dezembro 30, 2011

[Cyber Cultura] #Protestos

Coincidentemente, as edições desta semana das revistas americanas Time e Wired estão com uma matéria de capa sobre o mesmo assunto: a onda de protestos que aconteceram em 2011 no mundo todo; certamente um dos fatos marcantes do ano.

As reportagens são grandes, bem escritas e se complementam. E merecem ser lidas. Em comum, ambas discutem o surgimento destes protestos, as motivações e a influência das redes sociais no surgimento e na organização destes protestos. A grande diferença é que, enquanto a revista Time focou principalmente nos protestos originados no Oriente Médio e como eles se espalharam pelo mundo a partir da Tunísia, a revista Wired discutiu principalmente nos protestos em Londres e ofereceu também uma discussão mais profunda sobre o que motiva um grupo de pessoas a se juntarem e sentirem forte o bastante para enfrentar um governo.

A revista Time dedicou a sua capa e várias páginas ao que ela elegeu como a personalidade mais marcante do ano de 2011: os manifestantes ("the protester", em inglês). Embora normalmente a revista indique pessoas específicas como a personalidade mais influente em um determinado ano (a lista começa em 1927), desta vez eles decidiram eleger a coletividade de pessoas que se uniram ao redor do mundo para protestar contra governos corruptos, contra ditaduras e contra a crise econômica mundial. A reportagem discutiu detalhadamente como os protestos populares surgiram na Tunísia em Janeiro de 2011, se espalharam em seguida para o Egito e depois para o mundo, entrando na Europa pela Espanha (e depois Grécia) e chegando aos Estados Unidos em Setembro, na forma dos movimentos de ocupação iniciados pelo Occupy Wall Street.


A reportagem da revista Wired, por outro lado, focou a discussão sobre os protestos de 2011 principalmente nos distúrbios (do inglês, riot) que ocorreram em várias cidades da Inglaterra em Agosto de 2011. A Wired comparou os protestos que aconteceram em 2011 com os famosos flash mobs (quando um grupo combina pela Internet de realizar uma performance publicamente e coloca o vídeo no YouTube), mas em uma versão mais violenta.

A revista se baseia nos estudos do pesquisador inglês Clifford Stott que descreve dois fatores principais para controlar uma multidão violenta: o sentimento de legitimidade e de poder. O primeiro fator, legitimidade, surge na medida em que a multidão sente que a polícia e toda a ordem social ainda merecem ser obedecidas. O segundo fator é a sensação de poder: a percepção dentro de uma multidão de que tem a capacidade de fazer o que quer, a ponto de sair para as ruas sem medo de punição.

A Wired também destaca que atualmente a tecnologia (de comunicação e as redes sociais) permite que um grupo de pessoas afins se reunam com uma velocidade sem precedentes e em grande escala. Uma mensagem pode chegar a 50, ou 500, ou até 5.000 pessoas com o toque de um botão. Apenas uma pequena fração desta audiência é capaz de se multiplicar rapidamente e causar a desordem.

Além do mais,a reportagem considera que os protestos foram consequência do surgimento de um novo fenômeno chamado "mega-undergrounds": grupos de pessoas com interesse em comum mas originalmente desconectadas para as quais a ascensão do Facebook e do Twitter revelou a sua dimensão real. Esta nova forma de conexão entre eles tem feito com que esse grupo originalmente insignificante passe a ser reconhecido pela cultura dominante. Para estes grupos a chance repentina de se aglomerar em uma multidão faz com que eles saiam das sombras e possam influenciar a sociedade.



Esta onda de protestos em 2011 começou quase que sem querer e conquistou o mundo. O Twitter, o Facebook e os meios de comunicação instantânea via celular permitiu que grupos originalmente dispersos se falassem e se coordenassem, defendendo interesses legítimos e tentando influenciar os seus governos.

dezembro 24, 2011

[Cyber Cultura] Como achar o Papai Noel online

O site About.com publicou uma lista com 5 formas de entrar em contato com o Papai Noel através da Internet.

Embora a lista seja voltada para o público americano, vale a pena dar uma olhadinha. Inclui uma lista de sites para escrever uma carta, como criar um vídeo personalizado como se tivesse vindo do Papai Noel (eu criei um vídeo para testar!), fazer uma ligação telefônica em nome do Papai Noel, conversar com ele via chat ou, o meu favorito: o site NORAD Tracks Santa, um projeto antigo do NORAD, o centro de defesa aeroespacial americano que, normalmente, rastreia os céus para defender os EUA de ataques aéreos.



E, pasmem, o NORAD começou a rastrear o trajeto do Papai Noel na noite de Natal em 1955 !!!

Na prática, ninguém com mais de 5 anos de idade acredita em Papai Noel e não vai aproveitar muita coisa destes sites, mas mesmo assim, acredito que vale a pena passarmos alguns minutinhos curtindo isso.

Boas Festas *<:-)>

O Ano já está chegando ao final e agora é o momento de aproveitarmos o período de festas para relembrar dos amigos mais próximos, dos familiares mais distantes, além das conquistas e das derrotas que cada um de nós tivemos em 2011.


Boas Festas :-)

Feliz Natal *<:-)>

Feliz Ano Novo %*}



Talvez realmente haja quem acredite que o mundo vai acabar 2012. Para estas pessoas, eu desejo que elas aproveitem este que seria o último Natal e o último revellion. Isso me faz lembrar daquela frase famosa, repetida por muitos: "Viva cada dia intensamente, como se fosse o último dia da sua vida. Um dia você acerta."

[Segurança] Attaging

A coluna "Jargon Watch" da edição de Janeiro de 2012 da revista Wired trouxe um termo muito interessante: "Attaging", que é utilizado para se referir a um novo tipo de golpe online: plantar código malicioso em smartphones através de QR codes, aqueles novos códigos de barra em 2D (formato quadrado) que tem sido cada vez mais utilizado por empresas.

O neologismo "Attaging" vem da expressão "attack tagging", que representa um ataque que surgiu recentemente na Rússia, aonde telefones que escanearam um código QR malicioso começaram a enviar mensagens de texto premium a um custo de 6 dólares cada. Este golpe aproveita-se do fato que o QR code pode ser utilizado para armazenar muito mais coisas do que os endereços web que estamos acostumados a ver na maioria dos casos, incluindo números, letras e código binário.

Ah, pode parecer estranho a primeira vista, mas eu realmente comprei uma edição da revista Wired de Janeiro de 2012 no dia 23 de Dezembro/2011, aqui em São Paulo (na FNAC). Eu sou fã da Wired :)

dezembro 16, 2011

[Segurança] Aprendendo Criptografia

O blogueiro e profissional de segurança Javvad publicou ontem duas definiçõs bem curtas e objetivas sobre o que é Criptografia:

  • Versão objetiva, para o seu diretor: "Criptografia é o processo de transformar uma informação usando um algoritmo para torná-la ilegível para todos, exceto os que possuem conhecimentos específicos, geralmente referido como uma chave. O resultado do processo é a informação criptografada. Em muitos contextos, a palavra criptografia também refere-se implicitamente ao processo inverso, de descriptografia para tornar as informações criptografadas legíveis novamente."
  • Versão para dummies: "Bruxaria é o processo de transformar um príncipe usando um feitiço em um sapo usando um conhecimento especial, geralmente referido como um feitiço. O resultado do processo é príncipe enfeitiçado que se parece com um sapo. Em muitos contextos, a palavra feitiçaria também refere-se implicitamente ao processo inverso, 'de-bruxaria' para transformar o sapo enfeitiçado em um príncipe novamente."


Ou, de uma forma mais visual:


O blog do Javvad é bem feito e bem divertido, ele publica vários posts engraçados e, ao mesmo tempo, corretos. Ele também capricha nos vídeos que produz para mostrar suas opiniões.

Já para quem quer aprender um pouco mais a fundo sobre criptografia, eu recomendo uma olhada no material do curso de Códigos e Criptografia do Mestrado em Matemática da Faculdade de Ciências e Tecnologia da Universidade de Coimbra.

[Cyber Cultura] Explicando o Anonymous

A antropóloga Gabriella Coleman fez uma apresentação muito interessante em Abril deste ano durante o evento re:publica XI na Alemanha, chamada "Geek Politics and Anonymous" na qual ela detalhou a história, motivação e organização do grupo Anonymous.

Na sua apresentação, Gabriella descreve detalhadamente a história do grupo Anonymous, passando pelo seu surgimento e sua popularização através da Operação Payback, em defesa do Wikileaks. Ela também aborda como o grupo é estruturado

Como ela mesma descreve sua apresentação, "O grupo Anonymous passou de um grupo de brincalhões e trolls na Internet para um movimento de protesto que se concentrou estritamente contra a Igreja da Cientologia e, enfim, para um grupo que agora é conhecido pelos protestos contra a censura, atraindo muitos geeks e hackers para suas fileiras, alguns deles que entraram na arena da política de pela primeira vez. Nesta palestra ela analisou as transformações e as táticas do movimento de protesto digital criado pelo Anonymous para examinar as várias facetas políticas e éticas de suas operações, incluindo a sua organização social, as maneiras que promulgar uma ética em torno de seus ataques de negação de serviço, o espetáculo que eles geram, e a forma com a qual eles estão enraizados e envolvidos em seus compromissos liberais, tais como o anonimato ea liberdade de expressão."



Como o vídeo é do mês de Abril deste ano, a palesra ainda não abordava as diversas operações do gripo Anonymous que ocorreram no mundo todo no decorrer deste ano, e também não aborda os movimentos de ocupação que surgiram no segundo semestre deste ano, quando houve uma conexão inédita entre os protestos online com os protestos no mundo real.

