janeiro 31, 2017

[Cyber Cultura] Cyber Bullying e suas técnicas

O pessoal da Norton, a divisão de antivírus pessoal da Symantec, realizou recentemente uma pequena campanha de conscientização sobre o cyber bullying - uma das ameaças online mais comuns contra crianças e adolescentes, que consiste no ato de humilhar outras pessoas nas redes sociais e no mundo online.

Este é um problema especialmente grave entre jovens em idade escolar, pois as brigas e ofensas típicas dessa fase passam a ser amplificadas através da Internet, se espalhando além dos muros das escolas e, assim, causando maior visibilidade da ofensa e trazendo um maior impacto moral para a vítima.

Durante a campanha da Norton, eles deram destaques a algumas táticas utilizadas no cyber bulling:
  • Dissing: é quando as pessoas postam ou compartilham online informações cruéis sobre a vítima, para tentar arruinar a sua reputação ou seus laços de amizade;
  • Outing ("revelando"): é o ato deliberado de envergonhar ou humilhar alguém publicamente, através da postagem de informações privadas, sensíveis ou constrangedoras;
  • Catfishing: é quando o ofensor se faz passar por outra pessoa;
  • Masquerading: similar ao Catfish, é utilizado para referir-se ao ato técnico de criar um e-mail ou um perfil falso online, para esconder a identdade do ofensor;
  • Bash Board: são os fóruns online aonde os participantes podem postar qualquer coisa. São utilizados por ofensores para publicar informações ofensivas, frases de ódio ou ridicularizar alguém;
  • Fraping: Entrar na conta online de alguém que esqueceu de se desconectar, aproveitando para postar alguma coisa ofensiva ou humilhante em nome da vítima;
  • Trollagem: são ataques pessoais a uma pessoa visando causar frustração e raiva, normalmente acompanhados de ofensas e críticas. No caso mais ameno, pode ser considerado apenas uma "zoeira", ou "sacanagem". Mas na mão de ofensores envolvidos em cyber bulling, é algo que pode se tornar perigoso, stressante, intenso e extremamente ofensivo.
Eles também disponibilizaram uma página para esta campanha, aonde também oferecem artigos, um pequeno guia gratuito sobre o assunto e colocaram um vídeo bem tocante sobre o perigo do cyber bullying.



janeiro 26, 2017

[Segurança] Como foram os eventos de Segurança em 2016

Eu confesso que este já se tornou o meu post favorito do ano (seguido dos posts em que eu listo os eventos do próximo semestre -até porque eu criei a rotina de escrever estes posts para eu planejar o meu calendário).

O objetivo desse texto é trazer uma crítica aberta e sincera, alem de elogios, permitindo discutir como podemos melhorar cada vez mais os nossos eventos. Eu me considero um "rato de eventos"; desde o início de minha carreira sempre gostei de frequentar eventos da área, e esta sempre foi uma forma de aprendizagem e networking para mim. Já fui em muitos eventos, palestrei em alguns e organizei um punhadinho.

Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

A minha primeira observação é que este foi um ano ingrato para os fãs e organizadores de eventos pois a agenda ficou bem maluca - por culpa das Olimpíadas na metade do ano, que pararam o Brasil. Alguns eventos não seguiram suas datas tradicionais, e alguns outros mudaram a data no decorrer do ano. Isso exigiu uma dose extra de atenção do pessoal para não se perder.

