABX;
    • o trojan Sinowal rouba dados bancários e credenciais corporativas;
    • atingimos 15 milhões de malwares únicos;
  • Em 2007,
    • as perdas por causa de ataques de phishing foram de 3,2 bilhões de dólares;
    • surgem os ataques de Man-in-the-browser para contornar a autenticação de dois fatores;
    • identificado pela primeira vez o trojan bancário Zeus;
    • a botnet Storm atinge mais de 10 milhões de computadores como zumbis;
  • Em 2006,
    • havia trojans para telefones utilizando o sistema operacional Symbian (usado principalmente pela Nokia);
    • surge o Vishing (Voice + Phishing), que é o uso de ligações de voz para roubar dados pessoais;
    • 3,5 milhões de americanos foram vítimas de ataques de phishing.

fevereiro 19, 2016

[Segurança] CryptoRave 2016

Já foi lançada a CryptoRave 2016, um evento voltado ao público geral sobre privacidade e segurança. Baseada na idéia das Cryptoparties, o evento tem 24 horas initerruptas de atividades, com palestras, oficinas e DJs durante a madrugada. O evento foca em temas que promovem a defesa da privacidade na rede, o uso de ferramentas de segurança e criptografia forte e a discussão sobre a censura na Internet.

Na minha opinião, o evento é sensacional pois promove a conscientização das pessoas comuns sobre a necessidade de proteger seus dados pessoais e promove o uso de soluções de segurança para o público leigo.

Esta, que vai ser a terceira edição do evento, acontecerá no Centro Cultural Vergueiro, em São Paulo, nos dias 06 e 07 de maio.

Repetindo a experiência do ano passado, eles estão buscando financiamento coletivo para viabilizar o evento, através do Catarse. Este ano a meta de financiamento é de R$ 45.000,00. Todas as colaborações recebidas pelo Catarse serão revertidas para a realização da CryptoRave.

A CryptoRave é organizada pelo pessoal da Actantes, Escola de Ativismo e Saravá, três grupos ciber ativistas focados na defesa dos nossos direitos e na nossa privacidade no mundo online.

Para saber mais:

fevereiro 06, 2016

[Geek] Cosmonautas

Quando pensamos na corrida espacial que existiu nas décadas de 60 e 70, naturalmente lembramos que os Americanos foram os primeiros (e únicos) a botar os pés na Lua. Ainda mais nós, Brasileiros, que estamos sob uma influência cultural quase total dos EUA, não é?

Recentemente eu tive a feliz oportunidade de visitar uma exposição no Museu de Ciências de Londres, batizada de Cosmonauts, que conta justamente sobre o lado Russo da corrida espacial.


Na exposição eu pude ver que os Russos foram pioneiros em muitas coisas (ou melhor, em quase tudo) durante a corrida espacial. Vejam alguns fatos:
  • Tudo começou em 1953, quando o cientista chefe de foguetes, Serguei Korolev, propôs o uso dos foguetes R-7, utilizados para lançamento de mísseis balísticos, para envio de um satélite em órbita. Pouco tempo depois, Korolev se tornou o líder do programa espacial soviético. Outra pessoa influente foi o cientista Konstantin Tsiolkovsky, responsável pelos primeiros desenhos e projetos de naves espaciais, trajes espaciais e como seria a vida no espaço;
  • Em 04 de Outubro de 1957 a Russia largou na frente da corrida espacial, ao lançar o primeiro satélite artificial do mundo, o Sputnik. Seu bip pode ser ouvido no mundo todo, causando fervor na Rússia e terror nos EUA;
  • Em 03 de Novembro de 1957, a cadelinha Laika se tornou o primeiro cachorro a ir para o espaço, a bordo da Sputnik 2. Infelizmente, ela faleceu após algumas horas em órbita. Os americanos ficaram especialmente preocupados com este vôo, pois o foguete utilizado era poderoso o suficiente para carregar uma carga de meia tonelada, o equivalente a levar uma uma ogiva nuclear pesada através de distâncias intercontinentais;
  • Lançada em 02 de Janeiro de 1957 com objetivo de chegar até a Lua, a sonda Luna 1 não conseguiu atingir a Lua por um erro na queima de combustível, mas foi o primeiro objeto humano a atingir órnita heliocêntrica. Ao passar pelo cinturão de Van Allen, ajudou a descobrir o vento solar. Foi considerada a "primeira nave cósmica";
  • A exploração da Lua começa em 14 de Setembro de 1959, quando a sonda russa Luna 2 atinge a Lua, após um vôo de 36 horas em direção ao satélite. Ela foi o primeiro objeto feito pelo homem a atingir a superfície da Lua e, assim, a alcançar algum corpo celestial;
  • Em 1960 as cadelas Belka e Strelka foram juntas para o espaço a bordo da nave Sputnik-5 e retornaram a vivas, a salvo. A cadela Strelka deu a luz a 6 filhotes, um dos quais foi dado de presente para a primeira-dama americana, Jacqueline Kennedy, pelo líder russo Nikita Khrushchev;
  • Yuri Gagarin entrou para a história em 12 de Abril de 1961, ao se tornar o primeiro homem a ir para o espaço, a bordo da nave Vostok;
  • Em 16 de Junho de 1963, Valentina Tereshkova foi a primeira mulher e também o primeiro civil a ir para o espaço, orbitando a Terra por aproximadamente 3 dias (70 horas e 50 minutos, em 49 voltas em torno da Terra) a bordo de uma Vostok-6;
  • 12 de Outubro de 1964: A capsula Voskhod 1 é a primeira a levar mais de uma pessoa ao espaço - 3, para ser exato, frente ao iminente inicio do programa Gemini dos EUA, que tinha naves pilotadas por 2 tripulantes. A honra coube aos 3 cosmonautas Vladimir Komarov (comandante da missão), Konstantin Feoktistov (Engenheiro) e Boris Yegorov (médico). Devido a falta de espaço dentro da espaçonave, algumas novidades foram implementadas. Entre elas, a nave teve que receber foguetes que permitissem o seu pouso, pois não havia como ejetar os tripulantes (prática adotada até então). Também foi o primeiro vôo espacial realizado sem que a tripulaçào vestisse seus trajes espaciais, para que os três pudessem caber dentro da capsula;
  • Alexei Leonov realizou a primeira caminhada espacial em 18 de Março de 1965, a bordo da espaçonave Voskhod 2 (o vídeo abaixo foi retirado do site da NASA);

