maio 31, 2012

[Segurança] Recapitulando: Virada Hacker e Co0L BSidesSP

No início de Maio nós, do Garoa Hacker Clube, organizamos no mesmo final de semana a Virada Hacker e a terceira edição da Conferência O Outro Lado Security BSides São Paulo. A Virada Hacker foi inspirada na Virada Cultural da cidade de São Paulo e, inclusive, também consta como foi uma atividade oficial no calendário da Virada Cultural. Toda a organização da Virada Hacker e da Co0L BSidesSP foi feita por voluntários. Não tivemos apoio financeiro ou patrocínio da Virada Hacker, apenas da Co0L BSidesSP.

Da noite de sexta-feira, 4 de Maio, até a noite do domingo, 6 de Maio, o Garoa recebeu centenas de pessoas e hospedou dezenas de atividadades espalhadas entre a programação da Virada Hacker e da Co0L BSidesSP. Muita gente passou a conhecer o Garoa por causa destes eventos. Não sabemos quantas pessoas estiveram presentes na Virada Hacker, mas em muitas ocasiões os espaços da Casa de Cultura Digital ficaram lotados.

Começamos na sexta-feira a noite com um "Dojo" de Go, aonde o Luciano Ramalho ensinou s participantes a jogar um popular jogo de tabuleiro, seguido de uma sessão de "cine hacker" com o filme "Daqui a Cem Anos", um filme de ficção científica bem antigo que narra um cenário aonde a primeira guerra mundial nunca teria acabado. Fizemos uma pausa as 9 da manhã para voltar as 10h e dar sequencia a mais atividades, incluindo diversas oficinas e palestras.

Eu voltei ao Garoa as 7 da noite no Sábado, para dar uma palestra sobre Hacktivismo, e só saí na madrugada de segunda-feira, após a Co0L BSidesSP. A palestra sobre Hacktivismo foi ministrada dentro do Ônibus Hacker, que estava estacionado na porta da Casa de Cultura Digital. Montamos um espaço para a palestra no fundo do ônibus e o pessoal lotou os assentos. Muitas pessoas ficaram de fora e assistiram a palestra pelas janelas. Houve muita iteração com o pessoal, perguntas e comentários, e no final ainda fiquei batendo papo com os presentes por quase uma hora.

Durante a madrugada, enquanto o pessoal conversava ou fazia alguma outra atividade, eu preparei uma palestra sobre alguns conceitos básicos de criptografia baseados na história da máquina Enigma, que ministrei as 8 da manhã no Domingo, encerrando a programação da Virada Hacker (vide abaixo). O engraçado é que, até uns 15 minutos antes do horário marcado para iniciar a palestra, eu achei que ninguém viria para o Garoa tão cedo, mas de repente, várias pessoas começaram a chegar e, no final das contas, tinham cerca de 10 pessoas presentes.






A Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) foi um mini-evento de segurança organizado pela terceira vez pelo Garoa Hacker Clube a partir das 13h do Domingo, 6 de Maio - véspera do You Sh0t the Sheriff (YSTS). Esta foi a terceira edição do evento e, pela primeira vez assumiu o status oficial de uma das conferências globais Security BSides - e também foi a primeira BSides na América Latina. Pela primeira vez também contamos com dois palestrantes internacionais - além de uns gringos que vieram para o evento e conheceram o Garoa, como o Space Rogue, um dos fundadores da L0pht Heavy Industries - um grupo hacker fundado em 1992 e que foi ativo até 2001 com grande impacto no cenário hacker americano e mundial.

O evento começou atrasado pois tivemos que aguardar a liberação do espaço que alugamos na casa ao lado, na Associação Cultural Cecília, que hospedou a trilha principal de palestras. Mesmo com este espaço adicional e maior, as palestras ficaram lotadas. E não é para menos: nesta edição tivemos 145 pessoas presentes, um público maior do que as edições anteriores. Isto sem contar que as inscrições se encerraram menos de 24h depois de abertas, devido a elevada procura.

O evento também deu um pequeno lucro, um pouco acima de R$ 200,00, graças aos patrocinadores e ao leilão beneficiente que realizamos. Todo o lucro foi destinado ao caixa do Garoa, para ajudar a manutenção do nosso hackerspace.

Recebemos vários feedbacks positivos sobre o evento - principalmente graças aos excelentes palestrantes que engrandeceram o evento. Tivemos diversas palestras e workshops bem interessantes, além de um debate bem animado no final, sobre o mercado de pesquisa de vulnerabilidades. No final do evento, surgiu até mesmo um workshop autônomo sobre configurações avançadas de SSH, pois uma galera que se reuniu espontaneamente e começou a discutir o assunto em uma sala que estava vazia - bem no espírito anárquico e colaborativo do Garoa.

A Co0L BSidesSP foi resultado do trabalho de um grupo pequeno de voluntários e de patrocinadores que acreditaram na idéia. Fomos patrocinados pela Qualys, TrendMicro, Tempest e pela Conviso. Também só aconteceu devido a dedicação do Alberto Fabiano, do Ponai Rocha e do Ranieri Romerá, além da grande ajuda da Monica Yoshida e do Samuel Damasceno, que nos deram um apoio enorme no dia do evento.