Gabriella também tem um artigo online, da mesma época, chamado "Anonymous: From the Lulz to Collective Action" que descreve as idéias que elaapresentou na palestra.

dezembro 11, 2011

[Cidadania] Ética e Moral

Durante uma entrevista no programa do Jô Soares, o filósofo, mestre e doutor em Educação pela PUC-SP Mario Sergio Cortella deu uma explicação simples e muito interessante sobre o que são ética e moral.



Segundo o professor Mario Sergio Cortella, ética é um conjunto de valores e princípios que as pessoas usam para decidir o que ele chamou de três grandes questões "quero", "devo" e "posso", ou seja, como ele mesmo diz:

  • tem coisa que eu quero mas não devo
  • tem coisa que eu devo mas não posso
  • tem coisa que eu posso mas não quero


Ele também lembra que a ética é formada através de exemplos, princípios da sociedade (religiosos ou não) e normatizações (leis).

A moral, é a prática de uma ética. Ou seja, o princípio ético se traduz em uma moral. A ética tenta ser universal, e a moral é relativa.

A entrevista foi bem interessante e merece ser vista na sua íntegra (disponível no YouTube http://www.youtube.com/watch?v=QK5LDsEKuEA e aqui).

Este assunto é interessante pois a ética é constantemene questionada entre os profissionais de segurança da informação. Isto porque o profissional de segurança tem normalmente a responsabilidade de proteger a privacidade das empresas e usuários. Cabe ao profissional de SI definir controles e meios de proteção para as empresas e pessoas que usam a tecnologia para armazenar informações importantes e confidenciais. Por conta disto, normalmente o profissional tem acesso privilegiado a estas informações sensíveis ou sabe como contornar dos controles existentes. Logo, o profissional da área tem que transmitir confiança para o seu empregador e seus colegas de trabalho.

Embora não exista um código de ética universal para a profissão (e bem que precisamos atualmente!), o ISC2 criou um que é bem simples, objetivo e respeitado pelos profissionais certificados por eles. O código de ética do ISC2 se resume ao seguinte:
  • Proteger a sociedade, a comunidade, e a infra-estrutura.
  • Agir com honradez, honestidade, justiça, responsabilidade, e dentro da lei.
  • Fornecer serviço diligente e competente para o contratante.
  • Melhorar e proteger a profissão.


Você confiaria os segredos da sua empresa a alguém que já invadiu e danificou sistemas, já vazou os dados de alguém (empresa ou pessoa) ou que costuma se esconder atrás de pseudônimos para ofender seus colegas?

dezembro 08, 2011

[Segurança] Dicas de segurança para o Twitter

Eu li recentemente um post muito legal sobre o bom uso do Twitter, que o Ronaldo Vasconcelos publicou no início deste ano no blog Brainsniffer, que ele mantém com o Ivo Peixinho.

Entre as dicas que ele publicou, eu quero destacar aqui algumas das dicas de segurança e privacidade (e colocar algumas a mais):

  • O mais importante de tudo, em minha opinião: tenha muito cuidado ao usar a sua conta através de outros sites ou aplicações.
    • Muita atenção toda vez que você fizer login usando a conta do Twitter em um site terceiro, pois o Twitter concede um acesso permanente a seu perfil. Este acesso é autenticado pelo protocolo 'OAuth', que concede a aplicação externa um "token", uma espécie de senha fixa (ou, como o Ronaldo disse, um cartão de acesso livre a seu perfil) que pode ter acesso completo (leitura e escrita - read and write access) ou restrito (somente leitura - read access). Esta aplicação, seja um site ou um dos clientes Twitter, terá acesso a seu perfil fornecendo o "token" e não a sua senha de acesso ao Twitter. Logo, qualquer aplicação externa terá acesso a sua conta no Twitter mesmo se você trocar a sua senha!
    • Revise periodicamente a lista de aplicações externas que tem acesso a seu perfil no Twitter. Para isto, visite a página de aplicações (Applications) em https://twitter.com/settings/applications. O mais comum é ter nesta lista Tweetdeck, Twitter for BlackBerry, LinkedIn.
    • Se fornecer as credenciais Twitter a um site terceiro revogue o acesso logo depois usando a página "Applications". (vide acima)
    • Para evitar que alguém descubra o seu "token" e tenha acesso ao seu Twitter sem precisar da senha, revise a lista de conexões sempre que usar o seu Twitter de um lugar público. Segundo a dica do Ronaldo, ao usar seu cliente Twitter em redes abertas (WiFi em um aeroporto por exemplo) revogue o acesso assim que possível e autorize novamente a aplicação usando uma rede segura. Uma pessoa maliciosa que capture seu 'token' pode ter acesso de leitura e escrita a seu perfil, que é o tipo de acesso concedido a clientes Twitter.
  • Faça backup dos seus tweets. É possível fazer backup do Twitter por algumas aplicações terceiras. No post do Ronaldo, ele indicou o Tweetake pela simplicidade. Lembre-se de revogar o acesso logo depois do backup (Connections). O backup pode ser interessante especialmente depois que seu perfil passa dos 3.600 tweets - o número máximo que a API do Twitter permite no 'pull' inicial.
  • Se você deseja privacidade não habilite 'Add a location to your tweets'. Com esta opção, cada tweet armazenará sua localização aproximada no momento que escreveu. Isso é muito arriscado pois pode dar dicas de aonde você está para criminosos ou pessoas mal intencionadas.
  • Caso deseje controlar quem tem acesso as mensagens no seu Twitter, use a opção 'Protect my tweets'. Assim, você precisa aprovar qualquer novo seguidor e somente os seus seguidores irão ler o que você publica.
    • Mas lembre-se de que proteger seu Tweets não evita que alguns tweets escapem por meio de retweets (RT). Pense duas vezes antes de atualizar seu perfil com assuntos particulares; o Twitter não é o melhor lugar para isto.
  • Nas configurações de sua conta (https://twitter.com/settings/account), tenha certeza de que a opção de acesso seguro via o protocolo criptográfico HTTPS esteja selecionada (há o checkbox "Always use HTTPS" no final da página).
  • Ainda nas configurações de sua conta (https://twitter.com/settings/account), desabilite a opção para te acharem através do seu endereço de e-mail ("Let others find me by my email address") se você quiser ter um pouco mais de garantia de que o seu endereço de e-mail permanecerá privado.

dezembro 07, 2011

[Cyber Cultura] Conhecendo a Blogosfera

O site Technorati divulgou no mês passado os resultados de sua pesquisa "State of the Blogosphere 2011", que descreve o dos blogueiros, em termos de motivação, uso, etc.

O relatório é bem longo e detalhado, e apresenta alguns resultados bem interessantes:
  • Sobre o tipo de blogueiros:
    • A grande maioria dos blogueiros são considerados "hobbistas": 60% dos entrevistados se encaixam nessa categoria, de pessoas que mantém seus blogs por diversão, e não para obter ganho financeiro.
    • 18% dos entrevistados são considerados blogueiros profissionais (em tempo total ou parcial). Eles são os blogueiros independentes que usam seus blogs como uma forma de complementar sua renda, ou como um trabalho em tempo integral.
    • Apenas 8% dos blogs são corporativos (pertencentes a empresas) e 13% são empreendedores, ou seja, pessoas que blogam para uma empresa ou startup própria.
  • Algumas informações interessantes:
    • Apenas 37% dos blogueiros profissionais "Full Time" tem o blog como fonte de rendimento principal.
    • A maioria dos blogueiros têm seus blogs por pelo menos dois anos.
    • A maioria dos entrevistados atualizam seu blog duas ou três vezes por semana.
    • Uma minoria de blogueiros postam diariamente. Blogar ativamente é claramente recompensado: os Top 100 blogueiros, segundo a Technorati, produzem em média 36 vezes mais conteúdo do que a média dos blogueiros.
    • Outros blogs, conversas com amigos e informações em mídia sociais representam as principais influências na escolha dos tópicos que são blogados.
    • Entre os blogueiros profissionais, corporativos e empreendedores, a principal métrica para medir o sucesso é o número de visitantes únicos, enquanto que 42% dos blogueiros Profissionais "part time" e 38% dos "Full Time" consideram a receita como a principal métrica.
    • A maioria dos entrevistados usam seus blogs como uma maneira de compartilhar conhecimentos e experiências. Muitos hobistas usam seus blogs como uma forma de falar o que vem a mente (31%), enquanto os empreendedores utilizam o blog para atrair novos clientes para seus negócios (29%).
    • A maioria (54%) dos entrevistados dizem que fizeram amigos através do blog, e o mesmo número concordam que tornaram-se mais envolvidos com as áreas de seu interesse.
    • A grande maioria (82%) dos blogueiros entrevistados também usam o Twitter, em geral para promover o seu blog (77%), seguir os amigos (60%), e achar links interessantes (59%). 89% usam o Facebook.
    • Wordpress é o serviço de hospedagem de blog mais popular, usado por 51% dos entrevistados, seguido pelos serviços Blogger e Blogspot, do Google (21% e 14%).






Na minha opinião, merece um destaque especial a sessão que discute os tópicos blogados:
  • Os blogueiros hobistas costumam abordar principalmente reflexões pessoais, enquanto os bloggers profissionais, corporativos e empreendedores tendem a blogar sobre tecnologia. Negócios também é um tema muito popular para blogueiros corporativos e empreendedores.
  • 79% de todos os entrevistados descrevem seu estilo de blog como "sincero", e 67% descrevem seu estilo como "conversação". Profissionais, empresas e empreendedores também descrevem seu estilo como "especialista".
  • De acordo com os blogueiros, o terremoto japonês e o tsunami geraram a maior quantidade de notícias na blogosfera no ano passado (38%).
  • 22% dos entrevistados sentiram que os protestos no oriente médio, a chamada "Primavera árabe", recebeu o maior impacto positivo da blogosfera.











