Páginas

julho 28, 2012

[Segurança] Welcome to fabulous BSides Las Vegas!


Para aqueles que não estão conhecem as conferências de segurança BSides, elas são "um padrão de organização de eventos voltada para a comunidade, organizada por e para os membros da comunidade de segurança da informação, com o objetivo de criar oportunidades para palestrantes e participantes de aproveitarem uma atmosfera que incentive a colaboração.

A BSides Las Vegas foi a primeira de todas, surgida em 2009. Neste ano ela teve 2 dias e 4 trilhas de palestras, e acontece junto com a Defcon, nos dois dias que antecedem o evento. Ela começou em 25 de julho com uma palestra do Jack Daniels, um dos BSides fundadores, sobre o atual estado das conferências BSides: em 3 anos elas se espalharam em uma velocidade espantosa em toda a comunidade global de segurança e já tivemos 53 conferências BSides até agora, espalhadas por 34 cidades em nove países - incluindo a primeira BSides São Paulo, organizada pelo Garoa Hacker Clube em Maio deste ano.

Vale destacar que no segundo dia do evento, 26 de julho, dois brasileiros apresentaram na BSides Las Vegas: o Luiz Eduardo dos Santos e o Rodrigo Montoro apresentaram uma palestra sobre como pode ser fácil mapear o perfil de um usuário de smartphone, devido ao funcionamento inseguro de alguns protocolos habilitados por default nos equipamentos quando eles acessam redes WiFI, principalmente o protocolo Multicast Domain Name (mDNS).

Na verdade, a melhor coisa sobre a BSides não foram as palestras, nem o recinto incrível no Hotel Artisan Hotel and Boutique (com uma das trilhas acontecendo no interior de uma capela para casamentos), a comida e cerveja de graça ou toneladas de brindes dos patrocinadores. A BSides tem um espírito único, totalmente direcionado para a comunidade. É tudo sobre o seu envolvimento com a comunidade local de segurança da informação e como contribuir com ela.

Um fantástico exemplo do espírito da BSides é o seu Programa de Mentoria, que pretendemos fazer aqui na BSides brasileira no futuro, e que visa prestar apoio aos palestrantes de primeira viajem. Graças ao Programa de Mentoria da BSidesLA, um jovem pesquisador de segurança chamado Christopher Campbell apresentou uma palestra super interessante sobre os riscos de segurança existentes nos appliances de redes e de segurança. Ele não tinha experiência anterior em apresentar em conferências, mas seu mentor ajudou na criação do slide e em como fazer a apresentação. Em resumo, Campbell comprou vários appliances de firewall e de redes usados e descobriu que a grande maioria deles tinham falhas de segurança que incluiam, dependendo do fornecedor, políticas fracas de senhas administrativas, guarda de logs insuficiente ou que continha informações sensíveis da empresa, falta de atualização, etc. Foi uma palestra muito interessante, útil e que nos alerta a não confiar cegamente em soluções prontas de terceiros. E ela só aconteceu por causa do espírito colaborativo da BSides :)

julho 22, 2012

[Segurança] Defcon for Dummies

OBS: Esse artigo foi publicado originalmente em 2012, mas desde então eu tenho revisado ele frequentemente.

A vigésima edição da Defcon, a maior conferência hacker do universo conhecido, está chegando. Mais precisamente, a Defcon 20 será em Las Vegas de 26 a 29 de Julho de 2012 (quinta a domingo).
  • Nota 1: Este post tem sido atualizado frequentemente desde que foi criado. Inclusive, foi atualizado em Julho de 2017, poucas semanas antes da 25a edição da Defcon e 6 anos depois, antes da edição número 31.
  • Nota 2: Após a pandemia do Coronavírus (e 2 anos de Defcon online), alguns locais em Las Vegas deixaram de funcionar 24h. Confira sempre o horário antes de sair.

