janeiro 19, 2018

[Geek] Explicando DHCP em uma imagem

A imagem abaixo é ótima para exemplificar como funcionaria o protocolo DHCP se o implementássemos na mão:


Ou seja, se você quer conectar o seu computador na rede (cabeada ou wireless), você escolheria um endereço IP entre os endereços marcados nos pregadores de roupa, e aí configuraria os parâmetros de rede manualmente.

Eu achei a idéia divertida e bem engenhosa. Eu vivi os primórdios da adoção das redes TCP/IP nas empresas, com cabeamento estruturado e tudo, e no início era muito comum os admoinistradores de rede irem distribuindo endereços IP aleatoriamente. Já vi empresas aonde o endereçamento da rede interna foi escolhido baseado na data de nascimento do chefe, e já vi empresas aonde, para dar um novo IP para um usuário, o admin pingava numeros aleatórios até achar um IP que não respondia ao ping. Se o novo usuário der azar, aquele IP estava com outra pessoa com o computador desligado naquela hora, e assim que o usuário original ligasse seu computador, iria dar colisão de IPs na rede.

O protocolo DHCP (Dynamic Host Configuration Protocol) veio salvar a pele de galera, permitindo que os computadores recebam um novo endereço IP na rede de forma dinâmica.

janeiro 16, 2018

[Segurança] Como foram os eventos de Segurança em 2017

Finalmente chegou a hora de comentar como foram os eventos de Segurança em 2017, uma análise  sincera e divertida que eu faço todo o ano sobre nosso mercado. Esse texto eu fico escrevendo aos poucos no decorrer do ano, por isso sempre fico feliz em vê-lo pronto!

O objetivo desse post é compartrilhar publicamente alguns elogios e críticas que eu tenho sobre os eventos no Brasil, para que juntos possamos discutir como melhorar cada vez mais o nosso mercado e nossos eventos.
Lembre-se: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
Para começar, devo dizer que neste ano eu tive algumas felicidades e algumas frustrações pessoais relacionadas a minha participação nos eventos de segurança:
  • Pela primeira vez, finalmente consegui ir em vários Roadsecs, também fui no hackercamp que acontece a cada 4 anos na Holanda (o SHA 2017) e fui na 8.8, um evento muito legal no Chile. Adorei essas experiências!


  • Infelizmente, neste ano não pude ir no MindTheSec pois coincidiu com uma viagem a trabalho, nem na BSides Latam (que aconteceu na Colombia), na BSides Lisboa (muito próxima ao RoadsecSP) e também fiquei mais um ano sem ir ainda na Nullbyte, um evento que tenho muita vontade de conhecer pela qualidade técnica do evento, pelos excelentes organizadores e porque amo Salvador e amo o Raul Hacker Clube.
  • Outros eventos que eu gostaria muito de ter ido mas não consegui foram o Security Day em  Natal, o JampaSec, o Latinoware e o DISI da RNP #frustrado :(
Talvez o principal destaque de 2017 foi que o ano ficou marcado por um número record de tretas relacionadas aos eventos de segurança. Vejam só:
  • O pessoal da Alligator bem que tentou fazer um CFP treteiro, mas nada supera a treta sobre a paternidade da H2HC, talvez a maior treta pública na história da comunidade de infosec brasileira;
  • Pela segunda vez, o prometido John McAffee furou a sua vinda para o Brasil, e deixou o MindTheSec no Rio de Janeiro órfão de keynote speaker. Para a sorte do evento, o WannaCry tinha acontecido alguns dias antes e eles conseguiram incorporar esse tema na agenda na última hora;
  • Faltando poucos dias para o Roadsec São Paulo, surge uma série de tweets denunciando que o Capitão Crunch é um abusador sexual de jovens adolescentes. Justamente ele, uma celebridade histórica da cena hacker, que viria para o Brasil pela primeira fez para ser o keynote speaker do Roadsec! Sem nenhum alarde, outro palestrante foi colocado em seu lugar e o Roadsec São Paulo ficou seu o seu pop-star internacional;
  • Com isso, o Anderson Ramos confirmou seu pé-frio para trazer palestrantes internacionais. Mas, considerando que ele já trouxe o Mikko Hypponen e o Schneier, ele ainda está com um restinho de crédito ;)
  • Tivemos o tradicional leak na H2HC, com informações de uma pequena galerinha publicada no pastebin e até mesmo um belo poster a venda durante o evento com uma coletânea de algumas senhas. Nada de novo, pois essas senhas eram senhas velhas que foram vazadas nos leaks que aconteceram no decorrer do ano (ex: leak do Yahoo).

