Já que o mundo não acabou mesmo, então um Feliz Natal para todos e um excelente 2013.
Neste periodo de festas, em que 2012 chega ao fim, é época de assistirmos as retropectivas do ano e as previsões para o ano que se iniciará. Embora isto sempre soe meio repetitivo, vale a pena para apreendermos com os erros do passado e nos prepararmos para os potenciais acontecimentos futuros (e, no nosso caso, potenciais riscos e ameaças).
Diversas novidades, informações, dicas e casos do dia-a-dia: na vida pessoal, sobre Tecnologia e, principalmente, Segurança da Informação.
Páginas
▼
dezembro 25, 2012
dezembro 19, 2012
O fim do mundo
O Max Gehringer fez um comentário sensacional sobre como as empresas devem anunciar "O fim do mundo" para seus funcionários, que deve acontecer inevitavelmente na próxima sexta-feira, dia 21/12/2012, conforme já previram os sábios Maias.
E a sua empresa, está preparada? Será que ela tem um Plano de Continuidade de Negócios (PCN, ou, em inglês, Business Continuity Plan, ou BCP)?
Se a sua empresa não planejaram nada para esta data, pode ter certeza que o pessoal do Anonymous planejou...
Eu não sei quanto ao fim do mundo, mas se houver um Apocalipse Zumbi, vale a pena também dar uma olhada neste vídeo sobre "5 Maneiras de Sobreviver a um Apocalipse Zumbi":
E, se você quiser curtir o fim do mundo bem acompanhado, assistindo um bom filme e comendo pipoca, eu recomendo muito assistir o "Procura-se um Amigo para o Fim do Mundo".
E a sua empresa, está preparada? Será que ela tem um Plano de Continuidade de Negócios (PCN, ou, em inglês, Business Continuity Plan, ou BCP)?
Se a sua empresa não planejaram nada para esta data, pode ter certeza que o pessoal do Anonymous planejou...
Eu não sei quanto ao fim do mundo, mas se houver um Apocalipse Zumbi, vale a pena também dar uma olhada neste vídeo sobre "5 Maneiras de Sobreviver a um Apocalipse Zumbi":
E, se você quiser curtir o fim do mundo bem acompanhado, assistindo um bom filme e comendo pipoca, eu recomendo muito assistir o "Procura-se um Amigo para o Fim do Mundo".
dezembro 18, 2012
[Segurança] Espionagem no Brasil
Recentemente a revista Veja publicou uma reportagem sobre "O mercado bilionário da espionagem no Brasil" aonde ela descreve algumas características e estatísticas do mercado de espionagem pessoal e empresarial.
A Veja cita uma pesquisa da consultoria RCI - First Security and Intelligence Advising, que estima que o mercado de espionagem no Brasil tenha movimentado cerca de 1,7 bilhão de reais em 2011, incluindo serviços de empresas e de profissionais autônomos (os detetives particulares), formais ou não, e investimentos em equipamentos de espionagem e de contraespionagem. A pesquisa também estima que as empresas perdem com espionagem no Brasil entre 1 bilhão e 1,5 bilhão de reais
As principais estatísticas estão sumarizadas no infográfico abaixo, criado pela revista Veja:
A reportagem termina com um parágrafo interessante:
Não custa lembrar também que há pouco tempo eu publiquei aqui no blog um post sobre casos recentes de espionagem industrial, que ajuda a ilustrar o problema da espionagem, refletido nas estatísticas acima.
A Veja cita uma pesquisa da consultoria RCI - First Security and Intelligence Advising, que estima que o mercado de espionagem no Brasil tenha movimentado cerca de 1,7 bilhão de reais em 2011, incluindo serviços de empresas e de profissionais autônomos (os detetives particulares), formais ou não, e investimentos em equipamentos de espionagem e de contraespionagem. A pesquisa também estima que as empresas perdem com espionagem no Brasil entre 1 bilhão e 1,5 bilhão de reais
As principais estatísticas estão sumarizadas no infográfico abaixo, criado pela revista Veja:
A reportagem termina com um parágrafo interessante:
"Os números da espionagem no Brasil mostram o valor da informação, seja ela pessoal ou empresarial. No mundo dos negócios, a relevância dos dados é refletida nos ganhos e perdas econômicos de uma corporação. Na vida pessoal, o uso de dados fruto de espionagem podem causar desde um divórcio milionário até um crime passional."