Eu já escrevi alguns posts sobre a Defcon aqui no blog, e no ano passado eu cheguei a postar algumas dicas, mas quero aproveitar esta oportunidade para dar uma lista mais completa de dicas para quem vai na Defcon. O Willian Caprino e o Daniel Santana já escreveram ótimos posts com as suas dicas pessoais, que também merecem ser lidos. Eu vou na Defcon desde 2006, na 14a edição, e me apaixonei pelo evento no momento em que coloquei o pé.
  • Sobre a Black Hat, Defcon e BSides Las Vegas
    • Os três eventos acontecem na mesma semana, por isso vou dar uma rápida explicação de cada um.
    • A Defcon é a provavelmente o maior evento de segurança do planeta, com mais de 10mil pessoas presentes (em 2012) e diversas atividades acontecendo simultaneamente, em várias trilhas paralelas de palestras e dezenas de atividades extras, como as competições e as "villages". Normalmente a Defcon acontece no final da primeira semana de Agosto, sempre de 5a a Domingo, nos hotéis Paris, Bailey's, Flamingo e Planet Hollywood (em 2019)  Paris e Baileys Caesar Palace (a partir de 2017). Em 2022 foi realizada pela primeira vez no novo Centro de Convenções do Caesars (atrás do Flamingo) - mas mesmo sendo um espaço enorme, várias villages aconteceram no espaço de eventos do Flamingo;
      • As villages são um show a parte, e ganharam muita força desde, principalmente, 2018/2019. São áreas temáticas, normalmente organizadas por comunidades e com agenda própria de atividades. Elas abrangem diversos temas: algumas são mais "tradicionais", existem há mais tempo, como a "Lockpicking Village", "Car Hacking Village", "Social Engineering Village" e vilas para SCADA, IoT, Blue e Red Team, etc.  Também existem villages para urnas eletrônicas ("Voting Machine Village"), tecnologia aérea, aeroespacial, satélites e navios, por exemplo, além de village para comunidades de mulheres, de pessoas negras, etc.
    • A BlackHat (BH) é a "irmã corporativa e cara" da Defcon. É um evento gigantesco, com 9 trilhas simultâneas de palestras, no hotel Caesars Palace Mandalay Bay. Acontece nos 2 dias que antecede a Defcon e inclui também alguns dias com treinamentos, antes do evento.
      • A Black Hat também tem uma área de expositores, com muitas empresas e brindes. Não é tão grande quanto a área da RSA Conference (essa sim, é gigantesca), mas é muito maior do que qualquer coisa que você já tenha visto no Brasil;
      • A inscrição da BH custa muito caro (mais de US$ 2mil), por isso a grande vantagem da Defcon é que você pode assistir um evento tão bom quanto, mas com um ingresso super barato ($200 $280 $300 $440). Além disso, a maioria das melhores palestras se repetem na Defcon e na Black Hat;
    • A Security BSides Las Vegas (BSidesLV) é um evento gratuito, que acontece na 3a e 4a feira que antecedem a Defcon (e acontecem em paralelo a BH). Os ingressos são obtidos mediante doação, pelo site do evento. Por isso, é uma ótima opção para quem quer aproveitar a viagem e não quer gastar muito dinheiro indo na BH. A desvantagem é que a BSidesLV costuma lotar, por isso fique de olho nos prazos de inscrição (doação) e não dê bobeira;
    • Eu não vou comentar detalhes sobre a BlackHat nem a BSidesLV, pois o foco deste post é mesmo falar sobre a Defcon.
  • Comentários importantes
    • As principais atrações, atividades e acontecimentos ocorrem na Las Vegas Boulevard, a rua principal da cidade que também é chamada simplesmente de "Strip". Ela sai de perto do aeroporto, passa pelos principais e mais famosos cassinos na região mais "fervida" e vai até o centro antigo, conhecido como "Freemond", por conta da rua Freemond, que reúne cassinos antigos, é coberta por um teto de LED animal e também é um cartão postal da cidade;
    • Las Vegas fica nos EUA, logo precisa de passaporte e visto (é meio óbvio, mas não custa lembrar);
    • Las Vegas fica no meio de um deserto, então normalmente o clima é muito quente e seco;
    • É comum os seguranças exigirem um documento de identidade para entrar nos bares, baladas e, as vezes, até nos cassinos. A regra é rígida: sem ID, não entra, mesmo que você realmente aparente ter mais do que 21 anos. E tem que apresentar o documento original (nos EUA não vale o RG ou CNH no celular). Pode ser a CNH, RG ou passaporte, mas eu recomendo fortemente deixar o passaporte no cofre do hotel - afinal, se você perder ou roubarem o seu passaporte, vai ter uma dor de cabeça de um tamanho incomensurável.
  • Preparativos de Viagem
    • Compre a passagem aérea com antecedência: Comece a monitorar o preço da passagem assim que você souber que vai, para economizar dinheiro, ou pelo menos desde o início do ano. Comprando com antecedência, não sai muito caro: é possível comprar a ida e volta por menos de mil dólares.
      • Lamento, mas provavelmente será necessário fazer pelo menos uma conexão nos EUA, pois não existe vôo direto do Brasil para Las Vegas;
      • Normalmente uma das opções mais baratas é um vôo da Copa Airlines, com escala na cidade do Panamá. O aeroporto lá é pequenininho, e geralmente o tempo de conexão é curto (é bom que seja assim, pois nesse aeroporto não tem muito o que fazer, rs...);
      • Se você tem acesso a alguma sala VIP, aproveite o tempo de conexão para tomar um banho! Sim, as salas VIP geralmente oferecem um banheiro com chuveiro, gratuitamente (mas precisa solicitar na recepção e pode ter uma pequena fila). Para quem acabou de pegar um vôo longo e ainda tem. ou 2 conexões pela frente, esse banho dá uma revigorada sensacional. Vale muito a pena!
      • Nota: em 2018 a LATAM lançou um vôo de teste, 3 vezes por semana. Vamos torcer para que ela mantenha nos demais anos!. Infelizmente esse vôo não foi oferecido em 2019 nem nos anos seguintes (pós-pandemia).
    • Escolha do hotel com sabedoria: você pode ficar próximo ao hotel do evento (Rio Flamingo, Paris e Ballys Caesars Palace) ou ficar em algum hotel da Las Vegas Boulevard (também chamada de "Strip", esta é a avenida aonde ficam os principais hotéis/cassinos da cidade). Algumas pessoas tem optado, nos últimos anos (desde 2015) a se juntar em grupos e alugar uma casa pelo AirBNB (mas as casas são mais afastadas, e você vai depender de Uber ou alugar carro).
      • Dependendo de quais eventos você pretende participar, você pode escolher um hotel mais próximo da Black Hat, da Defcon ou da BSidesLV. Na verdade, a Defcon e a BSideLV acontecem em hotéis próximos, então se você pretende ir nesses eventos a escolha é mais fácil;
      • Desde 2022 a Defcon acontece no Caesars Forum (não é o hotel Caesars Palace!!!), um espaço novo de eventos inaugurado recentemente e que fica atrás do hotel Flamingo;
      • Não considere a possibilidade de longas caminhadas entre um hotel e outro. Las Vegas é um deserto e o clima é super quente. Por isso mesmo você vai depender te carro, taxi ou Uber se você decidir ficar em um hotel mais afastado, como o Rio ou o Stratosphere (que recentemente foi batizado de Strat);
      • A escolha do hotel vai do gosto de cada um, pois há muitíssimas opções na cidade, de todos os tipos, tamanhos e preços. Mais da metade dos top 40 hotéis do mundo estão em Vegas. Na minha opinião, a escolha deve ser por conta do quanto você está disposto a pagar (ou economizar, se preferir), mas em geral os grandes hotéis e cassinos mais populares na Strip são de ótima qualidade;
        • Quer luxo? Mandalay (hotel da BlackHat), Aria e Cosmopolitan (novos e bem luxuosos), ou o Caesars, New York, e Paris (mais antigos, mas ainda sim luxuosos - tem o Venetian nessa categoria, mas é um pouquinho mais afastado);
        • Opções boas e intermediárias incluem o Linq e o Flamingo (mais antigão), colados na Defcon, e o Tuscany, hotem bem caprichado e pouco badalado, mas que hospeda a BSidesLV e fica a uma distância andável da Defcon (uns 2 quarteirões de Vegas, que correspondem a uns 3 ou 4 quarteirões brasileiros);
        • Os cassinos mais tradicionais e mais baratos estão um pouco mais longe dos eventos. Nessa categoria eu sugiro o Luxor (colado no Mandalay, que é ótimo para quem vai na BH, mas um pouco afastado da Defcon e BSidesLV, o Strat / Stratosphere (longe de tudo, na ponta menos badalada da Strip - mas a meio caminho da Freemon), o Excalibour e o Circus Circus. Esses todos são mais antigos. Embora os quartos sejam enormes, para o nosso padrão, você pode dar sorte de pegar um quarto reformado recentemente (ou uma torre nova construída nos últimos 10 anos) ou pode dar azar de pegar um quarto mais velho fedendo cigarro e mofo (felizmente isso nunca aconteceu comigo);
      • Eu prefiro ficar em um hotel na Strip, pois é lá que ficam os principais pontos de diversão. Ou seja, assim que você sair do evento, obrigatoriamente você terá que ir na Strip para se divertir, ir nas festas e baladas, comer, comprar muamba ou fazer turismo. E é possível achar hotéis bons e relativamente baratos por lá. A minha outra sugestão sobre a escolha do hotel na Defcon é que devemos aproveitar para curtir Vegas, e por isso prefiro ficar nos hotéis temáticos. Hospede-se na pirâmide do Luxor, no castelo do Excalibour, ou em uma réplica de Nova York ou de Paris, etc.
      • O hotel que eu mais gosto é o Stratosphere (Strat), pois é bom e barato (dá para pagar em média US$30 pela diária relativamente barato, em um quarto espaçoso para 2 pessoas) - mas obrigatoriamente você vai precisar alugar um carro. Ídem para o Luxor (esse tem a vantagem de ser quase colado na BlackHat). Outras opções boas e baratas que eu também recomendo são o Riviera (aonde era a Defcon antigamente) e (o Riviera foi demolido em 2016) o Excalibur (nele eu nunca fiquei, mas ainda pretendo me hospedar lá) e o Linq (eu nunca fui, mas vários amigos ficaram e gostaram). O Hooters e o Circus Circus são dois hotéis bem baratos e que alguns brasileiros já ficaram - mas já ouvi muita reclamação do pessoal que ficou neles;
      • Se você pretende ir na BSides Las Vegas, uma ótima opção é pegar o mesmo hotel deles, o Tuscany. Normalmente as tarifas são menores do que os hotéis mais famosos e, você pode reservar com o código de desconto do evento, você garante o ingresso para a BSidesLV. O Tuscany fica bem próximo aos hotéis aonde acontece a Defcon;
      • O site Hotels.com é uma boa opção para pegar hotéis com descontos;
      • A maioria dos hotéis não tem frigobar nos quartos. A idéia é simples: eles querem que você saia para gastar;
      • Os quartos costumam ser enormes e geralmente não tem diferença de tarifa se você pede com 1 cama de casal ou 2 de solteiro (nesse caso, os quartos tem 2 camas de casal!!!). Eu sugiro sempre pegar quarto com 2 camas, mesmo que você vá sozinho, pois o quarto é maior. E você pode usar a outra cama para deixar as malas em cima ou dividir o quarto com alguém conhecido - e rachar as despesas!
      • A maioria dos hotéis cobram uma taxa extra, chamada "resort fee", que é muito cara. E não é opcional. Veja aqui uma lista das taxas cobradas por cada hotel. Como regra geral, eu diria que todos os hotéis que incluem cassino / resort incluem essa taxa na diária;
      • Se você vai de galera, considere a possibilidade de alugar uma casa via o AirBnB e rachar com todo mundo. Além de provavelmente sair mais barato, você pode economizar com comida e bebida, comprando comida no supermercado em vez de gastar em restaurantes. A desvantagem é que vai precisar alugar carro e/ou depender de Uber;
    • Alugue um carro (ou combine com os amigos para compartilharem um carro). O carro é fundamental para você poder passear a vontade pelos hotéis/cassinos, pelos pontos turísticos em volta da cidade e, principalmente, para fazer compras. E, acredite, ninguém vai em Vegas para ficar trancado no hotel. Você pode pegar taxi ou Uber, mas o carro é muito mais prático;
      • Durante a Defcon, geralmente as filas para pegar taxi são enormes. Nessa hora você vai se arrepender por não ter um carro;
      • Estacione nos Valets dos cassinos. Os cassinos tem estacionamentos enormes (alguns gratuitos e outros pagos), mas os Valets oferecem uma opção prática - embora você gaste um pouco mais (antigamente você só precisava pagar uma gorjeta na hora de retirar o carro, entre $3 e $5). Assim você não precisa perder tempo procurando vaga nos estacionamentos, além da praticidade de deixar e retirar o carro bem na entrada do cassino;
      • Eu sou paranóico: alugo o carro com todos os seguros possíveis. Sai muito mais caro, mas prefiro não correr o risco de ter problemas em um país estranho;
      • Uma alternativa é usar o Uber em Las Vegas, mas é comum se deparar com filas enormes para pegar taxi ou mesmo Uber, principalmente na saída dos eventos. E fique atento, cada hotel tem um ponto bem específico para pegar Uber, normalmente bem escondido. Você não pode pegar Uber em qualquer lugar na rua, nem mesmo na Las Vegas Boulevard.
    • Uma boa opção é comprar um celular pré-pago nos EUA ou um chip com plano de dados: nas principais lojas e super mercados podem ser achados alguns aparelhos simples por menos de $20.
      • Se você é cliente da Claro, melhor ainda é adquirir o "Passaporte Americas". Por uma taxa mensal relativamente pequena, você usa o celular a vontade nos EUA, como se estivesse no Brasil (voz e dados).