Indo ao que interessa,  começo compartilhando minhas principais observações sobre alguns dos eventos nacionais deste ano:
  • Os grandes destaques e novidades
    • O surgimento de uma nova safra de jovens palestrantes: Nesse ano eles surgiram e conquistaram seu espaço. Eu espero que mais novos profissionais sigam os exemplos do João Goes, do Luiz Gustavo Corrêa Filho de 15 anos (que palestrou no Roadsec Brasília e BSidesSP, entre outros) e do Matheus "Teteus Bionic", de 11 anos, que estava presente no RoadSec São Paulo. Também tivemos o Jonatas Fil, de 16 anos, vencedor da etapa São Paulo do Hackaflag;
    • Garotas competindo no CTF: A área de tecnologia e a de segurança não deveriam ser dominadas predominantemente por homens. Aos poucos as mulheres vão conquistando o seu lugar de direito e surgem exemplos de excelentes profissionais do sexo feminino. A final do Hackaflag, o campeonato nacional de CTF do Roadsec, teve a felicidade de trazer duas competidoras: a Aghata Sophia de João Pessoa e a Ingrid Spangler de Belo Horizonte;
    • Os times de CTF brasileiro começam a dominar o mundo: nos últimos poucos anos a comunidade de segurança viu uma grande popularização das competições de Capture The Flag (CTF), e a formação de vários times nacionais. Isto é excelente, pois tem ajudado a compartilhar o conhecimento de segurança, tem servido como uma ótima oportunidade de estudo e treinamento e também tem revelado novos talentos profissionais. Mas o grande destaque de 2017, para mim, foi o pessoal do time RTFM. Além de serem competidores sempre presentes em vários compeonatos, eles também organizaram CTFs para alguns eventos: adorei a competição que eles organizaram na Cryptorave, que tinha até desafio de Dumpster Diving, e eu tive o orgulho máximo de vê-los organizarem o CTF em um evento na Argentina (a Andsec) e no Chile (a 8.8). Em todos esses anos nessa indústria vital, eu jamais imaginei que algum dia teríamos Brasileiros organizando competições lá fora! Parabéns!!!
    • O CTF da BSidesSP também merece destaque pelo formato inovador aqui no Brasil: uma competição que durou 24 horas initerruptas no local do evento. Foi uma maratona para todos, para a organização e para os competidores;
    • Roadsec: O RoadSec é sem dúvida alguma o maior evento de segurança nacional, e neste ano a mega edição de encerramento em São Paulo teve 5 mil inscritos. Para ser sincero, no dia do evento o ambiente me lembrou um pouco a Defcon - guardadas as devidas proporções, claro! Em 2017 o Roadsec visitou 18 cidades brasileiras, incluindo São Paulo;
    • Trilha de AppSec no Roadsec São Paulo, organizado pela Conviso: ótima iniciativa, que deu destaque a um dos assuntos que eu acho mais importante no nosso mercado atual, a segurança de aplicações. Parabéns!
    • Os patrocinadores "ponta firme": Um dos maiores desafios para quem organiza eventos é conseguir bons patrocinadores, que topam apoiar financeiramente e, principalmente, que entendem e respeitam o espírito de cada evento. Na minha experiência, a dificuldade aumenta exponencialmente quando fazemos um evento técnico, pois todo mundo quer patrocinar qualquer coisa que tenha CSOs, mas quase ninguém quer aparecer em um evento aonde você diz que vai estudante e a "peãozada" (desculpe pelos termos, mas eu mesmo me incluo no meio da "peãozada")..Por isso, faço questão de agradecer e parabenizar, em nome da comunidade e do mercado brasileiro, a iniciativa de empresas como a Trend Micro, El Pescador, Conviso e algumas outras que sempre estão presentes. Também merece destaque o Itaú, pela iniciativa e coragem de um banco abraçar a cultura de segurança e a comunidade. Eles, o Itaú, pelo segundo ano consecutivo esteve presente como patroicinador do Roadsec e do HackaFlag.
  • Os melhores eventos de 2017
    • Acredito que tivemos vários eventos excelentes, por isso a escolha de melhor evento é bem difícil. Mas vamos lá...
    • YSTS - Novamente o pessoal do You Sh0t the Sheriff arrasou na escolha do local. Evento cheio, com palestras legais e sempre é presença obrigatória. Muita gente fica de fora, com cara de choro;
    • O Roadsec São Paulo, que se tornou o grande festival da área;
    • Security BSides São Paulo (BSidesSP) - Neste ano a BSidesSP bateu novamente seu record de público: 770 pessoas na edição de maio/2017. O evento tinha muitas atividades de qualidade acontecendo em paralelo, e não decepcionou seu público. Trouxe também um estilo de CTF inédito por aqui: uma competiçÃo que durou 24 horas initerruptas, varando a noite de sábado a domingo - pondo em prova o conhecimento técnico e a resistência física e psicológica dos competidores. O evento cresceu tanto que, infelizmente, foi obrigado a pisar no freio: o trabalho adicional fez a organização preferir realizar um evento por ano em vez de limitar o seu crescimento.
  • Os bons eventos de 2017
    • Mind The Sec - O MindTheSec é um evento para "ver e ser visto", ou seja, é a maior "vitrine" dos profissionais de segurança brazucas. Nesse ano, também merece parabenizar a iniciativa de fazer uma edição menor, no Rio de Janeiro;
    • Hackers to Hackers Conference (H2HC) - A H2HC é aquele evento que todo mundo passa o ano inteiro esperando por ele! O desafio de perguntas e respostas da El Pescador, com torta na cara, fez a alegria da galera!
    • Roadsec: As edições regionais cumprem muito bem o papel de levar bom conteúdo para o Brasil afora, atendendo uma galera enorme e sedenta de conhecimento!
    • Cryptorave: Saiu do Centro Cultural São Paulo para um espaço no centrão de São Paulo, mas novamente não decepcionou com suas palestras excelentes;
    • Não podemos nos esquecer dos bons eventos regionais, como a Nullbyte, o Jampasec, a BWCon e o Security Day em Natal.
  • As ótimas surpresas em 2017
    • Para ser sincero, neste ano não vi grandes surpresas no mercado, exceto, talvez...
    • A criatividade do pessoal da El Pescador, que fez algumas ações de marketing bem legais nos eventos. Na BSidesSP, havia uma piscina de bolinhas aonde o participante caia se não conseguisse diferenciar um phishing de um site verdadeiro, e na H2HC fizeram uma competição de perguntas e respostas com torta na cara; 
  • Sentimos saudades
    • Duas edições da BSidesSP em 2017;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, com transmissão online - mas chama pouca atenção da comunidade de infosec;
    • Security Leaders: Na minha opinião este é um evento com conteúdo fraco e sem graça, com debates superficiais. Mas ele sempre foi o queridinho dos patrocinadores, que aproveitam a premiação e sua área de exposição para contato com clientes. Afinal, o pessoal da Conteúdo Editorial é muito bom de marketing, e conseguem dar uma boa visibilidade ao evento. Neste ano eles inovaram, com o palco principal em formato "arena", integrado a área de exposições. Eles realmente sabem agradar aos patrocinadores!!!