    video
  • Em 03 de fevereiro de 1966, o satélite Luna 9 foi o primeiro a pousar suavemente na Lua. Também foi o primeiro a enviar fotos de lá;
  • Enviada em 31 de Março de 1966, o satélite Luna 10 é considerado o primeiro "satélite artificial" da Lua. Equipada com diversos equipamentos científicos, o satélite entrou em órbita da Lua em Abril de 1966 e permaneceu lá percorrendo 460 voltas ao redor da Lua;
  • Em Abril de 1967, o cosmonauta Vladimir Komarov tornou a primeira pessoa a ir para o espaço duas vezes, mas infelizmente ele também foi o primeiro a morrer em missão, durante o pouso da sua nave Soyuz 1 (que, após vários problemas durante o vôo, teve falha no para-quedas principal durante a reentrada na Terra). O projeto da Soyuz 1 tinha diversos problemas, mas os líderes soviéticos se recusaram a adiar oou abortar a missão. Komarov embarcou na Soyuz 1 sabendo que provavelmente não voltaria vivo para a Terra;
  • No dia 24 de Setembro de 1970 a sonda Luna 16 tornou-se a primeira missão robotizada a trazer amostras da Lua de volta para a Terra - 101 gramas de solo lunar (após 5 tentativas de enviar sondas semelhantes sem sucesso);
  • Em 17 de Novembro de 1970 o "rover" (jipe) lunar Lunokhod 1 pousou na Lua. Ele foi o primero "rover" robótico de controle remoto movendo livremente em outro corpo espacial - ao todo, a Rússia enviou 2 deles. Na época a revista americana Time descreveu o fato como "o primeiro grande passo dos robôs em outro corpo celestial" ("the first giant step for robotkind on another celestial body"). Ele estava equipado com refletores que até hoje estão em funcionamento e são utilizados para ajudar a medir a distância entre a Terra e a Lua;
  • Em 15 de Dezembro de 1970 a sonda Venera 7 torna-se o primeiro objeto a pousar em outro planeta: Vênus.
Nesse meio tempo, no final da década de 60 e início dos anos 70 a Rússia estava trabalhando no seu projeto de enviar um homem a Lua. Para isso, foi desenvolvido o módulo lunar LK-3, capaz de enviar um cosmonauta até a Lua.



O problema é que ele exigiu a criação de um novo foguete, N1, que apresentou diversos problemas em seu projeto. A segunda tentativa de lançamento, ocorrida em 03 de Julho de 1969 (apenas 13 dias antes do lançamento da Apollo 11), foi uma falha catastrófica: destruiu todo o foguete e o complexo de lançamento. Se não fosse por isso, o primeiro homem a pousar na Lua teria feito isso duas semanas antes de Neil Armstrong, e seria o russo Alexey Leonov.

Essa história está resumida em uma apresentação que eu preparei para a Campus Party 2016:


Podemos ver que a idéia de que os EUA ganharam a corrida espacial é muito injusta, pois na verdade a União Soviética (atual Rússia) liderou a corrida espacial desde o começo, só perdendo na parte da competição que dizia respeito a levar um homem até a Lua.

A propósito, em 2012 a Wired publicou uma matéria com vários posters soviéticos (originais) relacionados a corrida espacial que estavam a leilão, na época. São muito lindos!



fevereiro 01, 2016

[Segurança] As 25 piores senhas de 2015

A empresa SplashData divulgou uma lista com as piores senhas de 2015, que ela obteve analisando mais de 2 milhões de senhas que vazaram na Internet durante o ano passado (2015).

Segundo a empresa, uma tendência é que os usuários estão começando a usar senhas mais longas (o que é bom, do ponto de vista de segurança), embora continuem utilizando combinações simples e facilmente adivinháveis. Dois exemplos se destacam nessa lista: as senhas "1234567890" e "qwertyuiop", cada uma utilizando a linha completa do teclado - a linha numérica e a primeira linha de letras de um teclado QWERTY padrão.

Outro destaque de 2015 foi o uso de senhas relacionados ao file Star Wars - O Despertar da Força: entraram na lista das 25 senhas mais utilizadas as palavras "starwars", "Solo" e "princess".

Veja a lista abaixo:

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. football
  8. 1234
  9. 1234567
  10. baseball
  11. welcome
  12. 1234567890
  13. abc123
  14. 111111
  15. 1qaz2wsx (usa as posições das teclas no teclado)
  16. dragon
  17. master
  18. monkey
  19. letmein
  20. login
  21. princess
  22. qwertyuiop
  23. solo
  24. passw0rd
  25. starwars




Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.