abril 27, 2010

[Segurança] Mais novidades sobre Cloud Computing

A comunidade de segurança da informação está amadurecendo cada vez mais a discussão sobre "Cloud Computing", a "Computação em Nuvem".

Hoje, por exemplo, a Cloud Security Alliance (CSA) disponibilizou um material chamado "Cloud Controls Matrix V1", uma matriz que auxiulia os gestores a identificar e mapear os riscos de segurança relacionados a Cloud Computing. Para cada um dos 98 controles sugeridos, a matriz indica se ele se aplica ao fornecedor de serviços ("service provider") ou ao cliente, e relaciona este controle às principais regulamentações existentes (COBIT, HIPAA, ISO/IEC 27002-2005, NIST SP800-53 e o PCI DSS).

Eu vou comentar sobre essa nova ferramenta na palestra que farei no Seminário Cloud Computing que a SUCESU-ES está organizando. O evento acontecerá no dia 29 de Abril, quinta-feira, em Vitória (ES). Vários palestrantes estão confirmados e o evento será bem interessante.

abril 20, 2010

[Segurança] Mais casos de roubo de dados em caixas eletrônicos

Todos devemos ter muito cuidado quando utilizamos caixas eletrônicos. Uma fraude muito comum em todo o mundo é o uso de dispositivos específicos para copiar dados dos cartões de débito, que são criados de forma a serem encaixados na carcaça dos caixas eletrônicos. Aqui no Brasil, estes dispositivos são normalmente chamados de "chupa-cabra" (nos EUA, de "skimmers"). Só hoje eu li duas notícias sobre dispositivos "chupa-cabra" identificados em caixas eletrônicos (ATMs) em Fortaleza e no Rio de Janeiro.

Imagem: Diário do NordesteNormalmente, os bandidos usam dois equipamentos: uma leitora falsa que copia a trilha magnética dos cartões e uma câmera (ou teclado falso) para capturar as senhas. A imagem ao lado mostra o detalhe do equipamento encontrado em um supermercado de Fortaleza, que incluía uma câmera digital fixada no caixa automático para gravar as senhas digitadas pelos clientes (através de um pequeno furo na carcaça falsa). O "chupa cabra" encontrado em uma agência em Copacabana (Rio de Janeiro) aparentemente também transmitia os dados remotamente para os criminosos (isso acontece quando os bandidos conectam um celular ou eventualmente um dispositivo wi-fi no "kit").

Mas este crime acontece em todo o mundo. A polícia Australiana prendeu ontem um jovem chinês utilizando um aparelho destes no aeroporto internacional australiano. Lá, o prejuízo com este tipo de golpe chega a 100 milhões de dólares por ano. Além disso, a ComputerWorld australiana disponibilizou um slideshow que mostra diversos tipos de dispositivos para captura de dados de cartão de crédito (segundo uma das imagens do site, um leitor simples pode custar pelo menos US$ 510). Entre as fotos, duas são de um dispositivo identificado há muitos anos atrás no caixa de um grande banco brasileiro.


Não custa nada repetir algumas dicas, baseado em um outro artigo que publiquei neste blog recentemente:
  • Antes de utilizar os caixas eletrônicos, observe se eles aparentam estar funcionando normalmente.
  • Veja se todos os equipamentos são semelhantes e se as peças parecem estar devidamente conectadas.
  • Dê uma discreta "cutucada" no caixa eletrônico. Desconfie de peças aparentemente soltas ou que não estejam bem fixas.
  • Desconfie se o equipamento pedir suas informações em uma uma ordem diferente do normal, ou se pedir dados a mais.
  • Quando for digitar suas senhas, tente tampar a sua mão com algo, para evitar que alguém veja ou filme.
  • Jamais aceite ajuda de estranhos. Se precisar de ajuda, entre na agência e procure um funcionário.
  • O mais importante: se você suspeitar de um caixa eletrônico, seja discreto e saia imediatamente do local. Ligue para a polícia quando estiver bem longe. Não tente bancar o herói.

abril 15, 2010

[Segurança] Entrevista ao podcast StaySafe

Recentemente eu tive a feliz oportunidade de ser entrevistado pelo Thiago Bordini e pelo Jordan Bonagura, que lançaram o podcast StaySafe.