Não custa lembrar também que há pouco tempo eu publiquei aqui no blog um post sobre casos recentes de espionagem industrial, que ajuda a ilustrar o problema da espionagem, refletido nas estatísticas acima.
dezembro 14, 2012
[Segurança] Segurança online no Super Pop
No dia 12 de dezembro, o programa Superpop (sim, aquele da Luciana Gimenez na Rede TV!) teve uma reportagem especial sobre segurança online (ou, como eles chamaram, "segurança virtual").
O programa contou com a participação "dos melhores especialistas em segurança virtual" (segundo a Luciana Gimenez), que explicaram quais são as principais ameaças e ofereceram algumas dicas para que as pessoas evitem estes golpes e protejam seus dados na Internet. Também foi discutida a nova legislação contra crimes cibernéticos aprovada no Brasil.
Entre eles estavam o Marcelo Caiado, perito, o Dr. Coriolano Camargo (OAB/SP) e alguns outros especialistas (que eu, particularmente, ainda não tinha ouvido falar, como o Anderson Tamborim, o Deivid Sanches, o Edwar Folli, da Poli/USP).
O programa abordou vários tipos de crimes cibernéticos, incluindo roubo de dados de cartões através de chupa-cabras. Também discutiu a privacidade, não só a privacidade online, mas também as questão das imagens captadas por câmeras de segurança.
O interessante no programa é que a Luciana Gimenez e seus convidados fazem perguntas e questionamentos bem simples e objetivos, típicos dos usuários comuns. Por isto, o programa acaba sendo bem interessante e educativo para o público em geral, embora alguns profissionais que atuam na área possam achar ele massante ou simplista. Mesmo para quem trabalha na área, eu recomendo o trecho do programa sobre fraude em cartões e chupa-cabras, pois mostrou alguns equipamentos bem sofisticados.
A maioria dos vídeos tem cerca de 14 minutos cada um. Veja abaixo a chamada de abertura do programa:
A primeira parte do programa foi focado na questão da privacidade.
A segunda parte, sobre tipos de ataques e invasões, teve um "especialista de segurança" entrevistado por eles mostrando como um "hacker" consegue invadir, roubar dados e controlar um computador (hum, o cara não soube nem explicar a diferença entre hacker e cracker...).
Na terceira parte, a discussão foi em torno dos "Chupa-cabras", que são os dispositivos utilizados por criminosos para clonar cartões e roubar senhas bancárias. Esta reportagem mostra, inclusive, um vídeo de segurança de uma agência bancária aonde mostra três criminosos instalando um dispositivo chupa-cabra, que simula a frente inteira de um caixa eletrônico, em menos de um minuto.
Na quarta parte do programa, foi entrevistado um perito criminal para mostrar em como é feito a recuperação de dados para rastreamento de ciber crimes. E falou um tempo sobre paparazzis (só não me pergunte o que isso tem a ver com o tema do programa...).
Em seguida, discutiu-se como é possível roubar dados dos internautas, com a participação de uma pessoa não identificada que mostrou como é fácil fazer isso, roubando a senha de um e-mail da produção e acessando o computador remotamente. O engraçado foi quando perguntaram "E se o computador tivesse desligado, ele também faria isso?" - mais uma amostra de como os usuários leigos ficam em dúvida e com medo quando o assunto é segurança.
O programa contou com a participação "dos melhores especialistas em segurança virtual" (segundo a Luciana Gimenez), que explicaram quais são as principais ameaças e ofereceram algumas dicas para que as pessoas evitem estes golpes e protejam seus dados na Internet. Também foi discutida a nova legislação contra crimes cibernéticos aprovada no Brasil.
Entre eles estavam o Marcelo Caiado, perito, o Dr. Coriolano Camargo (OAB/SP) e alguns outros especialistas (que eu, particularmente, ainda não tinha ouvido falar, como o Anderson Tamborim, o Deivid Sanches, o Edwar Folli, da Poli/USP).
O programa abordou vários tipos de crimes cibernéticos, incluindo roubo de dados de cartões através de chupa-cabras. Também discutiu a privacidade, não só a privacidade online, mas também as questão das imagens captadas por câmeras de segurança.
