julho 26, 2011

[Segurança] Canal Livre discute como o Brasil se defende de ataques cibernéticos

No início do mês de Julho, o programa Canal Livre da TV Bandeirantes apresentou uma discussão sobre a recente onda de ataques cibernéticos aos sites do governo brasileiro (e do mundo), aonde foram discutidos como o governo Brasileiro tem se preparado para se defender destes e alguns outros ataques complexos (como o caso do Stuxnet, que também foi citado).

O programa é organizado pelo jornalista Joelmir Beting e foi dividido em dois blocos, aonde participaram o general José Carlos dos Santos, chefe do futuro Centro de Defesa Cibernética do Exército Brasileiro, e o Raphael Mandarino Junior, diretor do Departamento de Segurança da Informação (DSIC) do Gabinete de Segurança Institucional da Presidência da República, no primeiro bloco. Em seguida, participaram do programa o delegado Carlos Eduardo Sobral, Chefe da Unidade de Repressão a Crimes Ciberneticos da Policia Federal, e o Consultor da Segurança da Informação Paulo Henrique Lemos.

No início da primeira parte, a Band fez um resumo dos ataques recentes, para só depois começar a discussão em si. Os convidados responderam várias perguntas dos jornalistas da Band, mas o que mais me chamou a atenção foi quando o jornalista Antonio Teles questionou o General Santos e o Raphael Mandarino porque, no meio a tantos ataques identificados contra o governo, ninguém até hoje foi preso.

No terceiro bloco, o delegado Sobral já começou informando que desde 2003 foram presas mais de 1.100 pessoas envolvidas em condutas já criminalizadas pela lei brasileira, como pornografia infantil e fraude bancária (que teve 40 operações da PF), mas a nossa legislação ainda não prevê punições e meios de investigação para crimes de alta tecnologia, ou seja, crimes contra sistemas de informação (computadores, servidores, dados, etc).

O programa está dividido em quatro vídeos, reproduzidos abaixo. (veja aqui os links para a primeira, segunda, terceira e quarta parte do programa)







julho 22, 2011

[Segurança] Prós e contras do projeto de lei contra crimes cibernéticos

Na semana passada, o Congresso fez uma audiência pública para discutir o PL 84/89, o projeto de lei contra crimes cibernétios que está vagando entre a Câmara e o Senado há cerca de 10 anos, e que renasceu das cinzas depois da recente onda de ataques contra centenas de sites do governo, organizados pelo grupo LulzSecBrasil.

O projeto tem causado muita polêmica há bastante tempo, com diversas críticas - algumas válidas, outras não. O site Convergência Digital publicou alguns artigos com o vídeo e um breve resumo destacando os pontos centrais de alguns depoimentos realizados durante a audiência pública, que eu reproduzo brevemente abaixo.

O Deputado Emiliano José fez duras críticas ao projeto, acusando-o de servir aos interesses da indústria americana de Copyright, além de criticar a Convenção de Budapeste.



Segundo o sociólogo e professor Sérgio Amadeu, a redação do projeto de lei dá margem a vários de seus artigos sofrerem interpretações que, em última instância, podem penalizar todos os usuários da Internet. Segundo ele, por exemplo, o projeto dá margem a tipificar como crime o compartilhamento de músicas ou algum tipo de informação pela Internet, que segundo ele, visa a atender aos interesses da indústria do Copyright. Ele também é contra o artigo do projeto que define a guarda de logs, pois todos os cidadãos terão os seus dados de nevegação armazenados simplesmente para o caso de alguma eventual suspeita, enquanto ele acredita que caberia à Justiça indicar quais informações deveriam ser guardadas para futuras investigações e somente para pessoas que estivessem sob investigação criminal.



O professor da Universidade Federal de Minas Gerais, Túlio Vianna, por exemplo, fez várias críticas a redação do projeto de lei, incluindo o uso do termo "expressa restrição de acesso" no artigo 285-A, que prevê pena de 1 a 3 anos para invasão de computadores. Ele também apontou a desproporcionalidade deste artigo, uma vez que a invasão de domicílio tem pena máxima de um a três meses. Também criticou a redação de vários ooutros artigos, incluindo o uso da expressão "código malicioso".



O desembargador da Justiça de Minas Gerais, Fernando Botelho, fez uma apresentação aonde destacou os principais pontos positivvos da lei, rebateu algumas críticas e ressaltou que o país está ficando para trás ao não definir uma legislação própria para tipificar os crimes na Internet e precisa punir os cyber criminosos. Ele também exemplificou como a falta de legislação específica e a dificuldade em adaptar a interpretação da legislação existente para os crimes cibernéticos causou recentemente a absolvição de um acusadod e cometer phishing scam.



A advogada especializada em direito digital, Patrícia Peck, também defendeu o projeto de lei do ponto de vista criminal e a necessidade de leis para crimes puramente eletrônicos, pois "Há uma lacuna na legislação que precisa ser tratada para proteger a vítima digital. Isso hoje não existe. A Constituição deve ser a premissa das ações, mas é preciso ter regras de penalização". Ela insistiu na necessidade de se guardar os logs de acessos para investigações e construção de provas. Segundo a advogada, hoje a sociedade é vítima devido a lacuna existente pela a falta de prova e de tipo penal associados aos crimes digitais.