Nesta, que foi a terceira edição do podcast, conversamos por quase uma hora sobre vários assuntos, incluindo o debate que irei comandar na próxima edição do YSTS, a conferência Blue Hat em Buenos Aires e o mercado de vulnerabilidades. Também falamos um pouco sobre como a Microsoft tem evoluído nos últimos anos em termos de segurança, sobre carreira e sobre o projeto HackerSpace em São Paulo.


Na próxima edição da conferência You Shot the Sheriff (YSTS 4.0) eu irei comandar um debate que chamamos de "InfoSec Arena". A intenção é aproveitar o final do evento para promover um debate sobre os principais temas relacionados ao nosso mercado, porém de uma forma inovadora: os temas serão sorteados no momento do debate, entre perguntas e sugestões enviadas pelo público do evento. Além disso, o debate será entre as pessoas do próprio público, escolhidas no momento em que cada tema for escolhido. Eu e os organizadores do evento esperamos, dessa forma, ver discussões animadas e interessantes, onde todos poderão participar igualmente. O YSTS 4.0 irá acontecer em São Paulo, no dia 17 de maio.


Outro assunto interessante foi a conferência Blue Hat, organizada pela Microsoft em Buenos Aires. Foi a segunda vez que a Microsoft realiza a conferência fora dos Estados Unidos. Nesta edição, realizada em 18 de março, eles juntaram os melhores pesquisadores de segurança da América Latina e vários executivos (CSOs) da região, totalizando cerca de 100 pessoas. Os idiomas "oficiais" da conferência se misturavam: Inglês, espanhol e português. Até mesmo o "portunhol" era ouvido, falado e aceito por todos. Foi uma ótima oportunidade para integrar esses profissionais e promover a troca de idéias. As palestras foram muito interessantes, e abordaram temas tão diversos como Cloud Computing, segurança em aparelhos mobile e até mesmo um rápido debate entre vários pesquisadores. Eu e a Kristen Dennesen, minha colega da iDefense, tivemos a oportunidade de falar sobre o mercado global de vulnerabilidades e descrever como é o cenário latino-americano de segurança. O interessante é que nossa apresentação aconteceu alguns dias antes de sair a notícia de que o pesquisador de vulnerabilidades americano Jeremy Jethro foi condenado por vender um exploit para o Albert Gonzalez, um dos maiores ciber criminosos da história, que roubou milhões de dados de cartão de crédito de diversas empresas, como a TJX, 7-Eleven e a Heartland Payment Systems. Pela falha de "0-day" no Internet Explorer, Gonzalez pagou $ 60mil.


Hoje em dia os pesquisadores de segurança de todo o mundo tem a chance de ganhar dinheiro (licitamente ou não) quando descobrem vulnerabilidades em softwares. Embora a grande maioria dos fabricantes não remunerem quem lhes forneça essa informação, diversas empresas, governos (o "mercado cinza") e criminosos (que formam o "mercado negro") oferecem dinheiro em troca de receber informações exclusivas sobre a vulnerabilidade descoberta. Algumas empresas, como a iDefense e a Tipping Point anunciam publicamente seus programas de compra de vulnerabilidades, e se diferenciam das demais pelo compromisso de notificar os fabricantes sobre as vulnerabilidades descobertas. Este mercado é global, e percebemos que a maioria das empresas que trabalham com pesquisa em segurança já possuem alguma forma de presença na América Latina, principalmente no Brasil e na Argentina.