O interessante no programa é que a Luciana Gimenez e seus convidados fazem perguntas e questionamentos bem simples e objetivos, típicos dos usuários comuns. Por isto, o programa acaba sendo bem interessante e educativo para o público em geral, embora alguns profissionais que atuam na área possam achar ele massante ou simplista. Mesmo para quem trabalha na área, eu recomendo o trecho do programa sobre fraude em cartões e chupa-cabras, pois mostrou alguns equipamentos bem sofisticados.
A maioria dos vídeos tem cerca de 14 minutos cada um. Veja abaixo a chamada de abertura do programa:
A primeira parte do programa foi focado na questão da privacidade.
A segunda parte, sobre tipos de ataques e invasões, teve um "especialista de segurança" entrevistado por eles mostrando como um "hacker" consegue invadir, roubar dados e controlar um computador (hum, o cara não soube nem explicar a diferença entre hacker e cracker...).
Na terceira parte, a discussão foi em torno dos "Chupa-cabras", que são os dispositivos utilizados por criminosos para clonar cartões e roubar senhas bancárias. Esta reportagem mostra, inclusive, um vídeo de segurança de uma agência bancária aonde mostra três criminosos instalando um dispositivo chupa-cabra, que simula a frente inteira de um caixa eletrônico, em menos de um minuto.
Na quarta parte do programa, foi entrevistado um perito criminal para mostrar em como é feito a recuperação de dados para rastreamento de ciber crimes. E falou um tempo sobre paparazzis (só não me pergunte o que isso tem a ver com o tema do programa...).
Em seguida, discutiu-se como é possível roubar dados dos internautas, com a participação de uma pessoa não identificada que mostrou como é fácil fazer isso, roubando a senha de um e-mail da produção e acessando o computador remotamente. O engraçado foi quando perguntaram "E se o computador tivesse desligado, ele também faria isso?" - mais uma amostra de como os usuários leigos ficam em dúvida e com medo quando o assunto é segurança.
[Segurança] Os desafios de usar a internet de forma segura
Recentemente, o Dr. Renato Opice Blum, deu uma entrevista na Rede Record para o jornalista Heródoto Barbeiro, sobre como os internautas podem usar a internet de forma segura.
Em sua entrevista, o Dr. Renato destacou vários aspectos importantes, começando pela necessidade de termos garantias mínimas de proteção da privacidade dos nossos dados pessoais e das informações online, uma vez que estamos totalmente dependente de vários serviços online. Ele também mencionou outros problemas como a guerra cibernética, discutiu a necessidade de legislação e os cuidados com o direito autoral (lei 9.610/98), o problema da difamação através da Internet e a responsabilidade dos provedores de conteúdo frente ao mau uso ou a divulgação de informações ilegais em seu serviço.
O Dr. Renato também destacou a experiência e a capacidade do nosso poder Judiciário em lidar com crimes cibernéticos. Segundo ele, já temos mais de 50 mil decisões judiciais transitadas e julgadas no Brasil referente a diversos tipos de crimes cibernéticos.
Em sua entrevista, o Dr. Renato destacou vários aspectos importantes, começando pela necessidade de termos garantias mínimas de proteção da privacidade dos nossos dados pessoais e das informações online, uma vez que estamos totalmente dependente de vários serviços online. Ele também mencionou outros problemas como a guerra cibernética, discutiu a necessidade de legislação e os cuidados com o direito autoral (lei 9.610/98), o problema da difamação através da Internet e a responsabilidade dos provedores de conteúdo frente ao mau uso ou a divulgação de informações ilegais em seu serviço.
O Dr. Renato também destacou a experiência e a capacidade do nosso poder Judiciário em lidar com crimes cibernéticos. Segundo ele, já temos mais de 50 mil decisões judiciais transitadas e julgadas no Brasil referente a diversos tipos de crimes cibernéticos.
dezembro 13, 2012
[Segurança] Quem precisa de antivírus?
A Imperva, em parceria com a Universidade de Tel Aviv, divulgou um estudo chamado "Assessing the Effectiveness of Anti-Virus Solutions" que causou grande furor no mercado, ao dizer que softwares antivírus são ineficazes na detecção de novas ameaças de malware atualmente, e que "o gasto das empresas e consumidores com antivírus não é proporcional a sua eficácia".