O próprio relator do projeto de lei, deputado Eduardo Azeredo, contestou as críticas feitas e assegurou que a iniciativa não tem qualquer incompatibilidade com o Marco Civil da Internet, que tem sido defendido pelos principais opositores do projeto de lei.

[Cidadania] Preconceito no Trabalho

Uma pesquisa recente do Instituto Brasileiro de Geografia e Estatística (IBGE) mostrou o local de trabalho corresponde ao local aonde as pessoas sofrem maior influência da cor ou raça (ou seja, preconceito!).

Segundo a pesquisa realizada em 2008, 71% dos entrevistados pelo IBGE em 6 estados consideram que o trabalho representa o principal lugar entre as situações nas quais a cor ou a raça tem maior influência. Em segundo lugar aparece a "relação com justiça ou polícia" (68,3%), seguida pelo "convívio social" (65%), "escola" (59,3%) e "repartições públicas" (51,3%).

Mais da metade da população brasileira (63,7%) reconhece que a cor ou a raça exerce efeitos diferentes nas relações cotidianas.

Como forma de identificação de cor ou raça, a pesquisa aponta que em primeiro lugar vem a "cor da pele", seguida pela "origem familiar" e pelos "traços físicos".

julho 21, 2011

[Cyber Cultura] Os perigos das redes sociais para quem procura emprego

Gilberto Dimenstein, comentarista da CBN, fez hoje um comentário muito interessante sobre empresas que fazem pesquisa na Internet sobre a vida de candidatos a empregos. Cada vez mais está se tornando comum o fato de empresas procurarem pistas de algum tipo de comportamento indesejado dos candidatos através das redes sociais, incluindo comentários que o candidato faz em forums de discussão, comunidades de que ele participa e, eventualmente, fotos que possam ser comprometedoras.



O grande problema é que a maioria das pessoas não tem consciência de que seu comportamento em redes sociais pode ser avaliado por terceiros e, eventualmente, atrapalhar na busca de um emprego, mesmo que seja por uma interpretação errada ou fora de contexo de algo que o candidato publicou.

Para a empresa que está contratando, a Internet pode ajudá-la a selecionar quais candidatos aparentam ter um comportamento mais próximo a cultura da empresa, mas também significa que o futuro empregador está investigando aspectos pessoais e profissionais dos candidatos para tomar sua decisão, o que pode dar margem a diversas injustiças.

A popularização do uso das redes sociais causou uma maior exposição das pessoas na Internet, o que pode ser utilizado para o bem (como fazer novas amizades ou buscar pessoas ou grupos com algum interesse em comum) ou mesmo para o mal, como a prática de crimes (e pedofilia).

julho 15, 2011

[Cyber Cultura] Apresentando com o iPad

Nesta semana tive a feliz oportunidade de palestrar na primeira edição do CNASI-PE, em Recife, uma excelente iniciativa do IDETI.

Aproveitei a chance para estreiar o meu iPad para fazer a apresentação. Minha intenção era justamente verificar se o iPad realmente funcionaria tão bem quanto um computador, de forma que eu poderei usá-lo tranquilamente quando for viajar ou participar de eventos. Afinal, é mais fácil e prático carregar um iPad do que um notebook. Além de permitir fazer apresentações, posso usá-lo para ler e-mails, fazer anotações, usar o Twitter e navegar a vontade.

E não é que o iPad se deu muito bem em seu primeiro grande desafio?

Para fazer apresentações com o iPad é muito simples: basta ter um cabo adaptador VGA próprio, que custa apenas US$ 29,00 nos EUA e o software específico. Eu recomendo fortemente o Keynote, que custa apenas US$ 9,99.

Na véspera da minha palestra eu instalei os softwares. Primeiro eu tentei usar o Documents to Go Premium, mas rapidamente descobri que perdi US$ 16,99: além dele não ter um modo de apresentação dos slides, ele só permite editar o texto dos slides - não é possível alterar imagens, posicionamento do texto, etc. Serve somente para visualizar uma apresentação no iPad, bem nas coxas. Além disso, ele não abriu arquivos .pptx e perdeu um pouco da diagramação, algumas fotos e formatação do arquivo original.

Entretanto, quando eu instalei o Keynote foi só alegria: ele não só apresentou total compatibilidade com o arquivo que eu criei originalmente no Power Point, como ele manteve tudo, incluindo efeitos de transparência e animações. E o Keynote também permite alterar qualquer elemento da apresentação, de forma fácil e com muitos recursos de edição. Simplesmente perfeito!

A surpresa mesmo foi no dia da palestra: durante o coffe-break eu simplesmente conectei o iPad no projetor e funcionou perfeitamente, logo na primeira vez, projetando a imagem perfeitamente. Se fosse um computador normal, talvez eu perdesse um tempo configurando a saída de vídeo, resolução, etc. Não no iPad: ele funcionou perfeitamente de primeira, sem complicações!

Não tem como negar: o Steve Jobs é f*!!!

julho 12, 2011

[Opinião] TAM, 35 anos

Hoje, 12 de Julho, eu peguei um vôo da TAM e, por uma grande coincidência, foi justamente o dia em que a compania aérea completou 35 anos desde sua fundação :)

Para comemorar a data, além do tradicional poltrona apertada e do sanduíche meia-boca (felizmente não serviram amendoim, pois, afinal, era um vôo de 3 horas), eles nos serviram um simpático brigadeiro.