Inicialmente, seguem minhas observações sobre alguns dos eventos que tivemos este ano, e que eu acho que merecem ser comentados:
  • Os grandes destaques e novidades
    • A grande quantidade de eventos de excelente qualidade, de vários portes e em diversas localidades: Chegamos em um momento em que fica difícil escolher qual seria o melhor evento de Infosec, ou qual evento priorizar a sua agenda, pois temos vários eventos de diferentes portes e para diferentes públicos (técnico, gerencial, underground) que se consolidaram e estão com excelente qualidade. Estou falando desde as tradicionais H2HC e YSTS, além do novato e gigantesco MindtheSec, da BSidesSP, até os caçulas e competentes Nullbyte (Salvador, BA) e Jampasec (João Pessoa, PB). A única desvantagem no cenário atual é o grande acúmulo de eventos no segundo semestre;
    • Eventos no Nordeste: a região Nordeste está ganhando força, com o terceiro ano da Nullbyte  em Salvador (BA), a segunda Jampasec em João Pessoa (PB) e o surgimento do BWCON (Broken Wall Security Conference), em Recife (PE); 
    • Roadsec: O RoadSec é o maior evento de segurança nacional, tanto se contarmos apenas a mega edição de encerramento em São Paulo ou se contarmos o público de todas as edições. E isso o torna também um dos maiores do mundo - mas não se engane, ainda estão longe de superar uma RSA Conference, Black Hat, Defcon e CCC aonde a quantidade de participantes é na ordem de dezenas de milhares. Em 2016 o Roadsec esteve em 17 cidades brasileiras (incluindo São Paulo), com cerca de 10 mil participantes (mais de 7 mil inscritos nas edições regionais e cerca de 3 mil em São P. O evento também tem o mérito de levar ao grande público um mix diversificado de atividades, juntando palestras de segurança com atividades multidisciplinares (incluindo lockpicking, robótica, eletrônica e drones). Também popularizaram de vez as competições de Capture The Flag (CTF);
  • Os melhores eventos de 2016
    • A lista desse ano é grande, pois acredito que tivemos vários eventos excelentes (vide meu comentário acima). Por isso, a escolha de melhor evento é bem difícil...
    • YSTS X - Nós tivemos a décima edição do You Sh0t the Sheriff este ano, um dos principais eventos do nosso mercado. Pelo capricho em realizar esta edição, ela merece um lugar especial no panteão dos grandes eventos de 2016 - com boas palestras e uma infra-estrutura de cair o queixo;
    • Security BSides São Paulo (BSidesSP) - Este ano foi marcante para a BSidesSP por dois motivos: em junho realizamos a primeira BSides Latam, evento co-organizado com os responsáveis pelas outras BSides na América Latina e com a presença de palestrantes e público de outros países. Além disso, a edição do segundo semestre bateu o record de público: tivemos cerca de 550 participantes, mesmo quando tentamos limitar as inscrições para recebermos apenas 450 presentes. Ou seja, tentamos fazer um evento menor, mais o público não deixou. O evento sempre é muito bem elogiado por todos que participam, e mantemos uma grade variada de temas e atividades. Mas acredito que hoje o grande diferencial é atrair também as crianças, com diversas atividades o dia inteiro na trilha BSides 4 Kids;
  • Os bons eventos de 2016
    • Mind The Sec - O MindTheSec, em sua terceira edição, já se consolidou como o evento de referência para os profissionais do mercado de segurança. Nem mesmo a frustração causada pelo furo de última hora de seu tão esperado keynote speaker (o John McAffee) afetou o brilho e a importância do evento. Merecem destaque a organização caprichada, o excelente local (o hotel Hyatt) e a condução do evento pelo Anderson Ramos: no melhor estilo Jô Soares, ele faz pergunta para os palestrantes e painelistas que ele mesmo responde;
    • Hackers to Hackers Conference (H2HC) - A H2HC está cada vez melhor, tanto em público quanto em qualidade das palestras - a propósito, não tem evento brasileiro com palestras mais top do que eles!
    • Roadsec: enquanto as edições regionais cumprem muito bem o papel de levar bom conteúdo para o Brasil afora, atendendo uma galera enorme e sedenta de conhecimento, a edição de São Paulo se tornou o grande festival da área, com palestras, oficinas, food trucks e shows;
  • As ótimas surpresas em 2016
    • A BSidesLatam contando com palestrantes da América Latina, responsáveis por quase 1/3 das atividades. Em geral, eventos brasileiros que se entitulam "latinoamericanos" nunca tem e nunca tiveram participação pessoas de fora do país. Como resultado, tivemos quase 650 pessoas presentes, o nosso record histórico de público em 5 anos e 13 edições da BSidesSP;
    • Dia Internacional de Segurança em Informática (DISI) - embora seja um evento da RNP usuários finais, a grade de palestras estava muito bem organizada e conseguiu tratar de forma muito madura o assunto de segurança para "Internet das Coisas" (IoT). Ótimos palestrantes, ótimo conteúdo e as palestras estavam dentro de uma sequência lógica bem encaixada;
    • O Itaú patrocinando o RoadSec São Paulo e a final da Hackaflag - além do fato inédito de um grande banco patrocinar um evento de segurança, eles fizeram uma ação de marketing bem legal, com uma pequena "escape room" no evento;
    • O local do YSTS, com uma tela que circulava todo o espaço, fazendo um efeito sensacional;
  • Os destaques de 2016
    • Rubira Branco como keynote speaker em diversos eventos - bem merecido, pelo conhecimento, carisma e competência do Rubira. Mas ele foi escalado como keynote em diversos eventos, de Roadsec até Security Leaders. Ou seja, se você quer chamar a atenção do público para o seu evento e garantir pelo menos uma palestra de qualidade, convide o Rubira (mas não necessariamente o público vai entender o que ele está falando);
    • A área vip da Trustwave na H2HC - uma ação de marketing bem bolada, em favor do público do evento;
  • Sentimos saudades
    • Security Day (Natal, RN) - neste ano ele foi atropelado pelos eventos no segundo semestre e acabou não acontecendo;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, com transmissão online - mas chama pouca atenção da maioria do público de infosec;
    • Security Leaders: Na minha opinião este é um evento com conteúdo fraco e sem graça, com debates superficiais. Mas ele sempre foi o queridinho dos patrocinadores, que aproveitam a sua área de exposição para contato com clientes. Além disso, justiça seja feita: o pessoal da Conteúdo Editorial é muito bom de marketing, e conseguem dar uma boa visibilidade ao evento. Eles oferecem o que os patrocinadores gostam: presença no palco (com representante dos patrocinadores nos debates), um punhado de executivos na platéia, e exposição na mídia;
    • CNASI São Paulo - embora seja o evento mais antigo de todos, ele não atrai o público técnico nem experiente na área, deixando a audiência do evento para a média gerência, os profissionais que trabalham mais com riscos ou profissonais tradicionalmente de TI que tem interesse em segurança. Mas, ao contrário do Security Leaders, o CNASI tenta manter uma grade de atividades mais bem selecionada, embora a grande maioria da spalestras tenham um tom mais de marketing e pouco conteúdo técnico;
  • Não vi mas vou opinar assim mesmo
    • ISC2 Security Congress Latin America - Com tantos eventos no segundo semestre, esse evento do ISC2 quase passa desapercebido. Eu, particularmente, não tive tempo nem intresse de ir, por isso nem sei dizer se foi bom;
    • BHack (em Belo Horizonte, MG) - Em sua quarta edição, o evento desse ano teve a data alterada (de junho para novembro) e a data final só foi atualizada no site com cerca de 2 semanas antes do evento. Pior: coincidiu com o final de semana do RoadSecSP + BSidesSP. O evento teve as 2 primeiras edições muito boas, e a do ano passado com alguns problemas, então além da confusão de datas havia também a dúvida se o evento se recuperaria;
    • Workshop SegInfo (Rio de Janeiro): Merece o prêmio "Walking Dead" do ano... em seus 10 anos de existência, o evento cresceu, encolheu e morreu no ano passado, mas voltou este ano. Ótimo, pois o Rio de Janeiro merece ter um evento de qualidade;
  • Não vi, será que morreu?
    • Congresso de Crimes Eletrônicos da Fecomércio/SP;
  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • Hackers to Hackers Conference (H2HC) - A H2HC, fazendo jus a sua fama de evento hostil, protagonizou o incidente mais polêmico do ano (novamente, pois no ano passsado tivemos o episódio do ataque DAUTH na competição de CTF atribuído ao time do Exército Brasileiro): o organizador do bar do evento destratou alguns participantes e, em troca, foi ownado. Passados quase dois meses do evento, o incidente continuava causando polêmica na comunidade. Além desse fato, vou novamente criticar o local: o Novotel Morumbi é longe de tudo, de difícil acesso, com poucas opções de lugares para comer em volta e com um espaço muito pequeno para o evento. O Rubira justificou para mim os motivos deles pela escolha do local, e faz todo o sentido do ponto de vista dele, mas mesmo assim eu continuo achando o local inadequado para o público do evento;
    • Cano de keynote speakers internacionais: o pessoal da Flipside deu um grande azar este ano: primeiro, o John McAfee deu o cano no MindTheSec. No final do ano, o Jeff Moss também furou no Roadsec São Paulo. É óbvio que a organização do evento não teve culpa, mas para os participantes rolou um sentimento de frustração em ambos os eventos;
    • Roadsec São Paulo: Talvez engolidos pela monstruosidade que o evento se tornou, ou pelo ego ou pela vontade exagerada de se auto-promover, eles passaram a se intitular "Festival Hacker". Para mim, soa muito cafoa e oportunista. Mas sim, de certa forma, o RoadsecSP é isso, um grande festival sobre segurança e cultura hacker. Mas na minha opinião essa expressão soa muito pedante, ainda mais se colocada em um poster no Metrô de São Paulo. Eles também pecaram na área de comunidades, pois estava muito apertada e de difícil circulação. Outras críticas que se repetem do ano passado para esse foi a quantidade exagerada e confusa de pulseiras VIp e a proibição de sair e voltar do evento (algo muito ruim para um evento que se propõe a durar quase 20 horas).

