abril 15, 2010

[Segurança] Entrevista ao podcast StaySafe

Recentemente eu tive a feliz oportunidade de ser entrevistado pelo Thiago Bordini e pelo Jordan Bonagura, que lançaram o podcast StaySafe.


Nesta, que foi a terceira edição do podcast, conversamos por quase uma hora sobre vários assuntos, incluindo o debate que irei comandar na próxima edição do YSTS, a conferência Blue Hat em Buenos Aires e o mercado de vulnerabilidades. Também falamos um pouco sobre como a Microsoft tem evoluído nos últimos anos em termos de segurança, sobre carreira e sobre o projeto HackerSpace em São Paulo.


Na próxima edição da conferência You Shot the Sheriff (YSTS 4.0) eu irei comandar um debate que chamamos de "InfoSec Arena". A intenção é aproveitar o final do evento para promover um debate sobre os principais temas relacionados ao nosso mercado, porém de uma forma inovadora: os temas serão sorteados no momento do debate, entre perguntas e sugestões enviadas pelo público do evento. Além disso, o debate será entre as pessoas do próprio público, escolhidas no momento em que cada tema for escolhido. Eu e os organizadores do evento esperamos, dessa forma, ver discussões animadas e interessantes, onde todos poderão participar igualmente. O YSTS 4.0 irá acontecer em São Paulo, no dia 17 de maio.


Outro assunto interessante foi a conferência Blue Hat, organizada pela Microsoft em Buenos Aires. Foi a segunda vez que a Microsoft realiza a conferência fora dos Estados Unidos. Nesta edição, realizada em 18 de março, eles juntaram os melhores pesquisadores de segurança da América Latina e vários executivos (CSOs) da região, totalizando cerca de 100 pessoas. Os idiomas "oficiais" da conferência se misturavam: Inglês, espanhol e português. Até mesmo o "portunhol" era ouvido, falado e aceito por todos. Foi uma ótima oportunidade para integrar esses profissionais e promover a troca de idéias. As palestras foram muito interessantes, e abordaram temas tão diversos como Cloud Computing, segurança em aparelhos mobile e até mesmo um rápido debate entre vários pesquisadores. Eu e a Kristen Dennesen, minha colega da iDefense, tivemos a oportunidade de falar sobre o mercado global de vulnerabilidades e descrever como é o cenário latino-americano de segurança. O interessante é que nossa apresentação aconteceu alguns dias antes de sair a notícia de que o pesquisador de vulnerabilidades americano Jeremy Jethro foi condenado por vender um exploit para o Albert Gonzalez, um dos maiores ciber criminosos da história, que roubou milhões de dados de cartão de crédito de diversas empresas, como a TJX, 7-Eleven e a Heartland Payment Systems. Pela falha de "0-day" no Internet Explorer, Gonzalez pagou $ 60mil.


Hoje em dia os pesquisadores de segurança de todo o mundo tem a chance de ganhar dinheiro (licitamente ou não) quando descobrem vulnerabilidades em softwares. Embora a grande maioria dos fabricantes não remunerem quem lhes forneça essa informação, diversas empresas, governos (o "mercado cinza") e criminosos (que formam o "mercado negro") oferecem dinheiro em troca de receber informações exclusivas sobre a vulnerabilidade descoberta. Algumas empresas, como a iDefense e a Tipping Point anunciam publicamente seus programas de compra de vulnerabilidades, e se diferenciam das demais pelo compromisso de notificar os fabricantes sobre as vulnerabilidades descobertas. Este mercado é global, e percebemos que a maioria das empresas que trabalham com pesquisa em segurança já possuem alguma forma de presença na América Latina, principalmente no Brasil e na Argentina.

Um fator interessante e que diferencia a América Latina do resto do mundo é que as atividades criminosas na Internet estão quase que totalmente voltadas para a faude financeira, através de credenciais de acesso roubados através de esquemas de phishing. Por isso, os criminosos latino-americanos investem seu tempo em criar mensagens de phishing convincentes, e não tanto em criar trojans ou ferramentas que explorem vulnerabilidades desconhecidas (chamadas de "0-day"). Assim, o mercado negro de vulnerabilidades é muito pouco ativo na região, embora exista uma comunidade muito ativa de pesquisadores de segurança, e muitos deles altamente qualificados (principalmente na Argentina).

A Blue Hat mostra também o quanto a Microsoft amadureceu nesses últimos anos, quando o assunto é segurança. Se no passado a empresa tinha fama de demorar para reconhecer e corrigir as vulnerabilidades em seus produtos, hoje ela representa um modelo a ser seguido pelo mercado. Seus avanços incluem a criação de times específicos de resposta a incidentes como o Microsoft Security Response Center (que, em 2007 foi considerado um dos "10 piores empregos do mundo"), disciplina no processo de criação e divulgação de patches e o investimento em capacitação dos seus profissionais e, principalmente, dos seus times de desenvolvimento.

Finalmente, um projeto que tem me interessado recentemente é a criação do primeiro HackerSpace brasileiro, aqui em São Paulo. O Hackerspace é um local físico onde as pessoas podem se encontrar para desenvolver projetos de tecnologia (prefiro dizer que elas vão "brincar com a tecnologia"). É um espaço onde podemos resgatar o conceito original da palavra "hacker": um expert em tecnologia, autodidata na maioria das vezes, que gosta de "fuçar" e pesquisar para aumentar o seu conhecimento cada vez mais. Os diversos HackerSpaces existentes no mundo servem justamente como um ponto de encontro, onde os interessados podem trocar idéias e desenvolver projetos juntos. Os argentinos também estão montando um Hackerspace em Buenos Aires. Aqui em São Paulo, nós criamos um site que utilizamos para trocar idéias e planejar a criação do HackerSPace paulista, e que já conta com mais de 60 pessoas cadastradas (eu escrevi "nós criamos" mas o site já existia quando eu me juntei ao grupo).

Toda esta conversa está disponível no site do podcast StaySafe.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.