fevereiro 25, 2011

[Segurança] Eventos de Segurança no primeiro semestre

Neste primeiro semestre de 2011 teremos vários eventos de segurança no Brasil no primeiro semestre de 2011. Segue abaixo uma lista com os principais e maiores eventos:


  • Março/2011
    • 28 e 29/03: CNASI Rio de Janeiro- Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorre em Brasília. Dois dias de palestras e debates.
  • Abril/2011
    • 09 e 10/04: Web Security Forum - Um evento novo, em sua primeira edição, com uma grade com palestras de diversos temas e alguns debates que prometem ser bem interessantes.
    • 14/04: SecureBrasil - Esta é a principal conferência do (ISC)² e a primeira vez que realizam no nosso continente.
  • Maio/2011
    • 13 e 14/05: GTS-17 - Esta será a 17ª Reunião do Grupo de Trabalho em Segurança de Redes, do NIC.br. É um evento gratuito, com um foco um pouco mais técnico. Ocorre junto com o GTER - Grupo de Trabalho de Engenharia e Operação de Redes. Normalmente, o GTER ocorre no primeiro dia e o GTS no segundo (dia 14/05).
    • 15/05: Conferência O Outro Lado (COOL) - Mini-conferência sobre segurança da informação, organizada pelo Garoa Hacker Clube como forma de divulgar o espaço. A conferência será gratuita, com diversas atividades programadas para acontecer simultaneamente, como palestras, oficinas e churrasco.
    • 16/05: You Shot the Sheriff (YSTS) - Um evento que já ficou tradicional no Brasil. O YSTS é um evento único, de um dia, onde a maioria dos convites são distribuídos para um público seleto, indicado pelos patrocinadores. A excelente qualidade das palestras e o clima descontraído do evento fazem do YSTS um evento imperdível. Os organizadores, que também são responsáveis pelo podcast I Shot the Sheriff, também colocam a venda uma pequena quantidade de ingressos.
    • 16 e 17/05: CNASI Brasília - Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorre em Brasília (DF). Inclui uma área com expositores.
  • Junho/2011
    • 27 a 30 de junho: ICTinForensics 2011 - International Conference on Information and Communication Technologies in Forensics), um congresso sobre perícia forense que será realizado em Salvador, BA.




A maioria dos eventos acima são em São Paulo, SP.

No segundo semestre deste ano teremos também o ICCYBER (05 a 07 de Outubro em Florianopolis), a vigésima edição do CNASI-SP (de 18 a 20 de outubro), a segunda edição do Security Leaders (23 e 24 de Novembro), a Hackers to Hackers Conference (H2HC), normalmente em Novembro, e a 18ª Reunião do GTS. O Security Leaders é um evento que segue um formato novo, que foi realizado pela primeira vez em 2010, onde a programação é voltada principalmente para os debates, retransmitidos ao vivo pela Internet. Também inclui uma área com expositores.

Se eu esqueci de algum evento brasileiro, me avise.

Em tempo, também recomendo a Ekoparty, um evento excelente em Buenos Aires (Argentina), com foco principal em pesquisa em segurança, que deve ocorrer na ultima semana de Setembro.

OBS: A data do GTER/GTS foi atualizada em 03/03/2011.

fevereiro 17, 2011

[Cyber Cultura] O Facebook é Pop

O Facebook, o maior site de rede social em todo o mundo, está em todo o lugar. Já virou livro e um filme, que ganhou o Globo de Ouro (justamente na categoria de melhor filme) e que está concorrendo ao Oscar 2011 em 8 categorias. O Facebook foi fundado em 2004 e aos poucos foi superando todas as demais redes sociais (como o MySpace, Orkut e alguns outros) na preferência dos Internautas de todo o mundo, atingindo mais de 500 milhões de usuários (uma quantidade de pessoas que, se fosse um país, seria o 3o mais populoso do mundo, menor apenas do que a China e a Índia). Como a Internet tem 2 bilhões de usuários no mundo, isto significa que pelo menos 1 em cada 4 internautas deve ter uma conta no Facebook.

