agosto 31, 2011

[Segurança] Malware Calendar Wallpaper

A Kaspersky e a Securelist tem um projeto bem legal, chamado "Malware Calendar Wallpaper" que divulga mensalmente uma imagem com um calendário daquele mês, aonde eles indicam as principais datas rerefentes a algum incidente de segurança importante.

O calendário para o mês de Setembro foi divulgado hoje: Malware Calendar Wallpaper for September 2011. Neste mês o calendário destaca o aniversário da prisão do suposto autor do vírus CIH (também conhecido como Chernobyl), surgido em 2000. Este vírus foi projetado para apagar a flash BIOS de PCs rodando Windows 9x, fazendo com que a máquina não iniciasse mais.

Este é um material bem interessante e bem caprichado, que pode ser usado para conscientização de usuários.

Essa dica eu recebi do amigo Victor Scattone, quando conversávamos no Garoa Hacker Clube sobre o "The Hacker Calendar" da 2600, que eu comprei recentemente na Defcon.

agosto 29, 2011

[Segurança] Sobre Bandidos e Hackers

O diretor do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República, Raphael Mandarino Junior, publicou hoje o artigo "Sobre bandidos e hackers", aonde explica o sentido de sua frase e os motivos que o levaram a fazer um comentário polêmico durante o evento Seginfo 2011, no Rio de Janeiro, de que “hacker é bandido".

Como eu já disse anteriormente, o termo "hacker" assumiu vários significados com o passar do tempo, variando do sentido original (o nerd, fuçador, amante da tecnologia) até o sentido pejorativo normalmente associado ao cyber criminoso (ou "cracker"), que justamente é um sentido que se popularizou na mídia.

Em seu artigo, fica claro que o Mandarino optou por considerar hacker como sendo um termo "associado a ilícitos". Ele vai mais além, criando algumas categorias de hackers, todas relacionadas a ações criminosas ou negativas: os Invasores de Sistemas (que ele define como os criminosos que buscam a invasão de um sistema com um objetivo em si), os Ativistas Sociais, as Quadrilhas (que buscam o lucro mediante crimes) e os Inimigos do estado (que buscam incapacitar ou destruir as infraestruturas críticas de um País).

Eu admiro bastante o trabalho do Raphael Mandarino e do DSIC, e todos são livres para escolher a definição do termo "hacker" que mais lhe agrade ou interesse, mas é uma pena que uma autoridade na sua posição e com a sua experiência tenha optado por aceitar a generalização que associa a imagem do hacker ao dos cyber criminosos e ao mal uso da tecnologia.

Eu, particularmente, prefiro ressaltar o conceito apresentado pelo jornal britânico The Guardian em uma excelente reportagem publicada recentemente sobre os hackerspaces e a cultura hacker. Segundo o jornal, "Hackers often describe what they do as playfully creative problem solving. It's much easier to attack than to defend a system, so the best hackers are those who build things." ("Hackers costumam descrever o que eles fazem como sendo uma brincadeira de como resolver problemas com criatividade. É muito mais fácil atacar do que defender um sistema, de modo que os melhores hackers são aqueles que constroem coisas.").

Quero também ressaltar que existem vários grupos usando e promovendo a cultura hacker de uma forma criativa, positiva e benéfica para a sociedade, como o Garoa Hacker Clube, do qual faço parte, além da associação Hackers Construindo Futuro (HCF) (que visa capacitar jovens em técnicas de Segurança da Informação e ajudá-los a ingressar no mercado de trabalho), o pessoal do Transparência Hacker e seu novo projeto, Ônibus Hacker. Além disso, existe a iniciativa americana "Hackers for Charity", que promove ações (microprojetos e doações) para melhorar comunidades carentes em países de terceiro mundo através da tecnologia.

Atualização em 30/08: Coincidentemente, hoje foi para o ar um videocast que eu participei com o Gustavo Lima, do blog Coruja de TI, no qual conversamos sobre hacktivismo, o grupo anonymous e sobre o impacto destes ataques no mercado de segurança em geral.

agosto 28, 2011

[Cybercultura] Um ano de porão

Hoje, 28 de Agosto, o Garoa Hacker Clube comemora um ano de ocupação do porão na Casa de Cultura Digital. Ou seja, há exatamente um ano atrás conseguimos nosso espaço e começamos a funcionar efetivamente.

Para comemorar a data, organizamos para hoje um "Churrrascker" e algumas atividades extras.