O estudo também mostra alguns dados interessantes sobre a categoria de blogueiros "hobistas", que é a categoria que eu acredito que eu me enquadro:
  • Metade dos hobistas preferem expressar suas "reflexões pessoais" em seus blogs.
  • 60% indicam que gastam menos de três horas por semana blogando.
  • Metade dos hobistas respondem individualmente aos comentários dos leitores.
  • Como 72% dos blogueiros usam seu blog para falar de assuntos que vem nas suas mentes, a principal métrica que eles usam para dizer que tem sucesso é a satisfação pessoal (61%).

dezembro 06, 2011

[Cyber Cultura] A velocidade da Internet Brasileira

O Comitê Gestor de Internet no Brasil (CGI.br) lançou há um tempo atrás um serviço online para testar a qualidade da velocidade da conexão Internet, chamado Simet (Sistema de Medição de Tráfego de Última Milha). Com os resultados obtidos por mais de 600 mil pessoas em todo o Brasil que realizaram o teste online do Simet, o CGI.br construiu um mapa que mostra um raio-x da qualidade da conexão Internet no Brasil.



Os pontos vermelhos indicam as conexões ruins e os verdes, as boas. Além disso, o Simet disponibiliza um mapa interativo online muito interessante, para facilitar a visualização dos dados.

Simet - Teste de velocidade

O Simet realiza teste de latência da conexão (o tempo necessário para uma mensagem ir a um destino e voltar), o teste chamado Jitter que indica a diferença entre o tempo real e esperado de chegadas das mensagens, e testa a velocidade de download e upload via tráfego TCP e UDP. Segundo o CGI.br, o Simet também informa ao provedor contratado a qualidade do serviço quando tiver dados suficientes.



Os estudos do CGI.br através do Simet e uma pesquisa realizada em São Paulo, Rio de Janeiro e Belo Horizonte através de uma parceria com o Inmetro, Anatel e CGI.br/NIC.br, mostram alguns dados interessantes sobre a Internet no Brasil:
  • As cidades menores do interior do país possuem as piores velocidades. Enquanto isso, as capitais e cidades de maior porte da região sudeste contam com as melhores velocidades.
  • Segundo o NIC.br, seis grandes provedores são responsáveis por 80% das conexões Internet. Os outros 20% das conexões vêm de 1.928 provedores de pequeno e médio porte. Destes, 43% atuam no sudeste do Brasil - o que mostra uma concentração no Sudeste, em detrimento das outras regiões.
  • Segundo o estudo conjunto do o Inmetro, Anatel e CGI.br/NIC.br, o principal problema detectado na análise técnica foi a indisponibilidade do serviço: Somente a Oi Velox em BH e o Speedy da Telefônica em São Paulo apresentaram disponibilidade maior ou igual a 99%, o que equivale a 7,2 h de interrupção ou menos por cada mês.
  • Além disso, embora a metodologia tenha sido branda, em virtude do ineditismo do trabalho, apenas uma das operadoras atendeu todos os testes técnicos (a Telefônica, em São Paulo).
  • A análise contratual demonstrou que existe uma prática entre as operadoras de não atendimento ao Código de Proteção e Defesa do Consumidor, com destaque para a ausência de informações e de garantia do serviço oferecido, evidenciando que os contratos celebrados possuem cláusulas abusivas e desproporcionais.

dezembro 02, 2011

[Segurança] Os piores hábitos tecnológicos

O site CIO publicou uma reportagem aonde lista os 15 piores hábitos que a maioria de nós temos no uso da tecnologia que podem causar danos permanentes aos computadores.

Entre os comportamentos prejudiciais aos computadores que o site indicou, vários deles tem relação ao uso diário dos equipamentos ou aspectos importantes de segurança, que muitas vezes deixamos passas desapercebidos. Então vale a pena dar uma olhada na lista e repensarmos nossos hábitos.

  • Não usar software de segurança no seu computador, como anti-vírus. Esta é uma proteção mínima que todos os usuários finais devem ter em seu computador. E, o mais importante, deve-se manter o anti-vírus atualizado diariamente.
  • Não fazer backup periódico de seu computador e de seus dados, em um HD externo e DVDs regraváveis. Só quem teve um computador roubado ou com o HD pifado sabe o que isso pode significar.
  • Além de fazer backup periodicamente, a maioria das pessoas não mantem backups “off-site”, ou seja, em outro lugar físico. O risco é de que, por exemplo, um ladrão entre em seu apartamento e roube o seu notebook e o seu HD de backup também. Uma dica é guardar os dados mais importantes online.
  • Responder a mensagens de SPAM: Ao clicar no link “remova meu e-mail” no rodapé de mensagem, isto conta como uma resposta que confirma para o spammer que seu endereço existe realemnte e está ativo. O melhor mesmo é ignorar e, se o seu webmail ou seu provedor tiver esta funcionalidade, clique na opção de "denunciar como SPAM".
  • Andar com o notebook ligado. Desligue seu notebook antes de transportá-lo, pois um disco rígido em funcionamento pode ser danificado mesmo por um pequeno impacto (como um solavanco) e o notebook pode facilmente superaquecer se deixado em lugares fechados.
  • Imprimir tudo: para evitar o desperdício de papel, podemos criar cópias digitais de todos os formulários, recibos e comprovantes de que precisamos, imprimindo-os em arquivos PDF.
  • Usar o notebook na cama tem o risco de causar um superaquecimento ao apoiarmos o notebook sobre edredons, travesseiros e almofadas, que podem bloquear as saídas de ventilação do notebook. Além do mais, se a posição não for confortável, pode também causar um torcicolo. A dica é usar uma mesinha especial para notebooks ou mesmo uma dessas mesinha para tomar café na cama.
  • Deixar o notebook no carro faz com que ele esteja a mercê de ladrões (ladrões de notebooks, de carros ou mesmo ladrões eventuais, que passam pela rua e vêem uma bela michila dando sopa no banco de trás de um carro). Se você precisa deixar o notebook na mala do carro, faça isso em um local discreto, longe dos olhos de curiosos.
  • Não usar um endereço de e-mail “descartável” para cadastro em sites questionáveis ou pessoas que você encontrou eventualmente.
  • Guardar todos os seus e-mails gera muito "lixo digital", bagunça sua caixa postal e pode dificultar na hora que você precisar achar uma mensagem importante. Apague o que não for necessário, use pastas e tags (marcadores) para separar suas mensagens.
  • Não usar os atalhos de teclado. Pelo menos para as funções mais comuns (ex: Ctrl+C para copiar um item, Ctrl+V para colar e Ctrl + S para salvar), isso pode economizar um tempinho.
  • Instalar coisas demais no computador pode tornar o micro lento, além de consumir espaço em disco. Além disso, muitas vezes as pessoas instalam tantos programas desnecessariamente e sem critério que podem acabar instalando vírus e adwares (aqueles programas que ficam mostrando pop-ups ou sites de anúncios) sem perceber.
  • Salvar arquivos em qualquer lugar. O ideal é ter tudo organizado em pastas. Facilita achar os arquivos e, principalmente, facilita fazer o backup das informações importantes.
  • Usar uma única senha para tudo. Basta umcmalfeitor descobrir uma de suas senhas para ter acesso a tudo mais que você tiver: contas de e-mail, conta no banco, cartão de crédito e suas senhas nas redes sociais. Atualmente temos tanta senha para tudo que, na prática, é impossível ter uma senha única para cada site oou serviço que utilizamos. Mas uma dica simples é usar um conjunto de várias senhas, e guardar as senhas melhores (mais complexas, difíceis de adivinhar e diferenciadas) para os serviços mais importantes.
  • Não travar o telefone ou smartphone: uma simples senha no aparelho celular evita que alguma pessoa faça chmadas e acesse seus dados quando você perder seu aparelho.


Atualizado em 2/12: Lembrei de um erro comum, mas que não foi listado acima: deixar o bluetooth ativo desnecessariamente. Mesmo que ocorra inadivertidamente, pois alguns celulares e computadores mantém o bluetooth ativo por default, isto permite que alguma pessoa próxima identifique todos os computadores e celulares ativos e, dependendo da configuração de segurança, tenha acesso a dados pessoais sem que a pessoa perceba.

dezembro 01, 2011

[Cidadania] Dia Mundial de Luta Contra a Aids

Todo o dia 01 de Dezembro é comemorado o Dia Mundial de Luta contra a AIDS. Aqui no Brasil e no mundo várias cidades decoraram seus monumentos com a tradicional fita vermelha para divulgar a data.

O ministério da Saúde, que mantém o site informativo aids.gov.br, também lançou uma campanha específica para conscientizar sobre esta data. Veja o vídeo abaixo.



Segundo o Ministério da Saúde, 608.230 pessoas foram infectadas com o vírus da AIDS no Brasil entre 1980 e junho de 2011. Menos de 0,61% da população de 15 a 49 anos tem AIDS, sendo que a taxa de infecção é de 0,82% na população masculina e 0,41% entre as mulheres. No estado de São Paulo a doença matou 3.141 pessoas em 2010, uma média de 8,6 pessoas por dia.

novembro 30, 2011

[Segurança] Como funciona o cibercrime brasileiro

Eu li recentemente um artigo muito interessante que descreve muito bem e objetivamente várias características do crime cibernético no Brasil.