    • CNASI São Paulo - embora seja o nosso evento mais antigo, ele continua não conseguindo chamar a atenção do público da área;
    • Workshop SegInfo (Rio de Janeiro): Esse já foi um evento sensacional, mas desde 2016 virou um evento fechado para empresas convidadas. É uma pena, pois o Rio de Janeiro merece ter um evento dessa qualidade.
  • Não vi mas vou opinar assim mesmo
    • BHack (em Belo Horizonte, MG) - Infelizmente o evento tem perdido um pouco do brilho das primeiras edições, com falhas na organização e tretas associadas a um dos organizadores (ou ex-organizadores?). Assim, aos poucos foi deixando de atrair uma boa parte da comunidade de pesquisadores em segurança de outros estados;
    • Alligator: É o melhor evento da comunidade underground, fechado a 4 chaves, com palestras de grande qualidade técnica e que faz questão de ser exclusiva;
    • Congresso da ISC2: Acaba sendo esquecido e jogado para escanteio, com tantos eventos nacionais e com o YSTS, MindTheSec e Security Leaders para atender o público corporativo.

  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • Leakon: Francamente, o pessoal cria um evento hackudão secreto, para os amiguinhos do Underground falarem mal dos outros, e convidam um repórter?
    • Hackers to Hackers Conference (H2HC) - A H2HC teve duas tretas nesse ano: uma leve, com um pessoal não identificado lançando alguns leaks e vendendo um poster no evento com algumas informações vazadas que, na verdade, eram senhas de pessoas que já tinham sido vazadas em outros leaks (os Hackers Brazuca continuam sendo especialistas em fazer leak de informação pública). Mas isso não foi nada perto da "mãe de todas as tretas", que foi uma discussão pública no Linkedin sobre quem foram os fundadores da H2HC. O assunto virou piada entre a comunidade e deu origem a vários memes, com stickers sendo distribuídos na RoadsecSP. Só para manter a tradição dos meus posts nos anos anteriores, eu considero o Novotel Morumbi um péssimo local para o evento (é longe de tudo, de difícil acesso, com poucas opções próximas para comer e com um espaço muito pequeno e desajeitado para o evento);
    • Painel do Montanaro no Security Leaders: pelo que me disseram, durante a palestra não teve nenhuma treta, mas se eu fosse o organizador do evento eu teria retirado silenciosamente da programação por causa da grande discussão que a precedeu;

    • Cano pela 2a vez do John McAfee, no MindTheSec Rio de Janeiro É óbvio que a organização do evento não teve culpa, mas para todos rolou um sentimento de frustração;
    • Defcon 25 anos: OK, não é um evento Brazuca, mas quero deixar registrado aqui a minha frustração. Por mais que o evento seja fodástico, o melhor evento de segurança do universo conhecido, ele não se adaptou bem na infra-estrutura do Caesars Palace, e o pior prejudicado foi o CTF, que ficou exprimido em uma salinha minúscula. Mas nada foi mais frustrante e criticado do que o crachá de plástico xexelento entregue aos participantes. Também eu não vi nada de mega-especial que mostrasse que o evento estava comemorando sua 25a edição.

Segue então um resumo e minha "premiação" para os destaques dos eventos brasileiros no ano de 2017...


Resumão 2017
Melhores Eventos Brasileiros YSTS, RoadsecSP, H2HC e BSidesSP
Melhor Novidade 24hs de CTF na BSidesSP
Maior Surpresa Vencedoras femininas no CTF do Roadsec (HackFlag)
Maior Roubada Convidar o John McAffee como speaker
New kid in the block Leakon
Festa estranha com gente esquisita A festa da SaciCon, claro :)
Maior Mico Ausência do John McAffee no MindtheSec Rio
Maior WTF? Chamar um repórter em um evento secreto
Maior Polêmica Quem fundou a H2HC?
Maior Sem Noção Discutir no Linkedin a paternidade da H2HC
Os Patrocinadores Pira Security Leaders
Alternativo BSidesSP e Criptorave
Visual e Infra Caprichados YSTS e MindTheSec
Organização Caprichada YSTS e Flipside (MindTheSec e Roadsec)
Melhor Local YSTS
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Não Pode Faltar no seu Evento Uma competição de CTF organizada pelo CTF-BR ou pelo RTFM
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC
Para o Público Underground Alligator e Leakon
Para o Público Gerencial MindTheSec e Security Leaders
Para a Baixa Gerencia e Público de TI Leigo em SI CNASI e Security Leaders
Para o CSO Gartner Security & Risk Management Summit
Para o Usuário Final DISI e CriptoRave
Para o Povão Roadsec SP
Para quem está começando BSidesSP, Roadsec e H2HC University
Para Crianças BSidesSP (com a BSides 4 Kidz)
Para Competir no CTF RoadSec, CTF 24H da BSidesSP
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP. Bônus se você conseguir 4 ou mais pulseiras de cores diferentes.
Para ver palestrante gringo e não entender nada H2HC e SaciCon
Para ir de Graça BSidesSP e GTS
Para pagar caro para ver evento ruim Security Leaders
(se você não é de empresa "usuário final", eles cobram R$ 1.000 ou R$ 1.500 de ingresso)
Para Assistir de Casa GTS, DISI, Edições regionais do Roadsec
Evento Hostil H2HC e Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Nullbyte, Jampasec, Security Day (Natal)
Palestrante mais Pica Grossa Stuart McClure
Melhor Palestrante do ano Kelvin Clark
Palestrante de destaque Luiz Gustavo Corrêa Filho
Melhores Palestrantes de todos os tempos Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
Palestrante para dar IBOPE no seu evento Diego Aranha
Palestrante arroz-de-festa Eugene Kaspersky
Em 2018 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, AndSec, Ekoparty e 8.8
Em 2018 eu quero ir na... Nullbyte
Em 2018 eu quero viajar para... Defcon (US), 8.8 (Chile), Eko e AndSec (Argentina), BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp (Alemanha)
Patrocinadores "ponta firme" El Pescador e Trend Micro
Melhor atividade de patrocinador El Pescador (piscina de bolinha na BSidesSP e quiz com torna na cara na H2HC)

Para saber mais:
  • Veja quais foram os principais eventos de segurança no primeiro e segundo semestres de 2017;
  • Veja meus posts sobre os eventos de segurança nos anos anteriores: 2011, 2013, 2014, 2015, 2016.

Importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

OBS: Post atualizado em 17/01 com alguns pequenos ajustes no texto e com a inclusão de um parágrado valorizando os patrocinadores dos eventos. Também aproveitei para incluir um comentário sobre a trilha de AppSec no RoadsecSP.

janeiro 15, 2018

[Segurança] Pagamos Boleto!