O Facebook já ajudou a aleger presidentes (como o Barack Obama, nos Estados Unidos) e atualmente tem ajudado a derrubar ditadores no Oriente Médio.

Neste mês, o Facebook está em destaque aqui no Brasil, na capa da revista Info Exame. Mas aqui no Brasil, o Facebook ainda está bem atrás do Orkut, a rede social do Google e que é muito popular entre os Brasileiros. Mas esta situação não é tão confortável (ou não deveria ser). O Orkut já foi líder de audiência na Índia (principalmente porque o criador do Orkut foi um Indiano), mas na segunda metade de 2010 ele perdeu a liderança para o Facebook.

Eu imagino que em breve o Facebook também vai superar o Orkut aqui no Brasil. Isto talvez aconteça em um ano, mas é difícil fazer uma previsão pois, na Internet, uma migração em massa dessas pode demorar meses ou pode ocorrer da noite para o dia. Pelo o que eu vejo acontecer com amigos próximos, me parece que o Facebook está adquirindo um status aqui no Brasil como se fosse uma opção mais elitista do que o Orkut - uma forma das pessoa fugirem do lugar comum e se encontrarem em uma rede social que é ao mesmo tempo mais restrita (em termos de público nacional) e, ao mesmo tempo, global. Tenho vários amigos estão deixando o Orkut de lado e usando o Facebook pois tem menos pessoas e menos "tumulto". Entre isso acontecer e o começo de uma migração em massa dos usuários, é só uma questão de tempo. Afinal, quem usa uma determinada rede social o faz para se manter conectado com os amigos. O mesmo fenômeno já aconteceu com os comunicadores instantâneos. Se a maioria dos seus amigos deixarem de usar o Orkut e forem para o Facebook, o que você faria?

De fato, a reportagem da revista Info mostra que o Facebook vem crescendo no Brasil. Enquanto a quantidade de usuários no Facebook praticamente dobrou entre Setembro de 2009 e Maio de 2010 (pulou de 5,5 para 10,7 milhões de usuários), o Orkut permanece quase estagnado entre 26 e 27 milhões de usuários.

O interessante a se pensar, do ponto de vista de segurança da informação, é que esta mudança na preferência das redes sociais pode afetar o cenário do cyber crime no Brasil. Atualmente os cyber criminosos brasileiros costumam utilizar o Orkut como tema para criar mensagens de phishing, páginas falsas (para roubar dados de login e senha), ou eventualmente criam códigos maliciosos que utilizam o Orkut para invadir as vítimas. Como poucos países utilizam o Orkut, estes ataques focam naturalmente restritos ao público nacional. Por outro lado, os vírus criados atualmente que utilizam o Facebook são criados por criminosos de outros países e normalmente não afetam usuários brasileiros. Porém, a partir do momento em que o Facebook se torne popular no Brasil, os tipos de crimes cibernéticos que ocorrem isoladamente nessas redes provavelmente irão convergir.

O resultado é que, se hoje o cyber crime brasileiro ainda é muito restrito ao território nacional (criminosos brasileiros atacando bancos e usuários nacionais, usando ferramentas criadas localmente), provavelmente a popularização do Facebook permitirá que cyber criminosos brasileiros começem a interagir mais efetivamente com seus pares no exterior, aproveitando a expertise que eles já tem em explorar o Facebook. Os cyber criminosos brasileiros, que são especialistas em criar mensagens de phishing e Banking Trojans, começarão a atacar através do Facebook. Ao mesmo tempo, se antes um phishing ou um vírus brasileiro que explorasse o Orkut ficava restrito ao Brasil, em breve os golpes nacionais usando o Facebook poderão facilmente se espalhar pelo mundo todo. Além disso, os internautas brasileiros que utilizam o Facebook são potenciais vítimas de gangs extrangeiras que já utilizam essa rede social para espalhar vírus e realizar diversos tipos de ataques.