O artigo "Como funciona o cibercrime brasileiro" cita vários pontos interessantes, maioria frutos de pesquisas recentes da Kaspersky. Veja um pequeno resumo das informações mais relevantes:

  • Os ciber criminosos não tem medo de se expor na Internet (em redes sociais e em vídeos no YouTube, principalmente devido a grande impunidade - fruto da falta de leis específicas que tratem os crimes online no Brasil;
  • Os cibercriminosos brasileiros envolvidos em fraudes bancárias online utilizam o apelido “Raul” (e “raulzada”) para se referirem a eles mesmos;
  • Em 2010, 36% de todos os cavalo-de-troia bancários que circularam no mundo tinham origem brasileira, de acordo com dados da Kaspersky. Se contabilizarmos apenas os ataques de malware dentro do país, 95% têm a intenção de roubar informações de acesso aos bancos;
  • O crime cibernético é lucrativo e dá certo no Brasil: Em 2010, foram R$ 900 milhões roubados através de golpes online, contra apenas R$ 55 milhões do crime tradicional. E a tendência é de aumentar, pois apenas na primeira metade deste ano foram desviados R$ 685 milhões via Internet;
  • Por razões culturais, o criminoso brasileiro é mais imediatista e busca um resultado rápido. Ele não quer dedicar tempo nem esforço para criar uma botnet, infectar legiões de computadores-zumbi e, então, esperar o retorno financeiro.
  • Aqui no Brasil o lado imediatista dos ciber criminosos faz com que haja uma preferência por malwares direcionados a bancos;
  • A principal linguagem de programação utilizada pelos desenvolvedores de malwares é o Delphi (enquanto em outros países se usam C, C++ e Java), os malwares são poucos sofisticados e se espalham através de técnicas de engenharia social (as mensagens de phishing). Nos demais países ibero-americanos, por outro lado, a maior parte dos códigos maliciosos é bem mais complexa, os ataques são combinados e a preferência é pelo uso de botnets;
  • Desde o ano passado tornou-se comum o envio de mensagens falsas (phishing), supostamente de bancos, que incluem o nome completo e o CPF do destinatário. Esses dados são obtidos quando os criminosos invadem sites de e-commerce, por exemplo, ou através do comércio ilegal de dados pessoais (na Santa Efigênia, em São Paulo, criminosos vendem DVDs com informações pessoais por R$ 100);
  • Os ciber criminosos brasileiros normalmente vem das favelas, são de baixa-renda, e trabalham quase sempre em conjunto com os carders, os clonadores de cartão;
  • O dinheiro obtido com os cartões roubados geralmente alimenta outros crimes, como o narcotráfico;
  • O ecossistema do cibercrime no Brasil evoluiu ao longo dos anos. Antes, o criminoso criava o vírus, distribuía, atingia a vítima que tinha seus dados roubados e, com eles, esse mesmo criminoso conseguia roubar dinheiro e utilizá-lo. Mas nessa estrutura é muito fácil rastrear o culpado, pois o "calcanhar de aquiles" é justamente quando o criminoso consegue fazer o saque ou a transferência fraudulenta. Com o tempo, os ciber criminosos criaram uma estrutura mais complexa, com pelo menos três níveis hierárquicos: o desenvolvedor de códigos maliciosos, o criminoso que usa os malwares para infectar usuários e roubas os dados bancários, e os laranjas que recebem o dinheiro roubado;
  • Para transformar as informações roubadas em dinheiro, os ciber criminosos usam "laranjas", recrutados através de anúncios do tipo “ganhe dinheiro sem sair de casa”. O laranja é "contratado" para receber transferências bancárias ou sacar dinheiro em caixas eletrônicos e depositar uma certa quantia em dinheiro na conta dos verdadeiros criminosos, e, com isso, recebe uma "comissão" entre 5% a 10% do valor roubado. Em boa parte dos casos, esse laranja sequer sabe que está fazendo parte de uma cadeia de cibercrime.


O artigo acima é bem completo, além de apresentar vários fatos e estatísticas relevantes e atuais. Eu recomendo a leitura do artigo completo :)

[Segurança] Até onde chegam os ataques DDoS?

Alguns dados divulgados recentemente mostram até que ponto o atacantes conseguem chegar com um ataque de distribuição de serviço (DDoS).

Segundo a empresa Prolexic, o maior ataque de DDoS deste ano ocorreu recentemente, entre 5 e 12 de novembro, quando quatro ondas consecutivas de ataques atingiram um site de e-commerce asiático.

A Prolexic estima que o ataque partiu de cerca de 250 mil computadores pertencentes a múltiplas botnets. O site da empresa de e-commerce chegou a receber 15 mil conexões por segundo, o que representou até 45 Gbps de tráfego.

Os números são impressionantes, embora o maior ataque DDoS registrado na história aconteceu em 2010 e teve até 100 Gbps de tráfego, segundo a ARBOR.

A título de comparação, os ataques DDoS realizados aqui no Brasil pelo grupo LulzSecBrasil na semana de 22 de Junho deste ano, e que derrubaram os sites do governo brasileiro (como presidencia.gov.br, brasil.gov.br e receita.fazenda.gov.br), foram provenientes de mais de 1.000 máquinas diferentes, com aproximadamente 300 mil acessos por segundo, segundo o Serpro.

A cada ano o nível de sofisticação dos ataques tende a crescer. Não só surgem novos ataques, mas as formas de ataque existentes também ficam cada vez mais poderosas. Por isso as empresas são obrigadas a investir constantemente na melhora de sua infraestrutura e em soluções de segurança. Isso é uma corrida de gato e rato sem fim.

novembro 29, 2011

[Cidadania] Quando o governo destrói a vida do cidadão

O que fazer quando o governo, que deveria nos proteger, destrói a vida dos seus cidadãos?

Não, eu não estou falando do governo egípcio, que joga tanques em cima da população, nem de alguma ditadura que sere somente aos interesses do seu governante. Na semana passada o caso do ex-mecânico Marcos Mariano da Silva ganhou os noticiários de todo o país.

Marcos passou 19 anos preso por um crime que não cometeu e jamais teve direito a um julgamento. Ele foi preso pela primeira vez aos 28 anos de idade e solto seis anos depois, quando o verdadeiro culpado foi preso e confessou o crime. Mas, após libertado, um policial o deteve três anos depois e pensou que ele era um foragido, e foi enviado de novo para a prisão pelo então juiz Aquino de Farias Reis, hoje desembargador aposentado. Na cadeis, ele teve tuberculose e ficou cego por estilhaços de uma bomba de gás lacrimogêneo durante uma rebelião.

Devido a série de erros da justiça brasileira, ele deixou prisão aos 50 anos de idade cego, com tuberculose e desempregado. Ganhou uma indenização do Estado de Pernambuco de R$ 2 milhões em 2009, mas o governo de Pernambuco pagou apenas a metade desse valor e entrou com um recurso, que foi julgado na semana passada. Aos 63 anos, Marcos recebeu a notícia de que o Superior Tribunal de Justiça havia negado por unanimidade o recurso do estado de Pernambuco e que ele iria receber a segunda parte da indenização, e morreu logo em seguida, enquanto dormia.



O que me deixa indignado nessa história toda é que, além da sucessão de erros judiciais que destruíram a vida de uma pessoa, o governo postergou ao máximo reparar os erros que ele mesmo cometeu. ou seja, o governo erra, destrói a vida de uma pessoa e ignora o direito do cidadão de ser reparado pelo erro.

Na minha opinião, a vida em sociedade existe para atender um único objetivo fundamental: garantir a nossa sobrevivência, como indivíduo, como grupo social e cultural, e como espécie. As leis e governos, portanto, servem para proteger os membros do grupo e seus interesses.

De que serve uma sociedade e um governo que não protegem nem respeitam os direitos de seus membros?

novembro 24, 2011

[Segurança] Crime real ou virtual?

De acordo com a Federação Brasileira de Bancos (Febraban), os bancos brasileiros tiveram um prejuízo de R$ 900 milhões com fraudes eletrônicas em 2010, enquanto os furtos e roubos físicos, incluindo as explosões de caixas eletrônicos, causaram perdas de R$ 60 milhões.

Ou seja, as perdas por conta do cyber crime no Brasil já são 15 vezes maior do que o crime tradicional.

Alguém aqui ainda pensa que não precisamos de leis contra os crimes cibernéticos?

novembro 22, 2011

[Segurança] 25 piores senhas de 2011

Recentemente a empresa SplashData divulgou um ranking com as 25 piores senhas do ano, ou seja, as senhas mais fáceis de serem descobertas.

Confira abaixo a lista das piores senhas (as senhas estão em inglês):
  • password
  • 123456
  • 12345678
  • Qwerty
  • Abc123
  • Monkey
  • 1234567
  • Letmein
  • Trustno1
  • Dragon
  • Baseball
  • 111111
  • Iloveyou
  • Master
  • Sunshine
  • Ashley
  • Bailey
  • Passw0rd
  • Shadow
  • 123123
  • 654321
  • Superman
  • Qazwsx
  • Michael
  • Football


A maioria destas senhas são consideradas simples, e podem ser facilmente descobertas por tentativa e erro. Por isso, elas representam uma grande ameaça de segurança, uma vez que um atacante pode rapidamente descobrir a senha e acessar indevidamente um sistema, uma rede ou um e-mail de alguém que utiliza senha simples. Além do mais, facilmente vemos casos de pessoas que utilizam a mesma senha para sistemas e serviços online diferentes. Assim, se um atacante descobrir a senha que uma pessoa utiliza no seu e-mail, por exemplo, provavelmente esta senha será semelhante a senha que a vítima usa em redes sociais, login na rede da empresa, etc.

O pessoal do Dragon Research Group também tem um projeto semelhante, que lista os principais nomes de usuário e senhas que são utilizados em testes de força bruta, ou seja, testes automatizados para descobrir se um determinado usuário ou sistema tem senhas fracas.

