Páginas

junho 27, 2012

[Cyber Cultura] Jon maddog Hall: "Alan Turing é um herói para mim"

No dia 24 de Junho deste ano o Jon "maddog" Hall, figurinha carimbada no mundo Unix/Linux, defensor do software livre e frequentador assíduo da Campus Party Brasil, escreveu um artigo sensacional no blog da Linux Magazine sobre o centenário do nascimento do Alan Turing.

Apesar de eu só ter visto este artigo há poucas horas atrás, eu achei o texto "In Honor of Alan Turing: A message from the sponsor" tão comovente que faço questão de escrever este post para poder reproduzir o artigo abaixo, em Português. O texto é longo, acredite, mas realmente vale a pena ser lido. Vários trechos do artigo são emocionantes e mostram o ser humano existente por trás da imagem pública do Jon Maddog.

Em homenagem a Alan Turing: Uma mensagem do patrocinador
Jun 24, 2012 3:23 am GMT
Jon Maddog Hall

Se você é homofóbico, você provavelmente vai querer parar de ler agora. Basta ir para o próximo blog, ou ligue na Fox News, porque o resto desta entrada de blog não vai ser satisfatória para você. Não se preocupe, você será capaz de ler o meu próximo blog, apenas não irá ler este.
O que está acontecendo?
Hoje escrevi um ensaio sobre Alan Turing e o 100º aniversário de seu nascimento.
Eu não escondi o fato de que Alan Turing é um herói para mim. Eu tive vários heróis, entre eles:
  • A Contra-almirante Grace Murray Hopper
  • Abraham Lincoln (e não apenas porque ele libertou os escravos, mas porque ele foi um dos maiores seres humanos de todos os tempos)
  • Hedy Lamarr
  • Theodore Roosevelt
  • Samuel "Mark Twain" Clemens
e muitas mais pessoas que eu "respeito", embora não a ponto de alcançar o status de "herói" para mim.
Muitas dessas pessoas ainda estão vivas, e mencioná-las aqui, certamente, iria constrangê-las, pois elas tendem a ser pessoas modestas.
Alan Turing, no entanto, é diferente.
  • Ele fez tanto para a indústria com a qual eu passei os últimos 42 anos da minha vida.
  • Seu brilho ajudou a defender o mundo contra um mal inominável que envolveu nações inteiras, e virou homens e mulheres cristãos contra outros que foram vistos como diferentes deles mesmos.
  • Seu país (e do seu mundo) o odiava tanto que eles o castraram quimicamente, insultaram-no, e o privou de uma coisa pela qual ele viveu, o seu trabalho.
Você pode tentar adoçar os acontecimentos, dizendo "que era a lei do tempo", mas "o tempo" não foi há muito tempo atrás, e em alguns lugares o "naquele tempo" ainda existe.
E porque isso me afeta é que eu também sou homossexual.
O que você quer dizer com isso?
Este anúncio vai surpreender algumas pessoas, e não surpreender outras. Eu "sai" para algumas pessoas (geralmente os meus amigos mais próximos) e para outros não. Eu não "alardeio" a minha homossexualidade, nem eu minto sobre isso. Se as pessoas me perguntam diretamente sobre a minha homossexualidade, eu lhes digo.
Minha aparência física e comportamento desafiam os estereótipos que a maioria das pessoas têm dos homossexuais masculinos. Muitas pessoas nunca iriam adivinhar que eu sou homossexual, mesmo se eles me conhecessem há muito tempo.
Eu venho de um tempo diferente. Nascido em 1950 em Baltimore, Maryland, lembro-me dos "bebedouros para as pessoas negras" e os balcões de restaurante "somente para pessoas brancas". Eu me lembro quando "negros" iam para o fundo do ônibus, e como um menino de oito ou nove anos, eu não achava nada sobre isso. Era "natural". Mesmo a Igreja e a Bíblia falavam sobre como os escravos e a escravidão eram "naturais". "Negros" eram inferiores aos brancos, ou assim nos diziam.
Então, na década de 1960, algumas poucas pessoas corajosas se levantaram e disseram "Não, acho que você está errado", e o início de "direitos civis" começou a acontecer. Alguns políticos corajosos perderam seus cargos eletivos, algumas pessoas corajosas perderam seus empregos e algumas pessoas realmente corajosas perderam suas vidas durante esta luta.
Mas em algum lugar no meio de tudo isso, eu ouvi a seguinte mensagem: "Não é a cor da pele que faz uma pessoa ... é o que está dentro". Eu gostaria de dizer que a mensagem já está nos corações e cabeças de todos os meus compatriotas, mas eu sei que não. Hoje eu ainda ouço o chamado e o ódio contra raças diferentes.
Conforme eu cresci, eu observei o modo como minha mãe e meu pai interagiam. Meu pai era "o chefe da casa", e minha mãe era a "mãe". Eles se consultavam sobre as coisas, mas meu pai era o tomador final da decisão. Devo admitir que meu pai era sábio, e muitas vezes ouvia de perto minha "Mãe" antes de tomar a "sua" decisão, que muitas vezes refletia a dela. Mas na mente de mamãe era o dinheiro do "papai" que ele ganhou e trouxe para casa, e ela era apenas o guardião dele. Porque a sua religião lhe disse que as mulheres deviam ser subserviente aos homens.
Enquanto eu absorvia isso eu também notei a "Emenda dos Direitos Iguais", que foi escrita para dar direitos iguais às mulheres perante a lei. Proposto pela primeira vez em 1923, passou pelo Congresso em 1972, mas ainda não é uma emenda à Constituição dos Estados Unidos, embora ela só precisa que mais três estados a ratifiquem.
Ironicamente, o país considerado por seus habitantes como "mais livre" e "mais igualitário" parece precisar de uma emenda para garantir a igualdade para cerca de metade de sua população, porque são mulheres.
Até o dia da morte da mamãe eu nunca fui capaz de convencer que ela era do meu pai igual .... mas eu tentei.
Para você ver, na medida em que eu cresci, eu notei algumas coisas sobre mim mesmo.
Primeiro de tudo, eu não era um "caçador de saias". Ao contrário de muitos outros homens eu não ficava parado olhando para o corpo de uma mulher com a minha língua para fora e fazendo observações grosseiras sobre como eu iria tentar levar as mulheres para a cama. Meu desejo sexual parecia ser muito baixo ou inexistente... ou assim pensava eu. Estou certo de que as poucas mulheres que vieram a conhecer-me em meus anos de universidade (e que eram boas amigas) estavam curiosas sobre minha falta de "desejo sexual" em comparação com os outros homens que eles conheciam.
Mais tarde (muito mais tarde, depois da faculdade) eu notei que, enquanto não eram as mulheres que me faziam olhar, era homens. Comecei a perceber que eu era homossexual.
Para aqueles de vocês que pensam que a homossexualidade é uma "escolha", deixe-me assegurar que você está simplesmente errado. Não há escolha. Não há nenhuma decisão que eu fiz, consciente ou sub-consciente, sobre a minha sexualidade para fazer-me desta forma. E como eu me tornei mais consciente do problema, eu tentei "experimentos" com as mulheres para, pelo menos, ver se a condição era como eu pensava. Os "experimentos" foram muito bem sucedidos... em convencer-me que eu era homossexual.
Acredito que a sexualidade é, pelo menos, uma matriz bidimensional, com um eixo sendo "busca pelo sexo" de "inexistente" para "maníaco" e outro eixo sendo "orientação sexual" de "totalmente homossexual" a "completamente heterossexual". A maioria do mundo (se não todos) vive dentro dos dois eixos. Eu sou um "baixo-buscador-de-sexo/completamente homossexual".
Também deixe-me dizer que há uma diferença entre o amor e o amor sexual. Eu acredito nas "camadas" de amor mais facilmente descritos por:
  • Eros - amor erótico
  • Philos - amor fraterno
  • Agape - Amor Divino
Para quase todo mundo que conheço eu, eventualmente, desenvolvo o "Philos" com eles. Isso não significa que eu quero ter sexo com eles, mas eu gosto de um abraço ou algum contato corporal. Não é sexual, é humano.
Todas as imagens na web de mim normalmente têm eu com meu braço em volta dos ombros ou da cintura de uma pessoa. Eu não estou próximo da sua virilha ou outras partes "sexuais". Não sinto desejo por eles, apenas uma proximidade humana.
Por que nos dizer agora?
Boa pergunta.
Durante muito tempo tive o cuidado sobre o que dizer sobre a minha homossexualidade, por duas razões:
  • Eu não queria que minha mãe e pai descobrissem
  • Eu não queria que a minha sexualidade de forma alguma ferisse o Linux e o software livre
Minha mãe e pai eram cristãos fundamentalistas, que tomaram a Bíblia literalmente. Eles acreditavam que o universo tinha cerca de 6.000 anos, e, definitivamente, não apoiavam o trabalho de Charles Darwin. Eu não sabia desse pequeno "fato" até quando eu estava na universidade, e eu achei estranho que eles não tinham me dito nada sobre isso quando eu ficava trazendo fósseis para casa de criaturas do mar que tinham sido mortos há milhões de anos. Mais tarde eles me disseram que eles queriam que eu formasse minhas próprias opiniões sobre religião e levasse a minha própria vida. Sou grato a eles por essa atitude, mas eu sabia que havia pelo menos uma pequena diferença entre os fósseis marinhos mortos e pensar que seu filho mais novo vai queimar no inferno por ser homossexual. Sabendo que eu tinha falhado em convencer minha mãe que ela era igual a meu pai, eu provavelmente teria pouco sucesso neste último esforço bíblico.
Como a maioria de vocês sabem, minha mãe e meu pai morreram no ano passado, assim este anúncio não irá afetá-los.
Quanto ao segundo ponto eu fui extremamente afortunado em minha vida de ter crescido num ambiente tecnologicamente avançado. A maioria das pessoas no meu mundo de eletrônicos e computadores eram como os matemáticos do tempo de Alan Turing, altamente educados e realmente não se importam se os seus compatriotas eram homossexuais ou não, ou pelo menos olham para além da sexualidade e veem o resto da pessoa.