Será que estaremos preparados para isso?

fevereiro 07, 2011

[Segurança] Dia Mundial da Internet Segura 2011

Dia da Internet Segura - 2011


No dia 08 de Fevereiro de 2011 várias entidades e organizações em 65 países de todo o mundo vão comemorar o Dia Mundial da Internet Segura (“Safer Internet Day”)



O Dia Mundial da Internet Segura é uma iniciativa que visa promover ações de conscientização sobre o uso seguro da Internet. O evento é direcionado principalmente para usuários finais, e o tema deste ano é "Estar online é mais que um jogo. É sua vida". No site da Safernet há uma agenda com as diversas atividades programadas para o dia 08 de Fevereiro, e o site do evento tem uma relação bacana de links com diversos materiais sobre o assunto, como artigos, pesquisas, cartilhas e dicas de segurança.

Além do vídeo oficial da campanha (acima), a Safernet lançou em Janeiro deste ano um vídeo de conscientização muito legal, chamado "Retr@to Falado", como uma forma de ajudar a promover o uso seguro da Internet.



Também não custa lembrar que a OAB-SP e o Mackenzie lançaram recentemente uma Cartilha sobre o "Uso Seguro da Internet para toda a Família". O material aborda, de forma simples e didática, tópicos como a privacidade na Internet, a liberdade de expressão, os cyber crimes (incluindo os crimes de preconceito, o desrespeito ao direito autoral, o cyberbullying e a pornografia infantil), além de dicas sobre como denunciar os crimes na Internet e dicas para usar a Internet de forma segura e sem medo.

Outro site que fiquei conhecendo hoje (devido ao post no blog da Elisa Araujo) foi o "Guia para o uso responsável da Internet para Crianças", mais uma iniciativa para nos auxiliar a conscientizar os jovens sobre o uso seguro da Internet.

O site europeu Insafe também criou uma página especial com dicas e materiais ("toolkit")referentes ao Dia Mundial da Internet Segura.

Eu também recomendo a reportagem especial do Jornal Hoje entitulada "Saiba como monitorar o uso que seu filho faz da internet", sobre o Dia Mundial da Internet Segura, com várias dicas muito interessantes sobre como os pais podem lidar com a necessidade de disponibilizar o acesso a Internet para seus filhos.

A Rádio Câmara aproveitou a data para divulgar uma campanha contra a pedofilia na internet, que corresponde a um conjunto de 36 mensagens curtas, de 31 segundos cada, para alertar a população sobre o aliciamento e a exploração de imagens de crianças e adolescentes na internet. O material foi disponbilizado para download gratuito no site da Rádio Câmara.

fevereiro 03, 2011

[Segurança] O IPv4 está morto. Vida longa para o IPv6

Após vários meses de agonia, com direito até mesmo a um contador de quantos endereços IP permaneciam disponíveis na versão 4 (o padrão utilizado desde os primórdios da Internet), a Internet Assigned Numbers Authority (IANA) finalmente anunciou no dia 03 de Fevereiro o fim dos blocos de endereço IPv4 disponíveis para uso (veja o vídeo abaixo).



Os endereços IP são utilizados para identificar os equipamentos colocados em uma rede local que segue o padrão TCP/IP. Para que estes equipamentos possam se comunicar através da Internet, os equipamentos precisam ter um endereço IP único em todo o mundo, que serve como forma de identificação do equipamento. Como disse a WIRED, os endereços IP são como números telefónicos. E é aí que começam os problemas. O padrão IPv4 utiliza endereços formados por 4 octetos (quatro conjuntos de números que, em notação binária, possuem 8 bis cada um, e portanto podem variar entre 0 e 255). Esta é uma numeração fácil de entender e simples. Porém, também é muito limitada: há cerca de apenas 4.3 bilhões de endereços IP únicos possíveis, contra cerca de 2 bilhões de usuários Internet hoje em dia. E os endereços IP não identificam apenas os micros dos usuários: também são utilizados por servidores, roteadores, access points wireless, e diversos equipamentos de rede. Além do mais, com a proliferação dos dispositivos pessoais como smartphones e tablet PCs, a tendência é que cada pessoa tenha em seu poder vários dispositivos conectados a Internet ao mesmo tempo, e cada um deles precisa de um endereço IP.

