Páginas

maio 31, 2011

[Segurança] Tem certeza que você quer gravar?

No dia 8 de julho vai entrar em cartaz o filme brasileiro Cilada.com, uma comédita romântica que, pelo trailer que já foi divulgado, parece que será bem divertida.

O longa-metragem foi escrito, produzido e estrelado por Bruno Mazzeo (que também produziu e roteirizou o filme), dirigido por José Alvarenga Jr. (o mesmo de Divã e Os Normais) e conta também com a atriz Fernanda Paes Leme. O filme conta a história de um rapaz (Bruno Mazzeo), que depois de trair a namorada, sofre uma vingança bem típica dos dias de hoje: a ex-namorada publica na Internet um vídeo bem comprometedor feito por eles no calor da relação: um vídeo caseiro deles tendo relação sexual. A partir daí, o personagem de Bruno é ridicularizado pelos amigos e colegas de trabalho, e terá que fazer de tudo para recuperar o amor de Fernanda Paes Leme e a sua reputação.

O trailer já foi divulgado e é bem divertido.



Segundo o diretor José Alvarenga Jr., a ideia da história foi inspirada em diversos casos reais de pessoas que se vingaram dos ex-namorados através da Internet. Isto lembra também diversos casos de bullying e sexting que sempre ouvimos falar, aonde alguém é ridicularizado pela Internet. Isto é algo preocupante, pois através da Internet as pessoas podem ser expostas para um grande número de pessoas e, o que é pior, o vídeo, foto ou texto pode ficar disponível através da rede por muito tempo, causando um grande prejuízo para a imagem e a intimidade da vítima.

No caso mostrado no filme, vale sempre pensar na pergunta: "Tem certeza que você quer gravar?"

Evite sempre tirar fotos e fazer filmes de situações que, fora do contexto, possam ser comprometedoras para você, seus parentes e amigos. Não temos como controlar quem pode ter acesso a este material no futuro, e o que fará com isso. Um vídeo comprometedor pode, facilmente, cair nas mãos erradas e, daí, ir para a Internet.

Cilada.com estréia nos cinemas brasileiros no dia 8 de julho, e espero ser um dos primeiros a assistir o filme :)

maio 30, 2011

[Cyber Cultura] Pirateiem o Paulo Coelho!

O escritor Paulo Coelho publicou um artigo muito interessante na seção Tendências/Debates do jornal Folha de S. Paulo deste domingo, dia 29 de Maio, em que defende o direito a pirataria de obras artísticas e critica o modelo atual de controle da propriedade intelectual. No texto, que recebeu o título "Pirateiem meus livros" (o link só pode ser acessado por assinantes), Paulo Coelho diz que a pirataria, muitas vezes, permite que as pessoas tenham o primeiro contato com o trabalho do artista, e se este trabalho for bom e despertar o interesse, o consumidor irá comprar a obra para ter em casa, e se interessará por buscar mais obras daquele artista. Segundo ele, "uma idéia consistente não precisa de proteção".

Paulo Coelho baseia sua idéia em dois princípios: primeiro, que hoje em dia o que mais se faz é reciclar os mesmos temas, e portanto não faz sentido atribuir um dono a uma idéia. Segundo, porque quem escreve deseja ser lido, e que a principal motivação dos artistas é a paixão pela arte, e não o dinheiro.

O escritor Paulo Coelho também deu alguns exemplos pessoais de como a pirataria de suas obras ajudou a divulgar o seu trabalho e criar demanda pelos seus livros. Como forma de apoiar esta idéia, ele mantém uma página na Internet chamada "Pirate Coelho" em que incentiva o pirateamento de seus livros, publicando os links para suas obras que estão em serviços de compartilhamento de arquivos em todo o mundo.

Esse artigo surge em um momento em que vários países, inclusive o Brasil, discutem novas leis de proteção a propriedade intelectual, e a maioria destas iniciativas criminalizam o compartilhamento online de material protegido por copyright.