Hoje a TAM é a maior empresa brasileira de aviação civil (e, pelo que eu vi em um vídeo deles, a maior da América Latina), fruto do trabalho pioneiro do falecido Comandante Rolim Amaro. Eu lembro que, logo que comecei a trabalhar (e, de quebra, a viajar bastante a trabalho), ainda haviam a Varig, a Transbrasil e a VASP ainda se arrastava pelos ares, mas a TAM era a compania preferida pelos empresários e profissionais, pois oferecia um atendimento impecável e excelente serviço de bordo. Era a época áurea da aviação comercial no Brasil, aonde as companias aéreas serviam refeição de verdade nos vôos, que comíamos de bom grado usando talheres de metal, acompanhada de uma variedade realmente grande de bebidas.

Nesta época, a TAM surgiu pequenina e rapidamente abocanhou uma grande fatia de mercado das grandes empresas concorrentes. Como disse acima e volto a insistir, nesta época a TAM se diferenciava pela qualidade, ou melhor, pela excelente qualidade. Havia detalhes folclóricos como um tapete vermelho extendido na porta do avião e o piloto parado na porta de embarque, recepcionando pessoalmente os passageiros. Chegou a ter até um pianista na sala de embarque da TAM, tocando ao vivo. Ah, naquele tempo, as salas de embarque em Congonhas eram exclusivas das companias.

O preço da TAM era bem superior a da concorrência - em bom português, era caro mesmo. Mas poucas pessoas se se importavam com isso: quem podia, fazia questão de pagar uma passagem mais cara na TAM pois sabia que o atendimento seria muito melhor do que em qualquer outra compania aérea.

Lembro que naquela época eu tinha alguns amigos que trabalhavam no call center da TAM e eles me contavam que o Comandante Rolim e sua esposa ligavam para o call center de vez em quando só para verificar como estava a agilidade e a qualidade do atendimento.

Ah... eu confesso: eu gostava dos Focker 100!

De lá para cá, muita coisa mudou. O Comandante Rolim morreu em um acidente de helicóptero em 2001, a Varig, Transbrasil e a Varig faliram, o mercado internacional retraiu depois dos ataques às Torres Gêmeas em 11 de setembro de 2001 e surgiu a Gol, que inovou o mercado nacional com... com... as barrinhas de cereal!

E, hoje em dia, quase nada sobrou daquela época. Exceto, talvez, a balinha que as aeromoças oferecem antes do avião decolar (algo que, na década de 90, era inovador e não passava de um pequeno detalhe no meio de tanta mordomia que a TAM oferecia para seus clientes).

TAM, meus sinceros parabéns pelos seus 35 anos, e que venham os próximos 35. O brigadeiro estava muito gostoso, e ele representou um ato muito simpático de vocês.

Mas eu sinto falta do Comandante Rolim.

julho 11, 2011

[Segurança] Será que o Brasil precisa de uma lei contra crimes cibernéticos?

Tá certo que o Brasil é um país aonde muitas vezes temos a impressão de que as leis não são respeitadas, de que o nosso poder judiciário é extremanente lento e ineficiente, que somente vai preso quem não tem condições de pagar um bom advogado e, de quebra, temos também a opinião generalizada de que o nosso sistema penal está falido, sem condições de punir e nem mesmo corrigir qualquer pessoa. (veja um comentário interessante na CBN).

Mas, em um país como esse, vale a pena discutirmos uma lei contra o crime cibernético?

  • SIM, segundo todos os policiais que eu conheço que trabalham na prevenção e combate ao crime cibernético.
  • SIM, segundo os profissionais que eu conheço que trabalham no setor financeiro.
  • SIM, NÃO e TALVEZ, segundo os diversos advogados e juristas que eu conheço.


Em vários momentos em que presenciei discussões acaloradas sobre este assunto (contra e a favor), na maioria das vezes os especialistas em direito (advogados, juristas e profissionais da área) se popsicionaram a favor de um projeto de lei que fosse direcionado ao crime cibernético. Um dos principais argumentos contrários que eu vi até hoje é de que os tribunais tem conseguido julgar a grande maioria dos crimes cibernéticos usando as leis atuais, fazendo relação entre o delito cometido online e alguma lei já existente. Já vi advogados falando que conseguem enquadrar "95% dos casos" nas leis existentes.

Embora esta argumentação seja válida e real, ela esconde alguns perigos:
  • Primeiro, na falta de lei específica, ficamos todos a mercê da interpretação dos advogados e dos juízes. Como o julgamento e a eventual punição são baseados em uma lei correlata, dependemos dos advogados manipularem a interpretação do juiz a favor de cada uma das partes, e dependemos de como a cabeça do juiz vai fazer a interpretação de como o crime virtual se encaixa na legislação existente. Assim, damos espaço para decisões equivocadas e, as vezes, descabidas, como quando um Juiz mandou bloquear o acesso dos usuários brasileiros ao YouTube porque lá havia um vídeo de uma apresentadora de TV fazendo sexo na praia.
  • A mesma dificuldade se aplica em todas as fases de investigação. Na falta de lei e de direcionamento específico, as forças policiais tem que improvisar e dependem da boa vontade dos advogados, juízes e, principalmente, provedores de acesso que armazenam a identificação dos responsáveis por um determinado acesso a Internet.
  • O argumento da interpretação somente vale para processos na vara civil. No direito penal não é aceito qualquer tipo de interpretação no julgamento de um crime. Ou está escrito na lei, ou não é crime. Felizmente, a maioria dos casos de crimes cibernéticos tem sido tratados pelo direito civil.
  • Ainda que fosse verdade a estatística de que conseguimos enquadrar 95% dos casos de crimes cibernéticos, ainda há os casos restantes que continuam sem ser julgados. Mesmo que isso representasse apenas 5% dos crimes, ainda sim seria uma quantidade relevante. O exemplo que mais me assusta, neste caso, é o da criação de phishing e o roubo de dados bancários. Ninguém pode ser preso ou julgado simplesmente por criar um phishing ou um trojan bancário, e nem mesmo se esta pessoa disseminar o phishing e roubar a senha de milhares de usuários de Internet banking. O ato criminoso só será consumado quando o ladrão efetivamente subtrair dinheiro da vítima através dos dados roubados. Até então, ele não teria cometido crime nenhum.