Uma das formas mais comuns dos ciber criminosos Brasileiros ganharem dinheiro é através do pagamento de boletos de terceiros.

Uma vez que eles consigam acesso a conta corrente de uma vítima (através de phishing, por exemplo), uma das formas mais fáceis deles roubarem o dinheiro via Internet Banking é o pagamento de contas.

O fraudador se compromete a pagar contas (por exemplo, boleto de cartão de crédito, boleto de imposto, etc) com um desconto atrativo. Alguém é atraído pela possibilidade de se dar bem pagando uma dívida por um valor menor, e repassa o código do boleto e o valor para o criminoso. Então, o criminoso usa a conta corrente da vítima para pagar o boleto. Ele pode fazer isso simplesmente acessando o Internet Banking com as credenciais da vítima, ou até mesmo usando um malware de boleto especializado.

O anúncio abaixo é um exemplo (que recebi de colegas) aonde alguém oferece o serviço de pagamento de boletos cobrando apenas 50% do valor original da dívida.


O pagamento de boletos traz como vantagem, para o ciber criminoso, de que a transação pode ser mais difícil de ser rastreada e extornada do que se ele fizesse uma simples tranferência de valores. Além do mais, a conta não está em nome dele, então fica difícil comprovar a sua participação na fraude.

janeiro 12, 2018

[Segurança] Ransomware é uma epidemia

Conversando recentemente com alguns amigos sobre as tendências para 2018, um assunto foi unânime: os ataques de ransomware já são uma epidemia aqui no Brasil e no mundo. Eles acontecem com tanta frequência que qualquer pessoa ou empresa pode ser infectada ao menor descuido.

Qualquer umpode ser afetado por um ataque de ransomware, independente de ser um mega-ataque global como foi com o Wannacry ou o Petya. Uma boa amostra de que isso é verdade é que no ano passado em alguns momentos eu fui procurado por alguns parentes pedindo ajuda para resolver problemas de ransomware. Quando a sua familia te procura, é sinal que o problema é sério e atingiu as massas!


janeiro 10, 2018

[Carreira] Traduzir, mencionar, copiar ou plagiar

Toda vez que vemos um texto interessante, acho que é normal termos vontade de compartilhá-lo, de repassar esse texto e seus ensinamentos para nossos contatos e colegas. E há várias formas de fazer isso: posso apenas compartilhar o link do texto na minha rede social, posso usá-lo como referência em algum trabalho meu, ou posso também transcrevê-lo, mantendo a referência ao texto original.

Quanto o texto original está em inglês, uma outra forma muito importante de compartilhar o seu ensinamento é traduzi-lo e compartilhar essa tradução Afinal de contas, uma parcela muito grande da nossa população não tem domínio do idioma de Shakespeare, e a tradução é a melhor forma de repassar esse conhecimento em sua forma original.

Citar o texto original e seu autor é, acima de tudo, uma forma de respeito e gratidão pelo ensinamento que você acabou de receber. E, além do mais, mostra que você tem ótimas referências quando está falando de um determinado assunto. Como me lembrou muito bem o professor Nelson Brito, dar crédito ao trabalho original também pode evitar que você passe pro problemas legais devido a leis de copyright (por isso, também vale a pena você conferir qual é o copyright de um texto ou de um material, antes de compartilhá-lo).

Infelizmente, é muito comum encontrarmos quem prefere trilhar o caminho sombrio, de assumir para si a autoria do trabalho de outra pessoa. Isso é um problema universal: acontece em qualquer área do conhecimento, não apenas no nosso mundinho de tecnologia. Acontece com muita frequência em trabalhos acadêmicos, com livros e textos literários, em reportagens e artigos, no mundo musical, etc. O verbete da Wikipedia sobre Plágio traz um exemplo interessante de 1931 (ou seja, está aí um exemplo de que o plágio não é limitado ao mundo online e já existia muito antes de inventarem a Interne).

O nosso YouTuber favorito, o Fernando Mercês, fez um vídeo muito legal sobre esse assunto, o plágio:


Recentemente, tivemos um caso triste, aonde um colega da área compartilhou um artigo muito bom sobre as vulnerabilidades Meltdown e Spectre, inicialmente dizendo que era de sua autoria. Isso aconteceu no grupo público do Roadsec, no Telegram.


Pouco tempo depois o Professor Nelson Brito apontou a semelhança com outro artigo, mas na ocasião o autor insistiu que o texto era dele.

  

Mas basta comparar os dois textos lado a lado para ver a semelhança. Posteriormente, depois que essa discussão ganhou mais destaque, ele colocou uma nota no início do artigo dizendo que era uma tradução do original em inglês. E, depois que a notícia se espalhou, o artigo foi retirado do ar.

O que aprendemos com isso?
  • Hoje em dia, é fácil identificar quando alguém toma para si a autoria do texto de outra pessoa (mesmo que se apodere só de uma parte do artigo original). A Internet, a mesma tecnologia que facilita o acesso a informação e facilita a vida do plagiador, também ajuda na identificação da real autoria de um texto;
  • Se você quer compartilhar um conteúdo que gostou, há várias formas de fazer isso sem correr o risco de ser acusado de plágio.
Por isso, toda vez que você quiser compartilhar um ensinamento de outra pessoa, eu sugiro que siga algum dos seguintes caminhos:
Uma outra situação muito comum, no trabalho do dia-a-dia, é você ser solicitado para representar a empresa aonde trabalha em algum evento, fazendo uma apresentação em nome dela e apresentando um trabalho desenvolvido por outro colega da empresa (ou mesmo um PPT criado pela área de Marketing). Nesse caso específico, como você está representando a empresa, a autoria é dela, e não de você, e não há conflito - contanto que você deixe claro que o conteúdo é da empresa (ou, em alguns casos, deixe claro também que trata de outra área dentro da empresa que conduziu a pesquisa). Jamais pegue esse conteúdo, tire o logo da empresa e diga que é seu! (nem mesmo se você foi o autor original daquele conteúdo, pois tudo o que você faz no expediente de trabalho é de propriedade da empresa). Mesmo nessas situações, você provavelmente terá a liberdade de adaptar o conteúdo padrão a sua experiência, agregando idéias e exemplos seus. Isso enriquece muito a apresentação.