A discussão é muito complexa, e na minha humilde opinião, o modelo de propriedade intelecual e copyright deveria ser recriado, do zero. Hoje vivemos em plena era da informação, ou melhor, "era da informação digital", aonde o maior bem da sociedade é o conhecimento que ela produz, e esse conhecimento hoje em dia é armazenado digitalmente. Hoje é fácil para todos nós, cidadãos comuns, empresas e governos, criar e compartilhar o conhecimento online. Editar ou enviar uma música, filme ou livro é uma tarefa tão natural e simples para todos nós quanto é escrever um e-mail.

Os artistas devem, e merecem, ser remunerados pela sua produção artística. Mas, no mundo em que vivemos atualmente, o modelo de controle e de remuneração existente não funciona mais e precisa ser revisto e recriado, buscando uma solução que não penalize o artista e nem o fã.

O governo brasileiro, e em particular o Ministério da Cultura, tem uma iniciativa interessante de fomentar a discussão em torno da criação do anteprojeto para uma nova lei que altera a Lei de Direitos Autorais (Lei número 9.610/1998). O Ministério da Cultura criou um site para centralizar as discussões e permitir a consulta pública para revisão da lei atual de Direitos Autorais. O vídeo abaixo, curtinho, resume os principais aspectos da reforma e modernização da Lei do Direito Autoral.

maio 28, 2011

[Segurança] Eventos de Segurança no segundo semestre

O primeiro semestre de 2011 ainda nem chegou ao fim, mas já devemos nos programar para a sequência de eventos de segurança que devem ocorrer no até o final do ano.

Segue abaixo uma lista com os principais e maiores eventos de segurança que acontecerão entre Julho e Dezembro:
  • Julho/2011
    • 12 e 13/07: CNASI Nordeste/Recife - O IDETI Eventos em Tecnologia da Informação abre o semestre levando até Recife a primeira edição do Congresso CNASI Nordeste/RECIFE - Auditoria de TI, Segurança da Informação e Governança.

  • Agosto/2011
    • 12 e 13/08: VI Workshop SegInfo - tradicional evento de segurança no Rio de Janeiro, que possui uma abordagem acadêmica, técnica e empresarial ao mesmo tempo. O Workshop SegInfo inclui palestras, debates, jogos e dinâmicas sobre segurança da informação, incluindo uma competição de War Games.
    • 31/08: Dia Internacional de Segurança em Informática - evento realizado anualmente pela Rede Nacional de Ensino e Pesquisa (RNP) para educar e conscientizar usuários de internet sobre segurança em ambientes informatizados. O DISI inclui atividades de conscientização como palestras sobre segurança, a distribuição de material de conscientização e o fomento à iniciativas que divulguem o tema segurança em informática. As palestras são gratuitas, abertas ao público e também são transmitidas em tempo real.

  • Setembro/2011
    • 03 e 04/09: Vale Security Conference - A Vale Security Conference é uma nova iniciativa que visa levar ao Vale do Paraíba conhecimentos relevantes sobre os problemas relacionados a segurança da informação no mundo corporativo, acadêmico ou na sociedade em geral.

  • Outubro/2011
    • 04 a 07/10: Global AppSec Latin America 2011 Conference - Evento da Open Web Application Security Project (OWASP), focado em metodologias, boas práticas e ferramentas para segurança no desenvolvimento de software. Acontecerá em Porto Alegre (RS) e terá dois dias de cursos e treinamentos (04 e 05/10) e dois dias de conferência (06 e 07/10).
    • 05 a 07/10: VIII ICCyber - Neste ano o ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos) ocorre em Florianópolis. É um evento organizado pela Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT) e possui um foco bem específico em combate ao crime cibernético e forense computacional.
    • 10 e 11/10: III Congresso Crimes Eletrônicos - O evento acontece em São Paulo, na Fecomércio, com debates e palestras sobre os diversos aspectos do combate ao crime eletrônico.
    • 18 a 20/10: teremos a vigésima edição do CNASI-SP, o tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI).


    • 29 e 30/10: teremos a oitava edição da Hackers to Hackers Conference (H2HC), tradicional evento de segurança com foco em pesquisa de vulnerabilidades e novos ataques.