Na verdade, ciência da computação era um paraíso para os homossexuais, trans-sexuais e um monte de outros "sexuais", principalmente porque a história da ciência demandava pessoas razoavelmente inteligentes, com o pensamento moderno. Muitas empresas de informática foram as primeiras a lançar programas de "diversidade", e a organização USENIX tinha um grupo de interesse especial que foi composta de pessoas LGBT.
Isso não quer dizer que todas as pessoas da ciência da computação são homossexuais, ou mesmo não-homofóbicos, mas a maior parte da comunidade e as empresas têm sido mais aptas a aceitar e acolher do que outros.
No entanto, conforme eu fui seguindo a vida tenho encontrado às vezes pessoas que deveriam ser mais compreensivas e aceitante mas não são, e eu não queria que isso refletisse sobre o Linux ou o software livre de forma alguma.
No entanto, várias coisas recentemente me forçaram a reconsiderar e fazer este "anúncio":
  • A constatação de que os homossexuais enrustidos permitem que os outros pensem que não existimos, ou existimos em menor número do que somos, ou nós não existimos em "seu quintal", tudo isto lhes permite acreditar que não existimos, ou pensar em nós como monstros. É muito mais difícil odiar as pessoas LGBT em geral quando você tem um filho ou filha, tio ou tia, vizinho ou amigo que é LGBT.
  • A afirmação de algumas pessoas heterossexuais que não podemos ser modelos para os jovens, que de alguma forma as pessoas homossexuais não têm qualidades redentoras por causa da nossa sexualidade, e não podemos ser bons pais.
  • Toda a questão da igualdade do casamento, amplificado por mim devido a vários do meu grupo de amigos morrer sem nunca terem sido "casados", apesar de serem fiéis aos seus parceiros por cinqüenta ou sessenta anos.
  • As posições de vários países como a Rússia, muitos países africanos, e outros que não só não reconhecem os homossexuais, mas muitas vezes os colocam na prisão ou em situação de morte.
  • A posição e as ações de várias "igrejas" norte-americanas que ativamente promovem agressões aos homossexuais, tanto nos Estados Unidos e em outros países. Seu uso de meus impostos para sustentar essas igrejas em sua luta para negar meus direitos particularmente me enfurece.
  • O número de suicídios na juventude LBGT, e a necessidade dos homossexuais mais jovens terem modelos para mostrar-lhes que as coisas ficam melhor.
  • Conhecer pessoas em alguns países fora dos Estados Unidos, onde uma declaração de sua homossexualidade é encarada com um sinal de indiferença em vez de uma condenação, e o embaraço de que "a terra da liberdade" está tão longe deles. Eu me lembro com grande calor a mensagem de e-mail de um amigo (heterossexual) na Argentina, que me escreveu no dia em que a Argentina concedeu a igualdade no casamento... "hoje eu estou tão orgulhoso do meu país." Eu gostaria de ser tão orgulhoso dos Estados Unidos.
  • Meu estudo de Alan Turing, o seu trabalho e vida refletida de volta na minha própria vida, e este ano sendo o 100º aniversário de seu nascimento.
Por anos eu tenho falado em palestras de software livre sobre as coisas que aconteceram em 1969, incluindo o meu primeiro programa, o início do Unix, o início da ARPAnet e o nascimento de Linus Torvalds, mas uma coisa adicional aconteceu no nascimento da "Libertação Gay" no Stonewall Inn, em Nova York.
A mesma marcha que trouxe os Direitos Civis para os afro-americanos começou naquelee ano e naquele lugar. Até este ano eu não tinha sido uma parte dela. Minha sexualidade não era uma grande parte da minha vida.
Mas no início deste ano comecei a doar para a campanha de igualdade no casamento em New Hampshire. Comecei fazendo parte do pessoal dos telefones em call centers, quando o congresso de New Hampshire, controlado pelos republicano, olhou como se pretendessem revogar a igualdade no casamento (eles não o fizeram... ainda), e eu expliquei pacientemente ao meu vizinho de porta de vinte anos (também o meu representante para a legislatura de New Hampshire) que eu era homossexual e que a igualdade no casamento não traria a destruição de New Hampshire.
Foi no envolvimento com este problema que eu tenho visto declarações horríveis apresentadas a respeito dos homossexuais que me disseram que eu não podia mais ficar calado.
Cerca de quinze anos atrás eu escrevi uma carta para o Linux Journal, onde afirmei o que eu acredito, e estou repetindo aqui:
Eu acredito na liberdade de expressão, um processo democrático e liberdade de escolha.
Eu acredito em não-violência e nunca ferir ninguém fisicamente com raiva.
Eu nunca estive na prisão, nunca fui preso e recebi apenas duas multas por excesso de velocidade (que eu paguei) em toda minha vida.
Eu não acredito que matar um ser humano para qualquer coisa exceto uma ameaça iminente de vida (minha ou de outra pessoa) seja sempre justificada, mas gostaria de ir à guerra para proteger meu país e seus ideais se fôssemos atacados.
Eu acredito na igualdade das raças e sexos, e eu acredito em honrar a diversidade na religião e orientação sexual.
Acredito que o dever do governo é honrar a vontade da maioria, desde que não viole os direitos da minoria.
Eu honro as leis, mesmo aquelas que não sou completamente de acordo, acreditando que é melhor mudá-las do que quebrá-las.
Eu encorajo as pessoas a pensar sobre o que a lei significa, e como que seria se não houvesse nenhuma lei.
Eu nunca fui acusado na Justiça (local, estadual ou federal) de ser um monopólio, de ter violado a lei ou prejudicado conscientemente o negócio de outra pessoa ou o consumidor por minhas táticas de negócios.
Eu acredito na honra e viver uma vida honrada.
Alguns anos atrás eu escrevi uma carta ao editor do jornal local sobre a igualdade no casamento, e que também vale a pena rever:
Como agentes do ódio, algumas pessoas não suportam o casamento homossexual citando temores irracionais, consequências não comprovadas, uma noção fraca da história civil e reações às décadas de ódio pelos outros. Meus pais tem 88 e 86 anos de idade, casados há 66 anos. Eles ainda pensam nos afro-americanos como "inferiores". Se você os chamar de racista ou de ódio, eles se sentiriam insultados.... mas eles são racistas, e o pensamento é odioso.
Venha comigo para o meu café da manhã favorito, onde eu me sento no canto e ouço as conversas sobre as "frutos, fadas, e bichas". Tente assistir a Ellen Degeneres Show (realizado por uma lésbica) comigo na TV na mesa de jantar. Infelizmente, logo que o programa aparece na TV uma pessoa na mesa levanta-se para mudar o canal. A mesma pessoa, a cada dia. Eles não assistem o novo programa, eles lêem seu jornal ou falam com outras pessoas. Quando eu perguntei por que eles mudaram o canal, eles murmuraram apenas a palavra "nojento".
Olhe por cima do meu ombro enquanto eu leio as cartas nos jornais sobre como os homossexuais são imorais, e como eles estão condenados ao inferno por sentimentos que eles têm pouco controle sobre, um sentimento geralmente considerado um dos mais poderosos na experiência humana. Virando para a página do editorial, eu leio sobre os suicídios dos homossexuais adolescentes serem duas a três vezes a taxa de suicídios de adolescentes heterossexuais.
Veja a Internet comigo, como eu leio sobre como Fred Phelps de Topeka Kansas e os membros de sua "igreja" falam sobre como Deus está a devastar os Estados Unidos por causa de sua "agenda homossexual". Saiba que se sua igreja está queimando, é meus impostos que pagam o corpo de bombeiros que irá apagar o incêndio.
Leia comigo os e-mails que recebo sobre um garoto que foi perseguido pela floresta, com a idade de 17 anos, tendo uma faca na garganta e sendo chamado de "bicha, bicha, bicha". Difícil de acreditar? Lembre-se de Mathew Shepherd. Lembre-se de Harvey Milk.
Trabalhe comigo enquanto eu sento no final de semana escrevendo uma política de não assédio para o clube de informática que formei há quinze anos atrás, algo que eu nunca pensei que seria necessário. Eu faço isso não por minha iniciativa, mas porque me pedem para fazê-lo para outros membros.
Sente-se à minha mesa de jantar com os meus parentes cristãos fundamentalistas enquanto eles afirmam que o mundo inteiro está desmoronando por causa da "agenda homossexual". Não por causa da ganância, adultério, assassinato, ou o medo e o ódio de outras pessoas, mas porque duas pessoas que se amam querem ser "casados".
Finalmente, por favor, faça este teste simples comigo:
Pense na sua família. Sua amada esposa e seus filhos. Vocês se juntaram no casamento há muito tempo. Você prometeu seu amor a sua parceira. Você orgulhosamente leva a sua parceira de casamento para festas, bailes, festas do escritório.... algo que eu não sou capaz de fazer.
Você teve filhos. Talvez você os adotou, mas em qualquer caso, você os criou e os amava. Você está orgulhoso de suas realizações. Eles fazem amigos, praticam esportes, obtem boas notas na escola. Em muitos estados, eu nunca vou ser capaz de adotar crianças.
Eles se alistam para o serviço militar e servem bem ao seu país. Então, um dia elas aparecem em sua porta com um estranho, e uma baixa desonrosa.
Com lágrimas nos olhos eles te dizem que são homossexuais. Eles dizem que amam a pessoa que está com eles, e querem que você entenda, ame-os e apoie o seu desejo de se casarem. Eles querem que você se orgulhe deles e de sua pessoa amada.
Ora aqui está o teste. Você:

  1. Vai chamá-los de "bicha" e dizer-lhes para sair de sua casa para sempre?
  2. Vai dizer que eles vão queimar no inferno?
  3. Vai dizer a eles que você pode "Aceitar, mas não se esquecer"? ("Não pergunte, Não diga?")
  4. Vai aceitar e receber os dois

Teste finalizado. Como você se saiu? Como você pode ver, embora eu tenha sido "invisível" para a maioria, eu não tenho ficado quieto.
Agora no aniversário do nascimento de Alan Turing, eu escolho não ser quieto nem invisível por mais tempo.
O que isso significa?
Para a maior parte, e sobretudo neste blog, você não verá nenhuma mudança. Tenho 61 anos de idade... o que você já viu é o que você vai ter. Não tenho a intenção de fazer mudanças radicais. Não tenho a intenção de combinar minha "religião" do Software Livre com a minha "religião" de liberdade sexual. Eu não vou levantar a questão da sexualidade em conferências e neste blog. Eu sinto que espalhar a palavra sobre o Software Livre é pelo menos tão importante quanto divulgar a liberdade sexual. Eu não quero que um interferira com o outro.
Da mesma forma eu vou honrar os costumes sexuais de várias sociedades, enquanto eu sou seu convidado.
No entanto, se eu estou em uma conferência e o tema é levantado por outros, não vou fugir dele, e se as pessoas precisarem de uma orelha ou um ombro para se apoiarem no que diz respeito a este tema, eu estarei lá.
Por outro lado, em minhas páginas no Facebook ou em meus tweets você poderá ver ainda mais sobre a homossexualidade... não uma quantidade enorme... só um pouco mais.... sinto muito por isso. Se você não gosta disto, então "un-friend" e "un-follow" pode ser apropriado para você. Eu não vou odiá-lo por isto, apesar de admitir ficar um pouco decepcionado com você.
Se você chegou até aqui, eu o aplaudo. Espero também que todos os meus amigos, tanto virtuais como físicos, heterossexuais, homossexuais, bi-sexuais,transgêneros, transexuais e "outros" ainda irão aparecer, apertar minha mão e me abraçar.... e vão querer ter uma foto comigo como antes.
Lembre-se que eu sou exatamente a mesma pessoa de antes... é só que você sabe um pouco mais sobre mim... na verdade, você sabe TUDO sobre mim. Não tenho outros 'segredos'.
Paz e amor para todos vocês... e... Carpe Diem!

junho 26, 2012

[Segurança] Normatizando o uso seguro das redes sociais

O governo federal lançou recentemente uma norma de segurança sobre o uso de redes sociais em órgãos públicos. A Norma Complementar nº 15/IN01/DSIC/GSIPR, chamada de "Diretrizes para o uso seguro das redes sociais na Administração Pública Federal (APF)", foi criada pelo Departamento de Segurança da Informação e Comunicações (DSIC) e foi publicada no Diário Oficial da União no dia 21 de junho, através do Conselho de Defesa Nacional, órgão ligado diretamente à Presidência da República.

De acordo com o texto da norma publicado no Diário Oficial, o objetivo dela é de "estabelecer diretrizes de Segurança da Informação e Comunicações para o uso das redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta".

Esta norma é uma iniciativa interessante de tentar criar algumas diretrizes para as entidades interessadas em criar critérios de segurança para o uso de redes sociais e poderia servir de exemplo também para o uso nas empresas, porém esta norma não traz grandes inovações nem grandes novidades. A maior parte do texto da norma é relacionado a considerações iniciais, fundamentos e conceitos, e são indicadas poucas recomendações práticas de segurança.

O principal aspecto da norma é que ela veta a terceirização da administração e da gestão dos perfis "oficiais" nas redes sociais. Em geral, poucos parágrafos merecem algum destaque, ao meu ver:
  • Parágrafo 5.2: recomenda que a norma seja válida para quem administre o perfil oficial da entidade e, também, para todos usuários que acessem alguma rede social: "A normatização interna de uso seguro das redes sociais deve estar alinhada tanto à Política de Segurança da Informação e Comunicações (POSIC) quanto aos objetivos estratégicos do órgão ou entidade. Também deve estabelecer diretrizes, critérios, limitações e responsabilidades na gestão do uso seguro das redes sociais, por usuários que tenham permissão para administrar perfis institucionais ou que possuam credencial de acesso para qualquer rede social, a partir da infraestrutura das redes de computadores da APF"
  • Parágrafo 5.4 (e 5.5): Define que somente servidores públicos podem ser responsáveis pelo perfil da entidade, que não pode ser terceirizado: "Perfis institucionais mantidos nas redes sociais devem, preferencialmente, ser administrados e gerenciados por equipes integradas exclusivamente por servidores ou empregados públicos federais ocupantes de cargo efetivo ou militar de carreira, de órgão ou entidade da APF. Quando não for possível, a equipe pode ser mista, desde que sob a coordenação e responsabilidade de um servidor ou empregado público."
  • Parágrafo 5.6: Define o perfil profissional do responsável pelas contas em redes sociais em nome da entidade: "O órgão ou entidade da APF deve nomear um servidor público, ocupante de cargo efetivo ou militar de carreira, para a função de Agente Responsável pela gestão do uso seguro de cada perfil institucional nas redes sociais, com o seguinte perfil profissional: capacidade de estabelecer bons relacionamentos interpessoais, de interagir e dialogar com as demais áreas presentes nas redes sociais, proativo e, principalmente, que conheça e entenda o negócio do órgão ou entidade da APF a que esteja vinculado."