Como eu já disse certa vez, os bancos brasileiros tiveram prejuízos com fraude eletrônica de 900 milhões de reais por ano, um valor quase 18 vezes maior do que o roubo tradicional a banco, que é de "apenas" R$ 55 milhões por ano (aquele assalto a mão armada que vemos em TV, ou quando bandidos roubam um carro-forte ou um caixa eletrônico).

Enquanto o Brasil engatinha para criar leis específicas para combater o cyber crime, os bandidos fazem a festa. Junte a isso a crescente expansão do acesso Internet e da população com acesso a conta bancária e cartão de crédito, o nosso sistema policial e judiciário ineficientes, a sensação de impunidade que reina no país, e o descaso dos brasileiros com a justiça, e temos o cenário perfeito para o crime cibernético.

Só quem se beneficia com isso tudo é o bandido :(

Veja mais:


Atualizado em 13 de Julho: Conforme eu apresentei na 13a reunião do Grupo de Trabalho em Segurança (GTS-13) em 20 de Junho de 2009, dentre os principais países da América Latina, desde aquela época o Brasil já era um dos poucos que ainda não possuia leis específicas relacionadas a crimes cibernéticos.

[Segurança] Junho, um mês repleto de ciberataques

O site CRN publicou um artigo interessante, listando os 11 maiores ciberataques que ocorreram no mês de Junho deste ano, um mês que foi atípico, com vários ataques atingindo empresas e órgãos governamentais importantes. Vamos a lista:

  • Ataque a usuários do Gmail: O Google identificou um sofisticado ataque de phishing originário da China e direcionado a usuários específicos do Gmail, como oficiais do governo dos EUA, ativistas políticos chineses, funcionários dos governos sul-coreano e de outros países asiáticos, além de militares e jornalistas.
  • Ataques a Sony: O grupo LulzSec realizou uma longa série de ataques a Sony, expondo informações de mais de um milhão de clientes.
  • CitiGroup: O sistema de cartões de crédito do Citibank nos EUA foi invadido e cerca de 200 mil clientes tiveram seus dados comprometidos.
  • Fundo Monetário Internacional (FMI): Hackers invadiram o portal do FMI e roubaram “uma grande quantidade” de dados, que incluíam documentos e emails.
  • Acer: O grupo “Pakistan Cyber Army” lançou cyber ataques contra o braço europeu da Acer e acessou dados de 40 mil usuários por meio de um código fonte armazenado em um servidor.
  • Sega: A companhia de videogames Sega foi invadida e roubaram dados de 1,3 milhão de membros de sua rede online. Ao contrário dos ataques a Sony, o grupo LulzSec não assumiu a autoria do ataque e os números de cartão de crédito e outros dados financeiros pessoais não foram afetados.
  • Groupon Índia: O site de compras coletivas SoSasta.com, como é chamado o braço indiano do Groupon, sofreu um ataque que expôs endereços de e-mails e senhas de 300 mil usuários, bem como indexou arquivos SQL no Google.
  • Departamento de Segurança Pública do Arizona: Como parte da operação AntiSec, o grupo hacker LulzSec divulgou mais de 700 documentos roubados do Departamento de Segurança Pública do Arizona. Os documentos publicados incluem centenas de boletins de inteligência do governo, e-mails pessoais, registros pessoais e vídeos que continham informações sigilosas sobre os cartéis de drogas, gangues, informantes, operações de patrulha de fronteiras.
  • Senado norte-americano: O grupo LulzSec também atacou o site do Senado dos EUA, dizendo que invadiu a página e postou “informações básicas sobre os sistemas de arquivos”, incluindo nomes de usuários e de configuração Web do servidor.
  • FBI Affiliate InfraGard/CIA: Mais um ataque do grupo LulzSec, desta vez contra a InfraGard, uma afiliada do FBI. O grupo expôs emails, logins e outras informações de identificação pessoal de mais de 180 funcionários.
  • Brasil sob ataque!: Vários sites brasileiros foram atacados em Julho devido ao surgimento de uma "filial" brasileira do grupo LulzSec. Mais de 200 sites governamentais foram atacados durante a operação AntiSec, incluindo a Receita Federal, Portal Brasil e Presidência da República.