  • Sobre a Defcon
    • Os "goons" são o pessoal da organização. Normalmente vestem camiseta vermelha e são "grandes" (gordos e altos). A principal regra da Defcon é "sempre fazer o que eles mandarem". Não discuta, só obedeça;
    • As inscrições começam na quinta-feira. Compre o seu ingresso e pegue o seu crachá o mais cedo possível;
      • Na verdade não existe um processo de "inscrição", você simplesmente paga o valor do ingresso e ganha o kit com o crachá. O crachá é genérico, sem identificação (mas tem uma distinção entre participantes, palestrantes, organização, mídia, etc);
      • É possível comprar os ingressos online e pegar lá na Defcon, fique atento para o link e as instruções específicas. Haverá uma fila própria para quem fez o "pré-registro";
      • Na maioria das vezes eles fazem menos crachás do que a quantidade de pessoas, então quem fica por último pega um crachá de papelão, super sem graça;
      • A fila de inscrições é grande. Em alguns anos eu e alguns amigos já ficamos mais de 2 horas na fila. Por isso, se possível vá acompanhado para ter alguém para ficar batendo papo, ou aproveite para fazer novos amigos ;)
      • A fila começa na véspera (quarta-feira) a noite. é uma experiência cansativa, mas ao mesmo tempo, divertida - se você estiver disposto a varar a noite an fila. Leve algo para comer e beber;
      • A inscrição é feita na hora. Na verdade não tem inscrição; você simplesmente paga o valor do ingresso e recebe o crachá, o guia oficial do evento (cuidado para não perder ele) e alguns adesivos. Não tem que preencher nada, é só pagar. Totalmente anônimo;
      • A inscrição deve ser paga somente em dinheiro (US$ 300 em 2019 e $440 em 2023). Dinheiro vivo. Leve os dólares separados só para isso. Para quem precisa pedir reembolso na empresa, eles colocam um pdf com o "recibo" (algo bem tosco mesmo!) na home page do evento;
    • Depois de passar várias horas na fila, fique mais algumas horinhas na fila dos souveniers para comprar a camiseta oficial do evento e mais algumas bugigangas. As melhores opções acabam cedo, e as mais sem graça encalham e são vendidas com pequenos descontos no último dia. Mas verifique o tamanho da fila, pois nos últimos anos (2017, 2018 e 2022) o tempo de espera foi realmente absurdo! Se você não tiver paciência para ficar 2h ou mais na fila, nem tente;
      • Em 2022 a fila da loja oficial foi enorme, gigantesca, em todos os dias do evento;
      • Ainda sobre as bugigangas: no último dia algumas coisas da loja oficial são vendidas com desconto, mas geralmente sobra pouca coisa.
      • No caso da Black Hat, é possível comprar muita coisa legal na loja oficial do evento no último dia. Eles fazem promoções imperdíveis !!!
    • Leve bastante dinheiro vivo ("cash"). Além da inscrição só poder ser paga em dinheiro, você não vai querer usar o seu cartão de crédito na maior conferência hacker do mundo, né? Você vai precisar de dinheiro para comprar comida, água e torrar um pouco na área de lojinhas, aonde tem várias bugigangas, livros, equipamentos antigos, kits de lockpicking e wardriving, camisetas e lembrancinhas. Muitas lojas da Defcon só aceitam dinheiro;
    • Escolha com antecedência as palestras que você quer assistir. As melhores palestras são super concorridas e, na maioria das vezes, não há espaço para todo mundo. Ou você fica na fila na porta de entrada antes de começar a palestra (as vezes a fila começa a ser formada na palestra anterior) ou você entra na sala uma ou duas palestras antes para garantir o lugar. Mesmo assim não é 100% garantido, pois as vezes os organizadores fazem todo mundo sair da sala entre uma palestra e outra :(
      • Baixe o app Hacker Tracker para acompanhar a programação do evento;
      • Planeje-se com antecedência, e tente priorizar pegar palestras em sequencia, na mesma sala (ou salas vizinhas). Se você quiser assistir 2 palestras seguidas em salas diferentes, há grande chance de não conseguir chegar a tempo da 2a palestra. O local do evento é enorme e as distâncias são grandes, você pode demorar até uns 15 min de uma sala para outra,  dependendo da localização da atividade;
      • Uma área bem legal é o espaço das lojas. A loja da Hack5 sempre é a mais concorrida, mas tem muita coisa legal por lá: camisetas, adesivos, cacarecos eletrônicos de vários tipos, kits de lockpicking, etc. e é um ótimo local para achar os brasileiros e usar como ponto de encontro;
      • Tire um tempinho para, simplesmente, andar aleatoriamente entre as salas de atividades, villages, etc;
      • Dependendo da sala, é comum o pessoal sentar no chão ou ficar nas laterais depois que acabam os lugares disponíveis;
      • Depois que as salas lotam totalmente, os "goons" não deixam ninguém entrar. Ninguém mesmo. Não adianta tentar dizer que "tem um amigo reservando seu lugar" pois eles não aceitam essa desculpa;
      • Para as palestras mais concorridas, eu sugiro chegar na sala 1 ou 2 palestras antes, para garantir seu lugar;
      • As melhores palestras são apresentadas na BlackHat e Defcon. Então, se você tiver ingresso para os dois eventos, tente assistir primeiro na BlackHat - para não correr o risco de não entrar na sala da palestra na Defcon.
    • Muito cuidado, pois o ambiente da Defcon é bem hostil!
      • Como regra geral, evite utilizar seu celular durante o evento, mantenha-o em modo avião (offline). Não use a rede de telefonia e nem acesse nada pela rede de dados do seu celular e, principalmente....
        • Evite usar a rede wireless da Defcon;
        • Cuidado até mesmo com a rede de celular, pois é comum o pessoal levantar antenas falsas de telefonia;
      • Se possível, nem leve computador;
      • Não use os caixas eletrônicos dos hotéis do evento (em 2009 apareceu um caixa eletrônico falso no evento);
      • Evite, principalmente, acessar qualquer serviço online que você tenha que fornecer usuário e senha;
      • Se você quer realmente ficar online, ao menos tenha certeza de usar VPN, SSL e verificar o certificado digital. Mesmo assim, eu sou cagão e prefiro ficar offline... Afinal, esta é a rede mais hostil do mundo;
    • Além das quatro ou cinco trilhas de palestras, existem diversos eventos paralelos dentro da Defcon, que são muito interessantes e valem a pena ser vistos sempre que der tempo. Isto inclui as "villages" (wireless e lockpicking são as mais antigas e famosas, mas tem muita village bem legal, como por exemplo a Car Hacking e a Electronic Voting Village!), concursos e as "sky talks" (mais algumas palestras). O jeito mais fácil para ver todas as opções disponíveis é dar uma olhada no site e no guia oficial recebido durante a inscrição;
      • As villages cresceram muito em quantidade, qualidade e relevância desde 2018. Vale muito a pena tirar pelo menos metade de um dia para visitá-las, além de ficar de olho na programação de palestras e atividades delas. Algumas villages são mais concorridas e tem fila para entrar;
      • Se você é Brazuca e sabe jogar futebol, junte-se a nós na HackCup.
    • Vista-se de forma confortável. O pessoal usa roupa bem descontraída, por isso tudo bem de ir de bermuda e camiseta na conferência. Havaianas, ok. Use tênis, pois você vai andar bastante!
