fevereiro 29, 2012

[Segurança] Stress entre os profissionais de segurança

Já perdi a conta de quantas vezes tive vontade de largar tudo e ir vender água de côco na praia. Por isso mesmo não estranhei quando recebi, agora há pouco, a newsletter da revista CSO Online com algumas reportagens sobre stress e "burnout" entre os profissionais de segurança.

Aparentemente o conjunto de artigos foi motivado por um painel com profissionais da área realizado na RSA Conference que acontece em San Francisco nesta semana. Em particular, a reportagem "RSA Conference 2012: Stress and burnout in infosec careers" descreve os principais comentários realizados pelo pessoal que participou do painel, que relataram já ter visto alto grau de stress e esgotamento entre profissionais de segurança.

O artigo "Security - It’s Just a Job" lembra do esforço que nosso trabalho demanda: trabalhar até tarde da noite, não ter tempo para almoçar, jornada de trabalho de até 70 horas por semana - isso sem falar de que podemos ser acionados a qualquer hora da noite ou do final de semana, já que, afinal, ataques não tem hora certa para acontecer. E, o que é pior: com o passar do tempo, passamos a considerar isso tudo "normal" e, quando percebemos, já é tarde demais: distância da família e amigos, sem tempo para vida pessoal, anos sem férias ou descanso, etc.

E, cá entre nós, as tecnologias de acesso remoto (do e-mail no celular a VPN) só tornam a coisa pior.

A reportagem nos convida a trabalhar de forma mais inteligente (priorizando tarefas e definindo limites) e encarar o trabalho como "isto é apenas um trabalho". Afinal:

"We can give ourselves over to the machine, the business, the beast with the eternal appetite. Knowing that it can never be satiated by our labors. "

A propósito, há uns 15 anos atrás um colega me disse uma frase bem parecida com a frase acima: "o trabalho sempre estará aqui". Ou seja, não importa o quanto você se esforce e trabalhe até mais tarde; no dia seguinte, ainda haverá muito trabalho a ser feito. E, o que é pior: a tendência natural de todos os gestores é centralizar as tarefas mais importantes no pessoal de confiança, isto é, que ele sabe que vai entregar o trabalho com qualidade e no tempo necessário. Logo, a tendência natural é que os profissionais mais esforçados estarão sempre sobrecarregados de trabalho.

Uma reportagem de 2010 da CSO Online já apontava este problema e indicava quais seriam alguns sinais de stress e esgotamento no trabalho (além de dar algumas dicas para resolver isso):
  • Para você, todo dia é um dia ruim.
  • Importar-se com o seu trabalho ou vida familiar parece um desperdício total de energia.
  • Você se sente exausto o tempo todo.
  • A maior parte de seu dia é gasto em tarefas que você considera tediosas, maçantes ou esmagadoras.
  • Você se sente que nada do que você faz pode fazer diferença ou ser apreciada.
Por fim, a CSO Online também traz uma matéria com as 10 piores perguntas em entrevistas de emprego e como respondê-las. A maioria das perguntas listadas na reportagem são meio bobinhas ou bem conhecidas (quer imaginar pergunta mais besta do que "Are you a risk-taker?" ou "Why are you leaving your current job?"), mas algumas são interessantes ou mesmo "pegadinhas". Você, por exemplo, saberia a melhor forma de responder as perguntas abaixo?
  • "What do you think about security convergence and its effect on our company?"
  • "Are you willing to be accountable for security?"
Última frase do artigo, para lembrarmos sempre...

"Tomorrow when you wake up Anonymous will still be here, so too cross site scripting, and sql injection."

[Cyber Cultura] Hashtags não derrubam governos #nãomesmo!

Após a mesa redonda sobre Cyberativismo político na Campus Party, eu dei uma olhada no blog do Alberto Azevedo e cheguei neste excelente texto publicado pelo Tiago Dória, chamado "Hashtags não derrubam governos". Embora escrito há um ano atrás, o texto vale a leitura pois faz uma análise muito interessante do fenômeno do cyber ativismo, da real capacidade de mobilização política através das redes sociais e de como os governos estão lidando com isso.

O Tiago Doria baseia sua análise no livro The Net Delusion e os dois primeiros parágrafos do seu post resumem muito bem a sua opinião: "Acreditar que a internet, por si só, fortalece a democracia é uma ideia tão simplória quanto achar que a queda de um governo autoritário sempre dá lugar a um democrático. E mais, ao contrário do consenso geral, governos totalitários perceberam que o mundo mudou. (...) Hoje, usam formas bem mais sutis de censurar as vozes dissidentes."

Ele defende que, embora o governo Americano tenha passado a encarar a Internet como uma ferramenta capaz de influenciar governos (pois a web permitiria divulgar informações e fomentar a discussão em países sob regimes não muito amigáveis e, consequentemente, conscientizar essa população), os governos autoritários também já aprenderam como utilizar a Internet para fortalecer o seu regime e manter o status-quo.

O artigo todo merece ser lido, mas gostaria de destacar alguns parágrafos e idéias de seu texto, em especial:
  • "(...) quando a censura à rede se torna impraticável ou politicamente indefensável, governos autoritários passam a usá-la para propaganda ou, em casos mais extremos, como uma ferramenta de monitoramento da população"
  • "Do mesmo modo, censurar blogs está virando coisa do passado na China e no Irã. É mais negócio criar um exército de blogueiros pró-governo e contratar pessoas para entupir blogs e redes de microblogs com perfis falsos e comentários a favor do governo" (o que é chamado de "50 Cent Party")
  • "(...) o objetivo [dos governos autoritários] é sufocar a oposição na web por meio de uma avalanche de conteúdo. Combater conteúdo com conteúdo e não com escassez de informações."
  • Os governos também perceberam que outras formas simples de sufocar as vozes dissidentes é usar a web para espalhar boatos e para monitorar e identificar os dissidentes em redes sociais.
  • "(...) as plataformas de redes sociais são uma faca de dois gumes para quem é dissidente. Por um lado, dá mais visibilidade internacional. Mas, por outro, deixa mais vulnerável quem as utiliza."
  • "Quanto mais Facebook, Twitter e Google forem vistos como ferramentas da política externa americana, maior o risco de serem censurados [e monitorados] em países com governos ditatoriais."
  • "(...) muitas vezes, o ativismo facilitado pelas redes sociais faz muito barulho, mas resulta em quase nada. (...) muitas vezes esse tipo de ciberativismo não apresenta resultados, visto que se preocupa muito com a mobilização (juntar seguidores no Twitter e amigos no Facebook) e pouco com a ação (depois de conseguir 10 mil seguidores e fãs na página do Facebook, o que vai fazer? Enviar spam com conteúdo político para todo mundo?)."
  • "De acordo com o pesquisador [Evgeny Morozov], revoluções exigem 3 coisas – disciplina, líderes e comprometimento. E isso você não encontra nas redes sociais que nivelam todo mundo na horizontal."
  • "(...) governos autoritários morrem por causa de problemas políticos e econômicos."


Além de ler o artigo do Tiago Doria, eu recomendo a todos os interessados nesse assunto que vejam abaixo o vídeo da mesa redonda sobre Cyberativismo político que eu tive a feliz oportunidade de participar na Campus Party.

fevereiro 28, 2012

[Carreira] Graduação ou Certificação?

Está aí uma pergunta que sempre aparece, principalmente entre as pessoas que trabalham no mercado de TI (e segurança também): se vale a pena investir em um diploma de graduação ou uma certificação profissional. O Gilberto Sudré respondeu esta pergunta recentemente. O Max Gehringer também respondeu duas perguntas no início do ano sobre isso, em sua coluna na CBN.

Mas eu adiciono um terceiro elemento importante para a carreira, além do diploma (de graduação e pós) e da certificação: o domínio de uma ou mais linguas extrangeiras (no mínimo, o Inglês).

A minha opinião sobre este assunto é muito baseada na minha experiência pessoal e na minha própria formacão. Eu enxergo que a graduação, a pós-graduação e o conhecimento de outras línguas são conhecimentos (e diplomas) que valem para toda a nossa vida, enquanto as certificações tem um foco muito mais específico e, normalmente, tem um período de validade limitado.

Ou seja:
  • Formação tradicional (graduação e pós-graduação): Normalmente os cursos de graduação não abordam exatamente o que é necessário para o mercado de trabalho - isso porque o objetivo de uma graduação bem feita é o de oferecer uma visão de todo o conhecimento básico naquela determinada área do conhecimento. Na prática, muito do que vemos em uma sala de aula não será utilizado no nosso dia-a-dia profissional, mas serve para nos dar um conhecimento básico e cultivar uma nova forma de raciocinar e pesquisar por conta própria. A pós-graduação, por sua vez, normalmente é mais focada em um assunto específico e, no caso dos cursos Lato Sensu (chamadas também de especialização), é mais voltada para a realidade do mercado de trabalho. De qualquer forma, o mais importante na minha opinião é que um diploma de graduação e de pós vale para toda a sua vida e para qualquer área de trabalho. Se daqui a 10 anos você sair da área de desenvolvimento e virar um DBA ou um profissional de Segurança, seu diploma continuará sendo valorizado.
  • Domínio de idiomas: Na área de TI é fundamental dominar o idioma inglês, e preferencialmente, conhecer um segundo ou terceiro idioma (como espanhol, alemão, francês ou mandarim, por exemplo). O Inglês é muito usado pois a maior parte da litertura técnica dispon;ivel está no idioma inglês, incluindo os melhores e mais atualizados livros, artigos, sites e blogs. Além do mais, o inglês é a língua mais utilizada na Internet, além de te abrir portas para trabalhar em empresas multinacionais e americanas, em particular. Como se isso tudo não bastasse, o conhecimento de uma língua também é algo que você leva para toda a sua vida, inclusive para a vida pessoal. Mas é necessário tomar um cuidado: o dominio de um idioma exige o uso constante, caso contrário acabamos nos esquecendo e perdendo a fluência.
  • Certificações profissionais: São muito valorizadas pelas empresas e muito comuns no mercado de TI, pois ajudam a selecionar um bom técnico - pois o mercado parte do suposto de que o profissional certificado domina aquele assunto ou tecnologia específico. Entretando, a certificação normalmente tem um foco bem específico e tem um prazo de validade (ou você é obrigado a renovar periodicamente, ou a validade está atrelada a versão do produto que você se certificou). Por isso mesmo eu encaro a certificação como um tipo de conhecimento volátil, temporário e descartável, que te ajuda somente por um determinado período de tempo e em um emprego específico. Se você trabalhar em uma empresa que usa outra tecnologia, sua certificação anterior não tem mais valia.


Para exemplificar, em 1998 eu tirei certificação em um produto específico de Firewall. Desde então, este produto já mudou de versão várias vezes e no meu trabalho atual eu não preciso mais lidar com a operação de ferramentas de segurança. Portanto, minha certificação de 1998 não me serve para mais nada hoje em dia, e nem poderia servir, pois está obsoleta. Entretanto, o meu diploma de graduação de 1996, o diploma de pós que tirei em 2000 e os cursos de inglês que eu pagava com o meu salário de estagiário em 1994 são válidos até hoje.

Por isso, a minha recomendação pessoal para quem trabalha na área de tecnologia ou pretende trabalhar é:
  • Preferencialmente, invista no melhor curso de graduação e na melhor faculdade que você puder;
  • Independente de qualquer coisa, invista em um curso de inglês (que, inclusive, pode ser feito em paralelo a faculdade e ao trabalho);
  • Invista nas certificações que o mercado de trabalho valorize e que necessariamente sejam requisitos para você conseguir uma promoção no seu emprego atual ou conseguir um emprego melhor. A certificação também deve ser relacionada a uma tecnologia que você utiliza no seu dia-a-dia ou que pretenda trabalhar com ela, caso contrário será tempo e dinheiro perdido.

[Segurança] Computer Security: You Make the Difference

A AT&T disponibilizou uma pequena coletânea de alguns vídeos antigos de conscientização sobre segurança da Informação produzidos pela AT&T e Bell Labs em 1990.



Os vídeos abordam questões como os riscos de espionagem e roubo de informação, cuidados com sua mesa e desktop, acesso remoto, riscos na Internet, etc. O último vídeo da coletânea mostra também uma pequena lista de ações para minimizar o risco de ataques.

Os vídeos são interessantes e, mesmo antigos, contém algumas informações que podem ser úteis até hoje em dia para ajudar a conscientizar os usuários sobre os riscos de segurança. É interessante ver a linguagem utilizada pelos vídeos (obviamente, algo desatualizado para os dias de hoje, mas adequado para uns 20 anos atrás) e ver como, naquele tempo, já era comum usar o termo hacker para se referir a possíveis invasores, espiões ou ciber criminosos. Também é interessante ver as fotos e cenas de pessoas usando computadores e dispositivos antigos ;)

fevereiro 24, 2012

[Segurança] Guerra Cibernética ou Ciber Espionagem?

O site NPR publicou um artigo interessante, chamado "U.S. Not Afraid To Say It: China's The Cyber Bad Guy" que destaca como as autoridades americanas passaram a comentar publicamente que a China se tornou um dos maiores focos de ciber espionagem.

Segundo um ex-diretor da NSA (National Security Agency), Mike McConnell, a China tem realizado um trabalho "deliberado e focalizado de ciber espionagem para obter informações valiosas sobre pesquisas e desenvolvimento, ou idéias inovadoras, ou código-fonte ou planos de negócios para vantagem própria". Segundo a reportagem, a China é especialmente agressiva no uso de ciber espionagem para obter segredos industriais e vantagem competitiva.

Este artigo é especialmente interessante, ao meu ver, pois eu já me questionei várias vezes porquê a China normalmente é considerada como um dos maiores inimigos potenciais em um caso de guerra cibernética. Muitas vezes quando falamos, lemos ou pensamos em Guerra Cibernética os exemplos que aparecem são relacionados à China ou à Rússia. Mas, como poderia existir um estado de tensão tão grande com a China, em termos de guerra cibernética, se esta tensão não existe em tamanha intensidade no mundo real? Não se ouve ninguém falando em guerra (guerra tradicional) com a China, ou sobre a China ameaçar invadir ou atacar algum país. Me estranha essa diferença entre o mundo virtual e real.

De fato, qualquer exemplo que seja dado sobre Guerra Cibernética que envolva a China, ao meu ver, não passa de casos de espionagem cibernética: seja a famosa Operação Aurora (quando no início de 2011 hackers chineses foram acusados de invadir dezenas de empresas americanas, incluindo o Google), a GhostNet descoberta em 2009 e o caso conhecido como Titan Rain, de 2003. Estes casos, por exemplo, são casos de espionagem, e não de conflito. É diferente de quando os russos usaram a Internet para apoiar a invasão militar da Geórgia em 2008. Os chineses não estão invadindo nem atacando ninguém: estão roubando segredos industriais, econômicos e políticos.

Ou seja, na minha humilde opinião, não é correto taxar de "Guerra Cibernética" os ciber ataques originários da China nem a tensão entre chineses e americanos no ciber espaço. É ciber espionagem. Roubo de informação. E este artigo ilustra isso muito bem.

fevereiro 17, 2012

[Cyber Cultura] O que é um Hacker?

O Mitch Altma, um dos co-fundadores do Noisebridge, um hackerspace enorme em São Francisco (EUA), gravou um vídeo muito legal em que ele explica o que são os hackers em sua visão e, de quebra, o que são também os hackerspaces.



Seguem algumas frases do Mitch que ele cita no vídeo acima:
  • Um hacker é alguém que faz o que faz porque ama isso (e é entuxiasta em aprender o máximo que puder, melhorar e compartilhar com o mundo
  • Um hacker não necessariamente tem a ver com computadores ou tecnologia - pode ser relacionado com comida, fotografia, vídeo ou música
  • Hacking significa um jeito de fazer as coisas, de fazer do jeito que você gosta
  • A imprensa costuma falar de coisas que nos assustam, e colocam a palavra hacker em pessoas que estão fazendo algo criminoso com computadores - eles não são hackers, são criminosos, e criminosos existem em qualquer lugar
  • É importante questionar tudo a nossa volta e isto é uma ótima forma de aprender (questionando).


O Emmanuel Goldstein, editor da revista 2600, também gravou sua opinião sobre o que é um hacker. É interessante notar que sua visão, de acordo com o vídeo, é um pouco mais politizada do que a do Mitch.



Segundo o Emmanuel:
  • Um hacker é alguém que simplesmente faz muitas perguntas, faz várias experiências, não costuma aceitar regras que não fazem sentido
  • Hackers não guardam as informações para si mesmos, eles compartilham o conhecimento
  • Hackers desafiam as regras e mostram modos de contorná-las


Os vídeos são bem interessantes, curtos e objetivos. São uma ótima referência para explicar o que são os verdadeiros hackers.

fevereiro 16, 2012

[Segurança] Security BSides no Brasil

Ontem nós, do Garoa Hacker Clube, finalmente recebemos autorização para organizar a conferência Security B-Sides aqui no Brasil. Com isso, as conferências O Outro Lado (Co0L) que organizamos no Garoa desde o ano passado passam a fazer parte do calendário internacional das chamadas B-sides.

As “Security BSides” são mini-conferências que acontecem em paralelo a algum grande evento de Segurança da Informação, mas normalmente possuem uma estrutura menos formal e são gratuitas. Normalmente acontecem um ou dois dias antes ou depois do evento principal, e servem para complementar o evento e motivar as pessoas a participarem de ambos. Uma vantagem adicional, ao meu ver, é que agora que estamos inseridos no calendário global de B-Sides, podemos contribuir para dar um maior destaque internacional aos eventos brasileiros de segurança da informação e até mesmo para o Garoa.

A primeira BSidesSãoPaulo, que corresponde a terceira edição da da Co0L, acontecerá em São Paulo no dia 6 de Maio de 2012, na véspera do You Sh0t the Steriff.

Para mais informações, visitem os nossos sites:


Pretendemos realizar duas edições em São Paulo, uma no primeiro semestre e outra no segundo, assim como fizemos com a Co0L no ano passado. Eu, particularmente, também estou com conversas para ajudar na realização de uma terceira edição no Brasil, com data e local ainda a ser confirmado.



[Cyber Cultura] Explicando o Anonymous

Há duas semanas, alguns grupos hackers que se intitulam membros do coletivo Anonymous lançaram a chamada Operação OpWeeksPayment e realizaram ataques DDoS a diversos bancos brasileiros, derrubando sites de bancos grandes como o Itaú, Bradesco e Banco do Brasil, entre outros. Nesta semana, este mesmo grupo tirou do ar os sites das companias aéreas TAM e GOL (operação #OpOverBooking).

Estas ações ganharam enorme repercussão na mídia e geraram até mesmo algumas charges, como você pode ver abaixo. Mas também foram acompanhadas de polêmica: supostos membros do Anonymous Brasil disseram através de dois posts no Pastebin que estes grupos não representam a causa normalmente defendida pelo Anonymous, que geralmente ataca governos e organizações específicas, mas evita prejudicar diretamente a população.





Mas, qual seria então o perfil do Anonymous? Durante a última edição da Campus Party, a área de software livre chegou até a promover um debate sobre este assunto: como diferenciar o hacktivismo (e o ativismo) bom do mal? Qual é a diferença entre o hacktivismo e a "porralouquice"?

Segue abaixo alguns vídeos, documentários e alguns artigos que eu considero essenciais para explicar o fenômeno do Anonymous e que tentam delinear as suas principais características. Após dar uma olhada neles, tente comparar com os supostos objetivos dos ataques acontecidos no Brasil e tire suas próprias conclusões.









fevereiro 15, 2012

[Segurança] O que faz um Hackerspace?

Inspirados pelo pessoal do Hackerspace de Baltimore, nós do Garoa Hacker Clube adaptamos uma imagem que resume, de uma forma engraçada e descontraída, como as pessoas em geral enxergam um hackerspace:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.