Me parece que a norma deixou de regulamentar muitos aspectos importantes referentes aos riscos do uso de redes sociais. Não basta limitar quem é o responsável por administrar o perfil oficial da entidade, mas o mais importante, na minha opinião, é regulamentar como os usuários devem se portar nas redes sociais a partir do ambiente de trabalho. Isto poderia incluir vários aspectos, como evitar citar aspectos internos do trabalho, não responder questões de trabalho através do perfil pessoal, não se envolver em grupos ou discussões relacionados negativamente ao órgão e ao trabalho, e não publicar mensagens de conteúdo ofensivo ou moralmente questionável.

Além do mais, não basta proibir a terceirização da gestão dos perfis e definir exigências mínimas para funcionário responsável pelos perfis. É importante definir que somente as pessoas relacionadas a área de comunicação e relações institucionais da empresa podem publicar mensagens em nome da entidade, e que estas pessoas devem ter treinamento específico sobre comunicação corporativa e sobre o correto uso de redes sociais. Além do mais, a norma poderia orientar que, para discussões e questionamentos online que envolvam determinados detalhes, a área responsável pelo perfil tem que solicitar o envolvimento de outras áreas relacionadas a discussão em questão.

Entretanto, como a norma acima faz menção as demais políticas de segurança existentes na entidade, alguns aspectos podem ser omitidos, como o cuidado na discussão sobre assuntos confidenciais ou com o vazamento acidental de informações, pois isto já deveria estar previsto em outras normas.
o texto completo da norma está disponível no site do Diário Oficial da União e a notícia de sua publicação foi divulgada também no site do DSIC. Não custa lembrar que esta norma só vale para os órgãos da Administração Pública Federal (APF).

junho 22, 2012

[Cyber Cultura] Centenário do Alan Turing

No dia 23 de Junho, próximo Sábado, Alan Turing faria 100 anos.

Alan Turing foi um matemático e criptoanalista britânico que teve grande influência no desenvolvimento da ciência da computação e até hoje é lembrado por seu papel fundamental no esforço britânico de decifrar a criptografia da máquina Enigma, utilizada amplamente pela Alemanha durante a Segunda Guerra Mundial.

Segundo a revista Wired, o papel de Alan Turing como criptoanalista foi tão importante que Winston Churchill creditou a ele a maior contribuição individual para a vitória dos Aliados contra a Alemanha nazista. Seus esforços para quebrar a criptografia da máquina Enigma e para construir um equipamento para automatizar este processo permitiu aos britânicos decifrar as mensagens alemãs e, com isso, mudar o rumo da guerra do Atlântico: até então os submatinos U-boats nazistas atacavam constantemente os comboios de suprimentos destinados a Inglaterra durante a guerra.




Alan Turing também ficou conhecido por ter proposto a Máquina de Turing e o Teste de Turing. A Máquina de Turing é um dispositivo teórico conhecido como máquina universal, que foi proposto por Turing em 1936. Ela descreve um modelo conceitual teórico do que seria um computador, que define aspectos lógicos do funcionamento de uma máquina de estados capaz de resolver problemas, incluindo o uso de memória, estados e transições - e daí se deriva também o conceito de algoritmos.





O Teste de Turing foi um desafio teórico proposto por Turing em 1950 para identificar quando estamos lidando com um computador ou com uma pessoa. A idéia deste teste permitiu uma grande evolução na área da Inteligência Artificial.

Entre outras ações realizadas para celebrar o centenário do nascimento do Alan Turing, foi criado o site Alan Turing Year e a versão britânica da revista Wired fez a "Turing Week", com uma coletânea de artigos e entrevistas sobre a vida e o trabalho de Turing. Entre os vários artigos publicados no site da Wired, todos eles interessantes, eu recomendo uma leitura dos seguintes:

O site As Technica também publicou um artigo bem interessante, que eu recomendo a leitura, "The highly productive habits of Alan Turing", que descreve o que considera serem os hábitos de Turing que o levaram ao sucesso: paixão por aprender, evitar ideologias, praticidade, a capacidade de dividir um problema complexo em pequenos problemas, persistência, descontração e dar importância as pessoas e amizades.


junho 21, 2012

[Segurança] Malware ou Goodware?

Após a recente revelação de que os governos americano e israelense foram os responsáveis pela criação do Stuxnet, o pessoal do Gartner publicou um pequeno artigo no blog deles, entitulado "On Stuxnet Revelations" questionando se deveríamos pensar em uma nova forma de chamar um código malicioso ("malware") que fosse criado pelos "mocinhos" ("good guys"), ou pessoas bem intencionadas:

What do you call “malware” working for the good guys? “Attack software”? “Sabotage-ware”? “Good malware”? We need a whole new language to describe what we are seeing now. This is  "one man’s terrorist is another man’s freedom fighter" all over again…

Não acredito que exista uma resposta para isso. Não concordo que seja tão fácil assim usar a idéia de "goodware", ou de um código malicioso que tenha sido criado pelo chamado "mocinho". Na minha opinião, o mais questionável dessa história toda é o conceito de "good guys", pois isto é totalmente relativo: alguém pode se auto-entitular o "mocinho" da história, mas certamente o outro lado vai achar o contrário. A tendência natural é que, em qualquer tipo de diferença ou conflito, cada lado vai achar que o seu ponto de vista é o correto e que o outro lado está errado. Como decidir quem está certo ("good guy") e quem está errado ("bad guy")?

Só para exemplificar, esta dificuldade e relatividade de estabelecer quem tem a motivação justa, seguem alguns exemplos:
  • O cara que trabalhava na usina de Natanz e teve que limpar a sugeira deixada pelas 1000 centrífugas que explodiram deve achar que os EUA são os "bad guys".
  • O alto-executivo do governo Chinês que conseguiu encurtar o projeto de um novo caça em vários anos graças a informações do projeto do F-35 Lightning II roubadas de empresas americanas, certamente se considera o "goodguy" da história, pois ele está ajudando a proteger o próprio país.
  • O Julian Assange é considerado o "bad guy" por vários governos e o "good guy" por várias entidades que defendem a liberdade de expressão e a transparência dos governos.
  • Bradley Manning, o militar que vazou para o Wikileaks várias informações sobre os militares americanos e a guerra do Iraque, é considerado o "bad guy" pelo governo americano e o "good guy" por várias entidades que defendem a liberdade de expressão e a transparência dos governos. Inclusive foi ele quem vazou o vídeo "collateral murder", que mostra um helicoptero militar americano matando civis inocentes em Bagda, incluindo dois reporters da Reuters.
  • Os usuários de Internet que compartilham filmes e música online são considerados "bad guys" por vários governos, empresas e artistas.


Pelos exemplos acima dá para perceber o quanto o conceito de "bad guy" e "good guy" pode ser relativo, por isso não é fácil estabelecer se um ataque cibernético realmente teve uma boa intenção. O mesmo se aplica a qualquer tipo de ataque. Por isto mesmo, é tão difícil para vários países conseguirem justificar uma operação militar junto a ONU e a população em geral. Isto porque, na prática, um ataque é um ataque. É o uso da força contra alguém.

O mais interessante da discussão sobre "good guy" e "bad guy" é que os serviços de inteligência estão bem no meio termo: o mesmo serviço é visto como mocinho e vilão, dependendo de quem está no comando e quem está espionando quem. No mundo da espionagem e contra-espionagem internacional, a própria espionagem, roubo de informações, invasão e sabotagem fazem parte de um campo cinzento, nebuloso e sinistro aonde não há mais mocinhos - há interesses próprios. Em alguns países a espionagem contra o governo é tratada com pena de morte, se você for do lado adversário, óbvio, mas o seu espião pode ser considerado herói nacional.

Além do mais, tentar justificar um ataque (ou ciber ataque) contra alguém baseado somente no conceito de mocinho e bandido abre um precedente terrível, pois justificaria qualquer outro tipo de ataque se for por um "bom" motivo - sendo que o conceito de "bom" foi definido arbitrariamente.

[Cyber Cultura] Como seria o mundo sem a Internet?