O projeto, chamado "SSH Username and Password Authentication Tag Clouds", cria duas listas de usuários e de senhas (atualizadas periodicamente) que são utilizados por ferramentas de força bruta que testam servidores com acesso remoto liberado via o protocolo SSH.





Percebemos facilmente que a maioria das senhas mostradas na lista da empresa SplashData também aparecem na lista da Dragon Research Group.

novembro 17, 2011

[Segurança] Números do cibercrime

Recentemente foram publicadas alguns dados interessantes que mostram o tamanho do crime cibernético no Brasil e no mundo.

A Panda Security divulgou algumas estatísticas sobre a quantidade de vírus em todo o mundo:
  • Diariamente são criadas 73 mil novas ameaças, como vírus, worms, Trojans e spywares.
  • Um terço de todos os 200 milhões de malwares existentes foi criado nos primeiros 10 meses do ano passado.
  • O laboratório de pesquisas da Panda Security recentemente atingiu 200 milhões de ameaças registradas.


O Fábio Assolini, pesquisador de Malwares da Linha Defensiva e da Kaspersky, também publicou uma série de tweets com dados interessantes referentes ao funcionamento cibercrime no Brasil:
  • 10 mil milhas aéreas roubadas de clientes são negociadas por R$ 150,00
  • Uma lista com 100.000 endereços de e-mails brasileiros pode ser comprada por R$30,00
  • Um spammer profissional no Brasil chega a infectar em média até 1000 pessoas por dia
  • Um spammer brasileiro ganha R$ 0,75 por usuário infectado
  • Em um dia, mais de 1.300 pessoas clicaram em uma mensagem de phishing criada para roubar pontos de programa de fidelidade


Outro dado interessante foi apresentado pelo analista da Kaspersky responsável pela América Latina, Dmitry Bestuzhev:
  • Em apenas 5 horas, o link de uma campanha de phishing para disseminar Trojans foi clicado 1.011 vezes.


Obs: Atualizado em 22/11 com a estatística de pessoas que clicaram em uma mensagem de phishing sobre programa de fidelidade.

novembro 16, 2011

[Segurança] Um porto seguro na nuvem

O excelente colega Paulo Pagliusi lançou recentemente um blog para compartilhar notícias e idéias sobre segurança em Cloud Computing, chamado MPSafe - Seu Porto Seguro na Nuvem.

O blog é recente mas merece a visita, pois o Paulo já escreveu alguns posts bem interessantes :)

O último artigo do blog, publicado hoje, anuncia que a Cloud Security Alliance acabou de lançar a terceira versão do seu principal documento, o guia de segurança para áreas críticas focado em computação em nuvem ("Security Guidance for Critical Areas of Focus in Cloud Computing"). Este guia da CSA é uma fonte fundamental de informação para quem deseja estudar sobre segurança em Cloud Computing.

novembro 14, 2011

[Segurança] Perspectivas para 2012

Durante a H2HC, a repórter Thais Sabatini do site IT Web gravou algumas entrevistas curtas com os participantes do evento, aonde fizeram duas perguntas bem interessantes e objetivas: o que cada um acreditava ser os principais desafios de segurança para 2012 e qual a importância da comunidade hacker.

Eu mesmo tive a feliz oportunidade de participar e opinar, veja abaixo.



Na minha opinião, as principais novidades para 2012 serão a sofisticação do Hacktivismo, da guerra cibernética, da cyber espionagem entre países e a crescente preocupação com segurança em ambientes de Cloud Computing. Eu esqueci de comentar que uma das prováveis preocupações em 2012 também será o aparecimento cada vez mais constante de ameaçar dirigidas a usuários do Facebook. Considerando que recentemente o Facebook passou o Orkut na preferência dos brasileiros, consequentemente o uso malicioso das redes sociais no Brasil também deve migrar do Orkut para o Facebook: criação de perfis falsos, cyber bulling, surgimento de comunidades no Facebook para promover crimes digitais, além do surgimento de vírus e mensagens de phishing através do Facebook.

Sobre a comunidade hacker, eu acredito que ela é beneficiente para a evolução da pesquisa tecnológica, embora a comunidade brasileira ainda não seja madura nem grande o suficiente para produzir uma boa quantidade de conteúdo relevante e de qualidade.

Outras entrevistas interessantes que eu recomendo foram a do Gustavo Lima e do Wagner Elias. Infelizmente não consegui ver as entrevistas do Tony e do Oscar, pois recebi uma mensagem de erro de "mídia não encontrada".

novembro 11, 2011

[Cyber Cultura] Sonho Brasileiro: Como a geração atual está mudando o mundo

Fiquei sabendo de um estudo recente chamado “Sonho Brasileiro”, que gerou um filme muito interessante e positivo que resume o potencial de mobilização do jovem brasileiro e como isto ocorre hoje em dia. O vídeo destaca que maior potencial de transformação e de catalização de mudanças reside nas gerações entre 18 a 24 anos, e a partir daí ele discute as principais características da juventude atual: como funciona o pensamento, a vida, o relacionamento e, principalmente, como o jovem é capaz de influenciar o mundo a sua volta hoje em dia.

O estudo e o vídeo destacam que a forma de mobilização existente no passado, como na década de 60, não funcionam mais e mostram as principais características da mobilização feita pelos jovens na nossa era: a hiperconexão, as microrrevoluções e o não-dualismo.

Sonho Brasileiro_Manifesto from box1824 on Vimeo.



Dos 25 milhões de jovens de 18 a 24 anos existentes no Brasil, que representam a primeira geração verdadeiramente global de brasileiros, o estudo estima que 50% dos jovens se envolvem com pensamentos mais coletivos do que individualistas, enquanto 8% deles já estão envolvidos em ações em prol do coletivo, que estão agindo e transformando o mundo em que vivem.

novembro 10, 2011

[Cyber Cultura] Binaryday

Este é um fato curioso e que tem atiçado os geeks ao redor do mundo: Hoje, 10 de novembro, e amanhã teremos dois dias binários em sequência:

  • 10/11/11, ou 101111 (ou ainda, 0x2F - em hexadecimal)
  • 11/11/11, ou 111111 (ou 0x3F)


Feliz "dia binário" para todos :)

novembro 09, 2011

[Cyber Cultura] Occupy Together



Como eu disse no meu post anterior, em Setembro deste ano o grupo Anonymous lançou a operação "Occupy Wall Street" que, em Outubro, se espalhou para várias cidades dos EUA e em outros países, incluindo no Brasil.

Estas ocupações ao redor do mundo visam criar uma forma de mobilizar a população principalmente sobre os problemas relacionados a crise econômomica global, que lá nos EUA e Europa ainda está bem grave, com altos índices de desemprego afetando a população e sem solução a vista. Como já disse o comentarista Arnaldo Jabor, estas manifestações são contra o modelo de capitalismo atual.



As manifestações são pacíficas e, normalmente, o pessoal envolvido nos acampamentos desenvolve uma série de atividades, como debates e palestras, para fomentar o debate. Os acampamentos também tendem a ser bem organizados, com grupos tomando conta da infra-estrutura, da segurança, e com acesso a Internet, para permitir entre outras coisas a divulgação online do que acontece no acampamento, e até mesmo divulgar uma lista de doações, para que outras pessoas possam colaborar com a manifestação.

No dia 11 de novembro (11.11.11) os grupos estão planejando uma nova série de manifestações para incentivar as ocupações no mundo todo, chamada "11.11.11 Occupy The Streets. Occupy The World".



Estas manifestações também tem um componente cibernético interessante: elas usam massivamente a Internet e as redes sociais para se promoverem e buscarem o apoio da população. Além do mais, como já aconteceu nos EUA, o grupo Anonymous já realizou alguns cyber ataques para se vingar de ações policiais violentas que tentaram reprimir as manifestações.

Eu já tive a oportunidade de vistar o Acampa Sampa, lá embaixo do Viaduto do Chá, no Vale do Anhangabaú, bem ao lado do prédio da prefeitura (fico devendo as fotos). Enquanto no resto do mundo o motivo das ocupações giram principalmente em torno da discussão da crise econômica e de como os governos tem lidado com isso (privilegiando os bancos e empresas, e prejudicando a população), aqui no Brasil iniciou-se reclamando da corrupção e, em seguida, criou-se um manifesto com uma grande lista de "bandeiras" para justificar a mobilização. De tão amplo, este manifesto acaba sendo uma verdadeira colcha de retalhos, misturando exigências válidas com alguns pontos realmentre questionáveis. Para exemplificar, eu separei abaixo as "bandeiras" escolhidas pelos manifestantes em 3 grupos: as que eu considero válidas, as questionáveis e as lamentáveis. Meus comentários estarão entre parêntesis, em itálico.