  • Novembro/2011
    • 06 a 11/11: SBSeg - O Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) é um evento com foco científico, promovido anualmente pela Sociedade Brasileira de Computação (SBC). É o principal fórum direcionado a pesquisas acadêmicas em segurança da informação. A 11a edição do SBSeg será realizada em Brasília, DF.
    • 12 e 13/11: Silver Bullet - Novo evento criado este ano pelo pessoal da STS Produções e Serviços, que organiza o You Sh0t the Sheriff. O Silver Bullet terá duas trilhas de palestras dos mais diversos assuntos relacionados a segurança da informação, incluindo tecnologia (criando e quebrando), desenvolvimento, gerência, aspectos sociais, entre outros. Os organizadores prometem que o evento também terá espaço para fornecedores (com palestras ou demonstrações), sala lounge dedicada para o relacionamento e networking dos participantes e muito mais.
    • 23 e 24/11: Security Leaders - Segunda edição do Security Leaders, um evento com um formato novo, onde a programação é voltada principalmente em torno de debates, que são transmitidos ao vivo pela Internet. Também inclui uma grande área com expositores.

  • Dezembro/2011
    • 02 e 03/12: GTS-18 - Reunião do Grupo de Trabalho em Segurança de Redes (GTS), organizada pelo NIC.br. É um evento gratuito, com transmissão online e um foco um pouco mais técnico. Ocorre junto com o GTER - Grupo de Trabalho de Engenharia e Operação de Redes.


Se eu esqueci de algum evento brasileiro, me avisem.

Em termos de eventos internacionais, recomendo a Defcon e a Ekoparty. A Defcon é a maior conferência hacker do mundo, com mais de 6 mil pessoas e dezenas de palestras e atividades simultâneas, e acontece de 04 a 07 de Agosto em Las Vegas (EUA), no Hotel e Cassino RIO. A Ekoparty, por sua vez, é um excelente evento de segurança que acontece em Buenos Aires (Argentina) de 21 a 23 de Setembro, com foco principal em pesquisa em segurança. É um evento muito bom e muito próximo de nós.

Nota: O CNASI Courses and Training, que estava marcado para os dias 26 e 27/08, foi adiado e ainda não há previsão para a sua realização.

maio 27, 2011

[Segurança] Como foi o InfoSec Arena no YSTS 5

A conferência You Sh0t the Sheriff (YSTS) foi um sucesso. Foi uma grande oportunidade para encontrar excelentes amigos no meio da gigantesca platéia (foi record de público, com certeza!) e muitas das palestras foram sensacionais. O público e os palestrantes foram bem selecionados! Talvez quem mais chamou a atenção do pessoal foi o Deviant Ollam, da TOOOL, que abriu o evento com uma apresentação sobre conceitos básicos de lockpicking (um termo bonito para "abrir fechadura", ou "trampo de chaveiro", se preferir) e vendeu vários kits para a galera presente. Eu mesmo me diverti prendendo o pessoal com uma algema e ensinando (isto é, tentando ensinar) eles a se soltarem.

Quero também deixar registrado aqui minha admiração pela excelente palestra do Fabio Assolini, analista da Kaspersky, que falou muito bem como os ciber criminosos brasileiros usam informações pessoais roubadas em suas atividades criminosas. Ele já tinha proferido outra excelente palestra doois dias antes, no GTS, sobre o histórico dos trojans bancários brasileiros.

Conforme eu já tinha anunciado, pela segunda vez o YSTS organizou o InfoSec Arena, um debate que criamos especialmente para o evento aonde todo o público presente participa, de uma forma dinâmica e, ao mesmo tempo, descontraída. Os temas debatidos foram sugerios pelo público (através de Twitter e de formulários distribuídos durante o evento) e escolhidos aleatoriamente através de sorteio. Dependendo do tema, eu escolhia alguém da platéia para comentar e muitas vezes o próprio pessoal se manifestava.