Para mostrar o quento estamos dependentes da Internet hoje em dia e como poderia ser difícil viver sem ela, o pessoal do Education Database Online publicou há pouco tempo um infográfico bem caprichado, com várias estatísticas sobre o uso da Internet. Dê oma olhada:


World without Internet
Via: OnlineEducation.net


Estas estatísticas mostram como a Internet tem nos ajudado a nos conectar com praticamente qualquer pessoa no mundo e ter acesso fácil a uma quantidade praticamente infinita de informação. Afinal, são cerca de 2.3 bilhões de pessoas conectadas e 550 milhões de websites em todo o mundo.

Uma das estatísticas que eu achei mais interessante foi que, se antes estimávamos que o grau de separação entre as pessoas era de no máximo 6 nós (ou seja, você está a 6 amigos de distância de qualquer pessoa do mundo), a Internet e as redes sociais diminuiram esta distância para pouco menos de 4 pessoas, em média (3.74 pessoas). Ou seja, a Internet está aproximando todos nós, e tornando um mundo um lugar "menor".

Além de aproximar as pessoas, e facilitado o acesso a informação, a Internet também tem ajudado a nos mobilizar politicamente. Hoje há uma demanda maior por transparência dos governos, como nunca antes. As pessoas querem ouvir e serem ouvidas, querem manifestar suas idéias e posições políticas. Além disso, como as estatíticas do infográfico mostram, ficou mais fácli nos mobilizarmos com o uso da Internet: bastou uma semana para os egípcios organizarem uma revolução, que derrubou 30 anos de ditadura em apenas 18 dias.

junho 20, 2012

[Cyber Cultura] Sexting

Há um tempinho atrás o blog Crimes pela Internet publicou um artigo caprichado sobre o que cada pai deve saber sobre sexting, explicando o risco dos jovens compartilharem imagens eróticas de si mesmos e como os pais poderiam tentsr evitar isso. O artigo vale a pena ser lido, embora ele misture algumas informações específicas dos EUA (como gírias) e algumas específicas do Brasil (como o parágrafo sobre o estatuto da crianá e do adolescente).

O "sexting" é um problema dos tempos modernos... Ou melhor, é um "problema" antigo adaptado aos tempos modernos: hoje em dia os adolescentes podem facilmente compartilhar a descoberta da sexualidade com seus amigos e conhecidos através de redes sociais, mensagens telefônicas (SMS e MMS), fotos digitais, etc. A palavra "sexting" surgiu da junção de "sex" com "texting", que representa o compartilhamento de mensagens e conteúdos com tom sexual (ou mesmo pornográfico através de mensagens de celular. Este problema, com o tempo, foi migrando também para as redes sociais.

Conforme explica o post do Crimes Pela Internet, ao praticar o “sexting” meninos e meninas de várias idades tiram fotos nus, seminus, ou em poses sensuais exibindo o próprio corpo (ou mesmo da namorada/namorado) usando seus celulares ou câmeras fotográficas. Posteriormente eles podem compartilhar estas fotos com seus parceiros ou colegas, correndo o risco de eventualmente estas fotos vazarem e seu compartilhamento fugir do controle, expondo a intimidade destes jovens.

Os riscos para os jovens incluem a eventual exposição indesejada da intimidade dos jovens ou exposição a pedófilos ou chantagistas, caso as fotos vazem para outras pessoas, o risco de bullying, e o risco de condenação penal, uma vez que o próprio jovem ou adolescente, quando divulga fotos íntimas de seus colegas ou de si mesmo, está praticando pornografia infantil (pode parecer estranho, mas já houve casos de jovens condenados por compartinharem fotos de si mesmos).

Um vídeo de conscientização americano chamado "Everyone - Think Before You Post" tenta ilustrar este problema. Veja avaixo uma versão com legendas em português do vídeo. Notem que este vídeo é um pouco parecido com um outro vídeo espanhol sobre sexting que eu publiquei aqui em 2009.





A melhor solução para evitar o problema do sexting nada mais é do que a conscientização dos jovens, o que envolve necessariamente a interação e conversa com os pais.

junho 15, 2012

[Segurança] A Lei Carolina pode acabar com a pesquisa em segurança?

No mês passado a Câmara dos Deputados aprovou e encaminhou ao Senado o Projeto de Lei (PL) 2793/2011 do Deputado Federal Paulo Teixeira (PT/SP), que aborda "a tipificação criminal de delitos informáticos" - também chamado de "Lei Carolina" ou "Lei Dieckmann" por ter sido aprovada as pressas e nas coxas no meio do turbilhão de notícias sobre o vazamento das fotos da pobre atriz.

Várias críticas já foram feitas ao projeto, e você pode rever esta discussão ouvindo o mais novo episódio do podcast Para Sua Segurança, do Ricardo Castro). Mas um parágrafo específico tem tirado o sono dos profissionais de segurança:
Art. 154-A, "§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput."
A crítica é que este simples parágrafo do artigo 154-A pode penalizar não só os cyber criminosos que criam trojans, vírus e phishing, mas também pode criminalizar quem pesquisa vulnerabilidades e produz ferramentas de segurança, como exploits, scanners, e ferramentas de testes de invasão ("pentest", para usar a palavra da moda) - além de qualquer ferramenta que alguém mal intencionado possa utilizar para cometer uma ação criminosa. Até mesmo a criação de módulos para o famoso Metasploit pode ser considerado crime, pois segundo este texto qualquer desenvolvedor de ferramentas pode ser punido caso elas sejam utilizadas por terceiros com fins maliciosos.

Trazendo para um exemplo do dia-a-dia, isto seria como se a lei criminalizasse qualquer empresa que produz ferramentas que permitam a prática de crimes, tais como fabricantes de armas, facas, pés-de-cabra, etc. Seria o fim da indústria de armas e da indústria bélica - o que, pensando bem, não seria uma má idéia, né?

Com a redação atual do PL, tudo vai depender de como o juiz irá interpretar o texto da lei e como vai interpretar a intenção de quem criou uma ferramenta de segurança. Ou seja, o texto está mal redigido e pode levar a interpretações que criminalizem a pesquisa de vulnerabilidades e a criação de ferramentas de segurança.

Isto não é simples paranóia nem discurso vago: uma lei mal redigida criminalizou a indústria de segurança na Alemanha no ano passado, em um caso de má redação de um parágrafo similar ao caso do projeto brasileiro. O caso da Alemanha surgiu quando o legisladores lá tentaram adaptar as leis locais a Convenção de Budapeste, que estabelece no artigo 6 que os países signatários devem ter uma lei que atenda ao seguinte:

1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:
a. the production, sale, procurement for use, import, distribution or otherwise making available of:
I. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;
II. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and
b. the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.
2. This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorized testing or protection of a computer system.
Ou, em poucas palavras, a Convenção de Budapeste recomenda que os países tenham uma lei que criminalize "a produção, venda, (...) de dispositivos,incluindo programas de computador, desenhados ou adaptados essencialmente com o objetivo de cometer alguma das ofensas (...)". E o texto da Convenção de Budapeste deixa claro, no parágrafo 2, de que não deve ser criminalizado a produção, uso, etc de ferramentas quando não houver a intenção de cometer um crime.

Quando as autoridades francesas criaram uma lei que atendesse a recomendação acima em 2004, eles usaram uma redação que também deixa nas mãos da interpretação do juiz a criminalização do uso ou a criação de ferramentas. Ao colocar um "good cause" no texto, os franceses ficam dependendo de como um juíz interpreta a intenção do réu:
Article 323-3 - To, without good cause, import, hold, offer, sell or make available any equipment, instrument, computer program or data specifically designed or adapted to commit one or more offenses under Articles 321-1 to 3232-3 is severely punishable by penalties respective to the offense itself or the infraction.
Na Alemanha, a coisa foi pior ainda. O código penal foi reformado em 2007 e criminaliza qualquer programa que permita roubar senhas ou acessar dados de sistemas.
Section 202(c) - It is an offense to create, sell or distribute any computer program, the intent of which is to steal password or other security codes, or access data and systems in any other way.
O resultado é que a pesquisa em segurança na Alemanha e na França foi prejudicada por estas leis, e alguns profissionais de segurança destes países já foram processados com base nelas.