Usar o trabalho de outras pessoas como base para um estudo ou uma pesquisa sua não é vergonha para ninguém, muito pelo contrário, é super normal e faz parte do processo de aprendizagem. O que é vergonhoso, e pode queimar a sua reputação no mercado, é se você se apropriar do material de outra pessoa, como se fosse seu.


OBS: Post atualizado em 10/01. Fiz algumas correções em 11/01.

janeiro 08, 2018

[Segurança] Impressões do Roadsec 2017

Em 2017 o Roadsec passou por mais uma maratona: foram 18 cidades, incluindo o mega-evento de encerramento em São Paulo.


Neste ano eu tive a oportunidade de palestrar em várias edições do evento: Oito, ao todo. Estive no Roadsec Pro e no "normal" em Brasília, nos Roadsecs em Salvador, BH, João Pessoa, Vitória, Porto Alegre e Cutitiba, e ainda fechei o ano com uma palestra na trilha de carreiras na edição de São Paulo. A maioria dessas palestras aconteceram em função de uma parceria de conteúdo entre a Flipside e a empresa aonde trabalho, RSA, aonde nos comprometemos a oferecer palestras diferentes em cada uma das cidades acima.


Para mim, essa foi uma oportunidade excelente de conhecer e vivenciar um pouco como é o verdadeiro espírito do Roadsec, como é conhecer várias cidades e várias pessoas ao redor do país, ver as diferenças entre cada edição e, ainda, a chance de conviver e conversar com vários palestrantes e com o time sensacional da Flipside que faz o Roadsec acontecer.

E a minha conclusão é que a Flipside é formada por um time de heróis e heronias! Quem olha de longe ou participa de uma ou outra edição não tem a idéia do grande esforço que eles tem para fazer o evento acontecer em tantos lugares tão diferentes no decorrer do ano. O esforço inclui, entre outras coisas, cuidar da logística, de ir de cidade a cidade carregando malas lotadas de material do evento, e o sacrifício pessoal de passar vários finais de semana trabalhando longe de casa. Mesmo quando você consegue esticar um dia a mais para curtir a cidade, ainda assim é um esforço muito grande do ponto de vista pessoal.

E, sinceramente, nem sempre o esforço deles é compensado em termos de patrocínio ou de participação da comunidade local. Ver isso me deixou um pouco frustrado, por ser um fã do evento e por acreditar na importância que eles tem, levando um evento de qualidade que tem potencial para fomentar o mercado em todo o país.

Algumas coisas que me saltaram aos olhos:
  • Antes de mais nada: os problemas ou defeitos independem de geografia. A realidade não condiz com o preconceito enraizado de que cidades de algumas regiões são mais ou menos evoluídas em termos de infra-estrutura, tecnologia e comunidade. Vi, por exemplo, edições do Roadsec no Nordeste muito mais cheias e ricas do que em cidades da região Sul, ou uma edição no Sudeste com público abaixo da expecttiva;
  • Vemos uma grande diferença de infra-estrutura entre as cidades. Por ser realizado em várias faculdades diferentes, é visível como algumas faculdades tem infra-estrutura bem melhor do que outras, sem seguir nenhum padrão geográfico. Uma edição podia acontecer em um auditório luxuoso e a próxima em uma faculdade em que o sinal wifi quase inviabilizou o streamming das palestras;
  • Baixo engajamento do público, inclusive em cidades que deveriam ser pólos tecnológicos mais avançados. Eu vi cidades, inclusive, aonde o campeão do Hackaflag (o campeonato local de CTF) foi o único participante a pontuar;
  • Me assustei, principalmente, ao ver locais aonde falta a cultura de valorizar a comunidade em vez do benefício próprio. Vi casos aonde as demais faculdades marcavam prova no dia do Roadsec para que seus alunos não fossem no evento. Pior ainda: em uma cidade o professor de uma outra faculdade foi no Roadsec oferecer para que fizessem a próxima edição na sua instituição, prometendo levar mais alunos do que eles receberam nesse ano. Ou seja, a competição entre faculdades é mais importante do que a troca de conhecimento e a aprendizagem :(
Mas também vi muita gente disposta a aprender e a ensinar. Em todas as cidades os voluntários (roadies) deram um show, e certamente o evento não teria acontecido sem eles.

Não posso encerrar o meu post sem um grande Parabéns para toda a equipe da Flipside que faz o Roadsec acontecer! Parabéns pelo esforço pessoal e profissional, parabéns pelo amor e dedicação, pelo cuidado com o evento e com os participantes, pelo engajamento dos Roadies, por manter as competições vivas e por ter fôlego para inovar a cada ano.

janeiro 05, 2018

[Segurança] Meltdown e Spectre

O ano começou com uma bomba na área de segurança: uma vulnerabilidade grave no kernel dos processadores Intel, AMD e ARM, que tornaram praticamente todo mundo vulneráveis a ataques!

  


O conjunto de 3 falhas, batizadas de Meltdown (CVE-2017-5754) e Spectre (CVE-2017-5753 e CVE-2017-5715), permitem o acesso a áreas protegidas da memória, de forma que um programa malicioso possa acessar áreas de memória do kernel ou de outros processos. Ambos ataques aproveitam uma técnica para otimização de desempenho chamada de "execução especulativa", presente nos processadores modernos. O Meltdown consegue quebrar o isolamento entre as áreas de memória do Sistema Operacional e de outros programas, enquanto o Spectre ataca o isolamento entre diferentes programas.


Como dizem os sites oficiais:
"Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system."
Fonte: https://meltdownattack.com

"Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre."
Fonte: https://spectreattack.com
Resumindo, tanto o Meltdown quanto o Spectre permitem aos usuários comuns (de baixo privilégio) ler informações da memória do mesmo sistema explorando o recurso de Execução Especulativa. A diferença é que o Meltdown explora um problema específico de escalada de privilégios nos processadores da Intel, enquanto o Spectre usa a combinação de Execução Especulativa e Branch Prediction.