Mas o melhor presente que poderíamos ganhar foi saber que já existem alguns outros hackerspaces em formação pelo Brasil afora, sendo que três deles estão praticamente funcionando: na Zona Leste de São Paulo, em Campinas e em São José dos Campos. Isso mostra que o nosso ideal está espalhando rapidamente.

Se quiser conhecer um pouco da nossa história, veja aqui.

agosto 24, 2011

[Segurança] Discutindo o Projeto de Lei sobre Crimes Cibernéticos

O crime cibernético no Brasil já representa prejuízos de R$ 685 milhões para os bancos brasileiros apenas no primeiro semestre do ano, segundo a Federação Brasileira dos Bancos (Febraban). Este número representa um aumento de 36% em relação ao mesmo período do ano passado, quando as fraudes atingiram R$ 504 milhões.

Mesmo investindo em segurança, os bancos tem dificuldade para combater o vanço do crime cibernético no Brasil devido a falta de uma legislação específica e que ofereça punições efetivas. E quem paga a conta desta fraude somos todos nós, clientes dos bancos, através das tarifas bancárias.

Enquanto o crime cibernético cresce, o projeto de lei existente sobre crimes cibernéticos (o Projeto de Lei 84/1999) foi aprovado pela Câmara em 2003 e posteriormente pelo Senado, mas fica patinando no Congresso Nacional até hoje. O PL 84/99, lançado pelo então senador Eduardo Azeredo tipifica os crimes cometidos por meio da Internet, e incluiria no nosso código penal a tipificação específica aos novos crimes cibernéticos ou crimes de natureza eletrônica, cometido contra os computadores.

Nesta quarta-feira, dia 24/08, a Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados vai realizar um seminário para discutir o projeto de lei, debatendo temas como os tipos penais, formas de investigação, direitos fundamentais e cidadania. No mesmo dia, os opositores ao projeto de lei organizaram um protesto em frente ao Congresso, ao que eles chamam de "AI5 Digital", com objetivo de protestar e formalizar a entrega de petições que totalizam mais de 350 mil assinaturas contra o projeto. Segundo os opositores, este projeto de lei irá criminalizar práticas cotidianas e trazer graves retrocessos ao país. O grupo também está promovendo um Tuitaço contra o projeto de lei e convocando pelo Ato, usando as tags #AtoAI5digital e #ai5digital.

Infelizmente o debate sobre o projeto de lei é político, e não técnico. Ou seja, não estamos discutindo ou questionando os pontos positivos e negativos do projeto, e sim foram criados vários argumentos distorcidos, mas com apelo marketeiro, que tem sido repetido a exaustão por uma multidão alienada e que sequer se deu ao trabalho de ler o projeto. Eu comparo esta situação com o que acontecia nos anos 90, quando religiosos queimavam discos de heavy metal sob a alegação de que as músicas faziam apologia ao demônio.

Se há um ponto positivo nas críticas, é que de fato alguns artigos do projeto de lei estão mal redigidos e, eventualmente, podem levar a uma interpretação totalmente errônea (ou exageradamente enviesada). Mas, segundo já ouvi de alguns colegas especialistas na área, seria melhor aprovar o projeto de lei o mais rápido possível e corrigir ele depois, do que continuar sem nenhuma lei e continuarmos sofrendo com os crimes cibernéticos.

Infelizmente a campanha dos opositores é baseada principalmente na desinformação. Como a discussão é ideológica, e não técnica, não há nenhum interesse dos opositores em corrigir os problemas na redação do PL 84/99, somente em barrar o projeto, o que beneficia principalmente os ciber criminosos.

Há vários pontos polêmicos e críticas que considero absurdas, como algumas que sumarizo abaixo.

Guarda de Logs.
Os log de acesso, que identificam que usuário utilizou um determinado endereço IP para acessar a Internet, são fundamentais para uma investigação de um crime eletrônico. São o ponto de partida. O PL determina que essa informação deve ser guardada por 3 anos em ambiente controlado e de segurança, auditável por autoridade pública competente, e somente deve ser fornecido à autoridade investigatória, mediante prévia ordem judicial, devido a uma investigação pública previamente formalizada. Esse prazo está em consonância com o que previsto nas “Recomendações para o Desenvolvimento e Operação da Internet no Brasil” do Comitê Gestor da Internet no Brasil, uma norma editada em 1999.