Consequentemente, uma lei mal redigida pode criminalizar os pesquisadores de segurança, em especial aos que se dedicam a descobrir vulnerabilidades e criar novas ferramentas. O mercado brasileiro já é pequeno e nosso país tem pouquíssima tradição de pesquisa em praticamente todas as áreas do conhecimento. Uma lei má redigida, como é o caso do PL 2793/2011, pode significar o golpe de misericórdia para a pesquisa nacional.

junho 13, 2012

[Segurança] Profissão: Desenvolvedor de Código Malicioso

Depois que o New York Times revelou que os governos americano e israelense foram os responsáveis pela criação do super-mega-vírus-destruidor-de-usina-nuclear Stuxnet, ficou definitivamente comprovado que o uso de códigos maliciosos por governos e agências de inteligência contra outros governos já é uma realidade - o que a mídia adora chamar de armas cibernética (cyber weapons).

Logo surgiu o questionamento: já que existem desenvolveres de códigos maliciosos trabalhando para os governos, como alguém colocaria isso em seu currículo?

A pergunta é interessante, principalmente se pensarmos que até o momento, desenvolver códigos maliciosos, trojans e vírus era uma tarefa restrita aos ciber criminosos - e, portanto, não constituía uma "profissão" que pudesse ser reconhecida pelo mercado. Mas, se há esta demanda em alguns órgãos de governo em algumas partes do mundo, certamente uma série de empresas que prestam serviços para estes governos também vão começar a oferecer isto (desenvolvimento de malwares) também. Afinal, se a empresa XYZ já vende mísseis nucleares ou aviões de guerra, o custo para criar uma divisão interna de ciber guerra e vender "ciber armas" seria irrisório (ainda mais se comparado ao custo e ao tempo necessários para desenvolver, por exemplo, um novo míssil ou um novo avião).

No mercado de Segurança da Informação, a única demanda que existia até agora era para analistas de códigos maliciosos, ou seja, pessoas que fazem o contrário: analisam como um malware existente funciona para descobrir como se proteger contra ele. Estes profissionais normalmente trabalham em fabricantes de anti-vírus ou mesmo em alguns bancos, que são dedicados a descobrir novos vírus e pesquisar como eles funcionam, para assim criar uma vacina, combater a infecção ou identificar o ciber criminoso responsável pelo golpe.

Há outros aspectos interessantes desta "profissão": normalmente quem trabalha com isso está envolvido em algum tipo de projeto ultra-secreto do governo, logo não poderia, sob hipótese alguma, dizer que trabalha com isso. Logo, o pessoal de RH vai ficar doido tentando achar esse tipo de profissional. E, se achar alguém, provavelmente será através de um candidato que mentiu no CV, não será qualificado e não terá a real experiência desejada. Além do mais, como este tipo de trabalho envolve espionagem e conflito entre países, eventualmente o próprio analista que se expor publicamente pode ser alvo de ameaças, como um ataque terrorista ou assassinato por algum agente de um governo inimigo. Estou sendo paranóico? Não muito, se considerarmos que dois especialistas do governo iraniano sofreram atentado quando o Stuxnet surgiu.

Ou seja, se você quer trabalhar na área ou já trabalha, pode ser perigoso (ou proibido) divulgar o que você faz. Uma mudança de emprego provavelmente só vai acontecer através de indicações e relacionamento, e não colocando o seu CV em um site por aí. Mas, se mesmo assim, você quiser colocar isto em seu CV, tente ser discreto. Que tal pensar em algo como...
Empresa XYZ: Desenvolvedor Senior de Ferramentas de Segurança - Trabalhei na divisão de pesquisa, responsável pela análise e desenvolvimento de ferramentas especializadas de segurança destinadas a garantir o acesso seguro a ambientes remotos. Criamos ferramentas que permitiram a empresa economizar milhões de dólares evitando o uso de meios tradicionais de acesso físico.

A reportagem do NYT foi baseada nas revelações do livro “Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”, lançado recentemente, que em um dos capítulos detalha como os EUA e Israel criaram o projeto "Olympic Games" na época do governo Bush, com o objetivo de retardar o desenvolvimento nuclear do Irã (e, ao mesmo tempo, deixar os israelenses distraídos com a possibilidade de um ciber ataque em vez de resolverem bombardear as instalações iranianas).

junho 12, 2012

[Segurança] Eventos de Segurança no Segundo Semestre de 2012

O primeiro semestre ainda nem chegou ao fim, mas já estou começando a me programar para a sequência de eventos de segurança irão ocorrer no até o final do ano.

Segue abaixo uma lista com os eventos  que acontecerão entre Julho e Dezembro deste ano e que eu considero como os mais importantes na área de segurança:
  • Julho/2012
    • 02 e 03 de julho: GRC International + DRI Day América Latina - Evento de GRC e Continuidade de Negócios, com palestras focadas em assuntos gerenciais. O GRC International + DRIDay fomenta a discussão de como criar e aplicar diretrizes de governança nos domínios de gestão de riscos (Segurança da Informação, Governança Corporativa e de TI, Continuidade de Negócios, Responsabilidade Social, Sustentabilidade e Meio Ambiente).
  • Agosto/2012
    • 01 e 02/08: CNASI Recife - Segunda edição do CNASI que ocorre no Nordeste, em Recife (PE). Dois dias de palestras e debates focados principalmente em temas de gestão, auditoria de TI, segurança da informação e governança.O Evento também tem uma área de expositores.
    • 23/08: SecureBrasil - Esta é segunda edição brasileira da principal conferência do (ISC)². Palestras direcionadas a profissionais experientes de mercado, com uma área de exposições para os patrocinadores.
    • 23 e 24/8: IV CONGRESSO DE CRIMES ELETRÔNICOS E FORMAS DE PROTEÇÃO: Evento realizado pela FECOMERCIO, em São Paulo. Evento bem organizado, com palestras e debates relacionados a área de segurança e de direito digital.
    • 27/8 a 01/09: VII Workshop SegInfo - tradicional evento de segurança no Rio de Janeiro, que possui uma abordagem acadêmica, técnica e empresarial ao mesmo tempo. O Workshop SegInfo inclui palestras e debates sobre segurança da informação, além de uma competição de War Games.
    • 29/08: Dia Internacional de Segurança em Informática (DISI) - evento realizado anualmente pela Rede Nacional de Ensino e Pesquisa (RNP) para educar e conscientizar usuários de Internet sobre segurança . O DISI inclui atividades de conscientização como palestras e distribuição de material de conscientização, além de fomentar iniciativas que divulguem o tema segurança em informática. As palestras são gratuitas, abertas ao público e também são transmitidas em tempo real. Neste ano, o DISI terá como tema Privacidade de Dados na Internet.

  • Setembro/2012
    • 26 a 28/09: ICCyber - Neste ano o ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos) ocorre em Brasília. É um evento com foco bem específico em investigação e combate ao crime cibernético e forense computacional. Atrai principalmente funcionários da polícia federal e estadual (peritos e delegados especializados em crime cibernético), membros do governo e forças armadas e funcionários de bancos. Palestras técnicas e uma área de expositores relativamente grande.

  • Outubro/2012
    • 20 e 21/10: Hackers to Hackers Conference (H2HC) - A H2HC é o maior, mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa em segurança, vulnerabilidades e novos ataques. Antigamente a H2HC era restrito ao pessoal mais relacionado a pesquisa ou ao mundo underground, mas hoje em dia o evento se tornou um dos mais importantes do mercado de segurança brasileiro
    • 21/10: Conferência O Outro Lado BSides São Paulo - A quarta edição da mini-conferência Co0L BSidesSP, organizada pelo Garoa Hacker Clube, acontecerá em paralelo com a H2HC. A conferência será gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras (com foco mais técnico), oficinas, debates e churrasco.
    • 22 a 24/10: CNASI-SP - o tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) organizado pelo IDETI. Palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança.
  • Novembro/2012
    • 07 e 08/11: Security Leaders - Terceira edição do Security Leaders, um evento onde a programação é voltada principalmente em torno de debates que podem ser assistidos no local e são transmitidos ao vivo pela Internet. Também inclui uma grande área com expositores.
    • 10 e 11/11: Silver Bullet - Evento do pessoal que organiza o You Sh0t the Sheriff. O Silver Bullet terá duas trilhas de palestras dos mais diversos assuntos relacionados a segurança da informação. O evento também tem espaço para fornecedores e uma enorme sala lounge dedicada para o relacionamento e networking dos participantes.
    • 19 a 22/11: Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2012): , realizado anualmente desde 2001, O SBSeg é o maior, mais importante e até aonde eu sei, o único (!!!) evento acadêmico brasileiro na área de Segurança. A cada ano ocorre em um local diferente, e a edição deste ano será em Curitiba (PR).
  • Dezembro/2012