De acordo com o relatório a Imperva, as empresas deveriam adquirim produtos gratuitos de antivírus, para que elas pudessem investir em outros modelos de segurança, "investindo em soluções que identifiquem comportamento anormal" (hum, será que ela estaria sugerindo para as empresas usar a verba que gastam com AV para comprar os produtos da Imperva?).
Como não é difícil imaginar, este relatório teve grande repercussão na imprensa e grande reação no mercado, principalmente por parte das empresas de antivírus. Uma das críticas principais diz respeito a metodologia dos testes realizados pela Imperva, que rodou uma coleção de 82 novos tipos de malwares no VirusTotal, que verifica os arquivos em cerca de 40 produtos antivírus diferentes - e a taxa inicial de detecção foi de 5%, ou seja, próxima de zero. Além do mais, os produtos levaram pelo menos quatro semanas para adicionar uma amostra previamente não-detectada em seus bancos de dados. A principal crítica diz respeito justamente ao uso do VirusTutal, pois eles não utilizam uma versão completa dos antivírus (um colega que trabalha em um fabricante me disse, inclusive, que nem utilizam uma versão atualizada das assinaturas, pois os fabricantes sabem que vários ciber criminosos usam o VirusTotal para testar se o código deles está sendo detectado). A ESET é um dos fabricantes que publicou um post no blog deles criticando duramente o relatório da Imperva (vale a leitura!).
O Javvad fez um vídeo divertido satirizando esta história:
Mas, Imperva a parte, periodicamente este questionamento sobre a eficácia das soluções de Antivírus ressurge. Em Abril deste ano o SANS Institute escreveu um artigo questionando isso, baseado em um experimento que eles criaram aonde o antivírus não foi capaz de detectar um conjunto de malwares. Em Junho a universidade de Cambridge, na Inglaterra, também divulgou um estudo criticando os altos gastos com antivírus no país (US$ 170 milhões), que estariam acima dos gastos com o combate ao crime cibernético (US$ 15 milhões)
Na minha opinião, o principal problema é que as soluções de antivírus são reativas: elas são feitas para detectar malwares conhecidos, baseado em uma base de assinaturas gigantesca e análises de comportamento conhecido dos malwares. Por isso, eles não são capazes de detectar um malware novo ou criado especificamente para atacar uma empresa. Afinal, para um determinado malware ser analisado pelos fabricantes e ter sua assinatura incluída na base deles, é necessário que haja um número significante de infecções, que aí também entra o critério de cada fabricante para decidir quando um malware deve ser analisado ou não.
Ou seja, os antivírus são reativos, não estão preparados para nos defender contra novas ameaças, e muito menos para ameaças bem direcionadas.
O Rodrigo Branco (BSDaemon) fez um estudo muitíssimo interessante sobre o modelo de detecção adotado pelos fabricantes de antivírus, que resultou em uma palestra sensacional que ele já apresentou em vários eventos, incluindo na BlackHat e no SegInfo, no Rio de Janeiro. Resumindo em poucas palavras, ele usou uma base gigantesca de malwares que acumulou em parceria com vários fabricantes de antivírus, e decidiu testar a eficácia da detecção destes códigos maliciosos baseado na identificação se eles usam técnicas de anti-análise de malware (como o uso de obfuscação, packers, anti-debugging, detecção de VMs, etc). A conclusão dele é que a grande maioria dos códigos maliciosos podem ser detectados através disso, em vez de usar o modelo tradicional de análise de assinatura. Ou seja, para saber se um arquivo é malicioso ou não, é mais eficaz analisar se ele usa técnicas de anti-análise de malware em vez de verificar o arquivo frente a uma base gigantesca de assinaturas de vírus conhecidos - que é o que a indústria de antivírus faz até hoje.
A conclusão é que a indústria de antivírus se apegou de tal forma ao modelo de assinaturas que, devido ao enorme crescimento da quantidade de malwares hoje em dia (segundo a Symantec, 1 milhão de novos malwares por dia), acabou tornando a solução ineficiente. E, vez de tentar criar uma nova técnica ou estratégia de análise, o que os fabricantes tem feito atualmente é jogar essa base gigantesca de assinaturas "na nuvem", e centralizar esta análise em uma infra-estrutura mais parruda. E aí cria um novo problema: se o seu computador estiver offline, o seu antivírus não consegue analisar o arquivo para decidir se ele é malicioso ou não.