A guarda de logs vai inviabilizar o negócio dos provedores de Internet, que não terão condições de assumir o custo adicional.
Discordo totalmente, Já trabalhei em provedor de Internet, e os logs de acesso podem ser armazenados de forma a não causar grande impacto financeiro. Primeiro, porque os logs são arquivos de texto com muitas informações repetidas (basicamente, hora, endereço IP e nome do usuário), e portanto, são facilmente compactáveis por qualquer ferramenta de compactação de arquivos, podendo atingir taxas superiores a 90% de compressão. Ou seja, 1 GB de dados pode ser transformado em apenas 100MB de dados antes de ser guardado, ou até menos. E, ainda mais, o custo das mídias de armazenamento é muito barato hoje em dia. Os dados de logs podem ser armazenados em discos de DVD, Blue Ray ou mesmo em HDs externos ou mídias específicas para backup. As opções são muitas e, com o devido cuidado e devido planejamento, podem representar soluções simples e baratas.

A guarda de logs criminaliza o cidadão que está usando a Internet para o bem.
Discordo totalmente. A guarda de logs é uma medida preventiva, que só é usada pela justiça na eventual investigação de um crime. Não vejo porque o log de acesso criminaliza a população. Na minha opinião, isto é equivalente a exigir que as pessoas tenham um RG, que as linhas telefônicas sejam associadas a um assinante, e que os carros tenham placa, com um registro no Detran associado a uma pessoa, portadora de carteira de habilitação. Ninguém é criminalizado por ter um RG, por ter uma carteira de habilitação, por ter uma placa no carro. e ninguém é chamado de bandido só porque tem um telefone registrado em seu nome. Porque o acesso a Internet é diferente?

A exigência de guarda de logs irá "trazer graves retrocessos ao país, retirando o Brasil da vanguarda como nação conectada".
Vou responder isso continuando as duas argumentações acima: A indústria automobilística deixou de vender carro só porque eles tem que ser emplacados? As Teles deixaram de vender telefone só porque vcê tem que se cadastrar para comprar uma linha? As pessoas vão deixar de acessar a Internet só porque precisam se cadastrar no seu provedor de acesso? Só para exemplificar, os bancos guardam os registros de nossas transações financeiras por 5 anos ou mais, e as empresas de telecom guardam os registros de todas as nossas chamadas por 5 anos. E eu não conheço nenhum caso de um banco ou empresa de telefonia que faliu por causa dos custos da guarda dessas informações.

O projeto instaura o "vigilantismo na Internet"
Outro argumento popularesco e falso, que diz que os usuários serão permanentemente vigiado pelos provedores ou por quem quer que seja. A proposta determina apenas que os provedores guardem os dados de conexão a Internet (hora de login e logoff e o endereço IP utilizado, sem nenhum detalhe do tipo de acesso feito pelos usuários) e que os dados somente podem ser repassados mediante solicitação da Justiça, em caso de investigação de um crime. Os usuários de bem não são afetados por essa medida. Além do mais, os provedores sempre tiveram acesso a estas informações, mas hoje não ha nenhuma regulamentação sobre o que eles fazem com elas: o projeto de lei vai determinar formalmente que tipo de informação os provedores devem guardar, por quanto tempo e em que condições eles poderão repassar isso e para quem. Exemplificando: se você não ultrapassar um farol vermelho, nem o "pardal" nem a placa do seu carro estarão te incriminando por nada, nem estão te vigiando.

O projeto de lei é um atentado a liberdade de expressão na Internet
O PL não prevê qualquer cerceamento de opinião, atentado a liberdade de expressão, nem mesmo censura. O projeto estabelece que somente são mantidos registros de dados de conexão a Internet, e não os dados da navegação do usuário (as informações sobre os sites acessados, por exemplo, não precisam ser armazenados). O projeto estabelece que estes dados devem ser armazenados em ambiente seguro (hoje em dia, cada provedor armazena como quiser) e somente devem sr fornecidos mediante solicitação judicial, em caso de denúncia de um crime (hoje em dia, cada provedor oferece para quem quiser, de acordo com critérios próprios). É o mesmo caso de uma ligação telefônica: se houver pedido judicial para quebra de sigilo, as informações da chamada dirão respeito apenas ao horário em que um determinado número ligou para outro.

O Projeto de Lei criminaliza o download de músicas e vídeos na Internet
Na verdade, isso é assunto para a lei do direito autoral. Não tem nada a ver com o PL 84/99. Este argumento é utilizado para manipular as massas, ávidas por compartilhar músicas e vídeos livremente na Internet, desrespeitando o direito do autor (que, como disse, é definido pela lei do direito autoral). Os opositores argumentam que o projeto de lei criminaliza o compartilhamento de arquivos quando o artigo 285-B diz que é crime "Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular do sistema informatizado, protegido por expressa restrição de acesso, dado ou informação neles disponível". Isto na verdade é uma interpretação distorcida do artigo, que trata do crime de interceptação e roubo de dados.