    Em termos de eventos internacionais, eu conheço e sempre recomendo dois: a Defcon (que neste ano celebra a sua vigésima edição) e a Ekoparty, na Argentina. A Defcon é a maior conferência hacker do mundo, com mais de 6 mil pessoas e dezenas de palestras e atividades simultâneas, e acontece de 26 a 29 de Julho em Las Vegas (EUA), no Hotel e Cassino RIO. Neste ano também teremos a terceira edição da Hackcup, um campeonato de futebol que acontece junto com a Defcon. A Ekoparty, por sua vez, é um excelente evento de segurança que acontece de 17 a 21 de Setembro em Buenos Aires (Argentina), com foco principal em pesquisa em segurança e palestras mais técnicas. Também inclui uma competição de Capture The Flag (CTF) e uma área de expositores. A "eko" é um evento de excelente qualidade e muito próximo de nós.

    Para ver uma lista mais completa com todos os eventos de TI e segurança no Brasil e os principais eventos no mundo, eu recomendo que você visite o site Agenda TI e o site da LMS Treinamentos. Além disso, o IDETI, que organiza o CNASI, mantém em sua home page uma lista com todos os eventos que eles irão realizar durante o ano.

    Se eu esqueci de algum evento brasileiro importante, me avisem.

    Nota: No momento em que eu escrevi este post, ainda não tinha sido divulgada a data do Silver Bullet nem do GTS-20 (Reunião do Grupo de Trabalho em Segurança de Redes - GTS).
    Nota 2: Post atualizado em 19/Junho com informações do congresso da FECOMERCIO, SBSeg e Silver Bullet.
    Nota 3: Post atualizado em 02/Nov. com a data do GTS-20 (Reunião do Grupo de Trabalho em Segurança de Redes).

junho 11, 2012

[Cidadania] Preconceito + Deep Web = Creepy Web

"(...) de repente desenhando um pentagrama no chão com sangue de virgem (agora com a marcha das vadias isso é artigo de luxo), usando um pincel de pelo de texugo (tem gente que usa pra fazer barba), e invocando os demônios constante no livro "Magia Sagrada de Abramelin" (se quiser empresto-lhe meu exemplar), talvez algum deles quebre a criptografia pra vc :-)"

A frase acima surgiu ingenuamente em uma lista de discussão sobre tecnologia da qual faço parte, enquanto falávamos em como recuperar informações criptografadas com o software TrueCrypt. De repente, ela gerou cerca de uns 50 e-mails (eu contei!), fomentados principalmente por algumas pessoas que consideraram a frase machista e preconceituosa. Nesse meio-tempo, a cantora Simony (sim, aquela do Balão Mágico) e sua filha de 5 anos eram ofendidas, criticadas e ameaçadas nas redes sociais. Esta notícia sobre o caso, por exemplo, é só a ponta do iceberg: a Simony foi até mesmo acusada de "zoofilia", que na cabeça dos racistas radicais é o relacionamento "interracial", de pessoas brancas com afro-descententes (veja um ótimo post sobre isso aqui).

Eu considero o preconceito um sentimento irracional e covarde. Na minha opinião, o preconceito surge da necessidade do ser humano de se sentir superior, ou de achar uma justificativa fácil para os seus problemas ou limitações. Neste momento, é muito mais fácil demonizar um sub-grupo do que reconhecer suas limitações. Se você tem dificuldade de conseguir um emprego que considere bom, ou um emprego qualquer, em tempos de crise, é muito mais fácil culpar os judeus (aconteceu na Alemanha pré-segunda guerra), culpar os extrangeiros (acontece hoje na Europa), os mexicanos (nos EUA), ou os nordestinos (acontece em São Paulo). Se você quer inflar o seu ego, um dos caminhos mais fáceis é demonizar alguém e se julgar superior a ele: seja um judeu ou um cigano (Alemanha pré- e durante a segunda guerra), ou uma mulher, um negro ou um homossexual. Coloque todos os defeitos e problemas do mundo neles e, automaticamente, você é perfeito e agora faz parte de uma raça ou de um grupo perfeito, superior, designado por Deus ou por uma herança genética. Em seguida surgem as piadas, as ofensas e as agressões físicas.

É mais fácil ver defeitos nos outros do que achá-los em si mesmo.

Sim, sou contrário a qualquer tipo de preconceito. Mas também sou contrário ao radicalismo na defesa contra o preconceito. Não acredito que reações exageradas resolvem alguma coisa. O radicalismo denegre o discurso anti-preconceito e rouba a sua credibilidade. O recente caso do anúncio do Azeite Gallo e da tentativa de censurar obras do Monteiro Lobato, na minha opinião, são exemplos do que eu considero ser um radicalismo desnecessário.

A realidade é que quem procura preconceito e discriminação acha, até mesmo aonde não existe ou aonde não existiu a intenção. A menos que você seja homem, cristão, branco, loiro, heterossexual, magro e cabeludo, você vai ouvir frases diariamente que podem parecer ofensivas - e serão ofensivas, se o seu grau de paranóia for alto. A única forma de evitar isso é ficar em casa - com a TV desligada. Basta ver os personagens afro-descendentes ou homossexuais nas novelas e filmes brasileiros: os afro-descendentes estão lá para representarem empregados de baixo escalão, enquanto os homossexuais são criaturas caricatas e ridicularizadas.

Mas na prática, se não houver um mínimo de respeito, tolerância e bom senso de ambas as partes (das minorias e das maiorias), realmente ficaria impossível convivermos em sociedade. O que não pode ser tolerado de forma alguma é o radicalismo, ou atitudes que levem ao radicalismo. E esta é a briga que todos nós devemos comprar.

Front view of the railcar on display at the U.S. Holocaust Memorial Museum. Credit: Edward Owen, courtesy USHMM Photo ArvhivesNeste domingo, 10 de junho de 2012, enquanto a Simony e alguns membros do Anonymous que foram ao seu socorro discutiam via Twitter com alguns dos radicais preconceituosos que a ameaçam, alguns milhões de pessoas lotaram a Avenida Paulista, em São Paulo, na 16ª edição da Parada Gay (que só existe por causa do preconceito), e eu tirei a tarde de domingo para visitar o United States Holocaust Memorial Museum, em Washington (DC), aonde pude entrar em um vagão utilizado para levar os prisioneiros (judeus, homossexuais, religiosos, prisioneiros de guerra e prisioneiros políticos) para os campos de extermínio e pude sentir o triste cheiro de couro velho em uma sala com centenas de sapatos que foram retirados das vítimas do holocausto, um pouco antes delas serem exterminadas.

Infelizmente, a Internet reflete a nossa sociedade, nos aspectos positivos e negativos. Na web e no mundo real, a maioria de nós raramente vai dar de cara com um criminoso ou ver um crime acontecendo na nossa frente. Mas criminosos, racistas, preconceituosos e radicais existem em ambos os mundos, aos montes. Muitos destes discursos de ódio permanecem a maior parte do tempo na chamada "deep web" (ou "web profunda"), que é a gigantesca quantidade de sites que ficam de fora até mesmo da maioria dos buscadores e raramente acessamos. Mas o fato destes sites, listas de discussão, fóruns e perfis falsos não estarem na superfície e não vermos estes sites e mensagens com frequencia não significa que não existam. A Simony e a Monique Evans, para citar algumas pessoas famosas, já descobriram isso da pior forma.

junho 08, 2012

[Carreira] As 10 principais mudanças no mercado de trabalho para os próximos 20 anos

O sensacional Max Gehringer mostrou, em sua coluna diária na rádio CBN, o que ele considera serem "As dez mudanças significativas do mercado de trabalho nos próximos 20 anos". É uma pena que a CBN não disponibiliza mais em seu site o link para colocarmos o áudio no blog, mas de qualquer forma, o comentário é divertido e tem um fundo de verdade, e vale a pena ser ouvido.