  • Válidas:
    • Contra o estado penal e a criminalização dos movimentos sociais e da classe trabalhadora. Contra a utilização de armas nas manifestações populares.
    • Por um SUS público e de qualidade. Contra as OSs e as Fundações Estatais de Direito Privado.
    • Tarifa zero já. Contra o aumento das passagens de ônibus e metrô. Contra privatização dos transportes e à (sic) cultura do automóvel.
    • 10% do PIB para a educação pública, gratuita e de qualidade já.
    • Revogação das concessões fraudulentas de rádio e TV no Brasil.
    • Revogar a lei 9612/98: pelo fim da criminalização de rádios e comunicadores comunitários (hum, me parece válido, mas eu não fui atrás de pesquisar a referida lei e suas consequências)
    • Por uma legislação de direitos autorais que valorize o artista, desprivatize a cultura e favoreça o compartilhamento.
    • Chega de racismo, preconceito e extermínio da juventude negra. (ok, mas "extermínio da juventude negra" não é forçar um pouco a barra?)
    • Pelo fim da violência machista: contra os cortes de verbas do Pacto de Enfrentamento à Violência Contra Mulher feitos pelos governos federal e estaduais.
    • Em defesa do Kit Escola Sem Homofobia e outros instrumentos educativos de combate a discriminação por orientação sexual e identidade de gênero, sem concessões aos fundamentalistas.
    • Chega de homofobia. Pela aprovação imediata do PLC 122 (projeto de lei que criminaliza a homofobia).
    • Contra o PAC, Belo Monte e o novo Código florestal.
  • Questionáveis:
    • Contra as remoções de famílias para construções de obras da Copa e Olimpíadas.
    • Internet banda larga para todos em regime público e gratuito. (E quem paga a conta? O povo, através do subsídio governamental as empresas de Telecom?)
    • Contra a criminalização das mulheres: legalização do aborto! Não ao bolsa-estupro e ao estatuto do nascituro. (Legalização do aborto é um tema super polêmico, que não acha concenso na sociedade. Precisa ser melhor definido e discutido.)
    • Por uma Comissão da Verdade, Memória e Justiça autônoma, que julgue os assassinos e torturadores. Cumpra-se a resolução da OEA! (Eu concordo, mas sou obrigado a lembrar que, durante a ditadura militar, houve assassinos dos dois lados).
  • Lamentáveis:
    • Fora Ricardo Teixeira. (E desde quando isso é bandeira para motivar uma manifestação?)
    • Chega de “guerra às drogas” e criminalização dos usuários. Legalização da maconha. (Eu ia classificar isso como questionável, mas, sinceramente, não ou a favor da legalização das drogas, e isso é um tema extremamente polêmico e complexo)
    • Todo apoio às reivindicações dos trabalhadores em greve. (Pelo amor de Deus, eu posso imaginar rapidamente alguns exemplos de trabalhadores em greve cuja greve prejudica a população e alguns outros casos em que a greve é para favorecer uma pequena parcela de pessoas que já são altamente beneficiadas, e tem a cara de pau de exigir mais regalias)
    • Retirada das tropas brasileiras no Haiti (WTF? O que isso tem a ver com alguma coisa? qual é o problema de mandarmos soldados em uma missão de paz da ONU?)


Na minha humilde opinião, uma lista tão ampla de reinvidicações não ajuda em nada: o movimento aqui no Brasil corre o risco de perder o foco e de acabar não tendo bandeira nenhuma. Além disso, me incomoda o fato de um grupo de pessoas simplesmente copiar um tipo de manifestação que ocorre lá fora sem ter propostas concretas e objetivas para fundamentar a manifestação.

Exemplificando, quando os grupos brasileiros organizaram a marcha contra a corrupção em 12 de outubro deste ano, pela primeira vez eles deixaram de lado os gritos de guerra genéricos e abstratos e assumiram algumas propostas concretas. Por exemplo, que tal apoiar a aplicação da Lei da Ficha Limpa e expor os corruptos?



Ah, nesse meio tempo acabou de surgir mais um novo grupo "hacker" brasileiro, o iPiratesGroup, que também resolveu fazer defacement e ataques de negação de serviço (DDoS) para também protestar contra a corrupção no Brasil.



Eu também lamento muito o fato do povo brasileiro ser muito apático e não ter o hábito de manifestar defendendo os seus direitos (ex: quando o governo criou o fator previdenciário ou quando os parlamentares aumentam o próprio salário acima do aumento do salário mínimo). De certa forma, estes protestos no Brasil refletem isso: na falta de tradição em protestar pelos nossos reais direitos, cria-se um conjunto de "bandeiras" para tentar justificar uma mobilização, mas sem nenhuma demanda concreta por trás.

Espero que pelo menos esta onda de ataques e protestos sirva para formar uma geração mais consciente de seus direitos e que, no futuro, saiba defendê-los.

novembro 08, 2011

[Cyber Cultura] Vamos Ocupar a Vila Sésamo!

Em Agosto o grupo Anonymous lançou a campanha "Occupy Wall Street", que previa a ocupação da região de Wall Street, o coração financeiro dos EUA, a partir do dia 17 de setembro. O objetivo foi protestar contra a crise econômica global que até hoje afeta a economia Americana e Européia, causada principalmente pelos bancos e pelo modelo econômico existente nestes países.





Um dos principais motes da campanha é que os governos e suas ações para combater a crise econômica beneficiam apenas 1% da população: os empresários, ricos e políticos. Por isso, o grupo Anonymous diz representar os demais 99%, deixados a margem da economia, sofrendo as consequências da crise econômica.

No dia 15 de Outubro os protestos se espalharam por várias cidades americanas e também para outros países, que viram protestos em Toronto, Londres, Amsterdam e São Paulo, entre outros lugares. No Brasil, as ocupações também ocorreram em Salvador, no Rio de Janeiro e Campinas. Foi criado o site occupytogether.org para relatar os demais protestos.

Em algumas cidades americanas a reação da polícia foi violenta, incluindo nos primeiros dias da ocupação de Wall Street. Porém, em vez de desanimar, os protestos ganharam força e a população em geral se solidarizou com as pessoas acampadas, que estão realizando protestos pacíficos.

Diante de tanta ocupação ao redor do mundo, até mesmo a Vila Sésamo foi ocupada. Um grupo realizou uma sequencia de foto montagens mostrando personagens da Vila Sésamo participando dos acampamentos e, em alguns casos, sendo presos pelos policiais, satirizando os acontecimentos reais.



[Segurança] Culpem os hackers!

Esta é uma ótima tirinha do site Vida de Suporte:



E, certamente, ela é baseada em fatos reais. Eu mesmo já vi algumas empresas aonde a equipe de TI simplesmente dizia que era "ataque de hackers" quando acontecia algum problema que eles não sabiam explicar a causa ou o motivo. Ou, então, para arranjar alguma desculpa quando não queriam informar o real problema. O interessante era que também não existia nenhuma evidência que o problema foi causado por algum tipo de cyber ataque.

Afinal, hoje em dia, "sofrer um ataque de IPs originários da China" virou desculpa para tudo, né?

outubro 31, 2011

[Segurança] Coruja Ownada

A Oi foi condenada a pagar uma multa altíssima pois um funcionário postou mensagens com conteúdo neo-nazista. O ENEN teve mais um vazamento da prova, ferrando com a vida de milhares de estudantes que prestam o exame. E no final de semana que acabou de passar, dias 29 e 30/10, tivemos a Hackers 2 Hackers Conference (H2HC). Embora eu esteja com vontade de falar sobre isso tudo, prefiro comentar sobre outro assunto quente relacionado a segurança da informação, talvez algo não tão famoso nem que tenha causado tanto dano: na sexta-feira (28/10) invadiram o blog Coruja de TI, do Gustavo Lima e usaram o twitter dele para divulgar o ataque e postar mensagens extremamente ofensivas.





Por conta da invasão, o blog do Gustavo ficou fora do ar durante todo o final de semana e ele foi, provavelmente, um dos assuntos mais comentados na H2HC.

Para quem é novo na área de segurança, o grupo Pr0j3ct Mayh3m Braz1l (ou "i sh0t the white hat") existe pelo menos desde 2007 e já realizou quatro grandes ondas de ataques a diversas empresas e profissionais brasileiros, sempre se aproveitando do anonimato para ofender e tentar humilhar publicamente suas vítimas. Para cada um dos ataques anteriores, eles criram um "e-zine" para divulgar o ataque e os dados confidenciais supostamente roubados. Entre as vítimas anteriores, estavam algumas empresas de segurança, fórums, profissionais e até mesmo algumas pessoas consideradas "picaretas" por vários profissionais da área. Vários dos principais participantes da lista de discussão CISSP-BR já foram ofendidos também.

Camiseta do Pr0j3ct M4yh3m Br4z1l que apareceu 'misteriosamente' na H2HC em 2008 com uma lista parcial das vítimas

O grupo (sim, é um grupo, formado por várias pessoas) se esconde atrás do anonimato e da sensação de impunidade oferecidas pela Internet para divulgar seus ataques e, principalmente, ofender as pessoas ou empresas que escolhem como alvo. As vezes, mesmo após os ataques os membros do grupo continuavam enviando e-mails diretamente para suas vítimas, para ameaçá-las ou simplesmente importunar (vide abaixo).

> On Fri, Nov 27, 2009 at 4:58 PM, i sh0t the white hat -
> wrote:
> > qu4l d3 v0cÊs v4i p4g4r b3b1d4s pr4 4 g3nt3?
> >
> > tr0c4m0s um4 g4rr4f4 d3 v0dk4 p3l4 desCriçã0 d3 c0m0 0wn4m0s 0 Augusto
> > :DDDDDDDDDDDDDD
> >
> > 2009/11/27 i sh0t the white hat -
> >>
> >> 0l4 4m1g0s,
> >>
> >> qu4nt0 t3mp0 qu3 n40 n0s f4l4m0s!!!
> >> qu4is d3 vcs v4o 4p4r3c4r n4 h2hc? qu3r3m0s p3d1r d3sculp4s p3ss04lm3nt3 p3l0 qu3 f1z3m0s n0 4n0 p4ss4d0.
> >>
> >> ...
> >> ...
> >>
> >> heheeeeeeeehhhhehehe br1nc4d3ir4. 3sp3r4m0s qu3 g0st3m d4 surpr3s4 qu3 ir3m0s pr3p4r4r.
> >>
> >> c0m mu1t0 4m0r,
> >> i sh0t the white hat / pr0j3kt m4yh3m br4z1l - take back the underground


É opinião constante entre as diversas pessoas que já foram atacadas pelo grupo de que eles utilizam ataques simples e pouco sofisticados (como ataques de força bruta para descobrir senhas) e, algumas vezes, divulgam dados que já são públicos ou dizem realizar ataques ou roubar dados que não aconteceram de verdade. Para exemplificar, em 2008, quando eu participava da diretoria da ISSA Brasil, o grupo invadiu o site da associação simplesmente descobrindo uma senha fraca. E ainda disseram que tiveram acesso aos cartões de créditos dos associados, uma informação que não tínhamos em nosso poder.