      • Na Defcon vale praticamente qualquer tipo de vestimenta, incluindo fantasia (eu já fui fantasiado de Elvis), mas a camiseta preta, de eventos e com motivos nerd são as mais comuns, é quase um traje obrigatório;
    • Bônus: tente achar alguns desses personagens no evento ;)
    • A conferência é em ritmo pauleira: muitas palestras e muitas atividades simultâneas que começam cedo e vão até tarde, initerruptamente, sem pausa para almoço.
      • Beba bastante água (afinal, Las Vegas fica em um deserto!) e compre comida para se alimentar bem;
      • O pessoal da organização da Defcon costuma falar da "regra 3-2-1" ("3-2-1 rule"): 3 horas de sono, 2 refeições e 1 banho por dia;
      • Nas salas de palestras costuma ter galões de água no fundo da sala;
      • Não quer perder nenhuma palestra? Então compre um sanduíche ou salada no intervalo entre uma palestra e outra e coma na sala de palestras mesmo, sem problemas. Mas seja educado e leve seu lixo para fora, ok?
    • Há vários restaurantes e lanchonetes, de todos os tipos e gostos. Aproveite!!!
      • Durante a Defcon, eu prefiro comer na lanchonete do evento e voltar rapidinho para as palestras. Ou comprar comida deles e comer durante as palestras. Tem alguns sanduíches e bowls de salada, que quebram o ganho, além de 1 suco e 1 barra de chocolate :) Mas só aceitam dinheiro :(
      • Você pode também ir em uma praça de alimentação próxima, para ganhar tempo;
      • Veja mais dicas de restaurante abaixo, quando falo sobre Vegas;
    • Baladas? Tem de monteeee!!!
      • As melhores baladas em Las Vegas exigem dress code: calça comprida, camisa social e sapato (se o antipático do segurança não estiver de mal humor, ele deixa entrar com camiseta polo e tênis totalmente preto);
      • Na balada, os seguranças mandam e desmandam. Sempre siga suas ordens;
      • Mas eles não cobram o dress code se você for em alguma festa oficial da conferência ou organizada por patrocinadores, ou se você "comprar uma garrafa" (não sai por menos de $200, mas dá direito a uma mesa enquanto a garrafa não acabar - por isso, beba a garrafa devagar, para não ser expulso da mesa no meio da balada !!!);
        • Leve uma muda de roupa no porta-mala do carro, com pelo menos uma calça comprida, camiseta polo e tênis preto ou sapatênis preto.
      • Há várias festas organizadas pelas empresas durante a semana. Vale a pena ficar de olho, pois algumas acontecem nas melhores baladas da cidade, com comida e bebida grátis :) A desvantagem é que a festa vai estar cheia de nerds. Acompanhe pelo site www.defconparties.com;
      • As principais festas acontecem nos dias da Black Hat, pois é quando estão as grandes empresas patrocinadoras tentando chamar a atenção dos executivos. Planeje-se direitinho para não perder as melhores festas , e dependendo do horário, você consegue ir em 2 festas diferentes na mesma noite.
      • Muitas das festas organizadas pelos patrocinadores da Black Hat exigem que você pegue o convite no stand deles, dentro da área de exposição da Black Hat;
      • Preste atenção com os horários, pois os americanos são muito pontuais com o início e final da festa. Sem falar que eles começam e acabam cedo - a maioria das festas vão das 17h as 21h. Se a festa está marcada para encerrar as 19h, as 19h01 min eles já acenderam as luzes e expulsaram todo mundo!
    • Apesar da norma geral ser de que o pessoal não gosta que tirem fotos durante o evento, é OK tirar fotos desde que você não exagere ou não fique tirando foto de alguém específico, sem pedir permissão antes. Mas tome cuidado, pois via de regra, as pessoas lá não gostam de ser fotografadas.
      • Se você tentar tirar uma foto do evento com um Goon por perto, provavelmente vai levar uma bronca e ele pode exigir que você apague a foto - mesmo que seja uma foto num estilo mais "panorâmico";
      • Na sala do Capture the Flag o pessoal costuma ser muito rígido e não permitir fotos (normalmente os competidores não gostam de ser fotografados);
  • Sobre Las Vegas
    • Para os padrões americanos, Las Vegas é um inferninho. Para os nossos padrões, é apenas uma cidade cheia de diversão - até a Rua Augusta em SP é mais "barra pesada";
    • Cada "cassino" lá na Strip é, na verdade, um mega-centro de diversões: é um complexo com cassino, hotel (alguns com milhares de quartos!), alguns restaurantes, alguns bares, uma ou duas baladas e, pelo menos, um ou dois teatros;
      • Os cassinos mais antigos são temáticos e valem a visita pela decoração: Paris, Venetian, Caesar, MGM, Bellagio, Luxor, etc Hard Rock;
      • As opções de shows beiram ao absurdo: Em Vegas tem 7 shows diferentes do Cirque du Soleil (recomendo no mínino o "O" e o "The Beatles Love"), Blue Man Group, David Copperfield (sim, aquele mágico que passava no Fantástico nos anos 80), Fantasma da Ópera, etc;
      • Uma boa opção é comprar ingressos em algum dos stands da Tix4Tonight. É possível achar alguns shows com um belo desconto, mas vale somente para o mesmo dia;
    • Las Vegas é a única cidade dos EUA aonde é possível beber cerveja na rua, mas isso só vale se você estiver andando na Las Vegas Boulevard - não vale para qualquer rua;
      • Nunca, jamais, beba cerveja dentro do carro. Na verdade, é proibido até mesmo aos passageiros, e nem mesmo pode ter uma garrafa aberta dentro do carro (foi o que me disseram, confesso que eu nunca tentei agir ao contrário e nem vou tentar);
      • Cerveja é caro nos EUA: facilmente você vai pagar $5 ou $6 em uma latinha. Mas alguns bares podem ter cerveja barata, a $1. O jeito é ficar de olho e trocar idéia com os amigos. Normalmente, uma opção barata é o bar que tem no cassino Hooters;
    • Quer comer em um lugar legal e relativamente barato? Eu recomendo o Peppermill perto do Riviera. Os pratos são muito bem servidos, o local tem uma decoração bem legal, parece que você está em um filme. Mas, infelizmente, deixou de funcionar 24h após a pandemia;
      • Eu gosto muito também do Bubba Gump e o Red Lobster;
      • Os restaurantes Outbacks e os Applebees são baratos nos EUA, diferente do Brasil, com a vantagem de ter uma comida que já conhecemos e gostamos ;)
      • O Denny's é uma boa opção também de comida bem típica americana, principalmente no café da manhã;
      • Restaurantes bons e muito turísticos: Hard Rock Café e Planet Hollywood;
      • Outra opção bem legal é o Olive Gardens, um restaurante muito bom de comida italiana e com preço bem acessível (com um bowl gigante de salada como entrada);
      • Excelente mesmo é o Cheese Cake Factory, parada obrigatória de qualquer viagem nos EUA. A comida é excelente, muito bem servida e você deve guardar um espaço para comer um cheesecake de sobremesa (entre os diversos sabores, o cheesecake de chocolate da Godiva é o meu preferido!);
      • Vale a pena conversar com o resto dos brasileiros e com o pessoal mais experiente para descobrir quais lugares tem comida e bebida mais barato;
      • Tem vários restaurantes e lanchonetes legais no "Promenade", uma rua que fica ao lado do Hotel LINQ e que acaba de frente a roda gigante. Vale o passeio e comer alguma coisa por lá;