Enfim, a indústria está sentada em cima de um modelo de detecção arcaico, que pouco mudou desde o surgimento dos primeiros antivírus, e que mostra-se insuficiente para as ameaças atuais. Isto, certamente, dá margem para criticarem a eficiência dos antivírus, ainda mais se compararmos com o gasto que empresas e usuários finais tem com eles.
Enfim, quem precisa de antivírus?
Na minha opinião, infelizmente, todo mundo. É um mal necessário. Mesmo que ele não detecte as ameaças mais recentes, ainda assim ele é capaz de detectar muita coisa, o que é importante para garantirmos um nível mínimo de proteção para os usuários finais. Mas isto não significa que a existência de uma solução de antivírus garanta que o usuário esteja totalmente protegido - na minha opinião, ele está "minimamente protegido".
Usar antivírus no computador é como tomar a vacina da gripe: ela te protege contra alguns vírus da gripe, mas não contra novas mutações, nem contra o vírus da catapora.
Eu conheço gente que não usa antivírus, que não paga seguro no carro, que não usa cinto de segurança e sei que existe gente que não usa camisinha, e são felizes assim. Mas eu, particularmente, não recomendo nenhum destes "comportamentos de risco" para ninguém.
De acordo com o relatório a Imperva, as empresas deveriam adquirim produtos gratuitos de antivírus, para que elas pudessem investir em outros modelos de segurança, "investindo em soluções que identifiquem comportamento anormal" (hum, será que ela estaria sugerindo para as empresas usar a verba que gastam com AV para comprar os produtos da Imperva?).
Como não é difícil imaginar, este relatório teve grande repercussão na imprensa e grande reação no mercado, principalmente por parte das empresas de antivírus. Uma das críticas principais diz respeito a metodologia dos testes realizados pela Imperva, que rodou uma coleção de 82 novos tipos de malwares no VirusTotal, que verifica os arquivos em cerca de 40 produtos antivírus diferentes - e a taxa inicial de detecção foi de 5%, ou seja, próxima de zero. Além do mais, os produtos levaram pelo menos quatro semanas para adicionar uma amostra previamente não-detectada em seus bancos de dados. A principal crítica diz respeito justamente ao uso do VirusTutal, pois eles não utilizam uma versão completa dos antivírus (um colega que trabalha em um fabricante me disse, inclusive, que nem utilizam uma versão atualizada das assinaturas, pois os fabricantes sabem que vários ciber criminosos usam o VirusTotal para testar se o código deles está sendo detectado). A ESET é um dos fabricantes que publicou um post no blog deles criticando duramente o relatório da Imperva (vale a leitura!).
O Javvad fez um vídeo divertido satirizando esta história:
Mas, Imperva a parte, periodicamente este questionamento sobre a eficácia das soluções de Antivírus ressurge. Em Abril deste ano o SANS Institute escreveu um artigo questionando isso, baseado em um experimento que eles criaram aonde o antivírus não foi capaz de detectar um conjunto de malwares. Em Junho a universidade de Cambridge, na Inglaterra, também divulgou um estudo criticando os altos gastos com antivírus no país (US$ 170 milhões), que estariam acima dos gastos com o combate ao crime cibernético (US$ 15 milhões)
Na minha opinião, o principal problema é que as soluções de antivírus são reativas: elas são feitas para detectar malwares conhecidos, baseado em uma base de assinaturas gigantesca e análises de comportamento conhecido dos malwares. Por isso, eles não são capazes de detectar um malware novo ou criado especificamente para atacar uma empresa. Afinal, para um determinado malware ser analisado pelos fabricantes e ter sua assinatura incluída na base deles, é necessário que haja um número significante de infecções, que aí também entra o critério de cada fabricante para decidir quando um malware deve ser analisado ou não.
Ou seja, os antivírus são reativos, não estão preparados para nos defender contra novas ameaças, e muito menos para ameaças bem direcionadas.