Conforme explicou a IANA, "a atribuição dos últimos endereços IPv4 é análogo a quando os últimos caixotes de um produto deixam o armazém da fábrica e vão para as lojas regionais ou centros de distribuição, onde eles ainda podem ser distribuídos aos clientes finais. Uma vez que eles acabem, a oferta estará esgotada. Neste caso, os registers regionais vão distribuir os endereços IPv4 restante para os ISPs (Internet Service Providers), universidades, governos, empresas de telecomunicações e outras empresas." Assim que as autoridades regionais esgotarem os endereços IP remanescentes, seus clientes (como os ISPs e empresas) terão dificuldade em atribuir endereços IP aos seus equipamentos e a conectá-los na Internet. Neste novo cenário, qualquer nova empresa ou provedor de acesso que queira operar na Internet terá que utilizar o novo padrão de endereçamento IP, conhecido como IPv6.

Os endereços no padrão IPv6 tem 128 bits, logo há 2 elevado a 128 endereços disponíveis, ou algo na ordem de 10 elevado a 38. Isso é muita coisa. Mas... Embora o IPv6 exista desde Dezembro de 1998 e há muitos anos se fala no fim dos endereços IP disponíveis, pouco foi feito até hoje para migrar os sites atuais para o novo padrão. Segundo uma pesquisa realizada recentemente pelo pessoal do grupo de pesquisas Sucuri, apenas 1.981 entre o 1 milhão de sites mais acessados utilizam o IPv6 em seu domínio principal. Isso significa que apenas 0,19% destes sites estão prontos para o IPv6.

Essa demora na adoção do IPv6, na minha opinião, é devido ao fato do protocolo IPv6 ser bem mais complexo do que o IPv4 (eu lembro da dificuldade que tive para entender o IPv6 na primeira vez que eu abordei esse assunto em um curso de Pós-graduação em segurança no início dos anos 2000). O endereçamento de rede, no IPv6, é muito mais complicado do que no padrão IPv4, sem falar de vários outros aspectos de configuração de rede no padrão IPv6. Isso significa que os administradores de rede e de servidores terão que apreender a utilizar o novo padrão e deverão reconfigurar todos os seus equipamentos conectados em rede. Isto também pode significar a necessidade de atualizar os equipamentos de rede existentes ou a compra de novos equipamentos, um gasto que as empresas terão que assumir. Uma alternativa para as empresas é a implementação de gateways específicos ou de soluções que mascarem os endereços IPv4 existentes e os convertam para endereços IPv6, através do conceito de Network Address Translation (NAT), que atualmente já é muito utilizado em redes IPv4 para que vários computadores compartilhem um mesmo endereço IP. De qualquer forma, os administradores de rede e de servidores terão de enfrentar diversos cenários em que endereçamentos IPv4 e IPv6 devem coexistir por algum tempo, o que irá aumentar a complexidade dos ambientes de Internet.

Além disso tudo, o padrão IPv6 tem sido pouco utilizado e pouco testado, principalmente nos aspectos de segurança. Isso significa que novas vulnerabilidades e novas ameaças podem surgir no futuro. Outro potencial problema de segurança que pode surgir diz respeito ao uso de NAT nas redes corporativas. Hoje o NAT é muito utilizado, pela necessidade das empresas de "economizarem" endereços IP válidos. Como uma vantagem de segurança adicional, o NAT permite que as empresas escondam os endereços reais dos seus computadores internos, e assim dificultem um acesso direto aos equipamentos, que não passe passem pelas ferramentas de controle de tráfego existentes. Normalmente, o NAT é implementado nos mesmos equipamentos que fazem a segurança da rede. Com o uso do IPv6, os equipamentos das redes internas terão endereços IP válidos na Internet - logo, as empresas devem ter um maior controle das configurações de suas ferramentas de segurança.