      • No Venetian tem um restaurante muito bom e com preço justo do  Buddy, do seriado Cake Boss, vale muito a pena ir. Chama Buddy's V e fica do lado da loja de bolos e doces dele, mas ao contrário da loja, nunca peguei fila para o restaurante;
      • Quer ir de galera? Eu recomendo o Hofbräuhaus, com comida alemã deliciosa, muita cerveja e mesas enormes, para chamar muita gente!
      • No centro velho, na Freemond, tem o Heart Attack, uma hamburgueria bem famosa;
      • Quer comer um bifão com ovo durante a madrugada por apenas 5,99 dólares? Um pouco afastado da Las Vegas Boulevard tem um cassino pequeno, chamado Terrible's Hotel Casino. Lá dentro, no segundo andar, tem o restaurante The Sterling Spoon Cafe que oferece o bifão com ovo (Steak and eggs) durante a madrugada por apenas $5,99, e inclui uma batata rosti e torradas.
    • Gorjeta ("tip"): Prepare-se: uma boa parte do seu dinheiro vai em gorjeta. Não tem jeito, isso faz parte da cultura dos americanos e eles esperam que você dê gorjeta para tudo. Em Vegas, é pior ainda.  :(
      • Refeição: Considere 20% de gorjeta em qualquer conta de restaurante. Sempre, exceto McDonnalds e fast foods. Se você pagar a conta com cartão de crédito, você deve preencher no canhoto o quanto você vai dar de caixinha e indicar qual é o total. Inclusive, há campos específicos para isso.
      • Drinks: sempre que você pedir um drink no bar (seja numa festa comum, num bar comum ou mesmo numa das festas patrocinadas durante a Defcon aonde a bebida é grátis), dê pelo menos $1 de gorjeta. Você pode chegar ao cúmulo de pagar $1 na cerveja e dar mais $1 só de caixinha, mas isso é comum. Ah, esse protocolo tem um bug: se você pegar vários drinks de uma vez (para você e os amigos), pode dar apenas $1.
      • Banheiro: sim, isso dá raiva, mas no banheiro das baladas fica um carinha que põe sabonete líquido na sua mão e entrega papel toalha... e ainda tem alguns vidros de perfume que você pode usar. Tudo isso a custa de uma gorjeta. ($1 está de bom tamanho) 
      • Valet: deixe entre $3 e $5 de caixinha.
      • Hotel: Se usar o serviços do carregador de malas, tem que dar pelo menos $1 por mala.
      • Taxi: se você realmente preferiu pegar taxi do que alugar carro, tem que dar gorjeta para o motorista de taxi: 20%. Não adianta pensar que vai pagar só o valor da corrida.
      • Pelo tanto de caixinha que temos que dar, já deu para perceber que notas de $1 valem ouro... tente acumular o máximo possível de notas de $1 na carteira, para poder dar caixinha.
  • Compras
    • É impossível ir aos EUA sem torrar dinheiro em compras. E Las Vegas não decepciona: tem Fry's (uma super-hiper-mega loja de informática e eletrônicos), Best Buy, GameStop (para os aficcionados em games), tem dois Outlets próximos (super baratos, com lojas das melhores marcas, e um deles bem ao lado do Aeroporto), e até mesmo o Wallmart vale a visita.
      • A Fry's, em particular, é imperdível: lá tem de tudo o que você pode imaginar em equipamentos de informática e eletrônicos, e a bons preços. É impossível sair de lá sem comprar nada. E você vai descobrir um monte de coisa que você sempre precisou mas nem sabia que existia. Não deixe de passar nas estantes de livros em promoção: se você tiver sorte, irá achar alguns livros bons e baratos. No ano passado, eu só não comprei mais livros porque não cabia mais na mala. (Para nosso desespero, a Fry's faliu e fechou em todo o EUA!!!)
      • Lembre-se: livro não paga imposto na alfândega, mas ocupam muito espaço na mala e são pesados :(
      • Eu recomendo ir na TJ Maxx e na Ross. Nestas lojas é possível, garimpando bastante e com sorte, comprar roupas, relógios, brinquedos e artigos para casa muito baratos, mais barato do que nos outlets. Estas lojas são praticamente "os outlets dos outlets". Inclusive, você pode comprar boné, óculos de sol (afinal, Las Vegas fica no meio do deserto) e o principal: malas extras para levar as compras. No meio da strip tem também a loja Marshalls, na mesma pegada.
      • Uma boa dica de lembrancinha para levar para casa é passar em uma das lojas Wallgreens e comprar baralhos usados dos cassinos. Eles custam mais barato nas lojas Wallgreens do que nas lojas dos cassinos ou lojas de souvenir. Nas Wallgreens também tem vários outros souvenirs de Vegas a bons preços, além de remédios, comida, etc;
      • Para comprar e turistar, eu sugiro a loja da M&M e da Coca-Cola;
  • Passeios
    • Um passeio muito legal perto de Vegas é visitar a Hoover Dan, que é aquela usina hidroelétrica que o Super Man salvou no primeiro filme (nos tempos do Christopher Reeve). Vale a pena fazer também o tour dentro da usina.
    • Vegas fica perto do Grand Canyon, mas não tão perto assim: é um passeio que exige um ou dois dias dedicados. A opção mais perta (ou "menos longe") é visitar o lado "west" do Grand Canyon, aonde fica o Skywalk. São 3 horas de carro para ir (mais 3 horas para voltar) e lá você paga uma taxa para entrar no parque, que tem um ônibus que te leva a três lugares: uma cidadezinha cenográfica do velho oeste, no Skywalk em si e noutro trecho do Grand Canyon, com um restaurante e um teleférico abandonado. Dizem que o lado Norte do Grand Canyon é bem mais legal, mas é um passeio aonde você gasta dois dias se for de carro: um dia para ir e outro para voltar. Outra opção para quem tem mais dinheiro e menos tempo é fazer o passeio de helicóptero (tem várias opções, e quem fez não se arrepende). Dica: use filtro solar.
    • Uma alternativa legal para quem quer ter contato com a natureza local é visitar o Red Rock Canyon, que fica pertinho de Las Vegas (cerca de 20 minutos, de carro) - é um passeio legal para uma manhã ou uma tarde. Embora seja bem pequeno, vale a pena pela visita. E o local é bem organizado, com várias trilhas bem sinalizadas. Mas, se você quer mesmo ver um canyon, este passeio é roubada;
    • Dois passeios legais, perto da Strip: visitar a lojinha de penhores do seriado Trato Feito (fica na "713 S Las Vegas Blvd", saindo da Strip em direção ao centro velho) e atirar com armas de verdade na The Gun Store ou na Battlefield Vegas (que tem uma área externa com vários veículos militares em exposição);
    • O site Melhores destinos fez uma lista com 52 dicas para a primeira viagem a Las Vegas. Vale a pena dar uma lida;
    • O Anderson Ramos criou uma lista no Foursquare de lugares meio fora do circuito turístico, que ele foi garimpando ao longo dos anos;
    • Outros passeios legais são a montanha-russa no topo do hotel NYNY, a roda gigante do LINQ, o aquário gigante no Mandalay Bay, a loja da Coca-Cola na Strip (você pode comprar uma bandeja para provar vários refrigerantes ao redor do mundo) e...
    • ... assistir uma partida de futebol americano no estágio gigante do Raiders (com ar-condicionado!!!), e...
    • ... assistir uma batalha de robôs no BattleBots.
Além do que eu disse acima, não se esqueça de ler também as dicas do O Willian Caprino e do Daniel Santana. Muitos brasileiros costumam ir na Defcon todo o ano. Os mais enturmados costumam se organizar através de uma lista de discussão (a DC17), um grupo no Facebook e um grupo no Whatsapp, aonde compartilhamos dicas, combinamos baladas, etc.