Com isso, programas maliciosos conseguiriam acessar áreas de memória de outros programas rodando no mesmo computador, e assim, ler e manipular esses dados. É possível, por exemplo, capturar uma senha que o usuário digita em outra aplicação.


Como a imprensa tem destacado, essa vulnerabilidade afeta todos os chips produzidos pela Intel nos últimos 10 anos, e espera-se que as correções existentes podem causar prejuízo na performance dos chips de até 30%.

Agora imagine o desespero de um gestor de TI que tem que aumentar o tamanho do seu datacenter em 1/3 do dia para a noite!!!

A falha foi descoberta pelo pessoal do Google Project Zero além de outros 3 grupos de pesquisadores (que trabalharam separadamente e, por coincidência, descobriram essas vulnerabilidades em um intervalo de tempo de poucos meses entre um e outro), e foi notificada aos fabricantes pela primeira vez no dia 01 de junho de 2017. Logo após a divulgação do bug, no dia 03/01, vários pesquisadores de segurança correram para criar exploits e formas de testar essas vulnerabilidades. No exemplo abaixo, criaram um programa em JavaScript com 5 linhas de código:


Embora seja, um problema na arquitetura dos processadores modernos (isto é, no hardware), o Meltdown e o Specter podem ser evitados com patches de software. Os fabricantes de sistemas operacionais (Windows, iOS, Linux, etc) trabalharam para preparar patches que pudessem mitigar essa vulnerabilidade, mas tiveram que antecipar o lançamento desses patches devido ao que parece ter sido uma divulgação imprevista do problema. Entretanto, como as vulnerabilidades estão no hardware, as únicas correções reais envolveriam trocar a CPU por uma nova, com uma arquitetura sem essas falhas. Mas como isso ainda não é possível, estamos dependendo de ajustes feitos nos SOs para evitar que essas falhas sejam exploradas.


A correção consiste em separar completamente a memória do kernel dos processos dos usuários, como no caso do recurso batizado de "Kernel Page Table Isolation" (KPTI) incorporado no Linux. O time de desenvolvedores, ao criar essa funcionalidade, pensaram em batizá-la de forma bem criativa como "Forcefully Unmap Complete Kernel With Interrupt Trampolines", ou seja, "FUCKWIT".

Praticamente todos os garndes fabricantes de sistemas operacionais e grandes provedores de serviços em nuvem correram para atualizar seus sistemas contra essas vulnerabilidades. O site The Hacker News fez um excelente apanhado das correções disponibilizadas pelos principais fabricantes, veja aqui: "[Guide] How to Protect Your Devices Against Meltdown and Spectre Attacks".

Algumas explicações sobre o bug e "execução expeculativa"

O Meltdown trouxe a tona uma feature das CPUs modernas que, apatentemente, ninguém estava familiarizado: a "execução especulativa". Em poucas palavras de leigo, para ganhar um pouco mais de performance e conseguir executar mais insctuções, os processadores modernos aproveitam os ciclos de processamento que a CPU deveria estar livre para adiantar a execução das próximas instruções, quando o processamento está parado esperando algum dado ou resposta. Assim, se ele "adivinhar" qual foi a resposta certa, ele ficou na vantagem porque processou algumas instruções durante um tempo que ceveria estra parado. Se errou, então basta descartar o que foi processado, e a vida segue.

Veja esses artigos:
O pessoal do XKCD explicou isso:


Bônus: Humor




Para saber mais

OBS: Post atualizado em 05/01 as 10:20 (para incluir a informação sobre o OpenBSD). Atualizado novamente nos dias 07/01, 08/01 e 09/01. Atualizado em 10/01 e 11/01. Nova atualização em 17/01 e 19/01.

janeiro 03, 2018

[Carreira] Carta de Oposição ao Sindpd 2018

Começa 2018 e, antes mesmo de esfriar a ceia de Natal, já temos que fazer a tradicional visita ao SINDPD :(

De 03 a 12 de Janeiro deste ano os profissionais de TI, sindicalizados ou não, devem se opor formalmente a Contribuição Assistencial do SINDPD/SP (Sindicato dos Trabalhadores em Processamento de Dados e Empregados de Empresas de Processamento de Dados do Estado de São Paulo), imposta aos trabalhadores associados a eles. Isso significa um desconto no salário de 1% (um por cento) ao mês, limitado a R$ 40 por mês.

Para evitar este desconto mensal, os profissionais de TI devem entregar, presencialmente, uma carta formal de oposição, que deve ser feita em 2 vias. No momento da entrega, o SINDPD fica com uma via e carimba a segunda (para protocolar o recebimento), que você deve entreguar no RH da sua empresa.

Minhas sugestões:
  • A carta não precisa ser escrita de próprio punho. Ela pode ser impressa, mas, por via das dúvidas, deixe para assiná-la no momento da entrega;
  • Vá o mais cedo possível no SINDPD, logo nos primeiros dias. No final do prazo as filas costumam ser enormes (eu já perdi algumas horas nessa fila, nos primeiros anos);
  • Quem está viajando pode enviar a carta registrada pelos correios; 
  • Quem está afastado (por exemplo, férias ou auxílio doença) tem um prazo de 10 dias contados a partir do retorno ao trabalho;
  • Leve 2 cópias extras impressas da carta de oposição e pelo menos 2 folhas de papel em branco - vai que dá algum problema na hora H e você não vai querer perder a viagem, né?
  • Eu recomendo escanear a carta protocolada e guardar essa cópia com você, antes de entregar a via original no RH da sua empresa;
  • Não se esqueça de levar um documento com foto.
Eu coloquei um modelo da Carta de Oposição ao SINDPD para 2018 no Slideshare e no Dropbox (em Word editável).


Não se esqueça:
  • Prazo para entrega da carta: 03 a 12/01/18, de segunda a sábado, das 9h as 17h
  • Local de entrega em São Paulo, Capital: Clube Atlético Juventus, na R. Comendador Roberto Ugolini, 152 (Mooca), CEP 03125-010, São Paulo, SP
    • OBS: Nesse ano eles mudaram a entrada, agora é pela Rua Juventus (veja foto abaixo)


Mas a reforma trabalhista de 2017 não extinguiu a contribuição ao sindicato?

