agosto 29, 2012

[Segurança] Dia Internacional de Segurança em Informática DISI 2012

Hoje é dia de conscientização em segurança!

Assim como acontece todo ano, hoje é o Dia Internacional de Segurança em Informática (DISI 2012), um evento organizado pela RNP com palestras gratuitas e abertas ao público sobre segurança, que também são transmitidas em tempo real.

O tema escolhido para este ano foi em torno da privacidade: “Privacidade de dados: o que você compartilha?”

O site do evento disponibiliza alguns materiais de apoio para conscientização dos usuários, além de um Teste de conhecimentos (que, pelo menos em meu micro/browser, não funcionou...).

agosto 28, 2012

[Segurança] O Futuro do Mercado de Segurança começa com a Pré-História

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

A Internet começou a ser criada a partir dos anos 70 e a Internet comercial, que usamos hoje em dia, espalhou-se pelo mundo a partir da década de 90. Ou seja, ela não tem mais de 20 anos. Vamos pensar em alguns números comparativos para ilustrar:
  • As primeiras pinturas rupestres surgiram há cerca de 40 mil anos e as primeiras formas de escrita surgiram há cerca de 4 mil anos, em parte motivadas pela expansão dos primeiros impérios e da necessidade de registrar controles e informações administrativas.
  • A roda existe desde cerca de 3.500 a.C.
  • Os gregos já usavam a criptografia por volta de 700 a.C.
  • Gutemberg revolucionou a imprensa e a produção de livros aproximadamente em 1450, com a invenção das prensas que usavam tipos mecânicos móveis para a impressão. Isto causou uma revolução no compartilhamento e armazenhamento do conhecimento (informação).
  • As primeiras máquinas a vapor foram construídas na Inglaterra durante o século XVIII, há 300 anos atrás.
  • O Automóvel surgiu principalmente durante o século XIX, há 200 anos atrás, e se popularizou principalmente com a criação do Ford T, a partir de 1908.
  • Os primeiros computadores surgiram há menos de 100 anos atrás, a partir de 1944, durante a Segunda Guerra Mundial.
  • O primeiro automóvel com cintos de segurança foi fabricado em 1958
  • Os computadores pessoais (PCs) começaram a se popularizar a partir da década de 80
  • Os primeiros softwares anti-vírus surgiram no final dos anos 80
  • O Google surgiu em 1997.
  • A primeira rede social, a SixDegrees.com, surgiu em 1997. Mas as redes sociais só começaram a se popularizar após 2002.

Enquanto a escrita (e, portanto, a guarda da informação) tem cerca de 6 mil anos de evolução, e o automóvel que usamos hoje em dia é fruto de 300 anos de evolução, os computadores existem há cerca de 60 anos e a Internet existe há menos de 20 anos. Digo isto para ilustrar como a Era da Informação, que começa mais ou menos nos anos 80, é recente: afinal, a informática e, consequentemente, a Internet, são tecnologias novas, criadas há pouco tempo e ainda em fase de evolução.

Estamos vivendo o início, a "pré-história" da Era da Informação.

A cada dia surge um novo serviço online, uma nova tecnologia de comunicação e de interatividade, um novo protocolo, ou uma nova linguagem de programação para facilitar o desenvolvimento de novos aplicativos. E, o pior, devido a alta competição hoje em dia, o ciclo de desenvolvimento é rápido e muitas tecnologias são disponibilizadas para a população sem terem tido tempo hábil para a sua criação e testes.

Logo, a tecnologia está evoluindo rapidamente sem tempo para amadurecer e, consequentemente, ter seus problemas e riscos identificados e corrigidos.

Do ponto de vista sociológico, a consequencia desta rápida evolução da tecnologia é que hoje a população em geral ainda não sabe usar toda esta tecnologia que tem a sua disposição e, o mais interessante, não tem noção das consequencias a longo prazo. Os pais não podem dar dicas ou ensinar boas práticas para os seus filhos pois eles mesmos ainda não sabem como usar direito a tecnologia e muito menos conhecem todos os problemas que ela traz. Tente imaginar o seguinte:
  • Desde criança ouvimos que não devemos conversar com estranhos na rua nem aceitar carona de estranhos. Mas nossos pais não nos disseram como devemos nos comportar online, nas redes sociais.
  • As fotos e comentários que os adolecentes compartilham despreocupadamente hoje em dia nas redes sociais poderão ser vistos por seus chefe e colegas de trabalho daqui a, digamos, 20 anos. E, de repente, aquela festinha aonde aparece uma foto de vários amigos bêbados pode custar uma promoção ou um emprego novo.
  • Hoje em dia nós sabemos um pouco sobre nossos avós através principalmente da comunicação oral entre os nossos familiares. Em breve, nossos netos, bisnetos e tataranetos poderão acessar nosso perfil "antigo" no LinkedIn ou no Facebook, ver fotos nossas online e ler o nosso Blog para conhecer quem fomos.

Dizem os especialistas que qualquer mudança cultural demanda algumas gerações para se estabelecer (pelo menos 3 gerações), e hoje ainda mal temos duas gerações que estão totalmente adaptadas ao mundo online. O uso da Internet, tanto o bom e o mau uso, ainda não faz parte da cultura popular.

[Segurança] O Futuro do Mercado de Segurança

Nota: Este artigo é o primeiro de uma série sobre o futuro do mercado de segurança.

Na semana passada eu tive a feliz oportunidade de participar de um painel no IV Congresso sobre Crimes Eletronicos e Formas de Proteção da FECOMERCIO sobre "O futuro do mercado de infosec", junto com o Willian Caprino, Fernando Mercês, o Luiz Eduardo dos Santos (Le) e o Domingo Montanaro.

O debate fluiu muito bem, com várias discussões interessantes e alguns pontos de vista divergentes. Na ocasião, eu aproveitei para compartihar uma opinião bem polêmica que eu tenho sobre o nosso mercado, e que certamente deixou algumas pessoas incomodadas ou com a pulga atrás da orelha:
Os usuários e executivos não tem que se preocupar com segurança e a tendência é que o nosso mercado deve perder importância na medida que as tecnologias amadurecem e as práticas de segurança são incorporadas pelas demais áreas.

Para explicar melhor esta minha opinião, eu decidi escrever uma série de posts sobre este assunto, que serão divididos em alguns posts justamente para que eu evite escrever um texto muito grande e massante.

Em resumo, eu tenho a seguinte opinião sobre o futuro do nosso mercado de Segurança da Informação, que será detalhada em alguns posts separadamente:

Nota: Este post ainda será atualizado algumas vezes, na medida em que eu escrever os demais textos relacionados a este assunto.

agosto 27, 2012

[Cyber Cultura] Nasce o Carioca HackerSpace

Após vários meses de conversa e organização, o pessoal no Rio de Janeiro conseguiu arranjar uma casa sensacional e estão preparando a criação do Carioca HackerSpace, o primeiro HackerSpace no Rio.

O pessoal está super empolgado e otimista, mas eles ainda tem muito chão pela frente, a começar pela criação do site, organização do hackerspace e a arrumação do local. Por enquanto, eles já tem uma página no Facebook.

A casa foi conseguida por um dos idealizadores do hackerspace, e estava abandonada pelos proprietários há alguns anos. Neste último sábado, dia 25/8, o pessoal se encontrou na casa para começar a limpeza e a arrumação do local. Ainda precisam religar a água e luz, revisar a parte elétrica, pintar os espaços, arrumar o chão de alguns quartos, verificar as telhas (pois há áreas com inflitrações no teto, provavelmente devido a telhas quebradas) e muito mais. O pessoal já está pensando também na segurança da casa, e pretendem criar alguns sistemas caseiros para a monitoração do local.

Os primeiros vídeos do local já estão surgindo e são animadores.



Pela nossa contagem, o Carioca Hackerspace já é o sexto hackerspace no Brasil. Quem quiser participar desta iniciativa, pode se juntar a eles na lista de discussão Hackerspace-Rio.

agosto 16, 2012

[Segurança] Hackitat: um documentário sobre o hacker político

Um grupo de hackers e cineastas suecos lançaram um projeto chamado Hackitat, que visa coletar fundos através de crowdfunding para produzir um documentário sobre a cultura hacker, o political hacking, hacktivismo e os hackerspaces em todo o mundo.

Como explica a notícia no site Wikinoticia, o Hackitat é um projeto que visa arrecadar US$ 80.000 para documentar as ações e testemunhos de hackers ao redor do mundo. A idéia surgiu quando Mackt, um hacker sueco, foi preso durante uma batida policial em um hackerspace em 2009. Ele entrou em contato com Gonzalo e Alex Peña Veicht, da RÄFILM, para propor a idéia de um documentário sobre a cultura hacker, um documento que pudesse transcender preconceitos e noções pré-concebidas - negativas - sobre este grupo. O documentário será distribuído on-line com uma licença Creative Commons para que todos possam compartilhá-lo.



O Gonzalo, um dos líderes do projeto, já veio aqui no Brasil há poucos meses atrás, quando ele visitou o Garoa Hacker Clube e também entrevistou várias pessoas que atuam na área.

Se você gostou da idéia e quer colaborar, visite o site de crowdfunding e contribua.

[Carreira] NOT CISSP

Em 2005 eu anunciei aqui quando tirei minha certificação CISSP, por isso, nada mais justo do que anunciar aqui que neste ano eu decidi não renovar a minha certificação.

Que fique claro que eu não tenho nada contra a certificação CISSP nem contra as centenas de colegas brasileiros que a possuem (embora eu nunca deixei de me manifestar que acredito que a formação básica é mais importante que certificações). Mas, passados 7 anos, eu não vi valor em ficar pagando uma anuidade e preenchendo formulários burocráticos que, por si só, não agregavam nada em minha carreira.

Talvez eu não tenha enxergado os benefícios em ser um CISSP...


... mas no meu emprego atual não tenho como fazer isso :(

A certificação CISSP tem algumas vantagens, inegáveis:
  • É a certificação melhor reconhecida no mercado de trabalho, o que facilita a sua vida se você estiver procurando emprego (não é o meu caso) ou se você precisar se apresentar para alguém que não te conheça, pois o título "CISSP" vai mostrar de cara que você é um especialista na área (e, como uma vez um gringo me disse, mostra que você adere a um padrão ético - definido pelo código de ética da ISC2)
  • O processo de estudos para a prova de certificação, se bem aproveitado, fornece um background bem completo na área de segurança e uma boa visão de toda a complexidade de nossa área.
  • No meu caso, eu coloco uma vantagem adicional: como estudei junto com o primeiro grupo de estudos (que durante um tempo foi organizado pela ISSA Brasil), tive a oportunidade de conhecer alguns dos meus melhores e maiores amigos até hoje.

Mas, uma vez que você faz a prova (complicadíssima e que demanda muito estudo), para se manter certificado basta pagar uma taxa anual e preencher um formulário para declarar os seus "CPEs", que é um mecanismo usado para verificar se você se mantém atualizado, ou seja, vai em eventos, lê livros e revistas, e faz cursos. Ou seja, após o primeiro ano, a certificação somente certifica que você paga a anuidade da ISC2 e vai em eventos.

E, confesso, não sei dizer quais os benefícios que a ISC2 nos dá em troca, além do fato do título ajudar a passar na peneira do RH, que fica procurando palavras-chave como "CISSP" em meio a centenas de CVs. A ISC2 tem alguns benefícios, mas quase a totalidade deles são vantajosos somente se você mora nos EUA: descontos em eventos nos EUA, descontos em assinaturas de revistas americanas, etc.

Também não custa lembrar algo que eu já disse publicamente algumas vezes: o CISSP não nos torna Deuses, e não faz com que tudo o que toquemos vire ouro (uma alusão ao mito de que todo CISSP automagicamente ganha um salário de marajá).

Há dois anos atrás comecei a me questionar os benefícios de manter a certificação. Na falta de uma resposta satisfatória, neste ano eu deixei a fatura de lado.

agosto 15, 2012

[Cyber Cultura] As Olimpíadas e as redes sociais

Muitos experts vão surgir em breve comentando sobre a importância das redes sociais durante as Olimpíadas de Londres. Eu não sou expert nisso, mas alguns artigos já me chamaram a atenção.

Um artigo na Epoca Negócios já mostrou alguns dados interessantes, nesta olimpíada que foi marcada pelo auge da popularidade das redes sociais. A reportagem destaca o uso do Twitter, Facebook e do WhatsApp pelos atletas e espectadores, chegando a quase 44 milhões de mensagens no Twitter sobre os jogos olímpicos. E o jamaicano Usain Bolt foi responsável pelo Twitter bater dois records: mais de 80 mil menções por minuto após sua vitória na prova dos 200m rasos e 74 mil por minuto após a final dos 100 metros. Além dele, Michael Phelps também mereceu destaque online: ele ganhou mais de 930 mil seguidores no Twitter durante os jogos, mais do que qualquer outro esportista.

Mas nem tudo são flores - ou melhor, medalhas. Alguns atletas também foram penalizados pelo mal uso das redes sociais - um problema recorrente em todo o mundo, inclusive no Brasil:

  • A atleta grega do saltado triplo Voula Papachristou foi expulsa da Olimpíada após enviar um tweet com conteúdo racista sobre os imigrantes africanos na Grécia.
  • O jogador de futebol suiço Michel Morganella teve que apagar sua conta no Twitter e saiu dos jogos depois que publicou uma mensagem ofensiva aos sul coreanos após seu time ser derrotado por 2x1.
  • Os nadadores australianos Nick D'Arcy e Kenrick Monk tiveram que sair da vila olímpica assim quecompletaram seus eventos pois eles postaram no Facebook uma foto juntos em uma loja de armas nos Estados Unidos muito antes dos Jogos.
  • Em um caso que não necessariamente envolveu as redes sociais, mas é relacionado com a exposição dos atletas online, o ciclista belga Gijs van Hoecke foi enviado para casa das Olimpíadas pelo Comitê Olímpico do seu país depois que ele foi fotografado saindo de uma balada em Londres bêbado e desorientado.


De qualquer forma, o uso das redes sociais durante as Olimpíadas ainda vai dar muito pano para manga - em termos de bons e maus exemplos.

A reportagem na Epoca Negócios também citou algumas lições que ficam para nós, Brasileiros, que iremos hospedar uma olimpíada daqui a quatro anos: o uso da Internet e das redes sociais será um fator crítico nos jogos no Rio em 2016, devido ao uso das novas redes 4G, muitas mais rápidas, e o acesso as redes sociais através de aparelhos e telefones cada vez mais potentes e com mais aplicações.

agosto 14, 2012

[Segurança] As lendas em segurança da informação

Santa coincidência, Batman!!! Hoje eu percebi que o Eduardo Neves criou há alguns meses atrás uma apresentação muito caprichada e interessante sobre "As lendas em segurança da informação", aonde ele desconstruiu cinco mitos que frequentemente encontramos no mercado.

Em meu post anterior eu comentei sobre um artigo da Computerworld ligeiramente semelhante, que cita nove "melhores práticas" (ou receitas de bolo) que não funcionam. Em sua apresentação, o Eduardo discute 5 lendas, ou narrativas fantasiosas, três das quais não foram abordadas no artigo da Computerworld:
  1. Alguns tipos de negócio nunca serão alvo de ataques
  2. O Firewall oferece proteção contra ameaças externas
  3. Um penetration test identifica todas as falhas no perímetro (seria esta mais uma tentativa de achar uma solução mágica para os problemas de segurança?)
  4. A segurança de um software pode ser adiada para o próximo release
  5. As pessoas são o elo mais fraco


agosto 13, 2012

[Segurança] As melhores práticas... que não funcionam!

A Computerworld publicou hoje um artigo que é uma boa crítica para os profissionais que gostam de seguir as receitas de bolo e repetir jargões da área.

O artigo "9 popular IT security practices that just don't work" ("As 9 práticas de segurança de TI que simplesmente não funcionam") polemiza ao escolher nove práticas, paradigmas e jargões que são normalmente utilizados na área de segurança e discute o porque elas simplesmente não funcionam mais hoje em dia:

  1. O antivírus não vai descobrir os vírus mais perigosos: De fato, as principais soluções de antivírus são, principalmente, reativas. Os fabricantes dependem do vírus ser conhecido para eles poderem estudá-lo, descobrir como identificá-lo e como remover o vírus de um sistema infectado. Ou seja, o antivírus não vai te proteger contra um vírus novo enquanto esse vírus não for encaminhado para o fabricante, e enquanto o fabricante não receber amostras o suficiente para ele entender que o vírus está espalhado por uma grande quantidade de sistemas. Ou seja, com milhares de novos vírus surgindo a cada dia, os fabricantes são obrigados a priorizar quais vírus eles vão analisar e criar vacina. E muitos usuários não utilizam as soluções "heurísticas", que adivinham se um arquivo desconhecido tem comportamento malicioso, com o receio de terem arquivos válidos bloqueados por causa de um alarme falso.
  2. Os Firewalls fornecem pouca proteção:Um dos pilares da segurança, arroz-com-feijão de todo profissional de segurança, os Firewalls tem se mostrado incapazes de bloquear ataques mais sofisticados. O artigo lembra que, hoje em dia, os principais ataques exploram as formas de acesso tradicionais, normalmente utilizadas pelos usuários para realizar acesso válido. A infecção pode acontecer quando usuários acessam sites aparentemente legítimos, ou quando os usuários são enganados e convencidos a rodar programas maliciosos em seus desktops (algo fora do controle dos Firewalls). E o roubo de informação acontece explorando formas de acesso que parecem legítimas, como acessando sites externos (utilizando meios autorizados como HTTP ou HTTPS), enviando e-mails, etc.
  3. Patching não faz milagres: Mais um acerto em cheio. Primeiro, manter um ambiente de TI de uma empresa totalmente atualizado é praticamente impossível. Cada nova atualização deve ser testada previamente e, dependendo da quantidade de equipamentos, o processo de atualizar um software ou sistema operacional pode levar dias, semanas ou até mesmo alguns meses, pois o novo patch deve ser testado, aprovado e agendado previamente. Fora isto, dependendo do sistema a ser atualizado, você tem que esperar a homologação do fabricante da aplicação (ex: ninguém instala um novo sistema operacional em um servidor de Banco de Dados se a empresa que fornece o banco de dados não homologar o sistema operacional novo). Se a sua empresa seguir as boas práticas de gestão de TI, cada mudança no ambiente (incluindo instalar um patch) precisa seguir um processo de "gestão de mudanças", que também consome alguns dias. Além do mais, hoje em dia os ataques mais sofisticados e complexos utilizam os famosos "zero days", ou seja, vulnerabilidades que os fabricantes desconhecem e, portanto, não tem como serem corrigidas. Por fim, ainda existem os ataques de engenharia social - e outro jargão da área é que "não há patch contra a estupidez humana".
  4. Educação aos usuários finais foi reprovada: Mais um chute no estômago do profissional que recita receitas prontas. Apesar das tentativas de educar os usuários finais, a verdade é que eles continuam caindo nos golpes de engenharia social, ignorando mensagens de erro, acessando sites estranhos, instalando programas suspeitos, etc. Cada vez que eu vejo o computador de algum parente meu, eu me espanto com a quantidade de programas e barras de aplicativos instalados que eu nunca havia visto antes. Eu conheço cada programa que aparece no menu do meu computador, mas duvido que a minha tia sabe para que servem aqueles botões que estão lá no browser dela ou aqueles links de programas no desktop. Há um tempo atrás eu assisti uma palestra de um colega que trabalha em uma empresa de cartões de crédito que ele citava a quantidade absurda de pessoas que ligavam na central de atendimento avisando que haviam clicado em um link que chegou por um e-mail e achavam que estavam infectados - e, de fato, estavam. Pior do que isso, eram os vários casos de usuários que, mesmo achando o e-mail suspeito, clicavam assim mesmo. E, como o artigo lembra, os novos golpes surgem mais rápidos do que nós temos capacidade de ensinar os usuários como evitá-los. E, para piorar, vários softwares continuam poluindo a mente dos usuários com mensagens de alerta incompreensíveis, que convidam os usuários a clicar na opção default sem sequer saber o porque. O artigo dá uma dica de ouro: "Você sabe o que funciona melhor do que a educação do usuário final? Softwares mais seguros e prompts com melhores opções default."
  5. Senhas fortes não resolvem: Há dezenas de dicas de como criar senhas fortes e milhares de exemplos de problemas que acontecem quando utilizamos senhas fracas. Mas mesmo a senha mais complexa do mundo não resolve nada se você tem um trojan em sua máquina que captura tudo o que você digita no teclado. Ou se o usuário final digitar la em uma página web falsa. Ou mesmo se o atacante roubar o arquivo de senhas de seu sistema. Afinal de contas, os programas que quebram senhas tentam várias combinações possíveis, e eventualmente, você pode dar o azar do hash da sua senha mega-complexa ser igual ao hash de uma senha estúpida.
  6. Sistemas de detecção de intrusão não podem determinar a intenção: Se o Firewall é o arroz, o IDS é o feijão de todo profissional de segurança. Mas os IDSs tem os mesmos problemas dos anti-vírus: dependem de assinaturas de ataques, que são reativas e, no caso dos IDSs, quanto maior a quantidade de assinaturas, maior o impacto na performance e maior a quantidade de alertas que ele gera - até chegar em um ponto em que ninguém mais lê estes alertas. E, como já foi dito antes, os ataques mais sofisticados reproduzem as formas de acesso tradicionais para realizar suas atividades maliciosas.
  7. A PKI falhou: O uso de PKI e certificados digitais garantem a criptografia e privacidade de milhões de transações todos os dias. Mas eles já pisaram na bola também. Já vimos alguns casos de autoridades certificadoras serem hackeadas ou enganadas, para criarem certificados digitais falsos. Pior do que isto, vários sites válidos usam certificados digitais com problema, e os usuários já se acostumaram a ignorar estas mensagens de erro.
  8. Seus appliances são o sonho dos atacantes: Os appliances de segurança também tem problemas. O que era para ser uma solução, hoje virou um alvo adicional para os atacantes, pois vários appliances são construídos em cima de sistemas operacionais e softwares que são atualizados raramente pelos clientes. Isto, inclusive, foi discutido na última BSides em Las Vegas.
  9. Os Sandboxes também fornecem acesso aos sistemas: O artigo critica também o uso de Sandboxes, que deveriam permitir que as soluções de segurança identificassem e impedissem os ataques antes deles atingirem o sistema. Mas periodicamente são descobertas novas técnicas ou bugs que permitem ao atacante evitar ou sair das Sandboxes. Um problema similar acontece com as máquinas virtuais (VMs): eventualmente surgem novas vulnerabilidades que permitem aos atacantes infectar o sistema operacional hospedeiro ou outras máquinas virtuais através de uma das VMs.

Ou seja, o artigo da Computerworld joga uma pá de cal nos principais ensinamentos de qualquer cartilha básica de segurança. Mas a verdade é esta mesmo: nenhuma solução consegue nos proteger integralmente, pois a quantidade de ataques é enorme e a complexidade também - e tendem a crescer a cada dia.

Assim, os profissionais da área devem adotar várias soluções e práticas ao mesmo tempo, e em vez de seguir "receitas de bolo", devem adaptar as medidas de segurança para a realidade da empresa em que trabalham. Nunca haverá uma solução definitiva, e devemos minimizar os riscos o tanto quanto for possível - mas conscientes de nossas limitações e de que raramente conseguiremos zerar todas as potenciais ameaças.

agosto 11, 2012

[Segurança] Nossa privacidade online: Tracking the trackers

O CEO da Mozilla Corporation, Gary Kovacs, apresentou uma palestra no TED Talk em Fevereiro deste ano em que ele discutiu como várias informações sobre nós são coletadas na medida em que surfamos na Internet.



A palestra já começou com uma estatística assustadora: segundo um estudo citado pelo Gary, as novas gerações passam 8 horas por dia online. Isso é muito tempo, mas se pensarmos que hoje podemos estar online a qualquer hora e em qualquer lugar graças aos smartphones, tablets e notebooks, esta estatística faz sentido. Pensando bem, acho que eu só fico offline quando estou dormindo.

Segundo o Gary, compartilhar dados não é necessariamente uma coisa má, quando sabemos quais dados são coletados e como as nossas informações estão sendo utilizadas. O problema é o negócio emergente de "Behaviour Tracking", um negócio que pode usar nossas informações sem pedir nossa autorização e sem o nosso conhecimento para traçar o nosso perfil.

GAru exemplificou este problema mostrando um novo add-on para o Firefox chamado Collusion, que ajuda a identificar os sites que ficam nos rastreando na medida em que navegamos na Web. Como exemplo, em apenas um dia em que ele usou a ferramenta, foi possível identificar cerca de 150 sites que rastreavam a navegação online do Gary, sem que ele visitasse estes sites. Nas primeiras duas horas do dia, ele entrou em 4 sites, mas 25 outros tinham os seu dados.

Esta palestra me lembrou uma ferramenta da EFF chamada Panopticlick, que o Juca, do Garoa, apresentou na primeira edição da Co0L, que identifica o "fingerprint" que o nosso browser deixa quando visitamos um site.

agosto 10, 2012

[Segurança] Social Computing e Segurança

O Chief Information Security Officer (CISO) da Intel, Malcolm Harkins, publicou um vídeo curto e ao mesmo tempo bem interessante aonde ele comenta como as empresas devem encarar os riscos associados ao chamado "Social Computing", ou seja, o uso de redes sociais e das mídias sociais e de seus respectivos mecanismos de comunicação e interação.



Segundo Malcolm Harkins, o uso das redes sociais é inevitável, e mesmo que as empresas tentem limitar ou proibir o seu uso no ambiente de trabalho, os funcionários inevitavelmente irão dar um jeito de acessar as redes sociais, seja usando seus smartphones ou em suas residências. Por isso, ele acredita que a melhor forma das empresas lidarem com isso é aceitar que os funcionários querem usar estas ferramentas, pois elas já fazem parte da cultura atual.

Com isso, cabe as empresas orientar e treinar seus funcionários a usar as redes sociais de forma responsável e segura. Isto inclui orientações sobre como garantir sua privacidade online, controles adequados de autenticação e, claro, orientar que tipo de informação as pessoas devem ou não compartilhar online.

agosto 09, 2012

[Segurança] Quando seus dados na nuvem evaporam

A história do jornalista americano Mat Honan é assustadora e se espalhou pelo mundo todo: há poucos dias atrás crackers invadiram suas contas no Google, Amazon, Twitter e na Apple e, em poucos minutos, destruíram toda a sua "vida digital" usando apenas engenharia social.

O depoimento dele sobre o que ocorreu em poucos minutos no dia 3 de Agosto dá calafrios:
  • As 4:33pm, de acordo com registros do suporte da Apple, alguém ligou para a AppleCare alegando ser o Mat Honan pedindo ajuda pois não conseguia entrar em seu e-mail da Apple, com o domínio "@Me.com". Em resposta, a Apple forneceu uma senha temporária, apesar do autor da chamada não conseguir responder a perguntas de segurança que o Mat tinha criado.
  • As 4:50pm, uma confirmação da nova senha chegou na caixa de entrada do e-mail dele na Apple (me.com), que o ele nunca usou. Mas de qualquer forma, os hackers apagaram a mensagem imediatamente após clicarem no link desse e-mail para redefinir a senha do ID dele na Apple.
  • As 4:52pm, ele também recebeu uma mensagem de recuperação de senha do Gmail, que foi alterada pelos atacantes.
  • As 5:00pm os atacantes usaram o iCloud para apagar remotamente o iPhone.
  • As 5:01pm eles apagaram remotamente o iPad aravés do iCloud.
  • As 5:02pm, os atacantes redefiniram a senha do Twitter.
  • As 5:05pm o MacBook foi apagado, remotamente. Na mesma época, eles já tinham excluído a conta do Google - e todos os dados e e-mails.
  • As 5:10pm, o Mat ligou para pedir ajuda para a AppleCare.
  • As 5:12pm os atacantes postaram uma mensagem na conta do Mat Honan no Twitter anunciando o ataque.
Em poucos minutos, 8 anos de mensagens armazenadas no GMail e todos os dados do notebook dele foram apagados, para sempre. E tudo que o atacante precisou para começar o ataque em cadeia, foi usar um pouco de engenharia social para acessar a conta dele na Amazon e, com isso, usar o endereço e cartão de crédito cadastrados lá para invadir a conta na Apple.

O que aconteceu com o Mat Honan expõe algumas falhas de segurança nos suporte de vários serviços, principalmente da Apple e da Amazon. Não é a tôa que a privacidade e disponibilidade dos nossos dados é uma das primeiras preocupações que surgem quando pensamos em adotar a Computação em Nuvem. Apesar dos mecanismos de segurança existentes (senhas, frases secretas, etc), o suporte técnico da Apple e da Amazon permitiram o acesso dos atacantes com uma pitadinha de engenharia social. E as empresas não fornecem suporte a remoção acidental (ou criminosa) dos dados dos usuários.

Por outro lado, o Mat Honan também pisou um pouco na bola: todas as contas estavam relacionadas, o que permitiu um efeito em cascata arrasador. Os dados na Amazon eram os mesmos da Apple. A conta do Twitter estava associada a conta no GMail, e o GMail utilizava a conta associada ao ID na Apple como conta para recuperar a senha. Na Apple, os recursos para apagar remotamente o celular e o computador estavam ativos.

E, o pior: ele não tinha um backup atualizado dos dados em seu computador.

agosto 08, 2012

[Segurança] Hiroshima e a guerra cibernética

Hoje o Arnaldo Jabor fez um comentário na rádio CBN em virtude dos 67 anos do lançamento da primeira bomba atômica, em Hiroshima no dia 6 de Agosto, matando milhares de pessoas em poucos segundos.

Com o título de "EUA não aprenderam com erro em Hiroshima", Arnaldo Jabor criticou o lançamento da bomba atômica. Segundo ele, a bomba atômica era desnecessária pois a guerra já estava ganha e serviu para atemorizar a União Soviética. De fato, Hiroshima deu início a era atômica e a Guerra Fria, uma corrida armamentista que levou os principais países a criarem enormes arsenais contabilizados em termos de número de ogivas nucleares e capacidade de destruição.



Este comentário me fez lembrar dos vírus Stuxnet e Flame. Desde o lançamento do livro Confront and Conceal, detalhando os planos do governo Bush e Obama para criar o Stuxnet, foi devidamente comprovado o envolvimento do governo americano e israelense com a criação do Stuxnet e do Flame, dois vírus direcionados para espionar e atacar governos no Oriente Médio e que deram início a corrida armamentista no ciber espaço.

Assim como o governo americano deu início a corrida armamentista nuclear há quase 70 anos atrás ao lançar a primeira bomba nuclear em Hiroshima, ao criar o Stuxnet, os americanos deram início a corrida armamentista no ciber espaço. Desde que os detalhes sobre o funcionamento do Stuxnet vieram a público, os governos e a opinião pública tomaram consciência do nível de fragilidade dos países e seus sistemas de infra-estrutura crítica, e como a tecnologia atual permite que um adversário possa invadir e destruir a infra-estrutura de um país.

Assim como as bombas nucleares vieram para ficar, e até hoje corremos o risco de algum país utilizá-las, o mesmo vai acontecer com as "armas cibernéticas": diversos países já anunciaram que estão criando centros de defesa e de guerra cibernética e, muito provavelmente, estão desenvolvendo tecnologias similares ao Stuxnet  e ao Flame.

agosto 07, 2012

[Segurança] Campeão da HackCup !!!

O Futebol brasileiro e a comunidade hacker brazuca tem motivo para se orgulhar: nós fomos campeões da terceira edição da HackCup, um campeonato de futebol realizado anualmente durante a Defcon.

A HackCup foi criada em 2010 pelos Argentinos, que aproveitaram aquele ano de Copa do Mundo para organizar um mini-campeonato de futebol entre os participantes da Defcon. Naquele ano o nosso time perdeu todos os dois jogos que participou, porém chegamos até as quartas-de-final pois um time de nossa chave faltou e, por isso, tivemos uma vitória por WO. No final, venceu o time da África do Sul, TEAM ZA. No ano passado tivemos uma campanha muito melhor, com um time melhor preparado e com bons jogadores, que ganhou os dois primeiros jogos mas também paramos nas quartas-de-final. No ano passado tínhamos poucos jogadores na reserva e, com a saída de dois jogadores contundidos, o pessoal não teve fôlego para ganhar o terceiro jogo. E o vencedor de 2011 foi o FOCA Team, o time formado pelo pessoal da Espanha.

Neste ano as coisas foram diferentes. Tivemos uma participação record de brasileiros na Defcon, e com isso, conseguimos montar dois times para a HackCup. Embora os dois times tenham passado para as quartas-de-final, eles acabaram jogando entre si, pois o BRA Team ficou em segundo em sua chave e o BRA Team 2 ficou em primeiro. O time vencedor, o BRA Team 2, foi para as semi-finais e, em seguida, enfrentou o FOCA, o campeão do ano passado, na final. Com a saída do primeiro time, o BRA Team, aproveitamos para escalar os melhores jogadores para o BRA Team 2, mesmo porque tínhamos poucos reservas no time. O jogo da HackCup é muito rápido e cansativo, pois o campo é pequeno e não há saída de bola, por isso o jogo é praticamente non-stop. A substituição dos jogadores, que pode acontecer a qualquer momento e sem limite de substituições, é fundamental para manter o time com fôlego para acompanhar a velocidade da partida.


A partida final foi emocionante. O FOCA, que tinha vencido o BRA Team no primeiro jogo do campeonato de lavada, por 9x1, fez dois gols no início do jogo e disparou no placar com 2x0. Felizmente, no decorrer da partida, o BRA Team 2 conseguiu virar e fez 3x2 para nós. O jogo tem apenas 15 minutos, e faltando menos de 1 minuto, o relógio começa a mostrar os segungos que faltam para o final da partida - algo extremamente extressante e que nos faz valorizar cada segundinho. Enquanto gritávamos desesperadamente para o pessoal segurar a bola e garantir a vantagem, o FOCA conseguiu fazer o terceiro gol e empatar a partida faltando menos de 50 segundos. Desespero total da torcida brasileira presente. Mas, enquanto os espanhóis estavam comemorando e os torcedores brasileiros chorando, o nosso time pegou a bola e, faltando cerca de 20 segundos para o final da partida, chegou até o campo adversário e o Jorge, um dos melhores jogadores do time, fez o gol que garantiu a nossa vitória.

E o time brasileiro sagrou-se campeão da HackCup 2012.


Pelo que nós lembramos, a campanha brasileira foi mais ou menos a seguinte:

BRA TEAM  1 x 9  FOCA Team
BRA TEAM  6 x 2  Goal++

BRA TEAM2  7 x 3  CORE (ou Immunity?)
BRA TEAM2  7 x 1  Cosmic Kites

Quartas:     BRA TEAM    3 x 7  BRA TEAM2
Semi-final: BRA TEAM2  3 x 2  GOAL SPRAYERS
FINAL:     BRA TEAM2  4 x 3  FOCA Team

O melhor de tudo não foi a simples vitória na HackCup: é pensar que isto foi o resultado de três anos de luta, de uma campanha que foi melhorando aos poucos, ano a ano. A cada derrota nós adquiríamos mais experiência e aprendíamos com os nossos erros. No primeiro ano nós não estávamos preparados para jogar e não conhecíamos o esquema de jogo, e sofremos com a velocidade do jogo, com o cansaço e sem saber usar a tabela a nosso favor. No segundo ano estávamos melhor preparados, mas tínhamos poucos reservas e fomos vencidos pelo cansaço. Neste ano o pessoal estava entrosado e tínhamos bons jogadores, e nos preocupávamos em manter uma troca constante dos jogadores.

Foi uma vitória da equipe, coroada com alguns talentos individuais que ajudaram a fazer a diferença.

[Segurança] Security BSides em todo o mundo

Durante a BSides Las Vegas, o Jack Daniels, um dos fundadores das conferências Security BSides, deu uma palestra como keynote speaker, chamada "The State of Security BSides", aonde ele apresentou os principais números atuais das conferências BSides ao redor do mundo:
  • 3 Anos
  • 5 Continentes
  • 9 Países
  • 34 Cidades
  • 53 Eventos

O vídeo da palestra já está disponível, assim como a gravação da maioria das palestras realizadas durante a BSidesLV.



As próximas BSides acontecerão em Los Angeles (16 e 17 de Agosto), Memphis (15/Setembro), St. Johns (21/Setembro), Little Rock (20 de Outubro) e a BSides São Paulo, em 21 de Outubro.

agosto 03, 2012

[Segurança] Contas falsas no Facebook

O Facebook publicou recentemente um relatório trimestral detalhando os resultados e números da compania, incluindo informações financeiras e sobre a quantidade de usuários.

Um dado que a imprensa deu grande destaque foi sobre a quantidade de perfis de usuários falsos no Facebook. Eles estimam que possuem 955 milhões de usuários ativos em todo o mundo (este número corresponde a quantidade de usuários que, de alguma forma, acessaram o Facebook pelo menos uma vez nos últimos 30 dias). Isto representa um aumento de 29% no último ano, que foi liderado pelo Brasil, Índia e Indonésia no segundo trimestre de 2012.


Entretanto, o Facebook estima que 4,8% dos usuários possuem perfis duplicados (ou seja, um segundo perfil além do perfil principal), o que representa cerca de 45 milhões de perfis. Além disso, o Facebook estima que 2,4% das contas (23 milhões) são contas de empresas, entidades, objetos ou animais de estimação, e 1,5% (14 milhões) são contas "indesejadas": contas utilizadas para fins ilícitos ou indesejados, como enviar SPAM.

O site Naked Security publicou um infográfico com estas informações:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.