O Rodrigo Branco (BSDaemon) fez um estudo muitíssimo interessante sobre o modelo de detecção adotado pelos fabricantes de antivírus, que resultou em uma palestra sensacional que ele já apresentou em vários eventos, incluindo na BlackHat e no SegInfo, no Rio de Janeiro. Resumindo em poucas palavras, ele usou uma base gigantesca de malwares que acumulou em parceria com vários fabricantes de antivírus, e decidiu testar a eficácia da detecção destes códigos maliciosos baseado na identificação se eles usam técnicas de anti-análise de malware (como o uso de obfuscação, packers, anti-debugging, detecção de VMs, etc). A conclusão dele é que a grande maioria dos códigos maliciosos podem ser detectados através disso, em vez de usar o modelo tradicional de análise de assinatura. Ou seja, para saber se um arquivo é malicioso ou não, é mais eficaz analisar se ele usa técnicas de anti-análise de malware em vez de verificar o arquivo frente a uma base gigantesca de assinaturas de vírus conhecidos - que é o que a indústria de antivírus faz até hoje.
A conclusão é que a indústria de antivírus se apegou de tal forma ao modelo de assinaturas que, devido ao enorme crescimento da quantidade de malwares hoje em dia (segundo a Symantec, 1 milhão de novos malwares por dia), acabou tornando a solução ineficiente. E, vez de tentar criar uma nova técnica ou estratégia de análise, o que os fabricantes tem feito atualmente é jogar essa base gigantesca de assinaturas "na nuvem", e centralizar esta análise em uma infra-estrutura mais parruda. E aí cria um novo problema: se o seu computador estiver offline, o seu antivírus não consegue analisar o arquivo para decidir se ele é malicioso ou não.
Enfim, a indústria está sentada em cima de um modelo de detecção arcaico, que pouco mudou desde o surgimento dos primeiros antivírus, e que mostra-se insuficiente para as ameaças atuais. Isto, certamente, dá margem para criticarem a eficiência dos antivírus, ainda mais se compararmos com o gasto que empresas e usuários finais tem com eles.
Enfim, quem precisa de antivírus?
Na minha opinião, infelizmente, todo mundo. É um mal necessário. Mesmo que ele não detecte as ameaças mais recentes, ainda assim ele é capaz de detectar muita coisa, o que é importante para garantirmos um nível mínimo de proteção para os usuários finais. Mas isto não significa que a existência de uma solução de antivírus garanta que o usuário esteja totalmente protegido - na minha opinião, ele está "minimamente protegido".
Usar antivírus no computador é como tomar a vacina da gripe: ela te protege contra alguns vírus da gripe, mas não contra novas mutações, nem contra o vírus da catapora.
Eu conheço gente que não usa antivírus, que não paga seguro no carro, que não usa cinto de segurança e sei que existe gente que não usa camisinha, e são felizes assim. Mas eu, particularmente, não recomendo nenhum destes "comportamentos de risco" para ninguém.
dezembro 10, 2012
[Segurança] BSides ao redor do mundo
O Jack Daniel, um dos fundadores das conferências Security BSides, criou um Google Map indicando todas as cidades aonde já aconteceram eventos BSides. O mapa é bem legal e mostra como o evento tem se espalhado pelo mundo, embora a maioria das edições tenham ocorrido nos EUA:
View Security BSides Venues in a larger map
As Security BSides são eventos organizados pela comunidade de segurança que visam, principalmente, fomentar e incentivar os profissionais locais. Normalmente elas ocorrem junto com um evento principal e relevante na região, e servem como um evento adicional ou alternativo em que as pessoas podem participar.
Aqui no Brasil, a próxima edição da Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP) acontecerá no dia 19 de Maio de 2013.
View Security BSides Venues in a larger map
As Security BSides são eventos organizados pela comunidade de segurança que visam, principalmente, fomentar e incentivar os profissionais locais. Normalmente elas ocorrem junto com um evento principal e relevante na região, e servem como um evento adicional ou alternativo em que as pessoas podem participar.
Aqui no Brasil, a próxima edição da Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP) acontecerá no dia 19 de Maio de 2013.
dezembro 08, 2012
[Cidadania] Basta de tolerar a intolerância
Aconteceu de novo em São Paulo...
Mas, pelo menos desta vez, foi diferente...