As perguntas ou questionamentos poderiam ser sobre qualquer assunto relacionado a segurança da informação, auditoria, mercado, boas práticas, etc. Mas, como seria de se esperar, os temas que mais levantaram polêmica foram certificação e ética do profissional de segurança - embora não sejam temas novos. Surgiram temas bem interessantes também, como segurança de sistemas embarcados, e aí eu pergunto: qual será o risco de, no futuro, encontrarmos uma botnet hospedada em computadores nos carros, eletrodomésticos, etc?

Eu recebi várias perguntas, que faço questão de compartilhar com todos:
  • Desde o ano passado, quantos pentesters perderam o emprego para o Backtrack? O medo ainda continua? (pergunta clássica sobre os "profissionais" que vendem consultoria baseado em rodar ferramentas automatizadas)
  • Todo "hacker ético" já foi um hacker não ético? Ou já teve seu momento não ético? (esta pergunta gerou muita discussão sobre a relatividade do conceito de ética)
  • Saber o basico de muitas ferramentas e ter capacidade de se aprofundar na que precisa hora da H é mais válido que ser especialista em uma ou duas ferramentas?
  • Por que as pessoas procuram uma certificação antes de realmente dominarem o assunto? (viu, eu não disse que esse tema é polêmico?)
  • O que vocês acham da grande quantidade de empresas brasileiras de segurança da informação que entregam "relatórios finals" de pentest que mais parecem discursos políticos? (falam muito, mas não querem dizer nada)
  • Quando a Compliance vai deixar de ser "para inglês ver" no Brasil?
  • Qual é o primeiro fanzine hacker do Brasil? (Essa pergunta é um ótimo gancho para questionarmos a produção de material de qualidade no Brasil)
  • Com a morte do Bin Laden, os ataques terroristas tendem a ser cibernéticos?
  • Você que tem acompanhado o Anonymous, existe alguma outra atuação do grupo, além dos que temos vistos na mídia? (interessante levantarem a questão do hacktivismo!)
  • Existe alguma esperança que o DNSSEC será largamente usado no Brasil?
  • Em segurança privada, está começando uma onda chamada "segurametria", para se criar indicadores para propósitos gerais, porém principalmente para se justificar investimentos e custos. O que tem sido feito na segurança da informação neste sentido? (ótima pergunta, que levanta a importância de construirmos métricas para justificar o funcionamento e os investimentos em segurança. É importante lembrar que os altos executivos são guiados por métricas)
  • O quanto o Wikileaks afetou a economia? (a economia eu não sei, mas que muitos fabricantes estão vendendo soluções milagrosas para proteger as empresas contra vazamento de dados para o wikileaks, ah, isso eu não tenho dúvida)
  • O que falta para os novos profissionais de SI?
  • No atual cenário, aonde a computação está transcendendo os hosts radicionais, quais são os esforços de segurança da informação nas áreas de telemática, como na área automotiva e de rastreadores?
  • Qual é o ponto de vista sobre o risco de vírus nos aparelhos de som nos automóveis?
  • Quem povoará as botnets do futuro, os zumbis ou as nuvens? (ótima pergunta para fomentar o debate sobre o uso malicioso de Cloud Computing)
  • Diante do nosso mercado de trabalho e ferramentas de resposta a incidentes, vocês acham que estamos preparados para uma cyber war? (pergunta interessante, que mereceria uma discussão mais profunda sobre como se proteger contra ameaças avançadas, tipicamente usadas em um ataque direcionado: como se proteger contra um zero-day, um spear phishing, etc?)
  • A visão das mulheres no mundo da segurança: ainda existe preconceito? (interessante... infelizmente há poucas mulheres na nossa área. Porque será?)
  • Como difundir as informações de segurança no Brasil? (e quem produz informação de qualidade? O Brasileiro tem uma vantagem: nós compartilhamos informação entre os profissionais através de grupos de trabalho e associações mais facilmente que nossos colegas no exterior, por uma questão cultural e de sobrevivência.)
  • A migração profissional vale a pena, ou o Brasil tem futuro? (futuro tem, só não sei se é bom... por outro lado, o mercado de trabalho está aquecido em várias partes do mundo, de forma que é relativamente fácil para um profissional da nossa área buscar empregos no exterior)