Como bem lembrou o SANS Institute, é pouco provável que a Internet IPv4, conforme conhecemos hoje em dia, vai parar tão cedo, pois existem alguns mecanismos de transição que podem ser utilizados. As duas "Internets" podem coexistir por um tempo através do uso de de proxies e túneis. Além do mais, as mudanças serão imperceptíveis para os usuários finais, logo não há motivo para desespero.

ipv6.brA boa notícia é que várias empresas e entidades tem se esforçado em divulgar o conhecimento. Por exemplo, o comitê gestor da Internet brasileira lançou um site específico com informações sobre IPv6 em português para usuários finais, profissionais da área e provedores (http://ipv6.br). O site inclui diversas apostilas e palestras sobre IPv6. Um site similar foi criado no Chile (em Espanhol): http://www.ipv6.cl

Além disso, diversas empresas e entidades estão organizando o "Dia Mundial do IPv6" (World IPv6 Day), que acontecerá no dia 08 de Junho de 2011. O objetivo é oferecer os seus conteúdos através do protocolo IPv6 para testes por 24 horas, motivando as organizações em todos os setores a prepararem os seus ambientes para o padrão IPv6 e garantirem uma transição bem sucedida assim que os endereços IPv4 acabarem. Recentemente, Vint Cerf (que é considerado "o pai da Internet) sugeriu que o governo britânico poderia proporcionar incentivos para ajudar as empresas a se prepararem para o esgotamento dos endereços IPv4 e atualizarem suas redes. Essa é uma boa idéia, quando pensamos em governos sérios.

A propósito, a ZDNet publicou uma ótima reportagem sobre o assunto.

O fato principal é que agora não há mais opção: todos devemos aprender IPv6 o mais rápido possível.

Nota: Adicionado em 04/02 o vídeo da conferência de imprensa da ICANN que anunciou o fim dos endereços IPv4 e os links para o pequeno FAQ do SANS Institute e para a reportagem da ZDNet. Aproveitei para aumentar o comentário sobre as preocupações de segurança associados ao uso do IPv6.

fevereiro 02, 2011

[Segurança] A Internet, o Cyber Ativismo e o novo Hacktivismo

Neste momento o Egito está mostrando para o mundo como a Internet se tornou uma ferramenta importante para a manifestação da sociedade nos dias de hoje, e como os governos temem o seu poder.

Após uma série de protestos que culminaram com a queda do governo na Tunísia, que ocorreram tanto no mundo real como no cyber espaço, a mesma onda de protestos populares atingiu em cheio o governo Egípcio (e a onda de protestos no mundo árabe chegou também na Jordânia). A população local começou a protestar nas ruas exigindo o fim do governo do general Hosni Mubarak, que está no poder há 30 anos, e cujo governo é considerado "ditatorial, corrupto, repressor e submisso aos interesses dos Estados Unidos". Em uma tentativa desesperada de suprimir os protestos, o governo tomou a iniciativa inédita de, simplesmente, ordenar o bloqueio do acesso à Internet em todo o país, além de interromper serviços de telefonia celular e envio de mensagens SMS.

Desde os protestos contra as eleições de 2009 no Irã, o Twitter se destacou como uma poderosa ferramenta online para auxiliar a sociedade a organizar protestos no mundo virtual e a divulgar tais manifestações. As pessoas perceberam que podem utilizar a Internet para protestar e mobilizar milhares de outras pessoas no mundo todo através das redes sociais - e o Twitter tem se mostrado extremamente eficiente para este fim. E isto voltou a acontecer nos recentes protestos na Tunísia e Egito.