Segue então um resumo e uma "premiação" para os destaques em nossos eventos no ano de 2016.

Resumo
Melhor Evento Brasileiro YSTS, RoadsecSP
Melhor Novidade BSides Latam
Maior Surpresa A infra-estrutura do local do YSTS
Darth Vader e Storm Troopers na BSides Latam
Maior Roubada Vida de sardinha na área de comunidades do RoadsecSP
New kid in the block BWCON
Festa estranha com gente esquisita Festa da SaciCon sem energia elétrica
Maior Mico Ausência do John McAffee no MindtheSec e do Jeff Moss no RoadSec SP
Maior WTF? Destratar os participantes do H2HC e ser ownado na semana seguinte
Maior Polêmica O Owned da H2HC
Maior Sem Noção Se auto-intitular "Festival Hacker" e fazer propaganda no metrô (RoadsecSP)
Os Patrocinadores Pira Security Leaders
Alternativo BSidesSP e Criptorave
"Walking Dead" Workshop SegInfo
Visual e Infra Caprichados YSTS, GTS e MindTheSec
Organização Caprichada YSTS e Flipside (MindTheSec e Roadsec)
Melhor Local Vila Bisutti (YSTS)
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC
Para o Público Underground Alligator
Para o Público Gerencial MindTheSec e Security Leaders
Para a Média Gerencia e Público Leigo CNASI e Security Leaders
Para o CSO Gartner Security & Risk Management Summit
Para o Usuário Final DISI
Para quem está começando BSidesSP, Roadsec e H2HC University
Para Crianças BSidesSP
Para Competir no CTF RoadSec
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP. Bônus se você conseguir 3 ou mais pulseiras diferentes.
Para ver palestrante gringo e não entender nada do que ele fala H2HC
Para ir de Graça BSidesSP, GTS
Para Assistir de Casa GTS, DISI
Evento Hostil H2HC e Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Nullbyte e Jampasec
Palestrante mais Pica Grossa John McAffee (MindTheSec) (*) - pena que ele não veio :(
Melhor Palestrante do ano Ricardo Iramar, Willian Costa e Geolado
Melhor Palestrante de todos os tempos Fernando Mercês e Rodigo Rubira Branco
Palestrante para dar IBOPE no seu evento Rodigo Rubira Branco
Em 2017 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty, SHA
Em 2017 eu quero ir na... Nullbyte
Em 2017 eu quero viajar para... Defcon (US), 8.8 (Chile), Eko (Argentina), SHA (Holanda), BSides Latam (Colombia), BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp (Alemanha)
Não Pode Faltar no seu Evento Uma competição de CTF organizada pelo CTF-BR ou pelo RTFM
Patrocinadores "ponta firme" Trend Micro

(*) Nem é tão "pica grossa" assim, mas por suas constantes polêmicas, era o palestrante mais esperado do ano!!!

Para saber mais:

Importante: As opiniões apresentadas aqui são minhas somente e não refletem a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

OBS: Pequena atualização em 02/02 para incluir o link do Workshop SegInfo e incluir uma referência ao ótimo Agenda de TI.

janeiro 23, 2017

[Segurança] Como apenas 100 mil dispositivos podem derrubar a Internet?