A quinta edição do You Shot the Sheriff (YSTS) aconteceu no dia 16 de Maio de 2011 em São Paulo, e já se tornou um evento tradicional sobre segurança da informação no mercado brasileiro. O YSTS é um evento único, que privilegia palestras de excelente qualidade com um clima descontraído que valoriza o networking. Os organizadores do YSTS também são responsáveis pelo podcast I Shot the Sheriff.

maio 25, 2011

[Cyber Cultura] Dia do Orgulho Nerd


Hoje, 25 de maio, comemoramos o Dia do Orgulho Nerd (em inglês, "Geek Pride Day").

A data de hoje foi escolhida em 2006 pois coincide com a estréia do primeiro filme da série Guerra nas Estrelas, em 25 de maio de 1977. Acho que a primeira vez em que percebi que eu era nerd foi na época de faculdade, nos anos 90, quando abri minha agenda de papel (na época eu tinha uma agenda de papel e uma agenda eletrônica da Cassio também) e reparei que tinha anotado mais telefones de computadores do que de pessoas :) (era a época dos modens, das BBSs, etc).

Ser "nerd" é considerado algo legal hoje em dia. Afinal, estamos vivendo o início da era da informação (eu quase coloquei que estamos na "plenitude da era da informação", mas, sinceramente, ainda estamos nos primórdios de algo que pode ser um período duradouro e revolucionário), aonde a Internet está quase que onipresente na vida de todos. Hoje, um seriado como "The Big Bang Theory" é assistido por milhões, em vez de ser considerado "cult", algo para um público seleto. Ser Nerd também pode significar ser milionário (ok, nos EUA isso pode ser verdade, aqui nem tanto), que o digam vários empreendedores do vale do Silício, e em particular, o ídolo do momento, Mark Zuckerberg (o fundador do Facebook).

Também vivemos em uma época em que a tecnologia se tornou algo facilmente acessível a todos. Assim, quem tem um interesse e um conhecimento maior em tecnologia passou a ser requisitado pelos amigos e parentes, e acaba sendo adimirado. A tecnologia não é mais algo restrito a poucos, mas faz parte do nosso dia-a-dia, seja no smartphones que carregamos no bolso, no GPS do carro, no video game de última geração em casa ou no iPad na mochila. Quem sabe mecher com isso tudo não é mais o "esquisitão" da turma, mas sim o "antenado".

Em uma época em que o termo "hacker" está tão associado a atividades criminosas, ser "nerd" é ser o novo "hacker", o cara que gosta de tecnologia em todas as suas formas (do equipamento no bolso ao filme de ficção científica), que se interessa por cyber cultura, que gosta de buscar desafios, fuçar e achar soluções.

Ser nerd é se divertir vendo as coisas a venda no site Think Geek, mesmo que não vá comprar nada !

O G1 publicou uma matéria hoje tentando descrever o que é ser nerd. A matéria ficou legalzinha, mas é muito arriscado tentar generalizar e rotular todas as coisas. Eu gostei mesmo foi do manifesto dos direitos e deveres do Nerd, criado na Espanha em 2006 para celebrar o primeiro Dia do Orgulho Nerd, traduzido no site da Wikipedia (eu fiz alguns ajustes no texto para ele ficar mais próximo ao original):


Direitos

1. O direito de ser nerd.
2. O direito de ficar em casa.
3. O direito a não ter namorada e ser virgem.
4. O direito de não gostar de futebol ou de qualquer outro esporte.
5. O direito de se associar com outros nerds.
6. O direito de ter poucos amigos (ou nenhum).
7. O direito de ter o tanto de amigos nerds que quiser.
8. O direito de não ter que estar "na moda".
9. O direito ao sobrepeso e de ter miopia.
10. O direito de expressar sua nerdice.
11. O direito de dominar o mundo.