Mais ou menos! Segundo essa reportagem no portal Administradores, a única forma de recolhimento do sindicato que sofreu mudanças com a nova reforma trabalhista (Lei 13.467/2017) foi a contribuição sindical (também chamada de "imposto sindical"), que era aquele valor recolhido obrigatoriamente uma vez por ano e que correspondia ao desconto de um dia de trabalho. Agora, a partir de 2018, tornou-se optativo. Se o funcionário quiser optar por pagar, será necessário autorizar a cobrança na folha de pagamento.

A contribuição confederativa, que é uma contribuição acordada em âmbito sindical e responsável pela manutenção dos sindicatos e outras entidades de classe, não foi alterada, após a reforma trabalhista. Ela é descontada em folha dos filiados à entidade, e seu valor depende do acordo coletivo ou convenção coletiva de trabalho, ficando também em torno de um dia de trabalho, cobrado geralmente no reajuste anual dado à categoria.

A contribuição assistencial, prevista no artigo 513 da CLT, que é o tópico desse post, é estabelecida por acordo ou convenção coletiva de trabalho e não sofreu alterações na reforma trabalhista. Seu recolhimento continua válido e o valor, cobrado em folha, varia conforme os acordos trabalhistas. Mas essa cobrança é opcional e o trabalhador pode pedir o fim do desconto, apresentando uma carta de oposição ao sindicato.

Mini-FAQ:
  • O que é a "Contribuição Assistencial"? Essa "Contribuição Assistencial" é um desconto mensal direto na folha de pagamento que é destinado ao SINDPD. O desconto é de 1% do salário do empregado, com valor máximo de R$ 40,00 por mês;
  • Ainda é obrigatório contribuir com o sindicato? No caso da Contribui'ção Assistencial, sim, ela continua valendo!!! A contribuição sindical obrigatória, entretanto, passou a ser opcional depois da reforma trabalhista de 2017. Ela era aquela contribuição cobrada vez por ano, em Abril, no corresponde a 1 dia de trabalho. 
  • Então a contribuição assistencial continua valendo? Sim, e se o trabalhador não se opor formalmente a sua cobrança, esse valor será descontado mensalmente;
  • Todo trabalhador de TI deve entregar essa carta? Não, somente os trabalhadores que são filiados ao SINDPD. Verifique na sua Carteira de Trabalho ou com o RH da sua empresa qual é o sindicato que os empregados da empresa estão afiliados;
  • Eu nunca me filiei a um sindicato. Devo me opor? Mesmo que você jamais tenha se afiliado a um sindicato, a empresa aonde você trabalha está, e ela escolhe um sindicato "default", no qual todos os empregados ficam associados. Ela faz isso para, entre outras coisas, pagar sua contribuição anual, exigida por lei - e isto consta na sua carteira de trabalho (CTPS);
  • O que fazer se mudar de emprego durante o ano? Neste caso, você deve apresentar para o RH do novo empregador uma cópia da carta entregue no início do ano, na empresa anterior. Assim você evita ser descontado no novo emprego;
  • Em caso de dúvidas, procure o RH de sua empresa.
Para saber mais:
OBS:
  • Obrigado ao meu amigo Julio Carvalho por ter me avisado que o prazo já estava rolando.
  • Post atualizado em 04/01 com algumas revisões no texto e no FAQ.
  • Post atualizado em 07/01 com a foto da entrada pela R. Juventus e o link para o modelo da carta em word, no Dropbox

janeiro 02, 2018

[Segurança] Princípios de segurança para carros inteligentes

Há alguns meses atrás o governo britânico divulgou uma série de diretrizes que visam incentivar as montadoras a priorizar a segurança cibernética dos carros, devido a crescente automatização deles. O guia, chamado de "Princípios fundamentais da segurança cibernética para veículos conectados e automáticos" ("The key principles of vehicle cyber security for connected and automated vehicles") (disponível em HTML e PDF), fornece um conjunto de diretrizes de segurança para todas as partes envolvidas na cadeia de produção de um veículo, divididos em oito princípios básicos.


Eu achei que o guia é bem objetivo e aborda as principais recomendações de segurança, de alto nível, para a indústria de veículos autônomos (CAV) e transporte inteligente (ITS). Por serem princípios que podem ser facilmente generalizados para qualquer outra indústria, eu acredito que esses princípios poderiam ser aplicáveis para qualquer fabricante de produtos relacionados a Internet das Coisas (IoT). Assim, decidi transcrever abaixo quais são os principais itens desses princípios de segurança indicados no guia.