A pena por acesso indevido a um computador é excessiva, superior a invasão de uma casa.
O artigo 285-A propõe pena de reclusão de 1 (um) a 3 (três) anos para quem "Acessar, mediante violação de segurança, sistema informatizado protegido por expressa restrição de acesso”, enquanto a pena por qum invadir uma casa é de apenas 6 meses (podendo chegar no máximo a 2 anos, se houver agravantes). Concordo que a pena para invasão de um site é bem maior, mas eu acredito que hoje em dia os prejuízos para quem sofre uma invasão em seus sistemas pode ser muito maior do que o prejuízo de uma invasão física. Além da exposição desnecessária (se alguém invadir sua casa, só você fica sabendo. Se invadirem seu site, você é exposto para toda a Internet), hoje em dia mantemos a maioria dos nossos bens acessíveis através da Internet, assim uma invasão online pode dar acesso as nossas economias e dados financeiros, causando enormes prejuízos. Facilmene encontramos pessoas cujas economias (acessíveis via Internet Banking) representam valores maiores do que os bens que podemos achar em suas casas. Ou seja, uma invasão online pode causar um prejuízo financeiro e de imagem muito maior do que uma invasão ao nosso domicílio.

agosto 23, 2011

[Cyber Cultura] Abram espaço para o Onibus Hacker

Enquanto os grupos Anonymous e LulzSec causam estragos a governos e empresas em todo o mundo com suas campanhas, alguns hackers brasileiros estão usando suas habilidades técnicas para ajudar os cidadãos para ter um melhor acesso às informações disponibilizadas pelo governo.

O grupo chamado Transparência Hacker está usando as habilidades técnicas de seus membros para transformar a sociedade através do cyber ativismo. Um dos representantes do grupo Transparência Hacker, Alexandre Gomes, disse que o principal desafio para a população é entender as informações que o Estado brasileiro disponibiliza na internet, e o THacker fomenta iniciativas que tentam prestar informações de utilidade pública de uma forma fácil de usar.

Os membros do grupo tem criado diversas ferramentas para coleta, análise e divulgação de dados públicos existentes em sites governamentais, como um sistema que torna públicos os registros dos contratos e gastos da Câmara de São Paulo, ou um sistema para classificar os parlamentares brasileiros com base em sua atividade.

O projeto mais recente do Transparencia Hacker é o Onibus Hacker, que inclui a compra de um ônibus e a instalação de todos os tipos de gadgets, para que o ônibus possa visitar várias cidades no Brasil e promover a cultura digital, o uso da tecnologia, a inclusão digital e a educação. O grupo usou um site de crowdfunding e conseguiram levantar quase R$ 60.000 em doações para poder comprar e personalizar um ônibus usado.

O ônibus será adaptado para receber uma equipe de até 16 pessoas, com bancadas e rede elétrica para suportar os equipamentos (como notebooks), e será equipado com webcam, GPS e conexão Internet (3G e/ou satélite), para garantir a mobilidade e o acompanhamento das atividades do grupo mesmo à distância.

A parte mais importante do projeto do Onibus Hacker será sua interação com o público em geral, que o pessoal da Transparência Hacker chama de "Invasões Hacker": o ônibus vai visitar pequenas cidades em todo o Brasil, onde irá interagir com a população local, utilizando a tecnologia para ajudar a resolver problemas da cidade, desde a criação de blogs até novas aplicações para ajudar a prefeitura local, além da sensibilização para o uso de tecnologias de dados abertos e promover a cultura hacker em geral. O grupo planeja até mesmo usar o Onibus Hacker para funcionar como um hotspot temporário quando visitar uma cidade.

Segundo Pedro Markun, um dos fundadores da Transparência Hacker, o Ônibus Hacker permitirá fazer ao mesmo tempo oficinas sobre legislação, software livre e audiovisual, além de ajudar a organizar debates com as comunidades locais.

Onibus THacker from bruno fernandes on Vimeo.



O Transparencia Hacker e o Onibus Hacker mostram como os verdadeiros "hackers" podem usar suas habilidades para promover o cyber ativismo de forma construtiva, tentando contribuir com a sociedade.

agosto 19, 2011

[Segurança] Hackers e Crackers

Recentemente, o diretor do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República, Raphael Mandarino Junior, fez um comentário polêmico durante o evento Seginfo 2011, no Rio de Janeiro:
“Eu continuo com a minha posição: hacker é bandido"

Esta frase fez ressurgir em alguns fórums e listas de discussão a polêmica sobre a diferença entre hacker e cracker.

Eu já me enjoei desta discussão há muitos anos atrás, mas infelizmente me sinto na obrigação de dar meu palpite, por fazer parte do Garoa Hacker Clube, que justamente promove a cultura hacker.

As pessoas tem dificuldade de entender que o termo "hacker" assumiu vários significados com o passar do tempo, variando do sentido original (em poucas palavras: nerd, amante da tecnologia) até o sentido pejorativo normalmente associado ao cyber criminoso (ou "pirata da informática"ou como preferir), que justamente é um sentido que se popularizou na mídia.

Antes de mais nada, discutir o sentido de uma frase em que aparece o termo "hacker" exige, portanto, uma análise do contexto em que a palavra foi utilizada, para entender qual foi o significado adotado.

Levantar a bandeira em defesa do uso do termo hacker somente para designar o significado original é válido, porém é uma luta interminável e que provavelmente não vai mudar nada, pois o termo já foi generalizado, principalmente pela mídia, mas já faz parte do vocabulário da população em geral. Quem quer usar a palavra hacker no nome do seu evento, do seu clube ou do seu time de futebol vai passar o resto da vida tendo que explicar qual é o significado que está usando.

Para exemplificar, no Garoa Hacker Clube nós sentimos a necessidade de criar uma página específica para explicar o nosso entendimento do significado da palavra hacker.

O texto "The Hacker Crackdown", escrito em 1992, possui três passagens que explicam a razão do sentido pejorativo do termo hacker:
  • Qualquer forma de poder sem responsabilidade, sem controle direto e formal, é assustador para as pessoas. Deve-se admitir que os hackers são assustadores, e que a base desse medo não é irracional.
  • O termo "hacking" é usado rotineiramente por quase todos os agentes da lei que atuam na fraude informática. A polícia americana descreve quase qualquer crime cometido com, por meio de, ou contra um computador como "hacking".
  • "Hacker" é como os invasores de computadores costumam referir a si próprios. Ninguém que ataca sistemas se descreve espontaneamente como um "intruso de computador", "invasor de computador", "cracker", "hacker do lado negro" ou "gangster de alta tecnologia." Vários termos foram inventados na esperança de que a imprensa e o público mantivessem o sentido original da palavra "hacker", mas poucas pessoas realmente usam esses termos.


Criticar alguém que usa o termo "hacker" é igual querer brigar com a mãe que compra um iogurte da Batavo só porque o filho pediu um "danone".

[Cidadania] Bye Bye, Dia do Orgulho Hétero

Felizmente o prefeito de São Paulo, Gilberto Kassab, vetou o projeto de lei que criaria o Dia do Orgulho Heterossexual na cidade de São Paulo, um projeto de lei do vereador Carlos Apolinario (DEM), membro da igreja Assembleia de Deus.

Segundo Kassab, a proposta é "despropositada" pois "O heterossexual é maioria, não é vítima de violência, não sofre discriminação, preconceito, ameaças ou constrangimentos. Não precisa de dia para se afirmar". Além do mais, "mulheres, negros e outras minorias raciais devem ter seus dias no calendário. Estas datas, sim, têm sentido, pois estimulam a tolerância e a paz".

Eu, particularmente, não vejo motivo para tal aberração, que provavelmente só serviria para fomentar o preconceito. Ao contrário da população homossexual, os héteros não sofrem preconceito diariamente pela sua opção sexual: os casais héteros podem andar de mãos dadas nas ruas ou mesmo trocar carícias sem se preocupar que podem ser agredidos ou ofendidos. Além do mais, tem todos os seus direitos garantidos. Nunca ouvi notícia sobre algum casal hétero que tenha sido atacado na Avenida Paulista ou na praça da República somente por andarem de mãos dadas.

Na minha opinião, promover o "dia do orgulho hétero" é defender que uma maioria tenha direito de manter seu comportamento preconceituoso (e, muitas vezes, violento). É o mesmo que defender o direito da população branca ser racista e o direito ao preconceito religioso.

Qual seria o próximo passo? Termos passeata da KKK e dos neo-nazistas na Av. Paulista? Passeata contra os Judeus e os negros? Obrigado, mas esta não é a cidade nem o país que eu quero.

[Segurança] Ataques DDoS

Com os protestos do grupo Anonymous surgidos principalmente após dezembro de 2010 (quando várias empresas cortaram os fundos e recursos do Wikileaks e o Anonymous lançou a operação PayBack para apoiar o Wikileaks) e após o surgimento do grupo LulzSec e a operação AntiSec, os ataques DDoS entraram na moda.

Na verdade, os ataques de negação de serviço (tradução do termo em inglês Deny of Service, ou DoS) existem praticamente desde os primórdios da Internet, enquanto os ataques distribuídos de negação de serviço (Distributed Deny of Service, ou DDoS) se popularizaram a partir do ano 2000. Estes ataques sempre aconteceram com grande frequencia em todo o mundo, mas no Brasil sua ocorrência não era tão grande e poucas vezes chegavam a ser mencionados na mídia.

Em 2009, ficaram famosos os ataques de DDoS contra a Telefônica, que causaram indisponibilidade no acesso dos clientes do Speedy por alguns dias.

Ataques DoS

Os ataques de negação de serviço visam impedir o funcionamento de algum recurso (um servidor, um site ou uma empresa toda), através de alguma forma de ataque que inviabilize o serviço. Isto pode ser alcançado de várias formas:
  • Através da exaustão dos recursos existentes: normalmente o atacante busca sobrecarregar a largura de banda do link de comunicação da vítima ou a capacidade de processamento de um servidor. Por exemplo, enviando um número muito grande de pacotes a ponto de entupir um link de conexão ou um número grande de acessos para um servidor de forma que ele fique sobrecarregado e não consiga atender os usuários válidos;
  • Através de bugs que interrompam o funcionamento do servidor: existem várias vulnerabilidades que, quando exploradas, fazem com que o serviço ou o sistema operacional simplesmente pare de funcionar, e assim fica totalmente indisponível.


O SYN Flood é, provavelmente, o ataque de negação de serviço mais conhecido e existe desde 1996. Ele consiste em enviar milhares de pacotes SYN, para iniciar uma conexão HTTP (TCP na porta 80) em um servidor web, sem dar continuidade a conexão. O servidor atacado recebe milhares de pedido de conexão e fica enfileirando-as até atingir o máximo de conexões abertas que o servidor suporta, esperando a continuidade da conexão, que nunca vem.

Outros ataques clássicos de negação de serviços e que entraram para a história da Internet por derrubarem milhares de servidores na época em que foram inventados são o Ping da Morte e o WinNuke, muito populares no final da década de 90. Ambos exploravam bugs específicos que, quando o pacote de rede mal formado atingia o servidor, causava o seu crash. (Nota: ambos ataques são bem antigos e não afetam os servidores modernos)

Ataques DDoS

O conceito dos ataques DDoS surgiu entre o final do ano 1999 e início de 2000, quando surgiam as primeiras ferramentas específicas para realizar um ataque distribuído de negação de serviços, como o Trinoo e o TFN (Tribe Flood Network).

O DDoS nada mais é do que um ataque de negação de serviço que utiliza múltiplos computadores para realizar o ataque ao mesmo tempo, de forma sincronizada. O atacante invade previamente dezenas, centenas ou milhares de máquinas e, em um determinado momento, dispara um comando para que as máquinas invadidas comecem a atacar um determinado alvo, que fica sobrecarregado facilmente. Outra vantagem para o atacante é que, como o ataque parte de diversas máquinas espalhadas pela Internet, a vítima tem dificuldade em implantar filtros para bloquear o ataque, devido a grande variedade de equipamentos que estão realizando o ataque, e pelo fato do ataque ter diferentes origens. Para complicar um pouco mais, normalmente as máquinas que realizam o ataque DDoS o fazem utilizando endereços IP falsificados (através de uma técnica bem conhecida, chamada IP spoofing).

Normalmente o atacante invade várias máquinas antes de iniciar o ataque. São máquinas de usuários comuns, que normalmente nem sabem que foram invadidos e que estão hospedando um software malicioso para realizar ataques contra terceiros. Em uma ou algumas delas, o atacante instala o software que controla a ferramenta de ataque e, na grande maioria dos equipamentos, ele instala o software que efetivamente realiza os ataques. Estas máquinas são normalmente chamadas de zumbis ou de bots (um termo que surgiu mais recentemente, como se as máquinas fossem robôs - ou robots, em inglês).

De alguns anos para cá convencionou-se chamar esta rede de máquinas invadidas de botnets, ou seja, redes de bots.

Botnets

Com a facilidade de invadir máquinas disponiveis na Internet, as botnets proliferaram nos últimos anos. Eu desconheço qualquer levantamento sobre a quantidade de botnets existentes, mas certamente existem centenas de botnets ativas espalhadas pela Internet (este artigo mostra o estrago causado pelas 10 maiores botnets). Já foram encontradas botnets de todos os tamanhos: desde usando poucas dezenas de máquinas até botnets com milhões de hosts infectados.

A sofisticação chegou a tal ponto que e comum cyber criminosos alugarem suas botnets para oferecer serviços criminosos e realizar ataques a pedido de outros cyber criminosos. É possível, por exemplo, contratar um ataque DDoS contra um site por até 10 dólares por hora. Além de realizar ataques, as botnets são normalmente alugadas para enviar SPAM.

O interessante é que, dependendo do alvo e do tipo de ataque sendo utilizado, é possível derrubar um site com poucas máquinas, como mostra um teste recente realizado pelo blog Coruja de TI.

Tipos de ataques DDoS

Normalmente as botnets existentes são capazes de realizar diversos tipos de ataques de negação de serviço (e alguns outros tipos de ataque também, como envenenamento de buscas - o chamado Black Search Engine Optimization), bastando ao dono enviar o comando indicando qual é o tipo de ataque a ser realizado e qual é o alvo.

Existem vários tipos de ataques de negação de serviço atualmente, alguns direcionados a sobrecarregar a infra-estrutura de rede e outros direcionados a camada de aplicação, causando alguma sobrecarga direto no serviço que está rodando no servidor atacado.

É concenso geral na área de segurança que é muito difícil se defender contra um ataque DDoS ou diminuir o seu impacto. Embora seja possível adotar algumas medidas preventivas, sua eficácia depende do tipo de ataque de negação de serviço sendo realizado e do quanto a sua infra-estrututa consegue absorver esse tráfego excessivo.

Mas essa discussão ficará para meu próximo artigo sobre este assunto...

Mais informações:

agosto 17, 2011

[Cyber Cultura] A fadiga das redes sociais

Uma pesquisa recente realizada pela consultoria Gartner em 11 países mostrou que as pessoas estão começando a se cansar das redes sociais. Segundo a pesquisa, 24% das pessoas afirmaram que estão hoje menos entusiasmados com as redes sociais.

De acordo com a pesquisa, os brasileiros e os russos aparecerecem entre os mais cansados dessas mídias. Nos dois países, entre 30% e 40% dos entrevistados afirmaram que usam as redes sociais menos vezes agora do que quando se inscreveram.

Nos Estados Unidos, no Japão e no Reino Unido a perda de entusiasmo gravita em torno de 20%. Outros 40% afirmam que usam esses sites mais agora do que no início.

O interessante é que o Brasileiro é um usuário ativo das redes sociais. Segundo uma pesquisa recente da CNT/Sensus, 64,5% dos usuários da Internet afirmam ter perfil no Orkut, 37,4% usam o Facebook (a maior rede social do mundo, com mais de 750 milhões de usuários) e 20,8% acompanham o Twitter.

Os colunistas da CBN teorizam que este desgaste é resultado da grande variedade de opções de redes sociais e da velocidade com que elas aparecem, se tornam moda e depois deixam de ser utilizadas. Quando começamos a nos acostumar com um determinado site, logo surge outro que toma o seu lugar.

[Segurança] Eventos de Segurança fora de São Paulo

Neste semestre nós teremos vários eventos de segurança fora do estado de São Paulo, o que eu considero excelente, pois ajuda na propagação do conhecimento para profissionais de várias cidades e regiões que nem sempre tem facilidade para participar de eventos em São Paulo.

SegInfo, Rio de JaneiroRecentemente eu tive a feliz oportunidade de participar da primeira edição do CNASI em Recife e, no final de semana passado, participei também da sexta edição do SegInfo, na cidade do Rio de Janeiro. Embora os dois eventos tenham um enfoque um pouco distinto (o CNASI é mais corporativo e o SegInfo tem uma abordagem mais técnica), ambos foram de excelente qualidade e contaram com palestrantes nacionais de primeira linha. Espero que o público dos dois eventos tenham aproveitado bastante estas oportunidades.

Vale lembrar que em Setembro deste ano teremos o Vale Security Conference em São José dos Campos (SP) e em Outubro acontecerá o Global AppSec Latin America 2011 Conference da OWASP em Porto Alegre (RS) e o VIII ICCyber em Florianópolis (SC).

Fico muito feliz em ver eventos de qualidade em várias cidades do Brasil. Espero sinceramente que todas estas iniciativas se estabeleçam e enriqueçam ainda mais o nosso mercado de segurança da informação.

Nota: o pessoal do SegInfo publicou várias novidades pós-evento.

[Cybercultura] Garoa na Folha

O jornal Folha de São Paulo publicou uma reportagem sobre cyber ativismo na edição de domingo passado, dia 16/08.

A reportagem "Redes virtuais saem à rua para provar "ativismo real"" saiu no caderno Cotidiano, e abordou o surgimento de grupos cyber ativistas como o Transparência Hacker, o projeto Ônibus Hacker e o Garoa Hacker Clube, o primeiro hackerspace brasileiro. Estes grupos estão todos baseados na Casa da Cultura Digital (CCD), localizada na região central de São Paulo.

A reportagem da Folha destacou o lado inovador destas iniciativas. No caso do grupo Transparência Hacker e do Onibus Hacker, há também o aspecto da mobilização política, pois estes grupos pretendem usar a tecnologia como uma ferramenta de transformação da sociedade. O Transparência Hacker cria ferramentas para analisar e divulgar dados públicos do governo, como um sistema que abre para o público os contratos e os gastos da Câmara paulistana.

A reportagem também inclui uma bela galeria de fotos do Garoa e da CCD.

agosto 12, 2011

[Cyber Cultura] Protestos e censura online

De repente, as pessoas vão às ruas para protestar e surgem manifestações violentas espalhadas por todo o país. O governo local, na tentativa de controlar os protestos e limitar a capacidade dos manifestantes para se organizarem, resolve propor a interrupção da comunicação online no país quando as autoridades percebem que as pessoas nas ruas estão usando sites de redes sociais para se organizarem. Nós já vimos essa drama no início deste ano na Tunísia, Egito e alguns países do Médio Oriente.

No entanto, desta vez eu estou falando da Inglaterra.

Em 11 de agosto de 2011 o primeiro-ministro britânico, David Cameron, disse ao Parlamento que o Governo está avaliando se os serviços de comunicação e o acesso a redes sociais devem ser interrompidos em tempos de desordem, como no recente caso dos distúrbios violentos que vem afetando várias cidades do Reino Unido, como Londres, Manchester, Birmingham e Nottingham. As autoridades britânicas afirmam que os manifestantes estão usando o sistema gratuito de mensagem do BlackBerry e o Twitter para organizar e incentivar os tumultos.

Me assusta quando um governo propõe o desligamento ou a censura dos acessos on-line para limitar a capacidade e os direitos das pessoas protestarem. Não importa se há uma causa boa por trás ou se os motins representam apenas vandalismo - às vezes a diferença entre eles é apenas uma questão de diferentes pontos de vista, entre as pessoas que apoiam os manifestantes e pessoas que apoiam o governo.

Pode parecer estranho para algumas pessoas, mas enquanto algumas pessoas acreditam que o governo do Reino Unido é legal e os manifestantes ingleses não são nada além de criminosos, certamente há por aí alguns defensores do ditador da Líbia Muamar Ghadaff que acreditam que ele é legal e que os rebeldes da Líbia são criminosos. Eu ainda não conheço uma regra de ouro para decidir quando um governo ou os manifestantes estão certos. Mas eu não acredito que qualquer tipo de censura on-line vai ajudar.

Não é apenas uma questão de julgar quando um protesto é válido ou quando um governo é justo. As tecnologias de comunicação on-line como os telefones celulares e a Internet são uma ferramenta poderosa para ajudar tanto os manifestantes como a população em geral. Tenho certeza que, enquanto alguns manifestantes no Reino Unido estavam usando seus smartfones para divulgar, incentivar e organizar os protestos de rua, milhares ou milhões de cidadãos no Reino Unido estavam usando seus telefones e sites de redes sociais para manter contato com seus amigos e familiares e para compartilhar informações sobre o perigo dos protestos e se informarem sobre as áreas afetadas pelos tumultos. Desligar ou censurar a Internet afetaria a todos, não só os manifestantes.

Como o presidente americano Barack Obama disse uma vez: "É a grande ironia da Era da Informação que as mesmas tecnologias que nos capacitam para criar e construir também são utilizadas por aqueles que querem perturbar e destruir." Esta é uma das minha frases favoritas.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.