Como o mundo não para, já estamos começando a organizar a próxima edição da Co0L BSidesSP, que acontecerá junto com a Hackers to Hackers Conference (H2HC), que vai ocorrer no final de semana de 20 a 21 de Outubro. Em breve teremos novidades :)

maio 29, 2012

[Cyber Cultura] Bombando na telinha e patinando nas redes sociais

Eu fico muito frustrado quando vejo uma ótima oportunidade perdida, simplesmente porque as empresas ainda não entenderam como usar as redes sociais.

E a poderosa Rede Globo também patina horrorosamente nas redes sociais.

Para quem não acompanha, a novela das 7, "Cheias de Charme", gira em torno de três personagens, Rosário (Leandra Leal), Penha (Taís Araújo) e Cida (Isabelle Drummond), que se tornam amigas e, juntas, criam um hit musical que, após ser colocado na Internet, as transforma em sucesso instantâneo. Não precisa ser expert em redes sociais para saber que este tipo de enredo já aconteceu várias vezes na vida real e o melhor (?) exemplo disso é o ídolo pop infanto-juvenil Justin Bieber.

A novela é bem feita, divertida, com um elenco excelente (as atuações da Claudia Abreu, como a cantora Chayene são hilárias) e explora um tema atual, o sucesso instantâneo através das redes sociais.

Em um determinado momento na novela, as três empregadas domésticas, lideradas pela personagem Rosário, gravam um clip caseiro que, após ser publicado na Internet, tem milhares de acessos. E, neste ponto do enredo, a Rede Globo perde o bonde da história. O tal clip não está disponível nas redes sociais, apenas no site oficial da novela. Uma busca no YouTube, por exemplo, retorna vários clips que foram vergonhosamente retirados do ar pela Rede Globo.

A Rede Globo preferiu censurar o vídeo, em vez de criar um canal oficial no YouTube em nome das fictícias "Empreguetes" e usar as redes sociais para turbinar a novela, permitindo aos telespectadores ver, comentar e compartilhar os vídeos do trio de "cantoras". Alguém tem dúvida que, com o poder de penetração das novelas Globais, um vídeo deste teria facilmente milhões de hits e "Likes", criando um vídeo viral em questão de poucos dias - ou horas? Um vídeo destes no site YouTube teria milhões de acessos, que qualquer pessoa poderia conferir facilmente na página do vídeo. Quando os personagens da novela comentassem sobre  o sucesso do vídeo e a quantidade de acessos, os espectadores poderiam conferir isso imediatamente, online, no YouTube - aumentando ainda mais os acessos.

Indo um pouco mais além, a Rede Globo poderia permitir que os telespectadores fizessem mashups com o clip, fomentando a interação dos fãs com a novela. Poderia fomentar campanhas online no Twitter, em apoio as Empreguetes. Campanhas reais, aonde os espectadores participariam. As hashtags ou tweets mais criativos poderiam, inclusive, ser exibidos durante a novela.

Ações simples e óbvias como estas iriam criar uma união praticamente inédita entre a ficção e o mundo real. E todos sairiam ganhando: os espectadores, a novela, os atores, os personagens, a própria Rede Globo, as redes sociais. Mas, no final, ganhou a miopia do Copyright.

maio 27, 2012

[Segurança] Esteganografia

Neste sábado, 26 de Maio de 2012, tive a oportunidade de ir na tosconf[0], um evento bem legal realizado pela primeira vez pelo Laboratório Hacker de Campinas (LHC). O evento foi bem organizado e teve várias palestras interessantes, mas gostaria de destacar neste post uma delas, que falou sobre Esteganografia, proferida pelo Vinícius Berardi.

A palestra foi bem didática e explicou uma das técnicas mais conhecidas de esteganografia, que consiste em esconder mensagens dentro de arquivos de imagens, manipulando os bits que representam as cores de cada um dos pixels que formam uma imagem. Eu achei uma versão desta palestra que o Vinícius apresentou no FLISOL de Campinas:



Esteganografia Com PHP


Esta palestra também me lembrou que há muitos anos atrás eu escrevi um pequeno artigo, bem simples, sobre o assunto, que reproduzo abaixo. Não me lembro exatamente quando escrevi este artigo, que estava publicado em um antigo site pessoal que eu criei no falecido Geocities, mas foi provavelmente em 1999. Eu achei essa pequena preciosidade e faço questão de reproduzir o artigo da mesma forma que ele foi escrito na época, sem nenhuma alteração (somente retirei alguns links a sites que não existem mais; mas preferi não corrigir alguns erros de digitação que achei). Segue abaixo.

Steganography

"Steganography is the art and science of communicating in a way which hides the existence of the communication."

O que é isso?

Esteganografia (Steganography) é uma técnica MUUUUUUUUUITO interessante que consiste em esconder (codificar) um TEXTO dentro do código do arquivo de uma imagem gif. Através de um programa especial (como algum dos listados abaixo), é possível alterar a forma em que os bytes correspondentes a uma imagem são gravados de forma a incluir aí uma mensagem, aproveitando bits normalmente não utilizados.