A lista é interessante, e esta onda de cyber ataques fez com que diversas empresas e governos em todo o mundo passassem a se preocupar mais com a segurança de seus ambientes. Entretanto, a reportagem falhou em não mencionar claramente que, em Julho, o grupo LulzSec lançou uma ofensiva chamada Operação Anti Security (AntiSec), iniciando uma onda de ataques a diversos governos e empresas em todo o mundo, e que perdura até os dias de hoje. Isto foi, sem sombra de dúvidas, o principal motivo para termos visto uma quantidade tão grande de ataques e diversas reportagens na mídia sobre este assunto.

julho 10, 2011

[Opinião] Com os pés no chão

Nesta última sexta-feira, dia 08 de julho, a NASA lançou a última missão dos ônibus espaciais, e assim encerrou uma era na exploração especial. Neste dia, o ônibus espacial Atlantis foi lançado no Cabo Canaveral, na Flórida, para sua última missão espacial, que marcou também a aposentadoria definitiva das naves da Nasa, após um pouco mais de 30 anos de atividade e, com esta, 135 missões no espaço.



Eu vi e ouvi vários comentários na imprensa sobre este vôo e o final dos ônibus espaciais (o UOL, por sinal, criou uma página especial sobre o assunto e ouvi uma reportagem interessante na CBN, reproduzida abaixo).



Segundo o astronauta brasileiro Marcos Pontes, os ônibus espaciais poderiam continuar em operação, e seu projeto era considerado 50 anos adiantado na época em que foi concebido. Porém, os dois acidentes (o Challenger em 1986 e o Columbia em 2003), o alto custo de operação e, de certa forma, a crise econômica nos EUA, minaram o projeto. Pelo que eu vi na imprensa, apesar dos ônibus espaciais serem reaproveitáveis, o seu custo de operação era superior ao dos foguetes tradicionais. O interessante é que a NASA não tem um projeto de nave espacial substituta, e a partir de agora, os astronautas americanos terão que pegar carona nos foguetes russos, enquanto a agência espacial espera a iniciativa provada americana fornecer opções de naves.

É impressionante ver um onibus espacial de perto! on TwitpicPosso estar errado, mas para mim, o final dos ônibus espaciais diminui também nossos sonhos de exploração espacial. A partir de agora, somente veremos astronautas viajando pelo espaço em filmes de ficção científica. E mesmo assim, de agora em diante, talvez não tenhamos tantos filmes aonde astronautas humanos exploram o universo (como a sensacional franquia Jornada nas Estrelas), mas os filmes de ficção serão mais voltados para estórias aonde extraterrestres chegarão até nós, aqui na Terra (ou invadirão o nosso planeta).

julho 06, 2011

[Segurança] Por que o LulzSec amarelou e o LulzSecBrazil #FAIL?

No dia 25 de Junho, após 50 dias tocando o terror na Internet, o grupo hacker LulzSec anunciou que iria encerrar suas operações e seus integrantes iriam se juntar ao Anonymous.

No dia 02 de Julho a "filial" brasileira do grupo, o LulzSecBrazil, em conjunto com os auto-entitulados membros brasileiros do Anonymous, tinham planejado uma série de passeatas simultâneas em várias cidades brasileiras, após quase duas semanas de ataques incessantes a vários sites governamentais no Brasil e constante presença na mídia. Mas poucos gatos-pingados (cerca de umas 30 pessoas) compareceram na Avenida Paulista na hora marcada (veja fotos da passeata de São Paulo no site do UOL). Ídem em outras cidades, como Goiânia, Curitiba. (veja mais no artigo da Decision Report)

Por que os grupos não resistiram mesmo diante de tanta repercussão no mundo todo e cobertura exaustiva da imprensa? Aqui no Brasil, o LulzSecBrazil chegou a ser entrevistado recentemente pelo programa CQC. O vídeo do programa, com a entrevista, está disponível no YouTube.



No caso da desistência do LulzSec, embora o press release deles não tenha indicado o motivo do encerramento do grupo, a maioria das especulações indicam para uma hipótese que eu concordo plenamente: o grupo não estava preparado para receber tamanha oposição e perseguição das autoridades. Mas talvez o maior problema é que os ataques do grupo incomodaram muita gente, uma vez que qualquer agência de governo ou grande empresa ao redor do mundo passou a ser alvo da chamada "Operação AntiSec". Faltou um motivo ideológico para justificar tais ataques, que só chamaram mesmo a atenção dos porra-loucas de plantão e da imprensa, ávida por divulgar histórias de terror e anunciar o fim do mundo cibernético. Enquanto algumas empresas e grupos hacker adversários tentavam desmascarar os membros do LulzSec, as autoridades conseguiram prender alguns integrantes na Inglaterra e Estados Unidos.

Em tempo, vários integrantes do Anonymous também já foram presos em alguns países, inclusive recentemente na Itália.

Como comparação, embora a simples menção do nome do grupo Anonymous também cause calafrios em muita empresa e governo ao redor do mundo, o grupo não tem tanta rejeição e tem até mesmo uma certa dose de apoio da população internauta e, de certa forma, da mídia em geral, pois todos os seus ataques são motivados por alguma causa ideológica e bem comunicada previamente através das redes sociais. Normalmente o grupo Anonymous se posiciona contrário a empresas e governos que ameacem a liberdade da Internet.

O mesmo problema, a falta de ideologia, também afetou o LulzSecBrazil. O grupo não tem uma ideologia forte e convincente, muito menos que encontre respaldo na população. O próprio vídeo com a entrevista de um dos membros do grupo para o CQC mostra que os objetivos deles são vagos e eles sequer sabem explicar direito quais seriam suas motivações.