E, sabe-se lá porque, eles gostam de escrever seus e-zines e mensagens usando l33t speak, algo que só deve ser popular entre adolescentes e lammers.

O motivo disso tudo? Não sei, mas acredito, pelos tipos de ofensas, que não passa de inveja das empresas e profissionais.

Mas eles estavam relativamente quietos nos últimos três anos (o quarto ataque ocorreu em novembro de 2008), exceto por algumas raras mensagens de e-mail e de terem criado uma conta no Twitter na véspera da H2HC no ano passado (e só tinham usado o Twitter durante a H2HC). Não sei a razão este silêncio nos últimos anos, mas imagino que, talvez, alguns tenham arranjado um emprego para ocupar o tempo (afinal, trabalhar de PenTest virou moda há poucos anos atrás), ou, quem sabe, alguns membros talvez mudaram de país ou de estado nesse meio tempo (por exemplo, conseguindo algum emprego aqui em São Paulo).

De repente, na véspera da H2HC, o Pr0j3ct M4yh3m fez este grande ataque contra o Gustavo Lima. Não tem como negar que o Gustavo é polêmico. Seus posts no Blog são objetivos, diretos e, muitas vezes, educativos. Seu blog faz sucesso. Ele também inclui um videocast bem legal. Sem falar que ele fez, sozinho e do nada, o Web Security Forum, provavelmente o melhor evento de segurança que tivemos neste ano.

Segundo o Gustavo, o ataque foi possível por uma vulnerabilidade facilmente explorável em um tema do Wordpress. Se realmente o ataque foi feito assim, somente o atacante (e, eventualmente, quem está investigando o ataque) pode responder com certeza.

Mas a verdade é que realizar ataques é muito mais fácil do que se defender. Para conseguir invadir um site, basta achar uma única vulnerabilidade. Para se defender, o profissional de segurança tem que preparar a infra-estrutura para resistir a todos os tipos de ataques conhecidos ou que ainda não foram inventados. Isso sem falar no risco de ataques não técnicos, como ataques ou problemas no ambiente físico, o risco de engenharia social ou o vazamento de dados através de meios físicos (incluindo o descarte de materiais da empresa). E, quem trabalha na área sabe que novas vulnerabilidades nos softwares e aplicações utilizados podem surgir a qualquer momento, e por isso é muito difícil conseguir manter um ambiente atualizado. Ou seja, é quase impossível manter um ambiente seguro, então o jeito é tornar o ambiente o suficientemente seguro para garantir que o trabalho que um atacante deveria ter seja tão grande e complexo a ponto de que o esforço para realizar o ataque não compense.

Acredito que há três tipos de profissionais de segurança: os que já sofreram ataques (com sucesso), os que ainda não foram invadidos ou os que não sabem que foram invadidos.

Eu também costumo dizer aos meus colegas de trabalho que o importante não é que seu ambiente nunca tenha sido invadido, ou nunca tenha sofrido um incidente de segurança, pois isso é muito raro. O importante é estar preparado para responder um incidente e, quando isto acontecer, ser capar de identificar o problema e restaurar o ambiente com rapidez e competência.

Nos últimos quatro anos, eu tive a oportunidade de ser presidente do capítulo brasileiro da ISSA, de ajudar a montar o capítulo brasileiro da CSA e faço parte do grupo que criou o primeiro hackerspace brasileiro. Também comecei a palestrar em alguns eventos, com certa frequência, e tenho progredido bastante em meu trabalho - a custa de muito esforço, noites sem dormir e trabalhando nos finais de semana. E conheço muitas pessoas que, igualmente, estão progredindo muito em suas carreiras. Infelizmente, o ataque ao blog do Coruja de TI mostra que o pessoal do Pr0j3ct M4yh3m não mudou nada neste tempo todo, desde 2007: continuam imaturos, invejosos e não tem coragem de mostrar a cara.

[Cultura] Dia do Saci

No dia 31 de Outubro, algumas culturas comemoram o "Halloween" (ou "Dia das bruxas"), uma comemoração muito popular em países anglo-saxônicos, como os Estados Unidos e a Inglaterra.

De alguns anos para cá uma galerinha começou a "importar" para o Brasil a comemoraçãop do Halloween, talvez fascinada por copiar costumes extrangeiros sem se interessarem pelos aspectos culturais do Brasil e, inclusive, da tradição que criou tal costume em um determinado país.

Em resposta a importação dessa comemoração americana, sem nenhuma ligação com as tradições e a cultura brasileira, algumas pessoas começaram a propor que o dia 31 de Outubro seja considerado o "Dia do Saci", em vez de "Halloween".

Eu não vejo motivos para comemorarmos o "Halloween" aqui no Brasil, apesar de que esta festa parece ser bem divertida lá nos EUA. De qualquer forma, mesmo nunca tendo visto um Saci ao vivo, essa idéia do "Dia do Saci" até que é simpática :)

outubro 24, 2011

[Cyber Cultura] Alguns riscos das Redes Sociais

Na semana passada, o Nelson Novaes Neto, CSO do UOL e mestre recém-graduado em Psicologia Experimental pela PUC/SP, apresentou uma palestra muito interessante no CNASI-SP sobre o uso e os riscos das redes sociais nas empresas.

A palestra "Uma Visão Corporativa Sobre os Problemas de Privacidade em Redes Sociais" abordou como, sem o devido cuidado, as redes sociais podem ser prejudiciais para a carreira das pessoas (que podem se expor acidentalmente - como, por exemplo, publicando comentários de gosto questinável ou, por exemplo, mostrando intenções de mudança na carreira) ou para as empresas envolvidas, já que funcionários descuidados podem revelar decisões estratégicas (por exemplo, quando executivos de uma compania se conectam online, na iminência de uma fusão, ou quando um vendedor da empresa concorrente indiretamente mostra seus potenciais clientes quando se conecta com um executivo via redes sociais ou faz o "check-in" no FourSquare).

O Nelson lembrou que muitas das informações que deixamos online (seja nas redes sociais ou em sites de compras - por exemplo, quando divulgamos nossa 'wishlist") podem ser usadas por alguém tentando traçar o nosso perfil - seja um recrutador, um psicólogo ou um policial). Além do mais, mesmo as pessoas mais cuidadosas podem se expor acidentalmente, em algum momento que estejam distraídas ou sentimentalmente vulneráveis.

O Nelson também disse que fez alguns testes online usando perfis falsos para avaliar a facilidade com que pessoas se conectavam nestes perfis e clicavam em links compartilhados por eles. Segundo suas pesquisas, ele conseguiu convencer, inclusive, vários profissionais de segurança (que deveriam ser mais cuidadosos e paranóicos com relação aos riscos das redes sociais).

Por coincidência, o Max Gehringer fez dois comentários há poucos dias na rádio CBN sobre alguns casos que ilustram alguns casos mostrados pelo Nelson Novaes em sua palestra

Uma das perguntas, que deu origem ao título do comentário naquele dia ("Não estar nas redes sociais pode atrapalhar minha carreira?") era de uma ouvinte que, por timidez, não fazia parte de nenhuma rede sociel e, dessa forma, também não interagia com seus colegas de trabalho. A outra pergunta, no extremo oposto, foi de um ouvinte que teve fotos em uma situação constrangedora divulgadas através de uma rede social. A mensagem do Max Gehringer não poderia ser outra: hoje em dia, quem não participa de uma rede social passa uma imagem negativa (de que está se escondendo. é alienada ou que é anti-social: não gosta de se relacionar com outras pessoas), mas todos devemos ter muito cuidado para não nos expormos no mundo online mais do que desejaríamos.



Outro caso, um ouvinte colocou seu currículo na Internet e foi descoberto pelo chefe. Embora o ouvinte jure que fez isso por pura curiosidade, o fato ilustra que as empresas utilizam sites de curriculos ativamente : seja procurando candidatos ou, eventualmente, buscando novos currículos por palavras chave que incluem o próprio nome da empresa, para identificar casos como o do ouvinte. Além do mais, tal "acidente" poderia acontecer se, coincidentemente, a empresa assina o mesmo site do que o empregado e está procurando candidatos para uma vaga semelhante (ex: a empresa está contratando vendedores e, portanto, é avisada toda vez que alguém se cadastra no site com um CV de vendedor).



De qualquer forma, os departamentos de RH das empresas já estão utilizando ativamente as redes sociais nos processos de contratação, e nossos colegas de trabalho também usam as redes para bisbilhotar a vida de todo mundo (assim como nós também fazemos!). Por isso, devemos tomar todo o cuidado possível para não nos expormos indevidamente - nem expormos a nossa empresa.

outubro 20, 2011

[Cyber Cultura] O que é um computador?

Eu vi hoje este vídeo (em inglês) muito legal, do longínquo ano de 1984, que mostra algumas crianças tentando explicar o que é um computador. É engraçado ouvir as explicações delas e também ver as criança usando os computadores da época, através de alguns jogos e da linguagem LOGO, que era popularmente usada para introduzir os computadores para as crianças.