Deveres

1. Ser nerd, não importa o quê.
2. Tentar ser mais nerd do que qualquer um.
3. Se há uma discussão sobre um assunto nerd, deve dar sua opinião.
4. Guardar todo e qualquer objeto nerd que tiver.
5. Fazer todo o possível para exibir seus objetos nerds como se fosse um "museu da nerdice".
6. Não ser um nerd generalista. Você deve se especializar em algo.
7. Assistir a qualquer filme nerd na noite de estreia e comprar qualquer livro ou DVD nerd antes de todo mundo.
8. Esperar na fila em toda noite de estreia. Se puder ir fantasiado, ou pelo menos com uma camisa relacionada ao tema, melhor ainda.
9. Não desfazer-se de nada que seja relacionado ao mundo nerd.
10. Tentar dominar o mundo.

maio 19, 2011

[Segurança] Prepare-se para a Guerra Cibernética

Nesta semana eu tive a oportunidade de participar do CNASI Brasília, aonde apresentei uma palestra sobre guerra cibernética, para a qual eu dei o título de "Prepare-se para a Guerra Cibernética !".

Esta foi a terceira vez que apresento este material em um CNASI, tendo repetido esta apresentação no CNASI Rio de Janeiro em Março deste ano e no CNASI São Paulo, em outubro de 2010. O material foi atualizado com o tempo, mas de uma forma geral, eu mantive sempre o foco principal, que foi o de apresentar os principais conceitos sobre guerra cibernética, mostrar que isto pode se tornar realidade nos dias de hoje e me preocupei em discutir como os países, e o Brasil em particular, tem se posicionado sobre este tema.



Entretanto, a edição de Brasília foi privilegiada. Na véspera do evento, o coordenador de Segurança Cibernética da Casa Branca, Howard A. Schmidt, publicou um documento que descreve a nova política internacional dos EUA para o ciber espaço. Chamado de "International Strategy for Cyberspace", que entre outras coisas mostra o posicionamento do governo americano sobre a questão da Guerra Cibernética.

O documento descreve em várias páginas qual é a visão do governo americano sobre o futuro da Internet, sua importância e como os EUA devem se relacionar com outros países neste aspecto. Uma frase é bem interessante e resume a importância estratégica da Internet:

"Assuring the free flow of information, the security and privacy of data, and the integrity of the interconnected networks themselves are all essential to American and global economic prosperity, security, and the promotion of universal rights."


Ou seja, o governo dos Estados Unidos reconhece a importância de assegurar o livre fluxo de informação, a segurança e a privacidade dos dados, bem como a integridade das redes interconectadas para a segurança, prosperidade econômica, e a promoção dos direitos universais. Para concretizar este futuro e garantir a prosperidade, segurança e transparência, os Estados Unidos pretendem combinar esforços nos campos da diplomacia, defesa e do desenvolvimento. Entretanto, no capítulo sobre a defesa, o documento foca na questão da importância dos EUA reagirem contra usuários maliciosos (e criminosos).

Segundo o documento, os Estados Unidos, junto com outras nações, deve incentivar o comportamento responsável e opor-se aqueles que procuram perturbar o bom uso das redes e sistemas, dissuadindo os tais agentes maliciosos. O governo americano se posicionou claramente como detentoro do direito de defender suas redes e sua capacidade de resistir e se recuperar de interrupções e outros ataques. No trecho mais interessante, que reproduzo abaixo, o documento deixa claro que os Estados Unidos responderão a atos hostis no ciberespaço como faria para qualquer outro tipo de ameaça, utilizando todos os meios necessários: diplomáticas, de informação, militar e econômico. Tal resposta inclui o uso de força militar, embora o documento diz que o governo americano irá esgotar todas as opções antes de usar a força militar sempre que possível, buscando um amplo apoio internacional sempre que possível.

"When warranted, the United States will respond to hostile acts in cyberspace as we would to any other threat to our country. We reserve the right to use all necessary means – diplomatic, informational, military, and economic – as appropriate and consistent with applicable international law, in order to defend our Nation, our allies, our partners, and our interests. In so doing, we will exhaust all options before military force whenever we can; will carefully weigh the costs and risks of action against the costs of inaction; and will act in a way that reflects our values and strengthens our legitimacy, seeking broad international support whenever possible."