A frase abaixo, que eu vi quando visitei o Museu do Holocausto, em Washington DC, define muito bem porque não devemos ficar calados com relação ao preconceito e intolerância:
De acordo com a Polícia Militar, no dia 3 de dezembro André Cardoso Gomes Baliera voltava de uma farmácia a pé quando foi xingado por dois rapazes que estavam em um carro parado na esquina das ruas Teodoro Sampaio com a Henrique Schaumann. Em seu depoimento prestado na polícia, a vítima diz que foi chamada de "veado, filho da puta e bicha do caralho" ao atravessar a rua.
Após Baliera revidar os insultos de Diego Mosca Lorena de Souza e de Bruno Paulossi Portieri, ambos desceram do carro e lhe deram chutes e socos.
Mas, pelo menos desta vez, foi diferente...
- As pessoas que presenciaram a agressão ficaram revoltadas, tentaram separar a briga e acionaram a polícia
- Os PMs que estavam perto do local detiveram os agressores e os levaram ao 91º DP, onde foram autuados em flagrante por tentativa de homicídio e podem ser julgados com base na lei paulista anti-homofobia (10.948/2001).
- A academia Peralta Fitness, que o Bruno Paulossi Portieri frequentava por ser aluno e comercializar suplementos alimentares na loja da academia, o expulsou.
A frase abaixo, que eu vi quando visitei o Museu do Holocausto, em Washington DC, define muito bem porque não devemos ficar calados com relação ao preconceito e intolerância:
First they came for the socialists, and I did not speak out because I was not a socialist.
Then they came for the trade unionists, and I did not speak out because I was not a trade unionist.
Then they came for the jews, and I did not speak out because I was not a jew.
Then they came for me, and there was no one left to speak for me.
(Pastor Martin Niemoller)
dezembro 06, 2012
[Cyber Cultura] O estado da Internet
No início deste mês a empresa KPCB publicou uma apresentação com dados interessantes sobre o avanço da Internet no nosso dia-a-dia, chamado "2012 Internet Trends Year-End Update."
A apresentação tem várias estatísticas sobre o uso da Internet e vários exemplos de como estamos cada vez mais usando serviços online em vez de serviços no mundo físico.
Vejam algumas informações interessantes, algumas já destacadas pela reportagem no site VentureBeat:
Também vale a pena assistir o vídeo abaixo, de uma apresentação feita recentemente pelo Vinton Cerf, em que ele aborda um pouco da história e o estado atual da Internet.
Atualização (6/12): Aproveitando a carona no assunto, eu também recomendo uma olhada na apresentação "THE FUTURE OF DIGITAL", que também traz várias estatísticas e fatos sobre o crescimento do mundo digital no nosso dia-a-dia.
A apresentação tem várias estatísticas sobre o uso da Internet e vários exemplos de como estamos cada vez mais usando serviços online em vez de serviços no mundo físico.
Vejam algumas informações interessantes, algumas já destacadas pela reportagem no site VentureBeat:
- Já existem 2,4 bilhões usuários de Internet em todo o mundo, um número está crescendo cerca de 8% ao ano
- Existem 1,1 bilhões de assinantes de smartphones em todo o mundo, mas isso ainda é apenas de 17% do mercado de celulares (ou seja, ainda tem muito para crescer)
- Os dispositivos móveis já representam 13% do tráfego de Internet em todo o mundo
- 29% dos adultos nos EUA (quase 1/3) possuem um tablet ou e-Reader
- Nos últimos anos houve uma mudança drástica dos dos computadores e dispositivos pessoais: A Microsoft (Windows) perdeu a liderança para a Apple e o Android
- Desde o final de 2010 os tablets e smartphones superaram o número de PCs vendidos
- Desde 2008, há mais smartphones vendidos do que máquinas fotográficas
- Os desktops/notebooks estão sendo substituídos pelos tablets e smartphones
- Os teclados e mouses estão sendo substituídos pelas interfaces touch, de voz e gesto (acelerômetro)
- O lápis e papel estão sendo substituídos pelos programas de escrita digital
- As salas de aula estão sendo substituídos pelos programas de educação a distância (EAD)
Também vale a pena assistir o vídeo abaixo, de uma apresentação feita recentemente pelo Vinton Cerf, em que ele aborda um pouco da história e o estado atual da Internet.