Além do mais, o povo brasileiro, em geral, não é politizado. Embora o grupo LulzSecBrazil continue bastante ativo na Internet, disparando ataques para tudo quanto é lado, alguém esqueceu de avisá-los que dificilmente o brasileiro sai de casa para protestar. A última grande manifestação pública no Brasil provavelmente foi o movimento dos caras-pintadas, uma série de passeatas estudantis a favor do impeachment do então presidente Fernando Collor em 1992, ou seja, há quase 20 anos atrás. E, mesmo assim, esse movimento não surgiu do dia para a noite e, francamente, foi devidamente manipulado pelos poderosos de então. Tirando isso, os grandes movimentos anteriores foram o das Diretas Já (na década de 80) e os protestos estudantis contra a ditadura militar nas décadas de 60 e 70. Ou seja, o Brasileiro somente tira a bunda da cadeira para defender os seus direitos com muita sorte uma vez a cada 10 ou 15 anos, devido a algum motivo realmente muito sério (ou com uma certa dose de manipulação muito bem feita das massas). Não há como comparar o grau de mobilização do povo brasileiro com o de outros países, como a Espanha, Grécia e França, só para citar os países que tiveram manifestações populares recentemente.

Além do mais, a credibilidade do LulzSecBrazil também foi questionada, devido a desorganização interna e denúncias de que alguns de seus líderes eram cyber criminosos, além de que alguns dos dados supostamente vazados eram dados supostamente falsos ou disponíveis publicamente na Internet. Além do mais, há poucos membros no grupo detentores de algum conhecimento técnico, conforme apontou o blog Coruja de TI.

Ou seja, falta patriotismo, ideologia e credibilidade ao LulzSecBrazil.

Resultado? A tal passeata foi um fiasco.



De qualquer forma, os ataques continuam de vento em popa no Brasil e no mundo, como mostra a recente reportagem da Info no Ar, abaixo.



A INFO fez um artigo bem interessante sobre a historia dos grupos Anonymous e o LulzSec, comparando as duas trajetorias, chamado "Os hackers que desafiaram o mundo".

Para quem tem curiosidade sobre aquelas máscaras do filme "V de Vingança" utilizadas pelo pessoal do Anonymous, a Folha publicou uma reportagem recentemente sobre isso.

julho 04, 2011

[Segurança] Hackers, hackers, hackers e cream crackers

É, não tem jeito, os "hackers" estão na moda.

Abro o jornal Folha de São Paulo deste domingo, dia 03 de Julho, e logo nas primeiras páginas eu dou de cara com dois artigos sobre os "Hackers": primeiro um editorial com título "Hackers em ação" e, na página seguinte, o artigo "Hackers e outros no espaço democrático", do governador do Rio Grande do Sul, Tarso Genro.

O editorial da Folha deu destaque para as dificuldades que o governo brasileiro (e a sociedade, por tabela, pois o problema é de todos nós) tem para se defender e combater a onda de ataques cibernéticos pela qual estamos passando no Brasil desde o final de Junho, e que na verdade já é comum em muitos outros países há mais tempo. O editorial lista os seguintes entraves para o combate ao cyber crime, todos verdadeiros e preocupantes:
  • "Os órgãos do governo (...) de investigação e prevenção ao crime eletrônico são incipientes e pouco equipados." De fato, excetuando-se a Polícia Federal, que tem um excelente corpo de peritos, a maioria das polícias estaduais estão despreparadas. Poucos delegados se destacam no combate ao crime cibernético.
  • "A legislação, defasada, torna difícil punir os infratores, mesmo na hipótese de que sejam encontrados". É senso comum considerar o judiciário brasileiro moroso e ineficiente, além de considerar o nosso sistema prisional totalmente falho, sem a menor condições de recuperar um criminoso. Além do mais, quantas vezes não ouvimos o chavão de que somente pobre vai preso no Brasil, pois não tem condições de pagar um bom advogado? Como se essa falência do nosso sistema legal, ainda há o problema da quase inexistência de leis específicas para o crime cibernético, o que traz dois problemas gravíssimos: existem os crimes para os quais não é possível enquadrar na legislação existente (ex: invasão de computadores, criação de vírus, distribuição de phishing bancário e captura de senha) e existem alguns crimes que conseguimos relacionar com a legislação vigente, mas dependemos que os advogados e juízes interpretem corretamente e da mesma forma esta similaridade. Ficamos refém da cabeça do juiz, e não do que está escrito na lei.
  • O "futuro Centro de Defesa Cibernética ainda está em estágio embrionário e só deve ser instalado no segundo semestre deste ano. Dos cem profissionais previstos, só 20 trabalham no momento." O CDCiber será o ponto central de defesa e resposta a incidentes do governo Brasileiro e das forças armadas. Ele irá unificar, em um único local, os esforços de diversos departamentos e órgãos, incluindo cada uma das forças armadas, o Departamento de Segurança da informação e Comunicações (DSIC, da Presidência da República) e a Agência Brasileira de Inteligência (ABIN).

O editorial também lembra que o governo precisa aproveitar estes problemas recentes para criar mecanismos de defesa compatíveis com o século 21, enquanto o Congresso deve fornecer a legislação adequada para punir os criminosos, levando em consideração as mudanças tecnológicas e sem criminalizar o cidadão que usa a Internet para o bem.