Mas a primeira grande novidade foi a tentativa dos governos nos dois países de bloquear o acesso a redes sociais para tentar conter os protestos populares. Antes mesmo do governo Egípcio pensar em bloquear os links que fornecem o acesso Internet para o país inteiro, assim que a Tunísia percebeu que os manifestantes estavam utilizando o Twitter para organizar os seus protestos, o governo local bloqueou o acesso ao Twitter e, posteriormente, ao YouTube. Quando os manifestantes começaram a utilizar o Facebook, o governo tunisiano começou a seqüestrar as contas do Facebook, bloqueando as conexões criptografadas (HTTPS), redirecionando as pessoas para sites de phishing e inserindo código em páginas de login para roubar as senhas de acesso dos ativistas.

Temos que destacar que, em uma ação sem precedentes, a equipe de segurança do Facebook reencaminhou todos os acessos de endereços IP da Tunísia para a versão HTTPS do site, forçando os usuários locais a usar conexões criptografadas, e exigiu que todos os usuários da Tunísia tivessem que validar o acesso através da identificação de quais eram seus amigos entre várias fotografias.

Como se tudo isso não bastasse, eis que surge novamente o grupo Anonymous para apoiar os protestos na Tunísia e no Egito, e usar a mesma tática de protesto utilizada recentemente no caso do Wikileaks. Depois de lançar a campanha OpTunisia para promover ataques contra sites pertencentes ao governo da Tunísia, o grupo em seguida virou suas atenções para atacar sites do governo egípcio, na chamada OpEgypt (ou Operation Egypt).

Até o final de 2010, o grupo Anonymous era pouco conhecido, normalmente lembrado como um grupo informal de "trolls" (pessoas que gostam de tumultuar uma discussão no mundo online) que eventualmente se organizavam para atacar alguém - e ficaram famosos quando realizaram uma série de ataques contra a igreja da Cientologia (Church of Scientology). Porém, desde os últimos escândalos causados pelo WikiLeaks (quando o site divulgou vários documentos secretos da diplomacia americana), o grupo Anonymous surgiu como o defensor do Wikileaks e, porque não dizer, desde então o grupo passou a defender os oprimidos e a liberdade de expressão no cyber espaço.

O impacto do grupo Anonymous e de seus esforços relacionados aos protestos atuais é discutível, mas o que é realmente interessante é que eles possibilitam a cidadãos estrangeiros participarem efetivamente destes ataques (que, no caso, representam uma forma de protesto online) a partir do conforto de suas casas. Assim, o grupo permite que pessoas de todo o mundo possam influenciar, de alguma forma, os protestos em outros países.

Além disso, as ações do grupo Anonymous tem um grande potencial de alterar a face do Hacktivismo no mundo todo (que eu defino aqui como o uso de técnicas de ataque cibernético para realizar ou divulgar protestos, que é diferente do "cyber ativismo", que eu considero como o simples uso da Internet como forma de divulgar e/ou organizar protestos - sem o componente do ataque virtual). Se antes o hacktivismo era realizado principalmente através do defacement de websites (o antigo hábito de pixar páginas web para difundir mensagens de protesto), o grupo Anonymous passou a utlizar ataques de negação de serviço (conhecidos como Distributed Deny of Service, ou DDoS) para atacar sites de governos e empresas que, em determinado momento, estejam do lado que eles consideram ser "o lado errado".

Curiosamente, em janeiro de 2011, os membros do grupo brasileiro Fatal Error, um grupo que normalmente realizava somente defacement de web sites, fez um ataque de DDoS que derrubou o site da Presidência do Brasil no primeiro dia de governo da nova presidenta, Dilma Roussef.

Ainda é cedo para dizer que as ações do grupo Anonymous vão influenciar os protestos online em todo o mundo. Mas eu acredito que isto já está acontecendo.

Atualizado em 02/02: Incluí um link para o excelente artigo do Altieres Rohr sobre o bloqueio ao acesso à Internet no Egito e corrigi dois links que estavam com problema.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.