Ou seja, segundo a "International Strategy for Cyberspace", os EUA podem optar por responder a um ato de Guerra Cibernética através de uma retaliação convencional, ou seja, uma guerra convencional.

maio 10, 2011

[Segurança] InfoSec Arena no YSTS

Neste ano, a conferência You Sh0t the Sheriff (YSTS) irá realizar o InfoSec Arena pelo segundo ano consecutivo. O InfoSec Arena é uma espécie de debate que criamos especialmente para o evento, aonde incentivamos a participação de todo o público presente, de uma forma dinâmica e, ao mesmo tempo, descontraída. No Infosec Arena, os temas a serem debatidos são escolhidos aleatoriamente através de perguntas enviadas pela platéia do evento. o moderador então escolhe duas pessoas para discutirem o assunto, cada uma com visão ou opinião discordante da outra.

As perguntas ou questionamentos enviados previamente pela platéia podem ser sobre qualquer assunto relacionado a segurança da informação, auditoria, mercado, boas práticss, etc.

Neste ano, também vamos coletar algumas perguntas via Twitter, que serão intercaladas com as perguntas do público durante o debate. Para isso, basta que os interessados em enviar perguntas mandem um tweet para mim (usuário @anchisesbr) com as hashtags #InfosecArena e #ysts.

O You Shot the Sheriff (YSTS) é um evento que está na sua quinta edição e já se tornou um evento tradicional sobre segurança da informação no mercado brasileiro. O YSTS é um evento único, que privilegia palestras de excelente qualidade com um clima descontraído. Os organizadores do YSTS também são responsáveis pelo podcast I Shot the Sheriff.

O You Shot the Sheriff acontecerá no dia 16 de Maio de 2011 (segunda-feira) em São Paulo. Nos dias anteriores também teremos a 17ª Reunião do Grupo de Trabalho em Segurança de Redes (GTS), do NIC.br em 14 de Maio e no domingo, dia 15 de Maio, o Garoa Hacker Clube irá organizar um evento como forma de apoiar o YSTS, chamado Conferência O Outro Lado (COOL).

[Segurança] SPAM, SPAM, SPAM

Blog - Security Lounge e SPAM

No início da segunda edição do Security Lounge, o novo videocast do pessoal do podcast I Sh0t the Sheriff, o pessoal pegou uma latinha de SPAM em cima da mesa e aproveitou para comentar um pouco sobre a origem do termo.



O termo SPAM surgiu devido a um quadro cômico que apareceu há alguns anos atrás no programa humorístico britânico "Monty Python’s Flying Circus" do grupo Monty Python e que foi ao ar em 15 de Dezembro de 1970. Neste quadro, que tem o titulo de Spam, um casal vai até uma espécie de lanchonete e todos os pratos do cardápio incluem o SPAM, que é um enlatado típico dos EUA, que aqui no Brasil encontramos um produto equivalente nos mercados com o nome de "fiambre", ou algo assim. Neste episódio do programa, a mulher reclama que todos os pratos do cardápio levam o embutido SPAM na receita, e ela é a única pessoa do local que não gosta de SPAM. Em vários momentos, enquanto o casal e o garçom discutem sobre as opções no cardápio, um grupo de Vikings que estava no restaurante interrompe a discussão cantando uma música idolatrando o SPAM ("Spam, lovely Spam, wonderful Spam").

Com a popularização da internet e a explosão das mensagens de e-mail indesejadas, o nome SPAM passou a ser utilizado para indicar estas propagandas indesejadas e irritantes que recebemos todo o dia. Segundo dados de várias empresas, o volum mundial de SPAM varia em torno de 80% das mensagens que trafegam na Internet.

maio 07, 2011

[Cyber Cultura] O que é um hackerspace?

Hackerspaces, assim como o Garoa Hacker Clube, representam um conceito já existente em vários países que busca criar um espaço de encontro para amantes de tecnologia, como se fosse um laboratório comunitário para que entusiastas de tecnologia realizem projetos em diversas áreas relacionadas. Segundo o site Hackerspaces.org, os "Hackerspaces são espaços físicos operados pela comunidade, aonde as pessoas podem se reunir e trabalhar em seus projetos".