Princípio 1 - A segurança organizacional é de propriedade, governada e promovida pela alta administração
1.1. Existe um programa de segurança alinhado com a missão e os objetivos mais amplos da organização.
1.2. A responsabilidade pessoal pela segurança dos produtos e dos sistemas (física, pessoal e ciber) é da alta administração, sendo delegada de forma adequada e clara para toda a organização.
1.3. A conscientização e o treinamento são implementados para incorporar uma "cultura de segurança" para garantir que os indivíduos compreendam seu papel e responsabilidade na segurança dos sistemas de veículos autônomos e transporte inteligente.
1.4. Todos os novos projetos abrangem a segurança por design. Os princípios de design seguro são seguidos no desenvolvimento de um sistema seguro e todos os aspectos da segurança (física, pessoal e ciber) são integrados no processo de desenvolvimento de produtos e serviços.
Princípio 2 - Os riscos de segurança são avaliados e gerenciados de forma adequada e proporcional, incluindo aqueles específicos da cadeia de suprimentos
2.1. As organizações devem exigir conhecimento e compreensão das ameaças atuais e relevantes e das práticas de engenharia para mitigá-las, dentro das suas atribuições de engenharia.
2.2. As organizações colaboram e se envolvem com terceiros que sejam apropriados para aumentar a conscientização de ameaças e um planejamento de resposta.
2.3. Os procedimentos de avaliação e gerenciamento de riscos de segurança devem estar em vigor dentro da organização. São desenvolvidos processos apropriados para identificação, categorização, priorização e tratamento de riscos de segurança, inclusive aqueles de ciber [segurança].
2.4. Os riscos de segurança específicos e/ou abrangendo as cadeias de suprimentos, subcontratados e prestadores de serviços são identificados e gerenciados através de práticas de design, especificação e contratação.
Princípio 3 - As organizações precisam de cuidados pós-atendimento e resposta a incidentes para garantir que os sistemas estejam seguros ao longo da vida
3.1. As organizações planejam como manter a segurança ao longo da vida de seus sistemas, incluindo quaisquer serviços de suporte pós-venda que sejam necessários.
3.2. Os planos de resposta a incidentes estão em vigor. As organizações planejam como responder ao potencial comprometimento de ativos críticos de segurança, ativos críticos não relacionados a segurança e falhas no sistema, e como retornar os sistemas afetados a um estado seguro.
3.3. Existe um programa ativo para identificar vulnerabilidades críticas e sistemas adequados para mitigá-los de forma adequada.
3.4. As organizações asseguram que seus sistemas sejam capazes de suportar a criação de dados forenses e a recuperação de dados forenses que sejam robustos e de identificação única. Isso pode ser usado para identificar a causa de qualquer incidente, ciber ou não.
Princípio 4 - Todas as organizações, incluindo subcontratados, fornecedores e potenciais terceiros, trabalham em conjunto para melhorar a segurança do sistema
4.1. As organizações, incluindo fornecedores e terceiros, devem ser capazes de fornecer garantia, tal como validação ou certificação independente, de seus processos e produtos de segurança (física, pessoal e ciber).
4.2. É possível verificar e validar a autenticidade e origem de todos os fornecedores dentro da cadeia de formecimento.
4.3. As organizações planejam em conjunto como os sistemas interagirão de forma segura com dispositivos externos, conexões (incluindo o ecossistema), serviços (incluindo manutenção), operações ou centros de controle. Isso pode incluir a adoção de padrões e requisitos de dados.
4.4. As organizações identificam e gerenciam dependências externas. Onde a precisão ou disponibilidade de dados sensores ou externos é fundamental para funções automatizadas, também devem ser utilizadas medições secundárias.
Princípio 5 - Os sistemas são projetados usando uma abordagem de defesa em profundidade
5.1. A segurança do sistema não depende de pontos únicos de falha, segurança por obscuridade ou qualquer coisa que não possa ser imediatamente alterada, caso seja comprometida.
5.2. A arquitetura de segurança aplica técnicas de defesa em profundidade e segmentaçãp, buscando mitigar riscos com controles complementares, tais como monitoramento, alerta, segregação, redução de superfícies de ataque (como portas Internet abertas), camadas/limites de confiança e outros protocolos de segurança.
5.3. Controles de design para mediar transações entre limites de confiança, devem estar aplicados em todo o sistema. Eles incluem o princípio do menor acesso, controles de dados unidirecionais, criptografia completa de disco e minimizando o armazenamento compartilhado de dados.
5.4. Os sistemas remotos e back-end que podem fornecer acesso a um sistema, incluindo servidores baseados em nuvem, possuem níveis adequados de proteção e monitoramento aplicados para impedir o acesso não autorizado.
Princípio 6 - A segurança de todo o software é gerenciada ao longo de sua vida útil
6.1. As organizações adotam práticas de programação segura para gerenciar proporcionalmente riscos de vulnerabilidades conhecidas e desconhecidas em software, incluindo as bibliotecas de códigos existentes. Deve haver sistemas de gerenciamento, auditoria e teste de código.
6.2. Deve ser possível verificar o status de todos os softwares, firmware e suas configurações, incluindo a versão, a revisão e os dados de configuração de todos os componentes do software.
6.3. É possível atualizar o software de forma segura e devolvê-lo a um bom estado conhecido se ficar corrompido.
6.4. O software adota práticas abertas de design e revisão de código por pares é usado sempre que possível. O código-fonte pode ser compartilhado quando apropriado.
Princípio 7 - O armazenamento e a transmissão de dados são seguros e podem ser controlados
7.1. Os dados devem ser suficientemente seguros (confidencialidade e integridade) quando armazenados e transmitidos, de modo que somente o destinatário ou as funções do sistema possam receber e/ou acessá-lo. As comunicações recebidas são tratadas como não seguras até serem validadas.
7.2. Os dados pessoais identificáveis ​​devem ser gerenciados adequadamente.
Isso inclui:
  • O que é armazenado (tanto dentro como fora do sistema ITS / CAV)
  • O que é transmitido
  • Como é usado
  • O controle que o proprietário dos dados tem sobre esses processos
Sempre que possível, os dados que são enviados para outros sistemas são sanitizados.
7.3. Os usuários podem ser capazes de excluir dados confidenciais mantidos em sistemas e em sistemas conectados.
Princípio 8 - O sistema foi projetado para ser resiliente aos ataques e responder adequadamente quando suas defesas ou sensores falharem
8.1. O sistema deve ser capaz de receber dados ou comandos corrompidos, inválidos ou maliciosos através de suas interfaces externas e internas enquanto permanece disponível para o uso primário. Isso inclui o bloqueio ou falsificação da comunicação dos sensores.
8.2. Os sistemas são resistentes e a prova de falhas se as funções críticas de segurança estiverem comprometidas ou deixarem de funcionar. O mecanismo é proporcional ao risco. Os sistemas são capazes de responder adequadamente se as funções críticas que não sejam de segurança falham.

A principal dificuldade, na tradução acima, é que a segurança de sistemas embarcados envolve os conceitos de "safety" e "security", que são conceitos parecidos, mas diferentes, mas que no Português tem uma única tradução, "segurança". Em um sistema industrial ou sistema embarcado, "safety" normalmente se aplica a capacidade de um sistema atuar de forma segura, sem erros.

Para saber mais:

dezembro 29, 2017

[Cyber Cultura] IoT e o futuro das seguradoras de carro

Recentemente eu vi um vídeo que mostra de forma bem divertida como as empresas de seguro poderiam usar a tecnologia para auxiliar seus clientes para automatizar e agilizar o atendimento de sinistros.


Tudo o que o vídeo mostra já poderia ser feito hoje, pois já existe tecnologia para isso.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.