Em 2016 vimos alguns ataques DDoS superar a marca recorde de 1 Tbps, um volume de dados capaz de tirar grandes empresas e até países inteiros do ar. Estes ataques tinham uma coisa em comum: utilizar uma botnet formada por milhares de pequenos dispositivos de IoT, como câmeras de vigilância. No final de outubro, uma botnet com cerca de 100 mil dispositivos IoT fez um ataque DDoS de 1,2 Tbps e derrubou o provedor de DNS Dyn e, num efeito dominó, deixou dezenas de sites inacessíveis..

A dúvida que surge naturalmente é: como pequenos dispositivos, com tão pouco poder de processamento, conseguem realizar um ataque DDoS de tamanha proporção?

Como vários ataques DDoS baseados em rede são volumétricos, o que inporta é, principalmente, a capacidade de gerar grande volume de tráfego - e não o poder de processamento do equipamento que está originando o ataque (seja ele um computador, um tablet ou um modem doméstico).

Por isso, um ataque pode ser fortalecido se...
  • Os dispositivos que estão atacando tiverem uma largura de banda grande - algo comum nas casas atuais. Assim, cada um deles consegue enviar um volume alto de pacotes de rede contra o alvo do ataque;
  • Se a botnet também utilizar ataques de amplificação, uma técnica que permite aumentar o volume de ataque no seu trajeto entre a origem e o alvo;
  • Por fim, o tamanho da botnet (número de hosts participando do ataque) também pode influênciar a eficiência do ataque ("pode", pois alguns ataques DDoS podem ser feitos a partir de poucos hosts).
Assim, a força de um ataque DDoS depende mais do tipo de ataque e da qualidade da conexão dos dispositivos que fazem parte da Botnet do que da do tipo de dispositivo infectado e da capacidade de processamento dele.

A botnet Mirai, no caso, é formada por dispositivos de diferentes fabricantes, como roteadores domésticos, câmeras de vigilância e gravadores digitais, etc. Além disso, ela é capaz de realizar diversos ataques DDoS do tipo "flood": GRE (Generic Routing Encapsulation) IP e ETH (Ethernet), SYN e ACK floods, STOMP (Simple Text Oriented Message Protocol) floods, e floods de DNS e de UDP.

janeiro 20, 2017

[Diversos] Posts que nunca foram escritos

Nem sempre eu consigo escrever sobre todos os assuntos que desejo. Fico acumulando links, posts rascunhados (já são quase 50 posts no blogger aguardando finalização), e por isso, é bom de vez em quando fazer uma faxina.

Segue uma pequena lista de assuntos interessantes, que eu gostaria de escrever sobre, mas acabei desistindo ou perdendo o timming:

IoT:
Sobre o gigantesco roubo de dados do Yahoo!
Sobre as olimpíadas no Rio de Janeiro:
  • Como já era esperado, tivemos a Olimpíada mais conectada da história. Desde a cerimônia de abertura, imagens de atletas segurado smartphones e tirando selfies eram comuns.
  • Várias estatísticas comprovam isso:
    • 56% dos acessos ao Portal Oficial dos Jogos Rio 2016 tiveram origem em smartphones e tablets, com pico de 73% na Cerimônia de Abertura, segundo a Microsoft;
    • O pico de audiência no Portal Oficial dos Jogos Rio 2016 foi de 33 milhões de visualizações de páginas (aconteceu na segunda-feira, 08/agosto, quando ocorreram competições de 22 esportes ao mesmo tempo);
    • Segundo dados do Instagram, entre os dias 5 e 14/08, 90 milhões de pessoas foram responsáveis por 494 milhões de interações, entre posts, comentários e curtidas relacionadas as Olimpíadas;
  • Também tivemos o uso intenso das redes sociais para compartilhar notícias, comentários, piadas, memes e, infelizmente, mensagens de preconceito e ódio:


Bizzarices sobre o jogo Pokemon Go:


Assuntos diversos:

janeiro 19, 2017

[Cidadania] O discurso de despedida do Obama

Na semana passada, o Presidente Barack Obama fez o seu discurso de despedida. Na eminência da posse do Donald Trump, eu decidi aproveitar e destacar os principais pontos do discurdo do Obama. apesar de, obviamente ser focado na realidade dos EUA, em vários momentos Obama deixou diversas lições de democracia, cidadania e humildade:

"And every day, I have learned from you [the american people]. You made me a better President, and you made me a better man"
"(...) change only happens when ordinary people get involved and they get engaged, and they come together to demand it"
"(...) our progress has been uneven. The work of democracy has always been hard. It's always been contentious. Sometimes it's been bloody. For every two steps forward, it often feels we take one step back. "
"But that potential will only be realized if our democracy works. Only if our politics better reflects the decency of our people. (Applause.) Only if all of us, regardless of party affiliation or particular interests, help restore the sense of common purpose that we so badly need right now." (nota: destaquei esta parte pois destaca um dos problemas que temos no Brasil, na minha opinião: "nossos políticos são reflexo da honestidade do nosso povo")
"(...) democracy does not require uniformity"
"(...) democracy does require a basic sense of solidarity --- the idea that for all our outward differences, we're all in this together; that we rise or fall as one."
"(...) if we don't create opportunity for all people, the disaffection and division that has stalled our progress will only sharpen in years to come."
"[Falando sobre a igualdade] But laws alone won't be enough. Hearts must change. It won't change overnight. Social attitudes oftentimes take generations to change. But if our democracy is to work in this increasingly diverse nation, then each one of us need to try to heed the advice of a great character in American fiction -- Atticus Finch -- (applause) -- who said "You never really understand a person until you consider things from his point of view...until you climb into his skin and walk around in it.""
"For too many of us, it's become safer to retreat into our own bubbles, whether in our neighborhoods or on college campuses, or places of worship, or especially our social media feeds, surrounded by people who look like us and share the same political outlook and never challenge our assumptions."
"(...) we become so secure in our bubbles that we start accepting only information, whether it's true or not, that fits our opinions, instead of basing our opinions on the evidence that is out there."
"But politics is a battle of ideas. That's how our democracy was designed. In the course of a healthy debate, we prioritize different goals, and the different means of reaching them."
"When voting rates in America are some of the lowest among advanced democracies, we should be making it easier, not harder, to vote. When trust in our institutions is low, we should reduce the corrosive influence of money in our politics, and insist on the principles of transparency and ethics in public service. When Congress is dysfunctional, we should draw our congressional districts to encourage politicians to cater to common sense and not rigid extremes."
"Our Constitution is a remarkable, beautiful gift. But it's really just a piece of parchment. It has no power on its own. We, the people, give it power. We, the people, give it meaning. With our participation, and with the choices that we make, and the alliances that we forge. Whether or not we stand up for our freedoms. Whether or not we respect and enforce the rule of law. That's up to us."
"So, you see, that's what our democracy demands. It needs you. Not just when there's an election, not just when your own narrow interest is at stake, but over the full span of a lifetime. If you're tired of arguing with strangers on the Internet, try talking with one of them in real life. If something needs fixing, then lace up your shoes and do some organizing. If you're disappointed by your elected officials, grab a clipboard, get some signatures, and run for office yourself. Show up. Dive in. Stay at it."
"I'm asking you to believe. Not in my ability to bring about change -- but in yours."

janeiro 16, 2017

[Segurança] Tendências segundo a RSA Conference

O pessoal da RSA Conference costuma fazer um negócio bem legal: eles pegam as submissões de palestras que foram enviadas para o evento e, com isso, identificam quais são os principais assuntos tratados pelos participantes e, assim, estimam quais são as prováveis tendências para este ano.

Segundo este estudo, os principais tópicos de interesse são:
  • Ransomware, ransomware e ransomware
  • Devops, incluindo automação, Cloud, conectividade e IoT
  • Roubo de dados
A RSA Conference, que acontece em São Francisco (EUA) de 13 a 17 de fevereiro, é um dos maiores e mais importantes eventos de segurança em todo o mundo.

janeiro 12, 2017

[Segurança] A festa dos Ransomwares

Segundo uma estimativa divulgada pela EMC, em 2016 custou um valor absurdo para as pessoas e empresas durante o ano de 2016:

US$1,000,000,000


Os ataques de ransomwares foram constantes no ano passado, com notícias de diversas empresas sofrendo com dificuldade de acessar seus dados. Recentemente, um colégio em Los Angeles pagou 28 mil dólares para recuperar os seus dados, que foram criptografados por um Ransomware.

Mas, nem sempre pagar o valor do "sequestro" é a melhor solução. Recentemente pessoal da ESET divulgou o caso do ransomware KillDisk, que apaga todos os dados do servidor após receber o pagamento da vítima.

janeiro 10, 2017

[Cyber cultura] A dificuldade de evitar notícias falsas

A sobrecarga de informações que temos hoje, através da Internet, traz um grande desafio: como identificar e filtrar notícias falsas, e assim evitar ter sua opinião infuenciada e manipulada por elas?

Esse problema é grave pois a Internet é um veículo de comunicação instantânea não apenas para a mídia tradicional, mas para qualquer tipo de jornalista, executivo, usuário final, etc, que é abordado frequentemente por feeds de notícias vindo não apenas da mídia tradicional, mas também de blogs, sites noticiosos ou até mesmo pessoas mal intencionadas, que desejam espalhar notícias falsas para difamar alguém ou influenciar a opinião de leitores.

Em dezembro do ano passado, o ator americano Denzel Washington fez um comentário excelente sobre esse assunto, em uma resposta, muito direta, que ele deu para uma jornalista, durante uma entrevista. Ele começou dizendo que, atualmente, "Se você não lê as notícias, você está desinformado. Se você lê, está mal informado". E continuou...
“If you don't read the newspaper, you are uninformed. If you do read, you are misinformed. What is the long term effect of too much information? One of the effects is the need to be first, not even to be true anymore. So what is the responsibility you all have? To tell the truth, not to just be first, but to tell the truth. We live in a society now where it’s just first. Who cares? Get it out there. We don’t care who it hurts, we don’t care who we destroy, we don’t care if it’s true. Just say it, sell it."



O próprio Denzel Washington foi vítima recente de uma notícia falsa que se espalhou nos EUA, de que ele teria apoiado o novo presidente americano, Donald Trump e criticado o Baraack Obama.


janeiro 09, 2017

[Cyber Cultura] Punhetaço

Quando os nossos políticos decidem legislar sobre temas relacionados a Internet, não costuma sair coisa boa.

Recentemente, o pastor, cantor sertanejo gospel e deputado federal Marcelo Aguiar (DEM/SP) apresentou um projeto de lei na Câmara dos Deputados que causou alvoroço nas redes sociais pois tem como objetivo diminuir a "masturbação na Internet". O PL 6449/2016 (veja o texto em PDF aqui) quer obrigar as operadoras telefônicas a criarem sistemas de filtro para bloquear automaticamente todos os conteúdos de sexo virtual, prostituição e sites pornográficos.