A Wikipedia possui uma definição parecida, porém um pouco mais detalhada: "hackerspaces são locais aonde pessoas com interesses comuns, geralmente em computadores, tecnologia, ciência ou arte digital ou eletrônica podem se encontrar, socializar e/ou colaborar. O hackerspace pode ser visto como uma laboratório aberto a comunidade incorporando elementos das oficinas, workshops e/ou estúdios onde os hackers podem se unir para compartilhar recursos e conhecimentos para construir e fazer coisas".

Ou, então, podemos dizer que "é um laboratório comunitário que propicia a troca de conhecimento e experiências, um local onde pessoas podem se encontrar, socializar, compartilhar e colaborar," conforme consta na página da Casa da Cultura Digital.

Embora até o momento eu não tenha encontrado uma definição formal das principais características de um hackerspace, eu me arrisco a listar algumas:
  • A principal característica, na minha opinião, é que o hackerspace deve ter um espaco físico, ou seja, um local fixo aonde as pessoas possam se encontrar a qualquer momento;
  • O hackerspace é mantido pelos próprios membros, que normalmente colaboram financeiramente para a manutenção do local e para cobrir as despesas existentes, através de mensalidades, doações e outras formas de arrecadação de fundos;
  • O hackerspace é independente, preferencialmente sem ligação formal com nenhuma empresa, entidade ou universidade. Isto é importante pois, caso contrário, poderia comprometer a independencia, a liberdade de desenvolver atividades ou a facilidade de acesso livre ao espaço para qualquer interessado, a qualquer momento;
  • Deve permitir acesso universal ao espaco físico, independente de área de conhecimento, formação e experiência, contanto que não represente um risco a segurança do espaço (ainda mais aqui no Brasil);
  • Deve ser multidisciplinar, ou seja, ter participantes de várias áreas de conhecimento, como engenharia, hardware, eletrônica, software, desenvolvimento, Software Livre, segurança da infomação e, principalmente, pessoas de outras áreas como artes digitais, música, robótica, espaçomodelismo, bioengenharia ou robótica, por exemplo;
  • Como o espaço é livre, o hackerspace deve permitir o desenvolvimento de projetos próprios de seus membros ou projetos comunitários (o que, na minha opinião, são muito mais interessantes);
  • O hackerspace também deve servir como um espaço de encontro para as pessoas socializarem, ensinarem e aprenderem, através de atividades abertas a todos os interessados.
Eu criei a lista acima, da minha cabeça, baseado nas informações diversas que achei no Hackerspaces.org, das minhas conversas com outros hackerspaces e da minha experiência no Garoa. Ou seja, isso não significa necessariamente uma lista formal de requisitos, mas espero que ajude a promover a discussão sobre a importância de existir um hackerspace.

O blog Extreme activities in cyberspace. também tentou responder a pergunta sobre o que define um Hackerspace e criou uma lista interessante de características dos hackerspaces:

  • Propriedade e gerência sob responsabilidade de seus membros, num espírito de igualdade.
  • É uma organização sem fins lucrativos e aberto ao mundo exterior em uma periodicidade (semi) regular.
  • Compartilha ferramentas, equipamentos e idéias, sem discriminação.
  • Uma forte ênfase na tecnologia e na invenção.
  • Tem um espaço compartilhado (ou está trabalhando em um espaço) como um ponto central da comunidade.
  • Um forte espírito de invenção e ciência, com base na experimentação, erro e livre compartilhamento de informações.

Além do mencionado acima, o hackerspace deve ser apolítico, sem nenhum viés político ou partidário, embora exista uma grande preocupação em desenvolver atividades e projeos que ajudem a comunidade.

No vídeo abaixo, Rodrigo Rodrigues (Pitanga), um dos fundadores do Garoa Hacher Clube, falou sobre o Garoa e como ele foi criado:




O Hackerspace também permite resgatar a cultura "hacker" original, que incentiva a pesquisa e a busca do conhecimento pelo conhecimento e pelo bem geral, desafiando os limites da tecnologia.