Um fator interessante e que diferencia a América Latina do resto do mundo é que as atividades criminosas na Internet estão quase que totalmente voltadas para a faude financeira, através de credenciais de acesso roubados através de esquemas de phishing. Por isso, os criminosos latino-americanos investem seu tempo em criar mensagens de phishing convincentes, e não tanto em criar trojans ou ferramentas que explorem vulnerabilidades desconhecidas (chamadas de "0-day"). Assim, o mercado negro de vulnerabilidades é muito pouco ativo na região, embora exista uma comunidade muito ativa de pesquisadores de segurança, e muitos deles altamente qualificados (principalmente na Argentina).

A Blue Hat mostra também o quanto a Microsoft amadureceu nesses últimos anos, quando o assunto é segurança. Se no passado a empresa tinha fama de demorar para reconhecer e corrigir as vulnerabilidades em seus produtos, hoje ela representa um modelo a ser seguido pelo mercado. Seus avanços incluem a criação de times específicos de resposta a incidentes como o Microsoft Security Response Center (que, em 2007 foi considerado um dos "10 piores empregos do mundo"), disciplina no processo de criação e divulgação de patches e o investimento em capacitação dos seus profissionais e, principalmente, dos seus times de desenvolvimento.

Finalmente, um projeto que tem me interessado recentemente é a criação do primeiro HackerSpace brasileiro, aqui em São Paulo. O Hackerspace é um local físico onde as pessoas podem se encontrar para desenvolver projetos de tecnologia (prefiro dizer que elas vão "brincar com a tecnologia"). É um espaço onde podemos resgatar o conceito original da palavra "hacker": um expert em tecnologia, autodidata na maioria das vezes, que gosta de "fuçar" e pesquisar para aumentar o seu conhecimento cada vez mais. Os diversos HackerSpaces existentes no mundo servem justamente como um ponto de encontro, onde os interessados podem trocar idéias e desenvolver projetos juntos. Os argentinos também estão montando um Hackerspace em Buenos Aires. Aqui em São Paulo, nós criamos um site que utilizamos para trocar idéias e planejar a criação do HackerSPace paulista, e que já conta com mais de 60 pessoas cadastradas (eu escrevi "nós criamos" mas o site já existia quando eu me juntei ao grupo).

Toda esta conversa está disponível no site do podcast StaySafe.

[Cultura] RIP Revista da Folha

Levei um grande susto ao abrir a Revista da Folha no último domingo, dia 11/04, e ver que, após 18 anos, ela foi encerrada. Esta edição, de número 910, foi a última, em virtude de "mudanças gráficas e editoriais".

Sempre que ia na banca comprar o jornal de domingo, era a Revista da Folha que me fazia decidir por comprar a Folha de São Paulo em vez do "Estadão". Notícia por notícia, classificado por classificado, era a revista que me fazia escolher um jornal ao invés do outro. E, as vezes, mesmo quando eu comprava o Estadão eu acabava levando junto a Folha - só para poder ler a revista.

E a Revista da Folha sempre era a primeira coisa do jornal de domingo que eu abria, antes mesmo dos quadrinhos da Ilustrada. As reportagens sempre foram interessantes, leves, divertidas e relacionadas com o dia-a-dia de nossa louca São Paulo. O interessante é que, com o passar dos anos, a minha preferência por uma seção ou outra mudava... Hora eu era fã da coluna da "Barbara responde", ou dos artigos sobre pets na seção "Bichos" ou das frases dos 0 aos 100 anos publicadas no quadro "Quem diria". Ou das dicas de compras.

Folha, obrigado por 18 anos de leitura dominical.

abril 08, 2010

[Cyber cultura] O iPad é f...

O iPad é f..., assim como o iPhone até hoje é f... Isso porque a Apple é f..., liderada por um gênio f..ão chamado Steve Jobs.

Agora que o iPad está no mercado, os críticos estão se rendendo aos avanços que ele pode representar. Assim como o iPod mudou nosso jeito de ouvir música e o iPhone mudou a forma com que usamos o celular, o iPad pode representar um novo paradigma para o uso dos computadores pessoais.