Veja abaixo uma apresentação que eu fiz em 2010 junto com o Thiago Bordini e o Willian Caprino sobre a Black Hat e a Defcon daquele ano.



Para saber mais:

OBS: Dicas atualizadas em 8/Agosto/2012, 28/7/2014 e 21/08/14 (com informações sobre o Skywalk e algumas informações atualizadas - por exemplo, o steak & egg baratinho que existia no cassino ao lado do Flamingo's foi fechado; por isso coloquei a opção no cassino Terrible's). Atualizado em 17/06/15. Atualizado em 05/07/16. Atualizado em 02/08/16. Em 08/2/17 incluí as 2 primeiras referências no "Para saber mais". Atualizado em 03/07/2017 (entre outras coisas, coloquei o link para o Documentário da Defcon). Atualizado em 24/07/18. Atualizada em 23/07/2019 e em 03/07/2023 (já no pós-pandemia) e 24+25/07,  03+06/08.

julho 18, 2012

[Cyber Cultura] Um ano de Ônibus Hacker

Hoje, 18 de Julho, o pessoal responsável pelo Ônibus Hacker está comemorando um ano do projeto.

Com a colaboração de voluntários, o grupo conseguiu juntar mais de 55 mil reais através do Catarse e comprar um ônibus antigo, de 1989, que foi transformado no Ônibus Hacker. O Ônibus Hacker é um laboratório sobre quatro rodas no qual hackers de toda sorte embarcam por um desejo comum: ocupar cidades brasileiras com ações práticas de engajamento político, social e online através de qualquer apropriação tecnológica, gambiarra, questionamento e exercício de direitos.

O grupo já realizou 12 "invasões": no Festival CulturaDigital.Br, no Churrascão de Gente Diferenciada na Cracolândia, Fórum Social Temático em Porto Alegre, Restinga (uma das maiores periferias de Porto Alegre), no BaixoCentro, Hackeria Ribeirão Preto, Open Government Partnership, Casa Fora do Eixo Minas, na Virada Cultural em São Paulo (quando eles fizeram também parte da Virada Hacker do Garoa), na Virada Digital de Paraty, e no Pimp my Carroça durante a Rio+20 no Complexo do Alemão e na Cidade de Deus.

Vale a pena lembrar que o busão esteve presente prestigiando com muito sucesso a Virada Hacker organizada pelo Garoa Gacker Clube, quando eu tive a sensacional oportunidade de palestrar dentro do ônibus.

O vídeo abaixo foi feito durante a "invasão" na Virada Digital de Paraty.




Invasão Hacker Paraty - Ônibus Hacker from Filmes para Bailar on Vimeo.


Até aonde eu sei, a próxima parada do ônibus Hacker será no Fórum Internacional de Software Livre (FISL), em Porto Alegre.

Vida longa ao Ônibus Hacker !!!

[Segurança] A Presidenta assina a Lei de Crimes Cibernéticos...

... na Costa Rica.

No dia 10 de Julho, a Presidenta da Costa Rica, Laura Chinchilla Miranda, sancionou uma lei de combate aos crimes cibernéticos (Ley 9048 de Delitos Informáticos).


Esta no es una ley que sea un producto de la improvisación; fue discutida por mucho tiempo, estuvo en la corriente legislativa varios años. De ella participaron personas conocedoras en el ámbito nacional, de este tipo de fenómenos, y además contó con una amplia anuencia de distintos sectores de la población.



A lei, que foi criada visando adequar a legislação da Costa Rica a Convenção de Budapeste, prevê diversas modalidades de crimes cibernéticos, incluindo os seguintes:
  • Violação de correspondência ou de comunicações: Pune com pena de prisão de 3 a 6 anos quem, com o perigo ou dano à vida privada ou privacidade de terceiros sem sua permissão, tomar posse, acessar, modificar, alterar, excluir, intervir, interceptar, usar, abrir, transmitir ou desviar de seu destino documentos ou uma comunicação para outra pessoa.
  • Violação de dados pessoais: Pune com pena de 3 a 6 anos de prisão quem, com o perigo ou dano à intimidade ou à privacidade e sem autorização do titular dos dados, tome posse, modifique, interfira, acesse, copie, transmita, publique, divulgue, recolha, desative, intercepte, venda, compre, desvie para outros fins que não para que foram recolhidos ou dê um uso não autorizado a imagens ou dados de uma pessoa física ou jurídica armazenadas em sistemas ou redes de computador ou telemáticas, ou em meios eletrônicos, óticos ou magnéticos.
  • Fraude informática: Estabelece pena de prisão de 3 a 6 anos quem, à custa de prejudicar uma pessoa física ou jurídica, manipule ou influencie na entrada, no processamento ou no resultado dos dados de um sistema informatizado, seja usando dados falsos ou incompletos, o uso indevido de dados, programação, valendo-se de alguma operação informática ou artifício tecnológico, ou qualquer outra ação que afete o sistema de processamento de dados ou que forneça como resultado uma informação falsa, incompleta ou fraudulenta, com a qual procure ou obtenha um benefício patromonial ou indevido para si ou para outrem.
  • Dano informático: Pena de prisão de 1 a 3 anos para quem, sem o consentimento do proprietário ou excedento (a autorização) a qual teria sido concedida, e em detrimento de um terceiro, apagar, alterar ou destruir a informação contida em um sistema ou rede informática ou telemática, ou em meios eletrônicos, óticos ou magnéticos.
  • Espionagem: Estabelece punição com pena de reclusão de 5 a 10 anos para quem use meios relacionados a manipulação informática, softwares maliciosos ou uso de tecnologia da informação e comunicação para procurar ou obter indevidamente informações secretas políticas ou das forças policiais nacionais ou relativa à segurança referente aos meios de defesa ou de Relações Exteriores da nação, ou afetar a luta contra o tráfico de drogas ou crime organizado.
    • Este parágrafo causou grande repercussão nas associações locais de imprensa, que teme ter seu trabalho investigtivo criminalizado.
  • Sabotagem de computadores: Pena de prisão de 3 a 6 anos para quem, em benefício próprio ou de um terceiro, destruir, alterar, obstruir ou prejudicar as informações em um banco de dados, ou impedir, alterar, obstruir ou alterar sem autorização o funcionamento de um sistema de processamento de informação, seus componentes físicos ou lógicos, ou um sistema de computador.
  • Roubo de Identidade: É punido com pena de prisão de 3 a 6 anos quem assumir a indentidade uma pessoa em qualquer rede social, site, meio eletrônico ou tecnológico de informação.
  • Espionagem informática: Pena de prisão de 3 a 6 anos para quem, sem autorização do proprietário ou responsável, e utilizando qualquer computador ou manipulação tecnológica, seqüestrar, transmitir, copiar, modificar, destruir, usar, bloquear ou reciclar informações valiosas para transações da indústria e comércio.
  • Instalação ou propagação de software malicioso: Esta alteração no Código Penal prevê punição com pena de prisão de 1 a 6 anos para quem, sem autorização, ou por qualquer meio, instalar software malicioso em um sistema ou rede informática ou telemática, ou em meios eletrônicos, óticos ou magnéticos. Também incorre na mesma pena quem induzir uma pessoa ao erro para que instale um programa malicioso, quem convidar outras pessoas para download de arquivos ou a visitar sites com objetivo de espalhar programas maliciosos, quem distribui programas desenhados para a criação de softwares maliciosos e quem ofereça, contrate ou preste serviços de negação de serviços, envio de mensagens de comunicação de massa não solicitadas, ou quem espalhe softwares maliciosos.
    • A pena acima é aumentada para 3 a 9 anos se o programa malicioso afeta uma entidade bancária, serviços públicos, sistemas de saúde, seja utilizado para construir uma rede de computadores zumbis, obtenha um benefício patrimonial para si ou para terceiros, ou tenha capacidade de se reproduzir sem necessidade de intervenção do do usuário legítimo do sistema informático.
  • Facilitação do crime de computador: Estabelece pena de prisão de 1 a 4 anos para quem fornecer os meios para a realização de um crime feito por meio de um sistema ou rede informática ou telemática, ou em meios eletrônicos, ópticos ou magnéticos.

A maioria dos crimes tipificados pela nova lei costa-riquense são punidos com penas que variam de 1 a 6 anos de prisão, mas há alguns casos em que a pena pode ser aumentada em função de alguns agravantes. Para não tornar este post muito longo, eu não mencionei acima a maioria destas tipificações que incluem agravantes e aumento da pena - como, por exemplo, se o criminoso for uma das pessoas encarregadas a dar o suporte aos equipamentos de informática atacados.