O artigo do Tarso Genro, por sua vez, mostrou uma reflexão interessante sobre o significado político dos protestos online que tomaram conta de nosso país e do mundo, que ao seu ver "representam (...) expressões completamente novas da luta política, para orientar o Estado, para 'tomá-lo' ou para reformá-lo". O governador reconhece o hacktivismo e o cyber ativismo como novas formas de articulação política da sociedade civil, através do uso da tecnologia para permitir a expressão de suas propostas de uma forma maciça. Segundo sua visão, corretíssima, os partidos devem entender esta nova forma de "democratização da democracia".

Enquanto a Folha usa o termo "hacker" para designar, em suas próprias palavras, os "piratas eletrônicos que usam seus conhecimentos (...) para violar sistemas (...) e outras atividades ilegais", o governador Tarso Genro usa o termo para designar os hacktivistas e cyber ativistas - os "movimentos sociais" que usam a Internet em defesa de seus direitos. Tentar imaginar que a mídia e a opinião pública vão conseguir diferenciar "hacker", "cracker" e "hacktivista" é quase tão inviável quanto tentar entender a diferença entre as bolachas "água e sal" e "cream cracker". Hoje em dia, tudo isso e muito mais passou a ser generalizado como "hacker", mesmo que as pessoas consigam entender que existem diferentes facetas.

julho 01, 2011

[Segurança] Um ministro e os hackers, crackers, piratas e aloprados

Recentemente o nosso ministro da Ciência e Tecnologia, o Sr. Aloizio Mercadante, surgiu com a idéia
de chamar "hackers" para trabalhar para o seu ministério em projetos de transparência de dados e pretende criar um "Hacker Day" por lá, para permitir que os tais hackers ajudem na modernização e na segurança do portal do ministério.

Segundo o ministro Mercadante, "os hackers são os jovens talentosos e criativos" e "os crackers utilizam os ataques para espalhar uma mensagem política ou mesmo pelo "prazer do desafio".

A repercussão foi bem diversificada. Enquanto alguns viram este anúncio com certa cautela ou desconfiança, várias outras pessoas ficaram empolgadas. Vários ativistas aproveitaram o Forum Internacional de Software Livre (FISL) que acontece esta semana em Porto Alegre para se encontrarem com o ministro, conforme divulgou o Partido Pirata.

Mas, pera aí... Partido Pirata? Isso mesmo... lendo a notícia sobre o encontro, o Sr. Mercadante se reuniu com representantes do Partido Pirata e representantes da comunidade de software livre. A notícia não fala nada de representantes ou reivindicações dos tais "hackers". O engraçado é que eu conheço alguns colegas "hackers" (no melhor sentido amplo da palavra, incluindo profissionais de segurança e membros do Garoa Hacker Clube) que foram no FISL e não os encontrei na foto oficial do tal encontro :(

O jornalista Nelson Motta fez uma crítica severa a iniciativa do Ministro, e em um determinado momento, disse que o Ministro "acredita que os hackers são bonzinhos, que vão adorar conversar com ele no ministério, todos com os seus crachás de "hacker", tomar um lanche e acertar a data do "Hacker"s Day" patrocinado por uma estatal. Cuidado, ministro, se eles vierem, não são hackers: são nerds.".

E, justamente nesse ponto, me lembrei da notícia no site do Partido Pirata.

Infelizmente eu não acredito que vivemos em um país sério, mas continuo mantendo a esperança de que as pessoas são bem intencionadas e repletas de boa vontade e, hum... de honestidade e ética. Mas, afinal de contas, o que o ministro acha que seria um "hacker"? O que será que o Seu Ministro quer de verdade? Aonde será que isso tudo vai dar?

Supondo que isso tudo não passe de um discurso oportunista, pegando carona na polêmica dos diversos ataques realizados pelo grupo LulzSecBrasil desde o dia 21 de Julho, eu entendo que o Ministério da Ciência e Tecnologia (MCT) está pedindo ajuda para que técnicos e especialistas o orientem em como melhor disponibilizar suas informações na Internet. Por um lado, ele está valorizando a cultura hacker, o que é muito bom (quando pensamos no hacker como o especialista em tecnologia, bem intencionado, e não no bandido digital, ou cracker, que a mídia costuma abordar). Por outro lado, ele está dando margem para alguns questionamentos preocupantes, como por exemplo:

  • Será que ele está dizendo que o Ministério da Ciência e Tecnologia (MCT) não sabe como colocar um site na Internet? Vou repetir, pois acho que fui sutil demais: estamos falando do Ministério da Ciência e Tecnologia, e não do ministério da Pesca, do Meio-Ambiente, ou qualquer coisa assim.
  • Se o MCT não sabe como um Web site funciona, será que ele não tem verba para contratar uma consultoria? Existem dezenas de empresas nacionais, excelentes, que dão emprego para centenas ou milhares de brasileiros, que poderiam orientar o MCT a como criar um site e como fazer isso de forma segura.
  • Ou será que o Ministro quer um carimbo do tipo "Site feito por hackers"? Como se isso garantisse que o site nunca teria problemas e jamais seria invadido...