Mas, afinal, o que é um computador?
  • "Um computador é algo aonde você escreve e pressiona botões"
  • "É algo como uma TV e você pode fazer ... desenhos nele e te ajuda a ler"

[cyber Cultura] A Casa de Cultura Digital

Recentemente, no dia 18 de outubro, o programa Espaço Aberto Ciência & Tecnologia da Globo News passou uma reportagem muito bacana sobre a Casa de Cultura Digital (CCD) e as diversas iniciativas, entidades e empresas que convivem neste espaço.

A reportagem, chamada "Casa de Cultura Digital propõe a convivência entre a cidadania e a tecnologia" mostrou de uma forma bem objetiva e informal como funciona a Casa de Cultura Digital, uma entidade que hospeda diversos projetos e iniciativas, localizada em uma pequena vila italiana da década de 1920 na região central de São Paulo. A reportagem mostrou rapidamente algumas das principais entidades existentes, incluindo o Garoa Hacker Clube, o Transparência Hacker e as diversas pessoas e entidades que usam a CCD para criar desde redes de mobilização e articulação até produtos multimídia.

outubro 16, 2011

[Cloud] Algumas estatísticas e artigos sobre Cloud Computing

Eu estava revisando o meu material para o mini-curso de duas horas que irei ministrar na trilha sobre Cloud Computing organizada pela CSA Brasil durante o CNASI-SP, no próximo dia 20/10, e decidi destacar aqui alguns dados e artigos que tratam da adoção e de aspectos de segurança em Cloud Computing.

  • Antes de mais nada, algumas estatísticas, que as vezes podem parecer conflitantes...
    • 09 de dezembro de 2010, INFO Online: Um estudo da CISCO, que vai de contra aos dados de outro estudo lançado em Abril pelo IDC, disse que o Brasil supera a média mundial de uso de Cloud Computing. O estudo Cisco Connected World apontou que 27% das companhias brasileiras já utilizavam aplicações baseadas em cloud computing, enquanto que a média mundial é de 18%. A pesquisa colocou o Brasil empatado com a Alemanha, seguida por Índia (26%), Estados Unidos (23%) e México (22%).
    • 27 de janeiro de 2011, IDG Now!: Um estudo realizado pela Unisys apontou que Cloud Computing seria a maior prioridade de TI em 2011, pois 44% dos entrevistados indicaram Cloud Computing como a prioridade número 1 em suas empresas durante 2011, seguido pelo suporte a dispositivos móveis (prioridade para 24% dos pesquisados) e segurança virtual (sei lá o que pode ser isso!), com 17%.
    • 14 de fevereiro de 2011, INFO Online: Gartner aponta cloud computing como prioridade que os CIOs devem focar durante 2011. O relatório rambém aponta que no inicio de 2011 apenas 3% das corporações possuiam a maioria da sua TI no ambiente de Cloud Computing, mas os CIOs acreditam que este número deve aumentar para 43% nos próximos quatro anos.
    • 05 de abril de 2011, INFO Online: Gartner destacou quatro tendências para data centers, sendo que uma delas é que os profissionais de TI responsáveis pela gestão de Data Centers estão começando a considerar a possibilidade de transferir trabalhos que não são essenciais aos provedores de nuvem.
    • 06 de abril de 2011, INFO Online: Enquanto o Gartner projeta um crescimento na ordem de 40%, o IDC disse que Cloud deve crescer 7 vezes até 2014. Além do mais, segundo o IDC, 18% das médias e grandes empresas brasileiras já utilizam alguma aplicação de computação em nuvem, o que deve saltar para 30% a 35% até 2013. Nos Estados Unidos, entre 45% e 55% das companhias médias e grandes já utilizam algum serviço de Cloud, e na Europa o número está entre 35% e 40%. Por fim, os atributos mais valorizados são a redução de custos, a possibilidade de pagamento por uso e a elasticidade dos sistemas em Cloud Computing.
    • 28 de abril de 2011, IDG Now!: Um estudo da IDC América Latina apontou que a Computação em Nuvem é cada vez mais popular entre as empresas da região, e o percentual de empresas na América Latina que adotam serviços de nuvem subiu de 3,5% em janeiro de 2010 para 15% em janeiro de 2011.
    • 10 de junho de 2011, IDG Now!: Um estudo da Avanade realizado em 18 países mostrou que os CIOs brasileiros estão mais inclinados a adotar a Computação em Nuvem, uma vez que 59% das empresas brasileiras têm projetos para nuvem privada, ante 43% da média mundial.
    • 15 de junho de 2011, IDG Now!: Um estudo da Trend Micro revelou que 43% dos decisores de TI tiveram falhas ou problemas de segurança com o seu fornecedor de Cloud no último ano. O estudo também mostrou os dois principais obstáculos para a adoção de serviços de Cloud Computing: a preocupação com a segurança, seja dos dados ou da infraestrutura (com 50%), e o rendimento e a disponibilidade dos serviços (48%).
    • 22 de julho de 2011, IDG Now!: Um estudo patrocinado pela AT&T revelou que as grandes companhias americanas usuárias de Cloud Computing poderão economizar por ano, até 2020, US$ 12,3 bilhões com energia. Ainda de acordo com o estudo, as companhias planejam acelerar a adoção de computação em nuvem de 10% para 69% de seus gastos com TI até 2020. Além disso, os benefícios que podem ser obtidos com a adoção do conceito de Cloud incluem: evitar investimentos de capital em infraestrutura; melhorar o tempo de colocação de um novo serviço no mercado, maior flexibilidade no uso de capacidade extra e evitar a manutenção necessária para lidar com picos.
    • 01 de setembro de 2011, IDG Now!: Um evento recente nos EUA mostrou que, enquanto Cloud computing completa cinco anos com muita euforia, sua adoção ainda é lenta

  • E, agora, alguns artigos que merecem ser citados:

    • 02 de março de 2010, INFO Online: inicialmente eu pensei em evitar notícias com mais de um ano, mas este post no blog da INFO "Trabalhando sem riscos com Cloud Computing" é interessante pois mostra como algumas das principais preocupações de segurança valem tanto para o ambiente de Cloud Computing quanto para o ambiente local de TI das empresas. Da mesma forma, as soluções são semelhantes.
    • 24 de fevereiro de 2011, IDG Now!: Este artigo discute uma das vantagens do uso de Cloud Computing: como a Computação em Nuvem pode ter um papel estratégico na recuperação de desastres, uma vez que as empresas que mantém seus dados armazenados na nuvem têm a possibilidade de recuperá-los em menos tempo do que as organizações com tecnologia de backup de dados tradicional, usando dispositivos de fita ou discos removíveis. Segundo o artigo, a maioria das empresas que adotaram o armazenamento em nuvem o fizeram com vistas à redução do tempo de indisponibilidade em casos de desastres, e tiveram seu tempo de downtime reduzido sensivelmente. Enquanto o tempo total de indisponibilidade anual em plataformas sem recursos de backup em Cloud Computing é de aproximadamente oito horas, esse total despenca para um pouco mais de duas horas em casos onde soluções de Computação em Nuvem foram adotadas.
    • 20 de Abril de 2011, IDG Now!: Um estudo realizado pela Accenture mostrou que, diferente da área de negócios das empresas, as equipes de TI veem segurança e privacidade como principais barreiras para a adoção de computação na nuvem.
    • 19 de maio de 2011, IDG Now!: Este pequeno artigo mostrou as três principais questões que toda pequena e média empresa deve considerar antes de migrar para nuvem: Nem sempre Cloud Computing representa economia de dinheiro, os seus dados saem das mãos da empresa e passam a depender da segurança do fornecedor de Cloud, e a empresa passa a depender da Internet 100% do tempo: quando a conexão com a internet cai, a empresa pode ficar impossibilitada de realizar seus negócios
    • 11 de agosto de 2011, Computerworld: Artigo curto e bem interessante, que discute como a falta de definição dos fornecedores sobre o conceito de computação na nuvem e a proliferação de empresas vendendo suas soluções como algo baseado em nuvem (quando, na verdade, têm muito pouco ou nada que se pareça com Cloud Computing) estão fazendo com que o Modelo de Cloud Computing começe a ser questionado.
    • 17 de agosto de 2011, Computerworld: O Gartner destacou que a transparência do fornecedor de Cloud Computing é chave para as organizações que querem migrar para a nuvem. As empresas devem estar cientes de seus direitos e devem ter em mente que todos os fornecedores também possuem uma série de obrigações. O cliente de serviços na nuvem tem o direito de entender os requisitos legais de jurisdições em que o fornecedor trabalha, deve ter acordos de nível de serviços que contemplem confiabilidade, remediação e passivos de negócio, deve ser notificado sobre mudanças, deve entender as limitações técnicas ou requisitos da solução utilizada na nuvem e deve ter o direito de conhecer os processos de segurança seguidos pelo provedor.
    • 13 de setembro de 2011, Computerworld: Artigo curto que discute se podemos confiar na nuvem, devido a falhas e interrupções que aconteceram frequentemente em serviços da Google, Amazon e Microsoft.
    • 28 de setembro de 2011, Computerworld: Artigo que destacou 5 questões a considerar sobre segurança em SaaS (Software como Serviço): A gestão de identidade na nuvem, padrões pouco robustos, falta de transparência, o acesso móvel e a incerteza sobre a localização geográfica dos dados (e o impacto da regulamentação do local).


Também vale a pena destacar que o portal Convergência Digital tem um hot site dedicado a Computação em Nuvem.

Para terminar, segue um dado histórico, retirado de um dos artigos acima, do IDG Now!:
O EC2 da Amazon foi anunciado em 24 de agosto de 2006.


Esta lista é complementar ao meu post anterior que lista uma série de sites, relatórios e artigos importantes sobre segurança em Computação em Nuvem.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.