A lei proposta tem praticamente um único artigo:
Art. 1º As empresas operadoras que disponibilizam o acesso à rede mundial de computadores, ficam obrigadas por esta lei, a criarem sistema que filtra e interrompe automaticamente na internet todos os conteúdos de sexo virtual, prostituição, sites pornográficos;
Parágrafo Único – As normas elencadas no artigo 1º. não se aplicam aos sites privados, o quais sã pagos pelos assinantes.
Segundo a justificativa bizarra do projeto...
Estudos atualizados informam um aumento no número de viciados em conteúdo pornô e na masturbação devido ao fácil acesso pela internet e à privacidade que celular e o tablet proporcionam.
Os jovens são mais suscetíveis a desenvolver dependência e já estão sendo chamados de autossexuais – pessoas para quem o prazer com sexo solitário é maior do que o proporcionado, pelo método, digamos, tradicional.
Ou seja, sob a desculpa de que "a possibilidade de que os menores de idade tenham acesso a conteúdos inadequados na Rede é uma preocupação justa de pais e educadores" e com a suporta intenção de "minimizar os danos que tais conteúdos possam causar em crianças e adolescentes", o deputado propõe uma censura geral e irrestrita a todo conteúdo pornográfico da Internet.



Mais do que proibir o acesso a conteúdo pronográfico, trata-se de uma censura a liberdade individual de todos nós. Isso para não comentar que a pornografia é tão antiga quanto a humanidade e as nossas expressões artísticas, e que o acesso a conteúdo pornográfico acontece muito antes do surgimento da Internet, e independente dela.

Os internautas não perderam tempo: para protestar contra esse projeto de lei insano, e foi marcado um Punhetaço no dia 22 de janeiro, em várias cidades (como São Paulo, Brasília, SalvadorMinas, etc).



Eu deixo aqui a minha humilde homenagem a este projeto de lei, através da música
Punheta para você, da banda Fish Wish :)




janeiro 06, 2017

[Segurança] O Papa também cobre a câmera do computador!

Não é apenas o Mark Zuckerberg que tem o hábito de tapar a câmera de seu computador. O Papa Francisco também faz isso!!!



Em um vídeo de 2015, aonde o Papa convida os jovens fiéis a participarem de um evento para celebrar o Dia Mundial da Juventude, em um determinado momento o Papa usa um iPad para se registrar no evento, e aí é possível ver um pequeno adesivo colocado no local aonde fica a câmera do tablet!



Tampar a câmera do seu computador ou tablet com um adesivo é necessário para evitar que algum código malicioso ative a câmera, sem o usuário saber, e capture imagens ou gravações sem o seu conhecimento. Diversos malwares utilizados para fins criminosos ou de espionagem já tem esta capacidade faz tempo. A câmera pode ser ativada sem acender a luz de led que indica o seu uso, e assim, o usuário pode ser espionado sem ter consciência disso. Tapar a câmera com um adesivo é algo simples e fácil de fazer.

janeiro 04, 2017

[Carreira] Carta de Oposição ao Sindpd/SP (2017)

Mal o ano já começou e temos que, novamente, fazer a tradicional visita ao SINDPD :(

De 04 a 13 de Janeiro deste ano, os profissionais de TI que são associados ao SINDPD/SP (Sindicato dos Trabalhadores em Processamento de Dados e Empregados de Empresas de Processamento de Dados do Estado de São Paulo) devem se opor formalmente a Contribuição Assistencial imposta pelo sindicato.

Para evitar este desconto mensal, os profissionais de TI devem entregar, presencialmente, uma carta formal de oposição, que deve ser feita em 2 vias. No momento da entrega, o SINDPD fica com uma via e carimba a segunda, para protocolar o seu recebimento. A via carimbada pelo SINDPD deve ser entregue ao RH da sua empresa. Não se esqueça de levar um documento com foto.

Minhas sugestões:
  • A carta não precisa ser escrita de próprio punho. Ela pode ser impressa, mas, por via das dúvidas, deixe para assiná-la no momento da entrega;
  • Vá o mais cedo possível no SINDPD, logo nos primeiros dias. No final do prazo as filas costumam ser enormes (eu já perdi algumas horas nessa fila, nos primeiros anos);
  • Quem está viajando pode enviar a carta registrada pelos correios; 
  • Quem está afastado (por exemplo, férias ou auxílio doença) tem um prazo de 10 dias contados a partir do retorno ao trabalho;
  • Leve 2 cópias extras impressas da carta de oposição e pelo menos 2 folhas de papel em branco - vai que dá algum problema na hora H e você não vai querer perder a viagem, né?
  • Eu recomendo escanear a carta protocolada e guardar essa cópia com você, antes de entregar a via original no RH da sua empresa.
Eu disponibilizei no Slideshare um modelo em Word (editável) da Carta de Oposição ao SINDPD para 2017.


Não se esqueça:
  • Prazo para entrega: 04 a 13/01/17, de segunda a sábado, das 9h as 17h
  • Local de entrega em São Paulo, Capital: R. Comendador Roberto Ugolini, 152 (Clube Atlético Juventus), Moóca, CEP 03125-010, São Paulo, SP