A moral da história é que, enquanto o governo brasileiro fica "batendo cabeça" tentando aprovar alguma legislação que puna os crimes cibernéticos, os demais países da América Latina, incluindo a Costa Rica, tem feito o trabalho de casa.

[Segurança] Documentário sobre os "Code Breakers" Ingleses

A BBC criou um documentário muito interessante, chamado "Code-Breakers: Bletchley Parks lost Heroes" que fala sobre o trabalho de alguns dos criptólogos a serviço do governo Inglês durante a Segunda Guerra Mundial.






Nesta época o governo britânico criou um centro super-secreto chamado Bletchley Parks, aonde foi concenrado todo o esforço de inteligência durante a guerra. O centro e o trabalho realizado lá era tão secreto que seus funcionários eram proibido de falar sobre o que faziam e aonde trabalhavam - e seguiram isso a risca. Somente nos anos recentes algumas coisas e alguns destes trabalhos foram tornados

Embora o Alan Turing tenha sido o mais famoso dos criptólogos ingleses durante a Segunda Guerra, este documentário fala sobre os trabalhos de outros dois criptólogos, o matemático Bill Tutte e o engenheiro Tommy Flowers, que foram responsáveis por quebrar uma "super máquina de criptografia alemã" (Lorenz SZ40/42) - o que torna o documentário mais interessante ainda.






O trabalho de Tutte serviu de base para que Flowers criasse uma máquina especializada em quebrar as mensagens criptografadas alemãs, o Colossus, o que representou o primeiro computador da história. O documentário também mostra que, devido ao trabalho de Tuttle e Flowers ser considerado altamente secreto, todas as suas descobertas e pesquisas permaneceram confidenciais por muito tempo, e a importância de seus trabalhos somente foi reconhecida publicamente há poucos anos atrás - quando Tuttle estava velho e Flowers já tinha falecido.

julho 14, 2012

[Segurança] Conseguiremos controlar a corrida armamentista no ciber espaço?

No final do mês passado o jornal americano New York Times publicou um artigo chamado "A Weapon We Can’t Control" que discutiu, muito bem, o impacto do surgimento do super-hiper-mega-uber vírus Stuxnet e a revelação de que ele foi produzido em conjunto pelo governo Americano e Israelense.

O ponto central do artigo é que a chamada operação "Olympic Games", responsável pela criação do Stuxnet e seu consequente ciber ataque ao programa nuclear iraniano, marcou um ponto importante e sem retorno na militarização da Internet. Como se não bastasse o lançamento do vírus Stuxnet (um verdadeiro "ciber ataque") em tempos de paz, o Stuxnet marcou pra sempre o começo de uma corrida armamentista sem igual, em que vários países se lançaram em busca de técnicas de ataque e defesa cibernética. E, o pior: isto aconteceu muito cedo, sem que o conceito de conflito cibernético entre nações fosse consolidado e sem que houvesse algum tipo de controle ou acordo internacional sobre isso.

De qualquer forma, eu não sou um especialista em história militar mas acredito que o mesmo aconteceu com provavelmente todas as outras tecnologias de guerra: da invenção da pólvora, da baioneta, do surgimento da guerra química ou no lançamento da primeira bomba atômica - o país que inventou a tecnologia e a usou pela primeira vez o fez sem nenhum controle e sem avaliar a consequência a longo prazo. Conforme os outros países entenderam o impacto daquela nova tecnologia e também desenvolveram suas armas equivalentes, surgiu naturalmente a necessidade de criar limites e restrições. O Stuxnet é, para a Internet, o que o gás mostarda deve ter sido na Primeira Guerra Mundial e o que a bomba atômica foi na Segunda Guerra: uma nova arma que, uma vez utilizada e conhecido o seu real impacto, precisamos parar e falar: "espera aí, p*!!!, vamos com calma!!!" E, assim, surgem os tratados e acordos internacionais. Afinal, por mais que alguém queira ganhar uma guerra, ninguém tem interesse em destruir toda a humanidade.

O artigo também toca em um ponto interessante: esta nova espiral ciber-armamentista pode causar uma proliferação descontrolada de códigos maliciosos e ciber ataques entre países. Isto porque, em uma ciber guerra, o poder está principalmente na capacidade de explorar (invadir, espionar e, quando quiser, destruir) os pontos fracos dos sistemas de seus adiversários. Portanto, a fim de avaliar sua própria capacidade de ataque e de se preparar para um cenário de guerra cibernética, os países tendem a invadir preventivamente os sistemas de seus potenciais inimigos, antes mesmo de surgir algum conflito formal. Assim suas "armas cibernéticas" já estarão prontas para "serem detonadas", algo mais fácil de fazer do que tentar invadir seu adversário após começarem as hostilidades, quando todos já estão de prontidão.

julho 07, 2012

[Carreira] Quero ser palestrante

Coincidentemente, na mesma semana que o blog do Gustavo Lima e o meu blog discutimos a pouca quantidade de palestrantes no nosso mercado de Segurança da Informação, o Max Gehringer também fez um comentário em sua coluna diária na rádio CBN sobre esse assunto.






Em seu comentário no dia 4 de Julho, Max deu quatro dicas ao responder para um ouvinte que pergunta: "Quero ser palestrante. O que mais preciso para ser um profissional?". Embora o comentário se aplique de uma forma genérica a quem pretende ser um palestrante profissional, eu acredito que duas das dicas apresentadas são muito válidas para quem trabalha na nossa área e deseja (ou precisa) palestrar de vez em quando, sem necessariamente virar um palestrante profissional.
  • "Não copie ninguém, desenvolva o seu próprio material": O mais importante, na minha opinião, é que a palestra siga o estilo pessoal do palestrante: se você for uma pessoa mais séria ou mais descontraída, mais formal ou mais informal. Tanto o material quanto o estilo de apresentar deve refletir a personalidade do palestrante, pois assim soará mais natural para quem assiste e para quem apresenta.
  • "Conte histórias que só você poderia contar, porque você viveu pessoalmente": Ou seja, a palestra tem que abordar um assunto que o palestrante domina, e o assunto fica mais interessante ainda quanto aborda uma experiência real, sobre algo que o palestrante passou em seu dia-a-dia. De uma forma geral, a platéia prefere ouvir cases práticos do que teóricos, e o bom palestrante sabe juntar um assunto interessante, com sua experiência sobre este assunto e passando a sua visão especial sobre o tema, trazendo alguma novidade.

Um palestrante profissional é alguém cuja ocupação principal é, justamente, dar palestras em grandes eventos. Por outro lado, a maioria de nós, profissionais comuns, temos que vez ou outra fazer algum tipo de apresentação: seja quando apresentamos um projeto para nossos colegas dentro da empresa, ou pode ser em um evento maior, quando você tem que representar a sua empresa.

julho 05, 2012

[Segurança] A difícil relação entre eventos e palestrantes

Nesta semana o Gustavo Lima escreveu um post em seu blog aonde ele fez um questionamento válido: "Porque vemos sempre os mesmos nomes nas grades de palestras dos eventos de segurança no Brasil?"

No fundo ele tem razão em questionar. Se olharmos a grade da maioria dos eventos de Segurança nos últimos anos, vários palestrantes se repetem, inclusive os que ele citou em seu post. Inclusive eu mesmo - que só fui poupado de aparecer na lista de "figurinhas carimbadas" do Gustavo porque ele tirou esta lista da próxima edição do SegInfo, e até o momento eu não recebi resposta da proposta de palestra que enviei para o CFP deles.

Mas o Gustavo também pergunta: "Mas cadê o resto do povo, não tem mais ninguém que pesquise, que trabalhe na área? Será que temos de fato uma “panela” em SI ?"



Eu escrevi uma resposta no blog dele, mas gostaria de repetir ela aqui pois acredito que esta discussão é válida. Eu concordo com as observações do Gustavo sobre a quantidade de “figurinhas carimbadas” (ou melhor: "figurinhas repetidas") nos eventos, mas no meu entender a resposta para este problema é bem complexa e é resultado de vários aspectos que influenciam este cenário simultaneamente. Por isso não considero correto nem justo culpar simplesmente a existência de uma "panelinha".