O iPad chegou em um ótimo momento, no meio do boom da venda dos netbooks, que surgiram com a proposta de ser um computador pequeno, simples e barato, feito para ser o segundo computador dos executivos (e, no caso brasileiro, o primeiro computador de muita gente). É o computador para quem precisa de um equipamento para o uso no dia-a-dia: navegar na internet, editar um texto ou criaruma planilha. Mas será que o iPad pode substituir o netbook? E porque não???

O Gartner já correu para lançar uma previsão de que metade dos PCs adquiridos em 2015 serão com tela sensível ao toque, como os "tablets PCs". Várias empresas rivais já anunciaram que estão preparando o lançamento de Tablets PCs.

Mas o comentário que eu mais gostei até agora foi do site Cloud Ave (sim, um site sobre Cloud Computing falando sobre o iPad). Para eles (e eu concordo), o iPad representa uma mudança na forma com que interagimos com os computadores. Desde o surgimento do teclado e do mouse (este último, em 1981), a interface dos computadores praticamente não evoluiu. Entretanto, a popularização dos telefones com tela touchscreen e, agora, o surgimento do iPad, vai formar uma nova geração de usuários que se acostumarão com novas formas de uso da tecnologia: algo portátil, fácil de usar, com interfaces intuitivas, sem "penduricalhos".

O trecho abaixo do filme "Jornada nas Estrelas IV, a volta para casa", de 1986, mostra o quanto a forma com que utilizamos os computadores não avançou muito desde aquela época (nesse aspecto, o filme continua atual há quase 25 anos).


abril 06, 2010

[Cyber cultura] Censura, inimiga da Internet

O portal espanhol de notícias ABC publicou um mapa com os países "inimigos da Internet", baseado em um artigo recente do grupo Repórteres sem Fronteira chamado "Web 2.0 versus Censura 2.0". O mapa-mundi (presente em ambos os sites) mostra os países que impõem algum tipo de censura ou controle sobre o acesso a Internet.




Entre os países "inimigos da Internet", destacam-se aqueles que promovem a censura e o controle da liberdade de expressão online, como Myanmar, China, Cuba, Egito, Iran, Coréia do Norte, Arábia Saudita, Síria, Tunízia, Vietnan, Turkmenistão e o Uzbekistão. Estes países limitam o acesso de seus cidadãos a Internet, seja através de filtros (controles) de acesso ou auto-censura. Além deles, outras nações optaram pela vigilância no acesso de seus cidadãos, uma forma ligeiramente mais branda de controle, mas não menos nociva. Este é o caso da Australia, Bahrein, Bielorrusia, Eritrea, Málasia, Rússia, Coréia do Sul, Sri Lanka, Tailândia, Turquia e os Emirados Árabes.


Recentemente o grupo Repórteres Sem Fronteiras promoveu o "Dia Mundial contra a censura cibernética", para promover uma Internet livre e acessível a todos. Esta campanha teve por finalidade chamar a atenção para o fato de que a internet é uma grande força para a liberdade, através da criação de novos espaços para a troca de idéias e de informações. No entanto, esta condição está sendo cada vez mais combatida por governos que tentam controlar e censurar a Internet. Neste dia, 11 de Março, o grupo disponibilizou o relatório "Inimigos da Internet" (em inglês) que detalha como cada um desses países tem controlado o acesso local a Internet.

Não só as ditaduras promovem a censura ou a vigilância do acesso a Internet. De acordo com o Google (conforme publicado pela BusinessWeek), o acesso ao seu serviço ou ao resultado de suas buscas sofre algum tipo de controle em pelo menos 25 dos 100 países em que a empresa atua. Isto inclui países como o Brasil e a Espanha, onde algumas ordens judiciais bloquearam o acesso a algum tipo de conteúdo online, ou países europeus como Alemanha, França e Polônia, onde as leis locais exigem que seja excluído qualquer conteúdo que promova o nazismo.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.