Como várias destas previsões também podem ser adaptadas para o mercado de TI e de segurança da informação, segue abaixo uma transcrição destas 10 previsões e em que ponto algumas delas se aplicam especificamente ao mercado de TI e SI, na minha opinião.

  • 1a Mudança: Devido a velocidade em que as pessoas pulam de um emprego para outro, o prazo médio de permanência em um emprego será de 36 horas.
  • 2a Mudança: A escolaridade mínima para qualquer cargo, mesmo júnior, será de 3 doutorados. Devido ao excesso de candidatos, bastará escolher quem souber soletrar "empresa". (Já na área de TI, não haverá exigência de escolaridade, pois diploma é coisa de quem não é auto-didata. Basta ao candidato dizer que já desenvolvia programinhas para iPhone desde os 5 anos de idade - e, obviamente, contar isto como experiência profissional. Logo, teremos "profissionais" com 15 anos de mercado e 20 anos de idade) (além do mais, quem prestar atenção nas mensagens enviadas em listas de discussão ou colocadas como comentários em fóruns e sites - inclusive alguns dos comentários feitos no site da CBN, verá que a quantidade de erros gramaticais é absurda, logo saber escrever corretamente e soletrar será uma arte dominada por poucos)
  • 3a Mudança: Em nome do politicamente correto, os chefes terão o título de "consultores emocionais para subordinados geniais"
  • 4a Mudança: O Max comeu bola e esqueceu da 4a previsão!!!
  • 5a Mudança: Olhar para um subordinado por mais de 5 segundos será considerado Assédio Moral
  • 6a Mudança: Os organogramas serão extintos, para que os ocupantes de cargos mais baixos não se sintam discriminados
  • 7a Mudança: Um entrevistador não poderá fazer nenhum tipo de pergunta a um candidato a emprego que possa representar invasão da privacidade, como sexo, idade, estado civil, endereço, número dos documentos e qualquer menção aos empregos anteriores (tirando o exagero de não citar os empregos anteriores, isto já acontece em vários países, e em particular nos EUA: lá ninguém coloca a idade, o sexo nem o estado civil no CV)
  • 8a Mudança: Todo empregado terá assegurado o direito de discordar (do chefe) na hora que quiser, sem risco de retaliação (Nota: isso também poderá ser feito via redes sociais e Twitter)
  • 9a Mudança: As empresas viverão em um ambiente de cordialidade, fraternidade, liberdade e igualdade - e admiração mútua entre os felizes empregados
  • 10a Mudança: Os brasileiros já terão parado de acreditar nesses tipos de previsão (hum, essa eu acredito que vai ser uma furada - mesmo daqui a 20 ou 50 anos, essas previsões continuarão a existir)

junho 01, 2012

[Segurança] O dilema da guarda de logs

Uma das dúvidas mais frequentes para quem trabalha com TI e com Segurança da Informação diz respeito ao prazo que as empresas teriam que respeitar para guardar os logs de acesso aos seus sistemas e a Internet. Isto porque todo acesso ao sistema e a rede poderia gerar um registro de acesso, ou log, ou registro de auditoria, e tais registros poderiam ser guardados indefinidamente. Poderiam, mas não são, pelo simples motivo que isto pode ocupar muito espaço em disco - e espaço em disco para isto pode acabar custando caro no budget de TI, a longo prazo.

Esta pergunta surgiu recentemente na lista CISSP-BR, e por isso eu acabei decidindo colocar aqui, em meu blog, o que eu considero ser a minha opinião sobre este assunto.


O principal problema é que não existe uma resposta mágica: não há uma legislação ou um conjunto estabelecido e formal de "melhores práticas" de mercado que estabeleçam por quanto tempo uma empresa deve armazenar os seus logs. No dia que alguém descobrir a resposta para este problema da retenção de log, pode escrever um livro que vai ficar rico.

A falta de uma resposta precisa sobre a questão da guarda de logs se deve a vários fatores:
  • Como eu disse anteriormente, praticamente não existe uma regulamentação única e definitiva sobre isso. A resposta certa pode ser tanto um grande "depende" como um "não existe - e ponto final".
  • A resposta também depende do ramo de negócio aonde a sua empresa atua, pois ela pode estar sujeita a diversas regulamentações específicas do seu setor - e alguma destas regulamentações podem, eventualmente, ter algum ítem que direta ou indiretamente indique quanto tempo as empresas devem armazenar seus registros de acesso ou seus controles internos. Ainda mais se sua empresa tiver operações em outros países, que também podem ter exigências legais específicas.
  • A resposta também depende do tipo de informação e do uso que ela pode ter para a empresa. Por exemplo, um log de acesso ou de login dos funcionários pode ser usado em um processo trabalhista, e até aonde eu sei qualquer empregado tem até 5 anos depois que se desliga da empresa para abrir um processo. Já aconteceu comigo de ter que usar o log de quando o funcionário fazia o login e o logoff na rede para determinar se ele estava chegando tarde ou saindo mais cedo do emprego com frequencia. Muitos de nós, que trabalhamos com TI e Segurança, já devemos ter recebido em algum momento um pedido de um gerente para verificar os logs de acesso a Internet para saber se determinado funcionário ficava tempo demais navegando na Web, em vez de trabalhar.

Na minha humilde opinião, a melhor forma de resolver esta questão é jogar a batata quente para a área jurídica e de RH da sua empresa, e pedir um parecer deles. Ninguém entende melhor de leis e do trato com os funcionários do que eles. Ninguém melhor do que eles tem um histórico dos problemas legais pelos quais sua empresa já passou.

Mas a minha resposta mágica para a guarda de logs é "5 anos".

Isso porque, até aonde eu sei, este é o prazo para alguém dar entrada em um processo na Justiça. Pode parecer muito, mas se você consultar o jurídico e RH de sua empresa, vai descobrir que, se eles fazem o trabalho bem feito, eles já estão acostumados a guardar documentos por prazos muito maiores do que este. Por exemplo, as informações de contratação de funcionários deveriam ser guardadas pelo RH para sempre. Isso porque, se um ex-funcionário precisar comprovar o tempo de trabalho quando for se aposentar (daqui a 30 ou 40 anos, quem sabe), a empresa tem que manter estes dados. Dados de cobrança dos clientes normalmente devem ser guardados por 5 anos ou mais. Empresas do setor de Telecomunicações tem que armazenar todos os registros de chamadas telefônicas por 5 anos - sob pena da empresa ser processada e até mesmo o CEO ser preso se a empresa não responder a um pedido de quebra de sigilo telefônico com os dados históricos de um determinado cliente.

Também acredito que existe um drama exagerado sobre esta questão da guarda de logs. Isto porque eu acredito que guardar estas informações é mais fácil do que muita crítica leva a crer. O mais importante de tudo é ter um bom processo para organizar e armazenar destes dados, para que eles possam ser facilmente encontrados quando for preciso. Além do mais, eu levo em consideração o seguinte:
  • Em geral os registros de log são arquivos em formato texto simples com muita informação parecida. Isto é o sonho de qualquer programa de compactação de dados: um log pode ser facilmente compactado com taxas de 90% ou mais, chegando até mesmo a 99% de compactação. Ou seja, um arquivo com 1 GB de logs vira, facilmente, um arquivo de 100 MB - ou muito menos. Ou seja, a compactação permite uma grande economia de espaço para fazermos a guarda dos logs.
  • O preço das mídias caiu vertiginosamente nos últimos anos. Os registros de logs antigos podem ser armazenados em fitas ou gravados em DVDs. Além disso, o custo de discos está muito baixo ultimamente - para ficar em um exemplo simples, um disco externo de 2 TB pode custar menos de R$ 850 (ou, nos EUA, menos de US$ 120,00). Além do mais, um gravador de Blue Ray, capaz de gravar discos com 50 GB de dados, pode ser comprado por U$ 160,00.
Atualização (8/6/2012): O Daniel Checchia também aproveitou o assunto e escreveu um texto excelente em seu blog, entitulado "O Dilema da guarda de logs – O que deve ser retido". Lá ele aprofunda ainda mais a questão e discute algumas características que devem ser levadas em conta para definição de um ambiente (e ferramenta) de guarda de logs. Na minha opinião, como o artigo dele teve uma pegada mais técnica, só faltou ele mencionar a importância de ter a sincronização de horários entre todos os servidores, o que é facilmente realizado através do protocolo NTP.