Eu vejo os seguintes problemas, que afetam a grande maioria dos eventos brasileiros:
  1. Palestras de patrocinadores: Sim, vários eventos oferecem oportunidade de palestra para os patrocinadores, e por isso vemos alguns palestrantes que só estão lá porque a empresa pagou por isso. Isso acontece porque os patrocinadores, na prática, são quem pagam a conta do evento, pois fazer um evento bom sai caro, muito caro. E nenhuma empresa faz nada de graça: os patrocinadores querem ser vistos e querem divulgar seus produtos para conseguir novos clientes - simples assim. E o benefício que os patrocinadores mais gostam é, justamente, poderem palestrar sobre si mesmos. Uma palestra de patrocinador não precisaria ser algo negativo, se ele aproveitasse a oportunidade para mostrar um novo conceito, uma nova linha de pesquisa da sua empresa, em vez de ficar vomitando material de marketing ou divulgar estatísticas de uma pesquisa sem graça que a empresa fez. Pena que nem todas as empresas sabem usar esta oportunidade para encantar a platéia. Nota: Alguns eventos condicionam a aceitação da palestra do patrocinador a um OK da comissão que analisa o CFP, para tentar forçar as empresas a trazerem conteúdo interessante.
  2. Falta bons palestrantes no Brasil. Pouca gente aqui no Brasil produz pesquisa interessante - ou melhor: simplesmente temos poucos pesquisadores no Brasil pois o nosso mercado não valoriza a pesquisa. Além disso, há outros fatores que contribuem para a falta de palestrantes: pouca gente acha que tem conhecimento que pode ser legal apresentar em um evento (e, na minha opinião, muitas vezes este pessoal está errado: ele/ela poderia falar algo interessante para muitas pessoas sobre seu trabalho ou algo que tem pesquisado), poucas empresas valorizam isto e motivam seus funcionários a apresentarem em eventos, vários profissionais precisam obter aprovação de sua empresa para palestrar (o que pode ser um processo burocrático e, as vezes, intransponível), e pouca gente tem vontade e/ou coragem de enfrentar uma platéia. Afinal das contas, é preciso uma grande dose de desenvoltura para encarar uma platéia sem gaguejar e lidar com inprevistos como enrolar a língua no meio da frase, se confundir em um determinado momento ou, eventualmente, até mesmo cair do palco e continuar a apresentação como se nada tivesse acontecido (não que nada disto nunca tenha acontecido comigo...).
  3. Panela. Sim, há um pouco de panelinha entre os eventos e palestrantes. Mas é um mal necessário, mesmo que o organizador não queira, pois a verdade aqui no Brasil é uma só: a maioria dos eventos recebem pouca resposta das chamadas de trabalho (CFP) abertas ao público e, na maioria das vezes, o evento não recebe propostas suficientes para encher a grade de palestras. Por isso os organizadores acabam convidando alguns palestrantes conhecidos para “dar uma forcinha”. Isto aconteceu com as três edições da Co0L BSides que eu já organizei: não recebemos propostas de palestras suficientes e tivemos que convidar alguns conhecidos. Será que o evento não chamou a atenção das pessoas ou não há pessoas suficientes interessadas ou em condições de palestrar nos eventos?
  4. Experiência dos palestrantes conhecidos. Há uma preferência por palestrantes já experientes, pois o organizador do evento também tem interesse em oferecer boas palestras e, ao mesmo tempo, tem receio de trazer um palestrante desconhecido que, na hora H, pode correr o risco de apresentar uma palestra com assunto que não agrade o público, ou que não tenha boa capacidade de apresentar. Por isto, os eventos convidam palestrantes experientes para garantir que terá alguns palestrantes capazes de trazer conteúdo bom e que o público goste. Além do mais, um palestrante experiente também representa alguém que tem interesse e disponibilidade de palestrar. E, para o palestrante, isto vira uma bola de neve: quanto mais você palestra, mais convites recebe.
  5. Palestrantes que atraem o público. Convidar um palestrante conhecido, respeitado, com carisma e/ou com assuntos muito interessantes (ou muito avançados) atrai público. E todo evento se preocupa em construir uma grade de palestras e de speakers que seja capaz de atrair o público, senão ninguém vai e o evento fracassa.

Pelos motivos expostos acima, acredito que poucos eventos brasileiros conseguem escapar de um ou mais destes problemas: atrair patrocinador sem prejudicar a grade de palestras, atrair novos palestrantes e temas interessantes, e encher a grade só com as respostas do CFP, não precisando chamar palestrantes conhecidos e experientes. Talvez o ideal, na minha opinião, é justamente tentar achar um meio-termo entre todos estes cenários.

Soluções? Na minha opinião o pessoal que organiza os eventos e os palestrantes mais experientes tem que assumir a responsabilidade de motivar o pessoal a começar a palestrar e atrair novos palestrantes, pois ficar sentado esperando os palestrantes aparecerem não tem funcionado, pelo menos aqui no Brasil. Um exemplo que vi recentemente e que gostei muito foi da BSides Las Vegas deste ano, que criou o que chamaram de "BSidesLV Mentorship Program": eles criaram uma trilha exclusiva somente para palestrantes novatos, que inclui uns “mentores” para ajudarem o pessoal a criar e apresentar seu material. Eu achei a idéia sensacional, mas tenho receio de que aqui no Brasil a platéia iria evitar esta trilha. De qualquer forma, a idéia me parece sensacional e merece ser tentada.

julho 01, 2012

[Cyber Cultura] Homenagem ao Alan Turing no Garoa Hacker Clube

Abaixo vou praticamente repetir um texto que acabei de colocar no Blog do Garoa Hacker Clube, sobre um pequeno evento que realizamos em homenagem ao centenário do Alan Turing neste sábado, dia 30 de Junho.

No dia 23 de Junho foi celebrado o centésimo aniversário do nascimento do Alan Turing, matemático, cientista e criptólogo britânico que faleceu aos 42 anos de idade e cuja genialidade ajudou a consolidar alguns conceitos fundamentais para o surgimento dos primeiros computadores e seu trabalho para a inteligência do governo britânico permitiu o desenvolvimento de máquinas especializadas em quebrar a criptografia utilizada pela Alemanha durante a Segunda Guerra Mundial.

Para celebrar o centenário de seu aniversário, nós do Garoa fizemos um evento especial no sábado dia 30 de junho, que chamamos de Turing 100 anos + 7 dias. Várias pessoas compareceram no evento (cerca de 15, inclusive algumas pessoas que foram no Garoa pela primeira ou segunda vez), que também teve cerveja, batatinha frita (pois pretendíamos usar as embalagens para fazer uma máquina enigma de papel) e pizza.

Em homenagem a Alan Turing, repetimos a palestra realizada na Virada Hacker sobre o funcionamento da Máquina Enigma - uma palestra criada para explicar alguns conceitos básicos de criptografia a partir do exemplo histórico da Enigma. Nesta palestra discutimos a importância histórica da Segunda Guerra Mundial e das máquinas Enigmas para a evolução da ciência da criptografia, os principais conceitos que permitiram o surgimento destas máquinas (criptografia simétrica, cifras de substituição monoalfabéticas e polialfabéticas, discos de cifragem e rotores) e, após detalhar o funcionamento das Enigmas, comentamos um pouco sobre o esforço para quebrar a criptografia utilizada - incluindo algumas fraquezas que Alan Turing soube explorar. A palestra foi bem interativa, com muitos comentários, perguntas e respostas do pessoal presente.

Após a palestra assistimos um pequeno documentário sobre Alan Turing e a quebra da Enigma e montamos um simulador da Enigma feito de papel. O interessante é que, em vez de usar as embalagens de batata frita, acabamos usando as latinhas de cerveja para montar a máquina, pois o diâmetro das latas de cerveja era mais compatível com o tamanho do modelo impresso. Além disso, o interessante é que o modelo que utilizamos foi baseado, na verdade, em uma idéia do próprio Turing, que criou algo similar para explicar o funcionamento da Enigma para seus colegas. Ah, e no final sorteamos uma camiseta (que eu comprei no National Cryptologic Museum) entre os presentes :)

Se você quiser saber um pouco mais sobre Alan Turing, visite os sites abaixo: