Páginas

setembro 30, 2011

[Segurança] Soltaram a besta

A principal atração da Ekoparty, a conferência de segurança argentina que ocorreu de 21 a 23 de setembro foi, sem dúvida, a palestra dos pesquisadores de segurança Juliano Rizzo e Thai Duong, que prometeram divulgar uma nova ferramenta capaz de explorar um ataque ao SSL/TLS até então considerado apenas teórico.

O ataque foi discutido pela primeira vez em 2004 pelo criptologista Gregory V. Bard e explora a forma com que alguns algoritmos de criptografia são construídos. Alguns algoritimos fazem cifra de blocos, ou seja, dividem a mensagem em pequenos blocos que são encriptados um-a-um. Destes, alguns algoritmos usam o que chamamos de criptografia de blocos encadeado (CBC, ou cipher block chaining), aonde um bloco recém criptografado é utilizado para ajudar a criptografar o próximo bloco. A idéia conceitual dessa doideira é adicionar um conjunto adicional de dados imprevisíveis na criptografia, dificultando o trabalho de quem queira descobrir uma mensagem criptografada.

Voltando à Ekoparty, Juliano e Thai descobriram como explorar esta falha e criaram uma ferramenta, um javascript chamado BEAST (Browser Exploit Against SSL/TLS) que, uma vez rodando no browser do usuário, é capaz de desencriptar os dados enviados por SSL, que deveriam estar criptografados pelo famoso cadeadinho do browser (pelo menos é assim que explicamos para os usuários finais). A ferramenta funciona só do lado do cliente, pegando o fluxo de dados que sai do micro - o que já é suficiente, pois é aí que são enviadas as senhas dos usuários.

Eles rodaram uma live demo na Ekoparty, que foi aplaudida pela platéia extasiada. Thai também postou um vídeo em seu blog pessoal mostrando como a ferramenta consegue capturar dados transmitidos em uma conexão SSL, utilizando como exemplo um acesso ao site Paypal.



Há muita controvérsia se o ataque pode ser realizado facilmente ou não. Alguns críticos dizem que é difícil implantar algo no browser do usuário, outros dizem que a ferramenta demora muito tempo para conseguir decriptar alguma coisa. Na minha opinião, mesmo que seja muito difícil algum atacante malicioso usar esta ferramenta no mundo real, ela poderia, ainda assim, ser utilizada para ataques específicos, como os casos aonde o atacante está interessado em invadir um determinado ambiente e roubar o máximo possível de informação, sem se preocupar com o tempo necessário para isso. São os ataques que a comunidade de segurança se acostumou a chamá-los de APT (Advanced Persistent Threat), e várias empresas ao redor do mundo já foram alvos de atacantes super sofisticados, que desenvolveram métodos próprios de ataque para conseguir roubar dados de grandes empresas e de governos. Para esse povo, o BEAST vai ser uma mão na roda :(

Veja aqui mais algumas informações sobre o BEAST:


Atualização (30/9): O Marco "Kiko" Carnut da Tempest também publicou um artigo bem legal sobre o BEAST, com algumas dicas sobre como alterar a configuração do servidor Apache e do IIS para alterar a cifra usada pelo SSL/TLS, de forma a usar o RC4, que é uma cifra de stream, e portanto não é vulnerável. Ele também colocou em seu post um link para o paper original do Juliano Rizzo e do Thai Duong sobre o ataque.

setembro 25, 2011

[Cyber Cultura] 10 tipos de pessoas e 11 Hackerspaces no Brasil

Sim, eu intencionalmente reciclei uma piada nerd bem velhinha só para colocar um título forçosamente exagerado para este post :)

No próximo dia 12 de Outubro, o pessoal do Laboratório Hacker de Campinas irá fazer uma festa de inauguração e, assim, será o terceiro hackerspace em operação no Brasil. A nova sede fica na Avenida Orozimbo Maia, 1264, em Campinas.

O convite para inauguração do LHC está disponível no site deles, mas também é possível visualizar o convite através de um terminal, acessando a mesma URL (http://inauguracao.lhc.net.br) usando comandos como Curl ou Wget. Fica sensacional:
wget -O- -q http://inauguracao.lhc.net.br
curl -L http://inauguracao.lhc.net.br


Maiores informações na página do LHC e no Blog do Garoa. Além disso, o Garoa mantém uma página com todos os Hackerspaces brasileiros em operação e uma página com os grupos interessados em montar um Hackerspace no Brasil.

Estou super contente em ver outros hackerspaces surgindo, na esteira do sucesso do Garoa Hacker Clube.

[Cyber Cultura] O que são os Hackerspaces

Eu acabei de achar um vídeo EXCELENTE sobre o que são os hackerspaces.

O vídeo chamado "Science on the SPOT: Open Source Creativity - Hackerspaces" mostra o Noisebridge, um hackerspace em São Francisco (EUA) e é apresentado pelo seu co-fundador, Mitch Altma (esta é a primeira vez que eu vejo ele sem estar com os cabelos coloridos). O vídeo mostra como o Noisebridge funciona, mostra várias cenas internas e algumas de suas atividades. Também é muito interessante ver como o pessoal da Europa influenciou os surgimento dos hackerspaces nos Estados Unidos.

O vídeo é simples, objetivo e curto. Vale a pena assisti-lo, mesmo para quem já está familiarizado com os hackerspaces.

setembro 21, 2011

[Segurança] Listo para Ekoparty!

Nesta semana acontece a Ekoparty, a melhor conferência de segurança da Argentina e certamente uma das melhores e mais importantes de toda América Latina (incluindo o Brasil).

O evento, que está na sua sétima edição e vai de 21 a 23 de Setembro, inclui várias palestras, cursos e workshops. A Ekoparty (ou simplesmente "Eko") é focada em pesquisa de segurança e de vulnerabilidades, e por isto mesmo o conteúdo das palestras é bem técnico, mas de altíssima qualidade. Normalmente eles também convidam alguns dos melhores palestrantes da Defcon daquele ano. Para efeitos de comparação, o evento brasileiro que mais se assemelha a Ekoparty é a H2HC.

A Eko costumava ter dois dias, mas neste ano a conferência ganhou um dia adicional. O primeiro dia é dedicado principalmente aos workshops de duas horas, enquanto os demais dias serão tomados por diversas palestras. É desnecessário dizer que a maioria dos palestrantes são da Argentina e da América Latina, e por isso mesmo o espanhol é a língua oficial do evento.



Além da Ekoparty ser excelente, Buenos Aires é uma cidade super legal: bem turística, com muitos passeios e muito bonita, com prédios antigos e com uma arquiterura que lembra as cidades européias. Por isso mesmo, a viagem vale muito a pena. Além da facilidade da língua, o custo de passagem, hospedagem e refeição é relativamente baixo.

Para aqueles que nunca vieram a Buenos Aires, eu tenho algumas dicas que considero importantes, mas que de forma alguma desmerecem a cidade nem mesmo a chance de visitar a Eko:

  • Muito cuidado na hora de trocar reais por pesos no aeroporto de Buenos Aires. Há várias casas de câmbio lá que usam uma taxa totalmente distorcida. O melhor é trocar reais por pesos no Brasil ou então em algum banco quando você estiver no centro de Buenos Aires. No aeroporto há um posto do Banco de La Nación que usa a taxa de cambio oficial, e este é o único lugar confiável no aeroporto (não é a toa que tem uma fila enorme e é repleto de argentinos, em vez de turistas). O posto fica próximo a saída do desembarque, praticamente atrás do portão de desembarque (dê a volta pelo lado direito de quem sai do portão). A diferência entre o câmbio oficial, praticado no posto do Banco de La Nacion, e as casas de câmbio do aeroporto é de cerca de 20%.
  • Em Buenos Aires há um problema muito grande com dinheiro falso. Por isso, tome muito cuidado com os taxistas e as notas falsas. Os taxistas, quando percebem que você é turista, ou dão troco errado ou dão troco com nota falsa - ou os dois. Por isso, muita atenção quando for pagar o taxi. Muita atenção mesmo. Evite dar nota grande (ex, 100 pesos) e, preferencialmente, já dê o dinheiro trocado. Um cuidado que pode ser tomado é, quando você for pagar, fale em voz alta e claramente: "ah, então a corrida deu xxx pesos, aqui você tem yyy pesos e por isso me de um troco de zzz pesos". Isso é para não dar margem para o taxista te roubar no troco e mostrar que você está atento. Alguns de nossos colegas já tiveram problema de receber nota falsa no taxi. Isso é sério, não é lenda urbana. No próprio aeroporto há vários cartazes alertando sobre isso. Uma dica impressa nestes cartazes é de memorizar os últimso 2 números da série da nota que você está usando, para evitar que te devolvam uma nota trocada (por exemplo, alegando que não tem troco).
  • O aeroporto internacional, de Ezeiza, fica muito longe do centro da cidade. É como Cumbica, em São Paulo: longe, com muito trânsito e o taxi custa os olhos da cara. Por isso e pelo problema do câmbio e das notas falsas, vale a pena quando chegar você pegar um desses taxis pré-pagos do aeroporto. A maioria deles vai te oferecer um cartão com o telefone dele e vai dizer que, se você quiser, pode pegar o taxi de volta para o aeroporto com desconto (algo em torno de 20% de desconto). Separe uma grana para o final da viagem, para pagar o taxi na volta para o aeroporto. A corrida do aeroporto até o centro custa cerda de 150 pesos (ou seja, aproximadamente R$ 80).
  • Vários restaurantes e cafés não aceitam cartão de crédito, por isso é bom andar com mais dinheiro no bolso do que você andaria normalmente em São Paulo.


Embora a criminalidade em Buenos Aires não seja pior do que a de São Paulo nem de qualquer outra cidade grande, vale a pena ler o texto "Como ser turista em B.Aires e (tentar) não padecer a destreza dos batedores de carteira, caixas eletrônicos problemáticos, dinheiro falso, taxistas espertos e outros percalços", publicado em Março deste ano no Blog do Estadão (dica do Ronaldo Vasconcellos).

Fora os problemas acima, Buenos Aires é muito legal e a Ekoparty é sensacional. Espero encontrá-los por lá :)

[Cyber Cultura] Gostamos de PC e Amamos Mac

Achei essa reportagem "We like our PCs -- but love our Macs", da CNN, um tanto curiosa. Os americanos, que adoram estatísticas, possuem um ínice que mede a satisfação dos usuários de computadores pessoais. O interessante é o resultado da comparação entre a satisfação de usuários de PCs (rodando Windows) e de Macs: historicamente, os usuários da Apple quase sempre estão mais satisfeitos do que os usuários de PC. A Apple praticamente lidera o ranking desde 1994.



De acordo com os números mais recentes, enquanto os usuários de PCs atribuíram uma nota 78 (de 0 a 100) em termos de satisfação, os usuários de Macs atingiram 86 pontos em 2010.

é comum ouvirmos comentários de que os Macs são melhores, mais legais ou mais fáceis de usar do que os PCs, e a reportagem tenta, justamente, mostrar que isto é verdade. Além da satisfação ser maior, o artigo diz que a causa disso se deve a inovação e diversificação dos produtos da Apple - algo que não é de hoje. Os mais experientes na indústria não terão dificuldades em lembrar da longa lista de inovações que a Apple trouxe, e que depois foram incorporados ao PC. Isto inclui a interface gráfica e o moouse (que foi criado pela Xerox, mas popularizado pela Apple).

setembro 19, 2011

[Segurança] Os hackers do Ministro

Desde que o Ministro da Ciência e Tecnologia, o Sr. Aloizio Mercadante, anunciou no FISL (Fórum Internacional do Software Livre) a idéia de chamar "hackers" para ajudar o seu ministério em projetos de transparência de dados e na modernização e na segurança do portal do ministério, muito já foi dito, especulado e polemizado, mas o fato é que a iniciativa tem prosperado e amadurecido, e agora é possível ter uma visão melhor de quais seriam as intenções do Mercadante.

Recentemente, no dia 05 de setembro, o ministro, alguns políticos e técnicos do ministério fizeram uma reunião na Casa de Cultura Digital para discutir o projeto. O fato é que o Ministério da Ciência, Tecnologia e Inovação está preparando uma plataforma de dados abertos e quer a ajuda das comunidades de software livre, cultura livre e de transparência pública em seu desenvolvimento, incluindo cyber ativistas e programadores.

O projeto atende pelo nome de Plataforma Aquarius, tendo como objetivo permitir o acompanhamento público e transparente dos gastos do ministério e de suas ações. O portal terá integração com outros sistemas, como o IBGE e o Finep, o Portal da Transparência, com o governo federal, que é coordenado pela Controladoria-Geral da União (CGU) e os dados serão alimentados por todos os ministérios.

O Ministério pretende desenvolver o sistema integralmente em software livre, o que, além da redução de custos, permitiria sua adaptação pela instituição usuária. Além disso, o projeto é baseado principalmente em usar o conceito de dados abertos (open data). A partir, daí, surgiu toda a história de convidar os "hackers" a fazerem parte da iniciativa, através de algum tipo de parceria com a comunidade "hacker". No encontro, o ministro fez questão de deixar claro seu entendimento sobre o termo hacker e que ele está se referindo aos chamados "hackers éticos", não os crackers (ou cyber criminosos).

Segundo o relato do Alberto Fabiano, um dos fundadores do Garoa Hacker Clube que participou do encontro, durante uma pré-reunião de grupo reduzido o Mercadante, o ministro começou a contar causos do Gilberto Gil, que foi responsável por criar o entendimento e a simpatia que ele tem pelos chamados "hackers". O Gilberto Gil foi autor de uma clássica afirmação “Sou hacker. Sou um ministro hacker. Sou um cantor hacker.” Este posicionamento dele acabou servindo como uma semente quanto a este assunto dentro do governo.

Até aí tudo bem, mas agora começa a ficar bem claro para mim quem é o "hacker" que o ministro tanto fala e tanto deseja. Pelos vários relatos das conversas deste encontro, fica bem claro para mim que a principal preocupação do ministro é obter ajuda da comunidade de software livre. Praticamente tudo do que se falou até agora foi sobre uso de software livre e dados abertos, mas pouco ou quase nada foi dito sobre segurança. O "hacker" que o ministro quer é o desenvolvedor de software livre, que se interesse em usar esta tecnologia para promover a transparência dos governos, uma das ações típicas do cyber ativismo consciente.

A questão aqui não é segurança.

Como profissional de segurança, eu tenho a tendência de associar automaticamente o termo "hacker" ao especialista em segurança (tanto o que faz o bem quanto o mal - este último, também chamado de cracker). Mas esta história toda do Mercadante nos faz lembrar que o "hacker" é muito mais do que isso. É o amante de tecnologia. É o programador, é o especialista em hardware, o engenheiro eletrônico, é o apaixonado por software livre, é o geek que desenvolve software proprietário, e é o artista que usa a tecnologia para criar.

Obrigado, Mercadante, por me lembrar de algo que aprendi há menos de um ano atrás, quando comecei a participar de um hackerspace de verdade. :)

setembro 16, 2011

[Segurança] Combatendo os vírus

Em Julho deste ano, o pesquisador de segurança Mikko Hypponen fez uma apresentação bem interessante no TED chamada "Fighting viruses, defending the net", aonde ele apresentou uma visão rápida e objetiva sobre a evolução dos vírus de computador nos últimos 25 anos, dos primeiros vírus ao Stuxnet.

A palestra começou apresentando o vírus Brain, considerado o primeiro vírus de computador, criado por dois irmãos no Paquistão. O detalhe interessante é que o nome, telefone e endereço dos criadores do vírus estavam escritos no código, e 25 anos depois, os dois irmãos que o escreveram continuam morando no mesmo lugar. Hoje, os códigos maliciosos são criados por pessoas ligadas ao crime organizado, usando trojans e keyloggers com objetivo de obter dados confidenciais e informações financeiras de suas vítimas, para serem utilizados em fraudes online. Hoje o crime organizado online criou toda uma economia underground, que inclui criminosos contratando programadores para desenvolver seus códigos maliciosos.



A palestra é excelente, bem objetiva, curta e repleta de exemplos.

setembro 13, 2011

[Segurança] Os custos exorbitantes do Cyber Crime

Uma pesquisa recente divulgada pela Symantec relata que o cibercrime está causando prejuízos de US$ 338 bilhões em todo o mundo por ano, sendo que US$ 114 bilhões correspondem a prejuízos causados diretamente por fraudes online e US$ 274 bilhões correspondem ao custo causado as vítimas dos crimes cibernéticos para se recuperarem dos ataques e fraudes. Para efeitos de comparação, estes números tornam o crime cibernético mais prejudicial para a economia global do que o comércio de drogas (estimado em US$ 288 bilhões por ano).

O estudo, chamado "Norton Cybercrime Report 2011 ", incluiu 24 países e trouxe várias estimativas interessantes:
  • 69 por cento dos adultos online já foram vítimas de crime cibernético;
  • A cada segundo, 14 pessoas são vítimas em todo o mundo a alguma forma de crime online (normalmente invasão de redes sociais ou fraude de cartão de crédito), o que representa mais de um milhão de vítimas por dia;
  • 431 milhões de pessoas foram vítimas de crimes online nos 24 países pesquisados nos últimos 12 meses;
  • O tipo de cibercrime mais comum em todo o mundo são os vírus de computador e malwares, com 54% dos entrevistados dizendo que já foram vítimas em algum momento, seguido por fraudes on-line (11% dos entrevistados) e mensagens de phishing (10%);
  • Nos últimos 12 meses, três vezes mais adultos entrevistados foram vítimas de crime online do que crime no mundo real;
  • 89 por cento dos entrevistados concordam que é necessário mais empenho das autoridades para punir os ciber criminosos.


Na minha opinião, o relatório faz uma grande confusão na tentativa de forçar uma comparação sensacionalista do crime cibernético com o tráfico de drogas. Eu acredito que o correto seria, por exemplo, comparar o dinheiro movimentado por cada um dos dois tipos de crime. Ou seja, o relatório usou as estatísticas da ONU sobre o mercado mundial de Maconha, Cocaína e Heroína, que movimentam cerca de US$ 288 bilhões, e deveria ter comparado este valor com o quanto o crime cibernético também movimenta em termos de dinheiro roubado (ou seja, esta seria a estimativa de "apenas" U$S 114 bilhões). Não é certo incluir o custo das pessoas se recuperarem de um crime cibernético (uma estimativa calculada em termos do tempo perdido por uma vítima de ciber crime). Ou seja, uma comparação mais justa seria dizer que o tráfico mundial de drogas movimenta 288 bilhões de dólares enquanto o crime cibernético movimenta apenas US$ 114 bilhões. Mas isso não ganharia destaque na imprensa, né?

Para piorar a análise crítica da comparação do crime cibernético com o tráfico mundial de drogas, o relatório da Symantec somou as estimativas da ONU para o mercado de Cocaína e Heroína em 2011 com a estimativa do mercado de Maconha em 2005. Ou seja, uma estimativa de 6 anos atrás, que certamente está muito defasada. Ou seja, em português chulo, o relatório pegou estatísticas de banana com maçã (isto é, tráfico de drogas em períodos distintos) e comparou com estatísticas de pera com melancia (dados dos roubos online somados a estimativa de tempo de recuperação de uma fraude).

No final das contas, os valores apresentados pelo relatório "Norton Cybercrime Report 2011 " são interessantes, mas a confiabilidade dos números apresentados é questionável.

De qualquer forma, acredito que o cenário apresentado reflete a realidade mundial: existem milhões de vítimas de crime cibernético e o cibercrime tende a crescer pela facilidade de praticá-lo, devido a quantidade enorme de vítimas em potencial, pela facilidade de cruzar as fronteiras e pela dificuldade dos paises em combaterem o crime cibernético.

setembro 09, 2011

[Segurança] Defcon 19

Há pouco tempo atrás eu gravei um videocast bem legal com o Gustavo Lima, do blog Coruja de TI, sobre a edição deste ano da Defcon.



A Defcon é a maior conferência hacker do mundo, que acontece anualmente em Las Vegas, geralmente entre o final de Julho e início de Agosto.

Neste ano tivemos a 19a edição nos dias 04 a 07 de Agosto (na verdade, as palestras foram dias 5, 6 e 7/08), com cerca de 10 mil presentes. Sim, 10 mil pessoas. E aí já começa uma das características que eu mais gosto na Defcon: a grande diversidade de pessoas. O evento é um grande zoológico nerd. Muitas pessoas legais, muitas pessoas esquisitas, e gente de toda a idade. Ao contrário do que vemos no Brasil, lá na Defcon tem desde crianças (este ano teve até o Defcon for Kids) até gente de mais idade, magros e carecas, gordos e magros, homens, mulheres e gente que não dá para saber o que é :)

Neste ano a Defcon ocorreu pela primeira vez no hotel e Cassino Rio, após o Riviera ter hospedado o evento por vários anos. O Rio é bem maior do que o Riviera, é gigante, mas mesmo assim o espaço não era suficiente: haviam muitas filas e salas lotadas. No dia 04 já existiam filas quilométricas para comprar o ingresso a conferência, que custa US$ 150 e deve ser pago em dinheiro. Tenho colegas que ficaram mais de duas horas na fila para pegar o crachá.

Eu gosto muito da Defcon pela conferência em si: são 5 trilhas de palestra simultâneas, o dia inteiro, sem pausa para coffee-break nem para almoço. Se você quiser comer algo ou ir no banheiro, tem que fazer isso entre uma palestra e outra ou tem que escolher um horário que não tenha algo que te interesse. Obviamente, como acontece em qualquer lugar, há palestras muito boas (em geral, concorridíssimas) e palestras horríveis. E, claro, muitas vezes você só descobre que a palestra é ruim tarde demais. O que eu considero mais legal nas palestras é que muitas delas falam sobre temas muito recentes, sobre as mais recentes pesquisas em um determinado assunto. Assim, dá para apreender muita coisa e, o que me deixa maravilhado, dá para ver assuntos que só vão virar realidade daqui a um ou dois anos. Por exemplo, neste ano aconteceram várias palestras de pesquisadores de segurança estudando sobre segurança de dispositivos em hardware, o que pode ser uma nova tendência, como o Charlie Miller contando como descobriu que as baterias dos MacBooks tem um software embarcado que pode, eventualmente, ser vulnerável, e outros pesquisadores falando sobre como hackear equipamentos médicos e carros. Algumas palestras também abordaram Cloud Computing e sistemas SCADA, que são dois tópicos da moda.

Ah, os slides de várias palestras já estão disponíveis no site da Defcon.

Além das palestras, a Defcon tem dezenas de atividades em paralelo, que valem a pena serem visitadas, incluindo a tradicional competição de Capture the Flag, e uma área de lojinhas bem legal, com várias empresas vendendo camisetas, adesivos, bugigangas, livros, computadores usados, kits de lockpicking e de kits de wireless, etc. Também tem a Lockpicking Village, a Wireless Village e a Hardware Hacking Village, ou seja, salas dedicadas para atividades (palestras e oficinas) sobre estes assuntos.

Neste ano também tivemos a segunda edição da HackCup, uma competição de futebol com 14 times de vários países. É bem divertido, e nos dois anos tivemos um time brasileiro, o BRA Team. Eu fui o técnico do time (afinal, não sei jogar bola e, quando você não sabe algo, o melhor é virar chefe mesmo), e contamos com vários colegas que suaram a camisa: o Clebeer Brandao, o Pedro Drimel, Ricardo Makino, Pedro Matheus (excelente goleiro), o Joaquim Espinhara, Andre Landim e o Marcelo Camara - além do Jorge, que conhecemos lá. No ano passado nós perdemos dois jogos e ganhamos apenas um, por WO, mas neste ano o nosso time fez bonito: ganhamos os dois primeiros jogos (por 7x2 e por 10x1) e perdemos o terceiro jogo nos pênaltis, pois nosso time estava desfalcado, com dois jogadores machucados. Eu fui um deles, pois torci o pé no primeiro jogo. Por conta disso, perdi o primeiro dia inteiro da Defcon (de manhã estava na HackCup e passei a tarde no hospital) e nos dias anteriores fiquei me arrastando de um lado para outro, e por conta disso perdi algumas palestras pois não conseguia chegar nas salas a tempo :(

Ah, segundo o Pedro Drimel, nossa derrota nas quartas de final foi porque faltou jogador, o pessoal cansou.Segundo ele, o jogo BRA x Immunity acabou o primeiro tempo com 4 a 0 pra nós, mas eles empataram em 4 a 4 no segundo tempo e ganharam nos pênaltis. O Espinhara foi o único que fez gol de pênalti.

Eu sou fã da Defcon pelo que eu considero ser o conjunto da obra: ótimas palestras, muita gente, muitas atividades em paralelo, várias festas, Las Vegas em si (cassinos, shows, baladas) e, principalmente, porque a cada ano vão mais e mais brasileiros, e nos divertimos muito por lá. Não conseguimos nem contar direito quantos foram, pois sempre acabamos encontrando com um pessoal novo lá mesmo. Eu chuto que neste ano devia ter uns 40 brasileiros ou mais (ok, é pouco se comparado com os 10 mil presentes, mas ainda assim eu considero bastante).

Seguem algumas dicas:
  • Antes de mais nada, ir na Defcon é totalmente acessível: o preço dos hotéis é barato (dá para pagar em média US$30 por dia em hotel bom, em quarto espaçoso para 2 pessoas), dá para pagar barato (menos de US$ 800) se comprar passagem com antecedência, e o ingresso da conferência custa apenas US$ 150;
  • Faça sua inscrição e pegue o seu crachá o mais cedo possível. Eles fazem menos crachás do que a quantidade de pessoas, então quem fica por último pega um crachá de papelão;
  • A conferência é pauleira: muitas palestras e muitas atividades simultâneas que vão até tarde, initerruptamente. Beba bastante água e compre comida, para se alimentar bem.
  • Leve dinheiro. A inscrição só pode ser feita em dinheiro, ídem para comida. Além do mais, há a área de vendas, aonde todos acabam gastando bastante dinheiro com bugigangas, camisetas e lembranças. E você não vai querer usar o seu cartão na maior conferência hacker do mundo, né?
  • Evite ao máximo usar a rede wireless da Defcon. Se possível, não leve computador nem use os caixas eletrônicos. Se você for teimoso e insistir em usar a rede wireless do evento, encripte tudo. Desde 2010, até mesmo a rede de celular pode ser comprometida durante o evento. Evite se expor desnecessariamente.
  • Las Vegas é deserto, ou seja, é calor. O pessoal usa roupa bem descontraída, por isso tudo bem de ir de bermuda e camiseta na conferência. Mas as melhores baladas exigem dress code: calça comprida, camisa social ou polo e sapato (ou tênis preto);
  • Vale a pena ficar de olho nas festas durante o evento: as empresas promovem várias festas nas melhores baladas, com bebida grátis :)
  • Há vários passeios legais para se fazer em Las Vegas, para todos os gostos. Tente chegar alguns dias antes para se divertir.


Para quem quiser saber mais:
  • O Willian Caprino escreveu em 2009 um texto interessante, chamado Defcon para leigos.
  • Em 2010 nós fizemos uma palestra sobre a Defcon no ISSA Day, abaixo.




Adicionado em 13/09: Esqueci de comentar sobre o slideshow "10 scariest hacks from Black Hat and Defcon" do site CSO, bem legal, que mostra as 10 palestras mais "assustadoras" da Black Hat e da Defcon. Note que, destas dez palestras selecionadas pelo site, duas são relacionadas a sistemas industriais (SCADA) (aqui e aqui) e três são relacionadas a ataques a sistemas embarcados em algum tipo de hardware (carros, bomba de insulina e até mesmo impressoras).

setembro 08, 2011

[Segurança] Compliance Vs Security

Recentemente eu vi um vídeo muito legal, chamado Compliance Vs Security, muito criativo, que mostra de uma forma bem simples e através de um exemplo divertido, a diferença entre que os usuários desejam, o que os profissionais de segurança recomendam e o que a legislação exige.



Em poucas palavras...
  • O usuário sempre quer fazer aquilo que ele deseja, com liberdade, sem nenhum impeditivo nem regras. Não importa se ele deseja navegar em qualquer site na Internet, abaixar aquela foto que ele recebeu por e-mail (a foto da festa que ele não foi, e que recebeu por email de alguém que ele não conhece), ou se ele quer simplesmente andar de moto, de bermuda, havaianas e, no máximo, um boné para o vento não bagunçar o topete;
  • Alguém criou alguma lei ou regulamento exigindo o mínimo necessário de proteção. Seja um anti-vírus no micro, ou um capacete para andar de moto (que nem precisa proteger o rosto todo);
  • O profissional de segurança, paranóico, levanta todos os riscos possíveis e recomenda todos os meios de proteção existentes, mesmo que custe os olhos da cara e você não saiba como usar: anti-virus, firewall, IDS/IPS, WAF, DLP para a sua rede; e se você andar de moto, capacete, botas especiais, luvas, calça e casaco próprio, com proteção.

setembro 01, 2011

[Cyber Cultura] Novo livro: Hackerspaces – The Beginning

A Astera do Metalab (o principal hackerspace de Viena, na Áustria) e o Bre Pettis do hackerspace de São Francisco, o NYCResistor, acabaram de lançar um livro muito legal em pdf sobre hackerspaces, chamado "Hackerspaces – The Beginning".

O livro pretende motivar a criação de novos hackerspaces pelo mundo afora, e para isso ele descreve os principais hackerspaces Europeus e Americanos, e também aborda alguns assuntos interessantes.

Segundo os próprios autores, a idéia do livro surgiu em dezembro de 2008 de uma conversa entre Astera e Bre, enquando um grupo de hackers estavam sentados no chão com os rostos iluminados apenas pela luz dos laptops. Eles então começaram a receber textos e fotos de vários hackerspaces, que foram utilizados para criar o livro alguns meses depois.

Segundo os autores, "Este livro documenta aonde o movimento hackerspace estava em dezembro de 2008. Dessa forma é um pouco de uma cápsula do tempo. Não é um livro exaustivo, mas esperamos que hajam histórias o suficiente aqui para mostrar que todas as suas desculpas para não iniciar um hackerspace não são válidas. Cada grupo enfrentou seus dragões para criar os seus próprios hackerspaces incluindo inundações, ratos e drama. Se eles podem fazê-lo, você também pode."

O livro é muito interessante, bonito, muito bem diagramado e está disponível online, gratuitamente.

Divirta-se com a leitura do livro, e "Happy Hacking"!