Mas, voltemos a questão dos tais "hackers" que o nosso ministro quer. Pelo menos, em seu discurso, ele soube explicar o que é um "hacker", no sentido mais clássico e menos polêmico da palavra. Mas, lendo a história toda, me parece que ele quer algum especialista em tecnologia para dar consultoria de graça para ele. E, de repente, brotou um monte de gente na sua volta. Mas quem seria o melhor pessoal para ajudar?
  • Hackers: São pessoas com grande talento e conhecimento em tecnologia, com facilidade de apreender e, geralmente, auto-didatas, movidos pelo desafio. Também podemos chamá-los de "nerds", ainda mais agora que este termo está na moda e deixou de ser tão pejorativo. Eles querem aprender. E cheios de boas intenções. Há hackers que trabalham em empresas de tecnologia ou de segurança, há pesquisadores independentes, estudantes, acadêmicos e os cyber ativistas, para citar somente alguns dos sub tipos. Sim, esse pessoal poderia ajudar o MCT - alguns de graça, outros não.
  • Crackers: Esses são os criminosos virtuais, cyber criminosos, bandidos digitais, piratas digitais e qualquer outro termo parecido que a imprensa inventar. São pessoas que usam a tecnologia para cometer crimes. Aqui incluimos os carders (especialistas em roubar e fraudar cartões de crédito e débito), o bankers (especialistas em fraudar o Internet Banking) e os piratas (especialistas em pirataria de software e de material protegido por direito autoral). Há tambem os desenvolvedores de vírus, de phishings, sites falsos e códigos maliciosos em geral.
  • Cyber Ativistas: Eu já falei deles antes, mas esta categoria merece uma citação a parte. Na verdade, os cyber ativistas são pessoas que usam a tecnologia para promover atos de ativismo, protesto ou de tentativa de mudanca na sociedade. São motivados por aspectos políticos, ideológicos ou mesmo religiosos. Alguns desses grupos podem ser benéficos e bem intencionados, outros podem tender ao vandalismo. Por exemplo, o pessoal do Transparência Hacker é bem intencionado e tem uma idéia excelente: usar a tecnologia para extrair informações do governo e apresentá-las para a sociedade, para que essa possa melhor acompanhar o que nosso governo faz de certo e de errado. Há também o Partido Pirata, que busca defender alguns dos aspectos da nossa atual vida digital através da militância política. Por outro lado, o pessoal do LulzSecBrazil tende para a anarquia. Eles querem protestar derrubando sites, prejudicando empresas, profissionais e cidadãos que precisam usar um determinado serviço público. Eles protestam contra os governos e empresas com argumentação e ideologia fracas, ou quase inexistentes, e suas ações causam o caos, em vez de efetivamente ajudarem a resolver algum problema.
  • Especialistas em Segurança da Informação: são profissionais, estudantes e acadêmicos especializados nos diversos aspectos da segurança da informação, ou seja, em como garantir a proteção dos sistemas, dados, ativos e do negócio. Há desde os especialistas tecnológicos (como os pesquisadores de vulnerabilidades, os analistas de ferramentas, os especialistas em desenvolvimento seguro, etc) e até mesmo os especialistas em processos, auditoria ou nos aspectos jurídicos (advogados e especialistas forenses).
  • Comunidade de Software Livre: A grosso modo, e aquele pessoal que consegue virar um software de ponta-cabeca, desenvolvê-lo e adaptá-lo para a sua necessidade, mantendo o espírito de que todos tem o direito a usar, compartilhar e adaptar o software. Não necessariamente tem conhecimentos de segurança.


A moral da história é que não basta chamar os "hackers" para criar um site milagroso. Primeiro, é preciso saber o que se quer fazer. Depois, definir quais são as melhores pessoas para te ajudar, em termos de conhecimento, necessidade e disponibilidade de recursos (ou seja, você quer mão de obra gratuita, voluntária, ou quer contratar um profissional?).

Se você não sabe a diferença entre um nerd e um pirata, o problema pode não ser o seu site.

Nota adicionada na madrugada de 04/07: Como bem lembrou o guru Nelson Brito, em muitos casos o "hacker e profissional de segurança podem englobar um único indivíduo". Na verdade, assim como qualquer tipo de classificação ou de generalização, a explicação que eu dei acima não engloba necessariamente todas as facetas e papéis que as pessoas podem exercer dentro do, digamos assim, "universo hacker". Uma pessoa pode se enquadrar em diversas categorias ao mesmo tempo ou em fases distintas de sua vida. Por exemplo, um profissional de segurança pode ser um "nerd" (apaixonado por tecnologia) e ainda um pesquisador independente nas horas vagas. Para quem quiser se aprofundar mais na "taxonomia" dos diferentes tipos e motivações dos indivíduos relacionados ao hacking, eu sugiro uma fuçada no sensacional projeto Hacker Profiling Project (HPP) (há mais informações sobre o projeto aqui também).

[Cyber Cultura] Anuncio inteligente do Wikileaks

O Wikileaks divulgou no dia 28 de junho um anúncio muito inteligente (tambem disponível no YouTube) para protestar contra o bloqueio dos seus fundos pelas operadoras de cartão de crédito, que aconteceu em Dezembro de 2010, após o site divulgar correspondências secretas do Departamento de Estado do governo americano.

What Does it Cost to Change the World? from WikiLeaks on Vimeo.



O Wikileaks mantém uma página com orientações a quem quiser ajudar o projeto com doações: http://www.wikileaks.org/support.html. É possível colaborar através de transferência bancária, da moeda virtual chamada Bitcoin, enviando dinheiro pelo correio ou comprando camisetas.

Para saber mais sobre este assunto, recomendo a leitura do meu artigo "Wikileaks, Cyber Espionagem, Hacktivismo e uma pequena retrospectiva de 2010".
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.