Mini-FAQ:
  • O que é a "Contribuição Assistencial"? Essa "Contribuição Assistencial" é um desconto mensal direto na folha de pagamento, que corresponde a 1% do salário do empregado, com teto máximo de R$ 40,00 por mês;
  • Não é obrigatório contribuir com o sindicato? Sim, mas essa aberração criada pelo SINDPD/SP, é diferente da contribuição sindical obrigatória por lei. A contribuição sindical é aplicável aos trabalhadores CLT, deve ser paga obrigatoriamente uma vez por ano e corresponde a 1 dia de trabalho. Ela é descontada sempre no mês de Abril do ano corrente;
  • Todo trabalhador de TI deve entregar essa carta? Não, somente os trabalhadores que são filiados ao SINDPD. Verifique na sua Carteira de Trabalho ou com o RH da sua empresa qual é o sindicato que os empregados da empresa estão afiliados;
  • Eu nunca me filiei a um sindicato. Devo me opor? Mesmo que você jamais tenha se afiliado a um sindicato, a empresa aonde você trabalha está, e ela escolhe um sindicato "default", no qual todos os empregados ficam associados. Ela faz isso para, entre outras coisas, pagar sua contribuição anual, exigida por lei - e isto consta na sua carteira de trabalho (CTPS);
  • O que fazer se mudar de emprego durante o ano? Neste caso, você deve apresentar para o RH do novo empregador uma cópia da carta entregue no início do ano, na empresa anterior. Assim você evita ser cobrado no novo emprego;
  • Em caso de dúvidas, procure o RH de sua empresa.

Para saber mais:

janeiro 03, 2017

[Segurança] Eventos de Segurança no primeiro semestre de 2017


Aproveitando o início de 2017, segue abaixo a minha tradicional lista com os eventos de segurança que acontecem no primeiro semestre do ano. São os eventos que eu acho mais interessantes e que, na minha opinião, trazem conteúdo de qualidade e são importantes para o mercado.

Aproveite para já reservar sua agenda, planejar viagens, etc.
  • Janeiro/2017
  • Fevereiro/2017
    • 18/02: RoadSec Goiania (twitter @roadsec) - Goiânia inaugura o calendário 2017 do Roadsec, sendo a primeira cidade do ano a receber este excelente evento itinerante muito bem organizado pela Flipside. Também é uma das cidades que tem a oportunidade de receber o Roadsec pela primeira vez. O público local poderá aproveitar um dia repleto de palestras, oficinas e competições, incluindo a competição de CTF (H4ckFl4g);
  • Março/2017
    • 04/03: RoadSec Campo Grande (twitter @roadsec) - Campo Grande é a segunda cidade brasileira a receber o Roadsec em 2017;
    • 10/03: RoadSec Pro Brasília (@roadsec) - Brasília (DF) inaugura a versão "pro" do Roadsec 2017, ou seja, um Roadsec com conteúdo direcionado aos profissionais da área;
    • 11/03: RoadSec Brasília (@roadsec) - Brasília (DF) também recebe a versão "tradicional" do Roadsec, com suas palestras, oficinas e competições;
    • 19/03: RoadSec Cuiabá (@roadsec) - Cuiabá (MT) recebe novamente o Roadsec. Oficinas, competições e palestras imperdíveis;
    • 25/03: RoadSec Belém (@roadsec) - Belém (PA) é outra capital que também recebe o Roadsec;
    • 28/03: CNASI Recife - Edição regional do CNASI que ocorre em Recife (PE). Possui palestras e painéis com foco gerencial, abordando temas de auditoria, gestão e segurança. Inclui também uma pequena área com expositores;
    • 29/03: Security Leaders Brasília - Versão regional do Security Leaders, que segue a fórmula de convidar executivos para painéis de debate com conteúdo superficial (mas a presentça dos executivos agrada os patrocinadores), com uma área de exposições. Evento fraco de conteúdo, mediano em termos de negócios, mas com boa oportunidade de networking;
  • Abril/2017
    • 01/04: RoadSec São Luis (@roadsec) - Parece mentira, mas não é: o Roadsec  começa seu tour pelo Nordeste pousando pela primeira vez na capital do Maranhão (MA);
    • 01 e 02/04: Garoa Hacker Camp - durante um final de semana, vamos nos reunir em um sítio a 40 km do centro de São Paulo para hackear, conversar, fazer oficinas e, quem quiser, pode até pescar sua própria comida;
    • 07/04: RoadSec Pro Fortaleza (@roadsec) -  Novamente o Roadsec passa por Fortaleza, com sua edição voltada para o público corporativo;
    • 08/04: RoadSec Fortaleza (@roadsec) -  Segundo dia do Roadsec em Fortaleza com oficinas, competições e palestras;
    • 12/04: Workshop Seginfo (Rio de Janeiro): Esta será a décima primeira edição do Workshop de Segurança da Informação (SegInfo), que ocorrerá na cidade do Rio de Janeiro, na churrascaria Fogo de Chão;
    • 27/04: Security Leaders Rio de Janeiro  - edição regional do Security Leaders. D6e uma passada lá, troque cartões e corra para a praia :)
  • Maio/2017
    • 05 e 06/05: CryptoRave (twitter @cryptoravebr) - 4ª edição desse excelente evento gratuito, meio técnico e meio politizado, que é focado em criptografia, direito à privacidade, cultura de segurança, noções de anonimato e sobre os perigos da vigilância por Estados e empresas. Acontece em 2 dias seguidos, varando a noite adentro;
    • 06/05: RoadSec Natal (@roadsec) - Oficinas, competições e palestras imperdíveis na belíssima cidade de Natal (RN);
    • 18/05: MindTheSec Rio de Janeiro - neste ano o MindTheSec inaugura uma versão regional, no Rio de Janeiro;
    • 20 e 21/05: BSides São Paulo (Página no Facebook; twitter @bsidessp) - décima-quarta edição deste evento gratuito com foco técnico em cultura hacker e segurança da informação, acontecendo na véspera do YSTS. Promete um final de semana com mini-treinamentos no período da tarde do sábado, enquanto no segundo dia (domingo) teremos a conferência completa, com palestras, oficinas e competições diversas, além de uma trilha inteira de atividades para crianças, a BSides 4 Kids;
    • 22/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) - O YSTS é um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade e um clima descontraído, principalmente por conta do open-bar após o almoço. A exclusividade também contribui para seu sucesso, pois somente podem participar convidados dos patrocinadores. Se você acha que dificilmente vai conseguir convite, então submeta uma proposta de palestra bem legal no CFP deles: palestrantes tem direito a acesso vitalício a todas as edições do YSTS (#ficaadica);
    • 23 e 25/05: Interforensics (Brasília, DF): Aparentemente, este é o antigo Iccyber, que rescuscitou e aparentemente ficou mais focado em Forense;
    • 25 e 26/05: GTS e GTER (Foz do Iguaçu, PR) - Neste ano, a edição do primeiro semestre do GTER-43 e GTS-29 será em Foz do Iguaçu, junto com o LACNIC 2017;
    • 26/05: RoadSec Pro Recife (@roadsec) - Recife também é uma das cidades sortudas que recebem a versão corporativa do Roadsec;
    • 27/05: RoadSec Recife (@roadsec) - Roadsec aporta em Pernambuco;
    • 29 e 30/05: CNASI São Paulo - O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) é direcionado ao público corporativo nas áreas de segurança, governança e compliance. É o mais antigo evento de segurança brasileiro, organizado pelo IDETI há mais de 20 anos, Possui palestras, mini-treinamentos e paineis de debate com foco principalmente em gestão, com pouco conteúdo técnico. Também tem uma área de exposições para os patrocinadores;
    • 31/05: Security Leaders Belo Horizonte - Os mineiros também tem a oportunidade de ir em uma edição local do Security Leaders;
  • Junho/2017
    • 03/06: RoadSec Maceió (@roadsec) - Após um financiamento coletivo que viabilizou a edição de 2016, agora Alagoas entra para o calendário oficial do Roadsec;
    • 06 a 08/06: CIAB - O CIAB é um evento de tecnologia para o setor financeiro organizado pela Febraban. O evento atrai fornecedores de diversas tecnologias bancárias, incluindo caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Atrai também os maiores fabricantes de TI e de segurança. Embora tenha poucas palestras de segurança na grade, vale a visita ao menos na gigantesca área de exposição. O evento é presença obrigatória para quem trabalha no setor financeiro ou em algum fornecedor de soluções de segurança;
    • 09/06: RoadSec Pro Salvador (@roadsec) - A maravilhosa Bahia também recebe o Roadsec em duas versões: "pro" e tradicional;
    • 11/06: RoadSec Salvador (@roadsec) - Aproveite o Roadsec em Salvador para visitar o Raul Hacker Clube ;)
    • 22/06: Security Leaders Porto Alegre;
    • 23/06: RoadSec Pro Belo Horizonte (@roadsec) - Minas também recebe o Roadsec "pro";
    • 24/06: RoadSec Belo Horizonte (@roadsec);
    • 29 a 30/06: (ISC)² Security Congress Latin America 2017 - Evento para profissionais mais experientes de mercado CISSPs, que acontecerá na Amcham Business Center, em São Paulo. Promete mais de 40 sessões apresentadas por especialistas locais e internacionais.
Aproveite também para visitar alguns eventos internacionais em 2017. Os principais e mais interessantes eventos são os seguintes:
Se você tiver a oportunidade de participar em poucos eventos, a minha recomendação é que, aqui no Brasil, não deixe de ir na BSidesSP, no YSTS (se tiver convite) e na CryptoRave. E vá também acampar na SHA2017. Embora o YSTS seja difícil de ir porque é um evento fechado, não custa arriscar uma proposta de palestra para eles! Como vantagem extra, os palestrantes ganham ingresso gratuito e eterno em todas as edições do evento!