A imagem continua sendo a mesma, aparentemente. A foto da Tiazinha vai continuar a mesma, ela não vai ficar com um bigode a mais por causa disso. Só alguns bits é que vão estar embaralhados, e isso corresponder à um TEXTO, do tipo "O rato roueu a Roupa do Rei de Roma", ou "João ama Maria". Essa é uma forma muito engenhosa de vc transmitir um segredo por email sem que ninguém saiba (do tipo "ei, hacker, a senha do meu chefe chato é abc123". Só é possível ver o texto escondido na imagem se vc utilizar o mesmo programa que usou para gravar a frase. Se vc tentar abrir a imagem com um editor de imagens qualquer, ela vai estar, aparentemente, normal. Nada vai acontecer.

Segue uma explicação mais técnica, tirada do help do prigrama HIP:

HIP hides the file inside the picture by placing the bits of the file in the least-significant bits of each byte in the picture. Suppose you have a picture containing the following bytes representing color intensities:

200 53 2 195 54 69 191 56

The binary values of these numbers are:

11001000 00110101 00000010 11000011 00110110 01000101 10111111 00111000

To hide the character 109 (in binary 01101101), the least-significant bit of each byte would be replaced by a bit of the character. The result would be:

11001000 00110101 00000011 11000010 00110111 01000101 10111110 00111001

Which corresponds to:

200 53 3 194 55 69 190 57

The difference between the new values and the old ones are at most 1, so it is very difficult, if not impossible, for the human eye to identify any difference from the original picture.

With 256-color pictures, the process is a little more complicated, because the bytes do not represent color intensities, but entries in the palette (a sequence of at most 256 different colors). HIP chooses the nearest color in the palette containing the appropriate least-significant bit.

The HIP header (containing information for the hidden file, such as its size and its CRC) and the file to be hidden are encrypted with the Blowfish encryption algorithm, using the password given, before being written in the picture. Their bits are not written in a linear fashion; HIP uses a pseudo-random number generator to choose the place to write each bit. The values given by the pseudo-random number generator depend on your password, so it is not possible for someone trying to read your secret data to get the hidden file (not even the encrypted version) without knowing the password."

Onde conseguir alguns programas?
  • GifShuf (link inexistente)
  • Hideseek (link inexistente)
  • Gifclean (link inexistente)
  • HIP (Hide In Picture) (link inexistente)


Mais informações....

maio 26, 2012

[Segurança] Potenciais ameaças relacionadas aos Jogos Olímpicos

O Department of Homeland Security (DHS), nos EUA, lançou recentemente um relatório pequeno e objetivo, de sete páginas, aonde ele lista quais são as principais ameaças de segurança relacionadas aos Jogos Olímpicos de Londres, que acontecerão de 27 de Julho a 12 de Agosto deste ano. O relatório explica quais são estas ameaças e oferece alguns exemplos recentes que foram identificados durante a olimpíada de Pequim, em 2008 e a Olimpíada de Inverno de 2010, em Vancouver.

Os Jogos Olímpicos atraem a atenção de todo o mundo, incluindo cyber criminosos e hacktivistas. Segundo o relatório, os jogos de Pequim foram alvo cerca de 12 milhões de ataques por dia durante a competição, em 2008. Por isso, os organizadores e os usuários precisam estar em alerta para todos os tipos de golpes online, incluindo ataques de engenharia social, mensagens de phishing, redirecionamentos de malware, blackhat SEO (sites de busca mostrando resultados falsos, que indica sites com conteúdo malicioso ao invés de indicar os sites que os usuários desejam achar), venda de ingressos falsos (um grupo criminoso, aparentemente, faturou US$ 3,5 milhões vendendo ingressos falsos em 2008).

O relatório, que está disponível online, discute os seguintes riscos principais:
  • Interrupção das operações durante os jogos, possivelmente através de ataques de negação de serviço (DDoS) ou mesmo ataques realizados por pessoas internas.
  • Protestos online: Outra ameaça é o risco de ataques de DDoS ou defacement para realizar algum protesto político ou mesmo para protestar contra as restrições que a organização dos jogos fez proibindo fotografias, filmagem e a publicação online de material referente aos jogos.
  • Roubo de informações
  • Malwares e Phishing, que inclui desde mensagens falsas oferecendo ingressos (como se fossem mensagens oficiais da organização dos Jogos Olímpicos), até as tradicionais mensagens oferecendo notícias ou imagens inéditas dos jogos, mas que na verdade direcionam os usuários para sites falsos, aonde as vítimas podem preencher um cadastro falso, fazer uma compra falsa, ou mesmo abaixar um malware em seus computadores. outro risco semelhante é a contaminação de mecanismos de buscas, aonde buscar online por assuntos relacionados aos jogos podem levar os usuários a sites maliciosos, em vez de mostrar os sites reais.
  • A proliferação de celulares e de aplicações criadas especificamente para a plataforma móvel (celulares e tablets) também pode representar um grande risco. Alguns patrocinadores e jornais deverão criar aplicativos móveis para facilitar o acesso a informações sobre os jogos, mas há o risco dos usuários serem infectados ou terem seus dados roubados através de aplicações falsas desenvolvidas e distribuídas por ciber criminosos.