Normalmente o segundo semestre é bem lotado de eventos, e aproveitando que alguns deles já divulgaram as suas datas, segue uma pequena lista para incluir na agenda...
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site nacional Agenda de TI e no gringo concise-courses.com. O calendário completo de eventos da Flipside (Roadsecs e MindThesecs) está disponível em http://www.flipside.com.br/calendario.

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS: Post atualizado em 03/01 para corrigir a data do RoadSec Vitória.

janeiro 02, 2017

[Cyber Cultura] Papo Binário

Neste ano, o Fernando Mercês, excelente pesquisador de malwares e responsável pelo blog Mente Binária, lançou seu canal no YouTube, o Papo Binário.

Voltado a falar sobre carreira e tendências na área de TI, a primeira temporada teve 10 entrevistas com diversos profissionais da área, começando com o Julio Neves, grande especialista em sistemas Unix e programação com Shell Script, e incluindo alguns profissionais de segurança que ele entrevistou durante a BSides Latam. As entrevistas são descontraídas e a conversa rola naturalmente, tornando os vídeos bem agradáveis. algumas entrevistas podem parecer mais interessantes, outras não, pois atendem vários gostos: tem desde profissionais altamente experientes até profissionais em sua "metade da carreira", além de abordar áreas diversas como desenvolvimento, SO, redes e segurança.



Eu, particularmente, gostei das entrevistas com o Julio Neves (o tal de programação shell no Linux), do Alfredinho (Sandboxing x Antivírus) e, principalmente, do Diego Aranha (sobre criptografia e urnas eletrônicas) e do Wagner Baronguello (sobre engenharia reversa).

A segunda temporada promete muitas entrevistas com profissionais de segurança, pois o Mercês entrevistou vários colegas durante a H2HC.

Se você gostou do Papo Binário, por favor, dê um Like nos vídeos e assine o canal. Ele tem pouco mais de 1.000 assinantes e, nesse mundo dos YouTubers, a relevância do canal é medida por isso.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.