O relatório lembra também que cyber criminosos e hacktivistas podem se aproveitar dos Jogos Olímpicos para atacar alguns dos 11 patrocinadores globais do evento, como a VISA, Coca-Cola, McDonnalds, entre outros. Além disso, o relatório do DHS também discute algumas ameaças específicas que poderão ocorrer durante os Jogos Olímpicos de Inverno de 2014, que acontecerão na Rússia.

maio 25, 2012

[Segurança] Zombie Preparedness Week

O governo da província da Columbia Britânica, a terceira maior do Canadá, lançou uma campanha criativa e muito interessante para orientar a população local a se preparar contra desastres naturais: a semana de preparativos contra zumbis ("Zombie Preparedness Week: Are you ready?").

O Centro de Informações para Emergências da Columbia Britânica lançou um site com vídeos e dicas de sobrevivência para invasões de mortos-vivos, sob o lema de que "If you're ready for zombies, you're ready for a disaster!" ("Se você está preparado para zumbis, você está preparado para desastres").

Mesmo que as chances de um surto de zumbis sejam pequenas, os preparativos de segurança contra um ataque zumbi são semelhantes no caso de desastres naturais, tais como terremotos, tsunamis, inundações, avalanches e incêndios.

O conteúdo do site é bem didático e objetivo, com cinco dicas principais (abaixo):
  • Dica 1: mantenha seu carro com pelo menos metade do tanque cheio, para que você possa fugir sem se preocupar em abastecer o carro.
  • Dica 2: ter um kit de primeiros socorros em casa, no escritório e no carro.
  • Dica 3: Tenha um plano: mapeie os riscos na sua região, identifique os melhores locais para fuga
  • Dica 4: Tenha um kit de emergência, com suprimentos (água e alimentos) para pelo menos as primeiras 72 horas (3 dias).
  • Dica 5: Tenha alguém para contactar fora da província (estado), para ter como obter notícias e manter os parentes informados.

O site também inclui cinco vídeos curtos que ilustram as dicas acima, exemplificando de forma bem humorada o que fazer em caso de uma infestação de zumbis.



Nos EUA, o Centro para Controle e Prevenção de Doenças também criou uma campanha semelhante. No dia 7 de Fevereiro deste ano, escreveram um post no blog deles com 3 dicas de como se preparar para uma emergência, ilustradas pelo seriado The Walking Dead. As dicas são muito parecidas com as dicas do governo Canadense:
  • Mantenha seu carro com pelo menos metade do tanque cheio. Já vimos isso antes - pelo jeito esta dica é bem importante, né?
  • Tenha sempre um kit de primeiros socorros por perto
  • Água limpa é água sem zumbis: sempre tenha cuidado para não usar água infectada - um risco comum em caso de desastres naturais.

As autoridades americanas também criaram uma história em quadrinhos com 32 páginas, chamada "Preparedness 101: Zombie Pandemic" para ilustrar as dicas de segurança contra zumbis, disponível online.

maio 22, 2012

[Administrativa] Novo template para o Blog

Nesta madrugada eu mudei o modelo do blog, para usar um design novo que fosse, ao mesmo tempo, mais profissional e continuasse seguindo um estilo um pouco descontraído.

Após namorar um tempinho os modelos disponibilizados pelopróprio blogger, eu acabei escolhendo um modelo que usa transparência para as caixas das postagens e alterei a imagem de fundo, escolhendo uma imagem que remetesse a informática. Esta imagem eu baixei do site Simple Desktops, um site muito legal com uma proposta sensacional: oferecer imagens simples e caprichadas de pano de fundo para desktops.

Eu fiz uma pequena alteração na imagem original, ao lado, recortando-a e alterando o balanço das cores para torná-la mais clara de forma que o fundo transparente não dificultasse a leitura do texto. Eu também uso esta imagem como pano de fundo do meu Twitter, e assim fiquei com uma identidade visual parecida em ambos os sites.

Um aspecto interessante dessa renovação visual foi que eu inverti o posicionamento das colunas, colocando a coluna com os textos do lado esquerdo e a coluna com os gadgets, índices, links, etc no lado direito. Fiz isso pois, acredito, essa nova posição privilegia a leitura dos posts, pois a nossa tendência natural é ler da esquerda para a direita. O interessante é que a diagramação das fotos de todos os posts deveria ser refeita, pois o ideal é que as fotos fiquem do lado oposto da outra coluna, que é uma coluna que já tem algumas imagens. Essa distribuição entre as fotos e colunas traz um equilíbrio melhor para a diagramação da página.

Mas, confesso: a preguiça foi grande e eu só revisei as imagens dos último posts ;)

[Cidadania] Preconceito online condenado

Essa é uma notícia que, na minha opinião, merece destaque: na semana passada, a Justiça Brasileira condenou uma usuária do Twitter que publicou mensagens ofensivas aos nordestinos logo após a vitória da candidata Dilma Roussef nas eleições presidenciais de 2010.

O caso da jovem estudante Mayara Petruso ficou conhecido nacionalmente: após a eleição da Dilma Roussef, Mayara postou diversas mensagens com ofensas contra os nordestinos, incluindo frases como "Nordestisto (sic) não é gente. Faça um favor a Sp: mate um nordestino afogado!". E havia um agravante: Mayara era estudante de direito, e portanto, devia ter noção das consequências de fazer tal tipo de ofensa publicamente.

Mayara foi condenada a um ano e cinco meses de prisão pelo crime de racismo, mas sua pena foi convertida para prestação de serviços comunitários e pagamento de multa, pois a juíza responsável pelo caso entendeu que a acusada não tinha antecedentes criminais e já tinha sofrido “forte punição moral” com a grande repercussão que o caso teve.

Esta punição pode servir de exemplo para que as pessoas pensem duas vezes antes de publicar qualquer tipo de ofensa online. Mas, infelizmente, este não foi o primeiro nem será o último caso de alguém que manifesta pensamentos preconceituosos através da Internet. A Internet nada mais é do que um reflexo de nossa sociedade, e infelizmente diversas formas de racismo e preconceito ainda existem hoje em dia e se manifestam rotineiramente - na Internet e nas iterações entre as pessoas no mundo real.

Não importa qual seja o tipo de preconceito: de cor, raça, social, religioso ou sexual. Até hoje muitas pessoas ainda tem dificuldade em aceitar as diferenças, as individualidades e o livre arbítrio de cada um.

maio 21, 2012

[Carreira] Mentiu no Currículo?

Na semana passada, o CEO do Yahoo!, Scott Thompson, renunciou alguns dias depois de sair a notícia no mercado de que ele teria mentido em seu currículo. O executivo mentiu ao colocar em seu Currículo que tinha se formado em Contabilidade e em Ciência da Computação pela universidade de Stonehill em 1978, quando na realidade ele é formado apenas em Contabilidade e a universidade só começou a oferecer o curso de Ciência da Computação em 1983, cinco anos após Scott Thompson ter se formado. Ops!

O pior de tudo é que ele carregava esta mentira no Currículo desde meados do ano 2000, quando foi contratado para trabalhar na eBay, e depois virou presidente da PayPal. Ou seja, nenhuma dessas empresas, além do Yahoo!, haviam percebido a mentira no CV... Ops!

Este caso ilustra duas tristes realidades no mercado de trabalho: muita gente mente no Curriculum e, mesmo assim, muitas empresas não tem o hábito de verificar e validar os currículos e referências dos profissionais que contratam.

Segundo uma pesquisa realizada pela empresa Kroll e publicada em uma edição especial da revista Super Interessante sobre "A Ciência da Mentira", 42% dos currículos que a empresa analisou em 2010 tinham alguma informação falsa. Segundo a pesquisa, 41% das pessoas mentem sobre os empregos anteriores em seus currículos e 19% (quase 1/5) mentem sobre o histórico escolar. Além disso, 15% omitem o desemprego e 4% mencionam um suposto cargo de direção, que nunca tiveram.

Entrevistando profissionais, eu já peguei vários Currículos com algumas mentiras. As mais fáceis de identificar na hora da entrevista são as mentiras sobre fluência em outro idioma (basta ameaçar fazer a entrevista em outra língua para assustar o entrevistado) e sobre os conhecimentos técnicos (basta algumas perguntas práticas) - duas mentiras também muito comuns em currículos.

Agora você já sabe: se um dia você pegar o Currículo de um candidato a emprego que parece um Ninja, cheio de qualificações e com todos os conhecimentos que um ser humano jamais poderia ter conseguido, desconfie. Infelizmente, já encontrei algumas pessoas que mentem patologicamente sobre as suas carreiras.

maio 17, 2012

[Segurança] O mercado global de pirataria de software

A Business Software Alliance (BSA) publicou recentemente seu estudo anual sobre a pirataria de software, o 2011 Global Software Piracy Study, que incluiu entrevistas com usuários de computadores em todo o mundo para traçar o perfil e os hábitos de quem adquire software pirata ou software que não esteja devidamente licenciado.

Segundo o estudo, há uma nítida diferença entre os hábitos e perspectivas dos usuários nos mercados emergentes e nos desenvolvidos, o que ajuda a explicar porque a taxa de pirataria global ficou em 42 por cento em 2011, enquanto o mercado de software pirata continua em constante expansão no mundo em desenvolvimento, levando o valor comercial de roubo de software para a cifra global de 63,4 bilhões dólares.

A BSA criou um site bem interativo para divulgar o relatório, aonde é possível abaixar o relatório completo ou mesmo ver informações sobre países específicos. A taxa de pirataria no Brasil, por exemplo, representa 53% do mercado de software, bem maior do que a média global, de 42%, que certamente é baixa por causa do baixo índice de pirataria nos países desenvolvidos (nos EUA, por exemplo, é de apenas 19%, e na Alemanha e Inglaterra, 26%). Claramente a pirataria de software é fruto de problemas econômicos e sociais.

[Segurança] Hackerazzis

O sensacional colega e blogueiro Sandro Suffert escreveu um excelente artigo comentando o caso da divulgação das fotos íntimas da atriz Carolina Dieckmann. Além de opinar sobre o caso, o Sandro juntou vários trechos de reportagens sobre a história para conseguir montar o quebra-cabeça e finalmente detalhar como aconteceu a invasão e o roubo das fotos.

Para quem se interessa pelo caso, o artigo do Sandro é uma ótima referência. Mas uma coisa que me chamou a atenção foi que ele usou o termo "Hackerazzi" para se referir a este incidente.

Hackerazzi é a mistura dos termos "hacker" e "paparazzi", e representa o risco de personalidades terem suas informações privadas roubadas online ou através de ataques cibernéticos e, então, divulgadas indevidamente. Como o Sandro lembrou, este não foi o primeiro caso de uma celebridade que teve sua privacidade exposta indevidamente na Internet, e mostra que qualquer um de nós, celebridade ou não, devemos ter cuidado com nossos dados e com o que fazemos online. Obviamente,  a repercussão é muto maior no caso de pessoas públicas.

maio 16, 2012

[Segurança] Carolina, suas fotos e o fim da privacidade

Quem não conhece o caso da Carolina?

De repente, não se fala de outra coisa: alguém invadiu o computador da Carolina Dieckmann, roubou algumas fotos dela e, após uma tentativa de extorsão que não deu certo, publicou as fotos na Internet. Segundo a Safernet, em pouco tempo, entre 4 e 8 de maio, as 36 fotos roubadas da Carolina Dieckmann em que ela aparece nua foram acessadas por 8 milhões de computadores em todo o mundo e foram espalhadas por 211 domínios diferentes em 23 países, resultando em mais de 50 mil cópias das fotos.

A polícia afirma já ter identificado as 4 pessoas que roubaram as fotos da Carolina Dieckmann, que o fizeram provavelmente através de um malware que contaminou o computador dela, enviado através de uma mensagem de phishing.

Este assunto todo trouxe a tona a discussão sobre como as pessoas comuns podem proteger seus dados pessoais armazenados em seus computadores. Afinal, se aconteceu com uma celebridade, pode acontecer com qualquer um. Seria o fim da privacidade online?

Rapidamente já surgiram várias reportagens e até um infográfico com dicas e recomendações para os usuários protegerem as suas informações pessoais, que eu juntei, misturei, revisei e tentei resumir abaixo:
  • Cuidado com mensagens de SPAM e phishing, as mensagens e sites falsos que tentem convencê-lo a abaixar um arquivo malicioso ou preencher um formulário com seus dados pessoais. Na dúvida, nunca acesse um site ou clique em um link estranho ou que você não tenha certeza do que se trata. Não clique em links suspeitos, não abra mensagens de remetentes desconhecidos e desconfie de sites com ofertas “boas demais para ser verdade”.
  • Mantenha seus arquivos importantes longe de seu computador: Para se proteger de alguém que invadiu seu computador, basta não ter esse conteúdo disponível no PC. Coloque seus arquivos importantes e que você não use com frequencia em uma mídia externa (como um HD externo) e só conecte e acesse os arquivos quando for necessário.
  • Apague de seu computador os arquivos mais sensíveis. Jogar um arquivo na lixeira não significa que ele foi apagado do disco. Limpe a lixeira periodicamente. Existem alguns softwares "trituradores", que sobrescrevem informações sobre o bloco do HD que abrigava o arquivo para evitar que ele seja recuperado.
  • Para proteger os arquivos armazenados em seu computador, use softwares de criptografia de dados, como o TrueCrypt, o PGP (ou sua versão gratuita, o GPG) ou mesmo o Bitlocker do Windows 7.
  • Mantenha cópias de reserva (backup) de seus arquivos importantes, em um HD externo, pendrive, CD ou DVD regravável, por exemplo. Assim você evita o risco de perder totalmente seus dados se der algum problema mais grave com seu computador (como pane geral ou mesmo o roubo físico de seu computador).
  • Proteja seus arquivos, suas contas online e seus computadores com senhas, mas use senhas fortes, difíceis de serem adivinhadas, para proteger o acesso ao seu computador, tablet, smartphone e aos seus e-mails. Misture letras, números e símbolos em suas senhas e evite palavras conhecidas ou nomes de pessoas e lugares. Também evite usar a mesma senha para vários equipamentos ou serviços online: se isso acontecer e alguém descobrir uma senha, esta pessoa maliciosa poderá acessar todas as suas contas com facilidade. O mesmo cuidado deve ser tomado com as "respostas secretas" utilizadas para recuperar suas senhas e seus acessos. Não use informações óbvias na hora de escolher uma pergunta secreta.
  • Tenha muito cuidado ao armazenar seus arquivos pessoais na “nuvem”, em serviços online como o Dropbox, Sky Drive, Google Drive, 4shared e mesmo o GMail. Qualquer vulnerabilidade nesses serviços, descuido nas permissões de um arquivo ou o vazamento de sua senha podem fazer com que alguém mal intencionado acesse seus dados.
  • Evite ao máximo acessar seus serviços online (como e-mail, contas de Internet Banking, etc) através de redes ou computadores públicos ou de terceiros.
  • Se você precisar de assistência técnica, tome muito cuidado: se seu computador tiver dados pessoais, evite deixa-lo com um desconhecido. Se possível, chame um técnico de confiança, e que faça o reparo na sua casa e você possa acompanhá-lo. Ou então,dependendo do problema, retire o HD do seu micro antes de enviar o computador para a assistência técnica.
  • Não deixe fotos pessoais no seu celular, smartphone ou tablet. Eles podem ser perdidos ou roubados facilmente.
Tudo o que eu disse acima é muito bonito e o mundo seria um lugar muito melhor para viver se as pessoas ouvissem as dicas que recebem dos especialistas. Mas, na prática, o usuário comum dificilmente saberá fazer metade do que eu citei ou vai se lembrar disso no dia-a-dia, pelo menos até que vazem as foto da próxima celebridade. Por isso, a regra de ouro é uma só:
Se você não quer que uma foto sua seja exposta na Internet para todos verem, não tire essa foto.

maio 15, 2012

[Segurança] Mais um escorregão na eterna tentativa de parir um projeto de Lei contra crimes cibernéticos

De repente, vários cyber ativistas entraram em pânico. Hoje saiu a notícia de que a Câmara dos Deputados aprovou e encaminhou ao Senado o Projeto de Lei (PL) 2793/2011 de autoria do Deputado Federal Paulo Teixeira (PT/SP), que aborda "a tipificação criminal de delitos informáticos". Este é um projeto que pretende substituir o tão polêmico projeto do Deputado Federal Eduardo Azeredo (PL 84/99), que havia sido proposto há cerca de 10 anos atrás (quando ele era Senador) e que foi alvo de muitas críticas nos últimos anos.

Para quem teve a oportunidade de ler e analisar os dois projetos, a diferença é gritante: o projeto do Azeredo é longo, tem cerca de 10 vezes mais páginas do que o projeto aprovado hoje. Isso mostra o óbvio: o projeto do Dep. Paulo Teixeira é superficial, cobre poucos casos de crimes pela Internet e consegue ter uma redação pior ou mais polêmica do que o projeto do Azeredo.

O projeto do Azeredo, embora seja constantemente bombardeado pro críticas até hoje, pelo menos passou por várias comissões e anos de debates e discussões públicas, que resultaram em várias alterações e atualizações. O projeto do Deputado Petista Paulo Teixeira pegou alguns dos pontos mais importantes do projeto do Azeredo, tentou dar uma redação mais simplória e acabou não resolvendo nada, além de trazer novas polêmicas. Lendo o projeto, também percebo que as mesmas críticas feitas ao PL do Azeredo continuam válidas para este novo projeto - ou seja, ele realmente não ajudou em nada.

Eu, particularmente, destaco os dois trechos seguintes, extraídos diretamente do texto do PL 2793/2011:
  • Novo artigo no Código Penal: "Art. 154-A. Devassar dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita" - Eu pergunto: o que um juíz ou um advogado poderia interpretar como "Devassar"? Não daria para usar um termo mais objetivo, preciso e específico?
  • Art. 154-A, "§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput." - Artigo que penaliza quem produz ferramentas de testes de segurança, exploits etc.
E, volto a insistir: praticamente todas as críticas que o pessoal do contra fazia em relação ao projeto do Azeredo, válidas ou não, continuam valendo para o projeto do Paulo Teixeira. Para exemplificar, isso se aplica a crítica de que o PL do Azeredo iria punir quem compartilhasse arquivos ou fizesse jailbreak em seu iPhone, ou a crítica de que a pena proposta para quem invade um computador é maior do que a pena para quem invade uma casa (críticas que eu considero questionáveis, mas os argumentos valem igualmente para os dois projetos).

Para saber mais:

[Segurança] O Anonymous e o poder da coletividade

A melhor forma de definir o grupo e o movimento hacktivista Anonymous, usando uma única palavra, é chamá-lo de uma coletividade. Pois é justamente isto que o Anonymous é: um grande coletivo, um grupo de pessoas que se juntam informalmente em torno de uma causa ou uma idéia.

Uma das principais características  do funcionamento do Anonymous é a sua organização anárquica, sem uma estrutura ou hierarquia formal nem cargos, aonde os participantes entram e saem do grupo livremente e opinam a princípio com mesmo nível de influência. As decisões sobre as campanhas, ataques e alvos, são tomadas pela coletividade, através de seus canais de discussão. Não há uma liderança formal, exceto pela eventual influência que os membros mais ativos e mais antigos possam ter naturalmente. Além disso, qualquer pessoa pode se juntar ao grupo sem necessidade de um processo formal de "afiliação", o que inclusive facilitou o surgimento de dezenas de células, sub-grupos ou afiliados ao redor do mundo.

Esta característica de falta de hierarquia formal é refletida em um dos símbolos mais populares do grupo Anonymous: a figura do homem de terno, sem cabeça.

Esta estrutura do Anonymous é bem diferente da encontrada na grande maioria dos grupos hackers, defacers e hacktivistas existentes ou que já existiram, que são caracterizados por um grupo específico de pessoas, algumas vezes com seus líderes formais e aonde novos integrantes são aceitos mediante algum tipo de aprovação ou convite dos membros existentes.

A estrutura informal do Anonymous tem algumas vantagens, que certamente tem colaborado em muito no seu sucesso e podem fazer com que o grupo exista e continue ativo por muito tempo. Dentre elas, destaco a grande facilidade de aceitação de novos membros, o que permite o crescimento e a renovação constante do grupo, e a falta de lideranças formais, o que torna o grupo extraordinariamente resistente à repressão de opositores, governos, e forças policiais. Mesmo que vários de seus membros sejam presos pelas autoridades, os demais participantes podem continuar ativos e facilmente assumir o papel daqueles que saíram.

Mesmo com a identificação e prisão de dezenas de membros do Anonymous em todo o mundo nos últimos meses, o grupo continua ativo e forte (segundo um artigo no site da Sophos, 184 membros do Anonymous já foram presos até Abril deste ano).

Por outro lado, grupos tradicionais podem facilmente sumir ou parar com suas operações quando seus principais membros ou líderes são presos ou desistem. Quando os líderes do LulzSec anunciaram o final de suas atividades cerca de dois meses após o surgimento do grupo, o grupo parou de realizar ataques, pois seguia uma estrutura formal e mais fechada. A recente notícia da prisão de seu líder, Sabu, e de vários de seus principais membros, acabou de vez com o grupo LulzSec. Em outro exemplo recente, os grupos TeaMp0isoN e CabinCr3w estão praticamente condenados a extinção, pois as autoridades de vários países realizaram várias prisões de seus membros nos últimos dias, praticamente desmontando os dois grupos, que também seguem o modelo tradicional, fechado e hierárquico dos grupos hackers.

Como os membros do Anonymous dizem com certa frequência quando é anunciada a prisão de algum membro do Anonymous, estas prisões realizadas pelas autoridades não causam impacto no grupo, pois "não se pode prender uma ideia".

[Segurança] A História do Hacking

Há um tempo atrás, no início dos anos 2000, o Discovery Channel fez um documentário muito legal sobre a história do Hacking, que pode ser encontrado no site do Google Video e no YouTube, e aborda desde o surgimento do Phreaking (o "hacking" focado em sistemas de telefonia) e da cultura hacker até os primeiros ataques e prisões realizadas nos EUA pelo FBI.

O documentário contém entrevistas bem interessantes com o John Draper (o Captain Crunch), um dos pioneiros e mais famosos phone phreakers, Steve Wozniak e Kevin Mitnick, além do jornalista Steve Levy. O documentário começa detalhando o surgimento da cultura do phreaking, o verdadeiro sucessor do hacking, e termina abordando as aventuras do Kevin Mitnick, algumas de suas invasões, sua perseguição pelo FBI e seu julgamento. Por exemplo é interessante saber que um juiz colocou o Mitnick em solitária por 8 meses com medo de que ele pudesse iniciar uma guerra nuclear devido aos seus atos de hacking.



maio 12, 2012

[Segurança] Uma breve história da Criptografia

A empresa Dashlane criou um infográfico bem caprichado que mostra resumidamente os principais avanços na história da criptografia, a arte e ciência de esconder uma informação. O infográfico mostra alguns dos principais avanços desde os primórdios da criptografia até os dias de hoje, com o surgimento dos algoritmos modernos.

Apesar de ser bem intencionado, o autor esqueceu alguns algoritmos e avanços que eu, particularmente, considero importantes, ao mesmo tempo que dá destaque a alguns fatos questionáveis. O infográfico começa bem, mas começa a misturar segurança de senhas, o filme Hackers, o uso de Captchas e até mesmo os cyber ataques da China e do Anonymous.

Ok, eu concordo que a popularização da cultura hacker, além do aumento da quantidade e complexidade dos ataques tem alavancado a necessidade das pessoas, empresas e governos protegerem seus dados e suas senhas - e a criptografia dos dados é uma das principais formas de proteção que temos a nossa mão. Mas não me parece pertinente mencionar isso como um fato importante na história da criptografia. Exceto se for em um material de marketing, direcionado a promover um produto, tecnologia ou conceito específico - E, no fundo, é para isso que os infográficos são feitos, né?

Na minha opinião, também faltou mencionar no infográfico a Cifra de César, um exemplo clássico de uso de criptografia na antiguidade, e a criação do algoritmo de criptografia assimétrica RSA, que deu origem ao conceito de criptografia de chave pública, assinaturas digitais e as autoridades certificadoras - os pilares básicos do uso de criptografia nas transações eletrônicas. Também merece destaque, ao meu ver, a criação do SSL (Secure Sockets Layer), o protocolo de criptografia criado pela Netscape nos meados dos anos 90 que desde então permite a transferência de informações seguramente através da Internet.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.