Atualização (6/12): Aproveitando a carona no assunto, eu também recomendo uma olhada na apresentação "THE FUTURE OF DIGITAL", que também traz várias estatísticas e fatos sobre o crescimento do mundo digital no nosso dia-a-dia.
dezembro 05, 2012
[Segurança] Habemus Legem
Nota: Este post é uma versão atualizada do meu texto sobre a aprovação dos projetos de lei no Congresso.
No dia 3 de Dezembro foram publicados no Diário Oficial os dois projetos de lei sobre crimes cibernéticos devidamente aprovados pelo Congresso e sancionados pela presidenta Dilma Rousseff.
O Projeto de Lei (PL) do deputado Paulo Teixeira (PT), apelidado de "Lei Carolina Dieckmann" (PL 2793/2011) foi aprovado em sua totalidade, como Lei Nº 12.737, e o "PL do Azeredo" (PL 84/99), também conhecido como "AI-5 Digital", virou a Lei Nº 12.735 - mas metade dele foi vetado pela Dilma, que retirou o artigo que incluia o roubo ou destruição de dados no código penal militar e o artigo sobre falsificação de cartões, que era semelhante a um artigo já existente no PL Dieckmann.
A nova Lei Nº 12.737 inclui no Código Penal alguns crimes cibernéticos bem conhecidos de todos nós, como a invasão de computadores, violação de senhas, roubo ou destruição de dados, os ataques de DDoS (Distributed Deny of Service) e a clonagem de cartão de crédito ou débito. Também criminalizam a criação e distribuição de código malicioso.
O ponto positivo é que antes desta lei os ciber criminosos não podiam ser penalizados na esfera penal (cujas penas envolvem algum tipo de detenção ou prisão), e eram julgados apenas pelo Código Civil, o que resulta normalmente na reparação dos danos - e o bandido acaba continuando livre. Além do mais, quando ocorria algum julgamento na esfera cível, os tribunais eram obrigados a recorrer a boa vontade e interpretação dos juizes para relacionar um crime cibernético a uma modalidade de crime já existente na lei tradicional.
A tabela abaixo resume os principais pontos incluídos na Lei Nº 12.735 (ex-PL do Azeredo) e na Lei Nº 12.737, (ex-PL Carolina Dieckmann). Quando a nova lei incluir algo em uma lei existente, eu coloquei o texto completo da lei com o novo trecho marcado em negrito.
É interessante notar que, após mais de 10 anos de discussões no Congresso e muita polêmica, o PL do Azeredo teve quase todos os seus artigos removidos durante as discussões, na tentativa de minimizar as críticas, e acabou sendo reduzido a dois artigos, que definem a estruturação das polícias especializadas em crime cibernético e a remoção de conteúdo online associado a discriminação ou preconceito. Já a lei Carolina Dieckmann, que trata de crimes cibernéticos, atropelou todas as discussões e foi aprovado às pressas por todo mundo.
As duas leis passam a valer 120 dias após a data em que foram publicadas no Diário Oficial (3/12/2012). Com isso, somente os ciber crimes cometidos após Abril de 2013 poderão ser enquadrados nestas leis.
Para saber mais:
No dia 3 de Dezembro foram publicados no Diário Oficial os dois projetos de lei sobre crimes cibernéticos devidamente aprovados pelo Congresso e sancionados pela presidenta Dilma Rousseff.
O Projeto de Lei (PL) do deputado Paulo Teixeira (PT), apelidado de "Lei Carolina Dieckmann" (PL 2793/2011) foi aprovado em sua totalidade, como Lei Nº 12.737, e o "PL do Azeredo" (PL 84/99), também conhecido como "AI-5 Digital", virou a Lei Nº 12.735 - mas metade dele foi vetado pela Dilma, que retirou o artigo que incluia o roubo ou destruição de dados no código penal militar e o artigo sobre falsificação de cartões, que era semelhante a um artigo já existente no PL Dieckmann.
A nova Lei Nº 12.737 inclui no Código Penal alguns crimes cibernéticos bem conhecidos de todos nós, como a invasão de computadores, violação de senhas, roubo ou destruição de dados, os ataques de DDoS (Distributed Deny of Service) e a clonagem de cartão de crédito ou débito. Também criminalizam a criação e distribuição de código malicioso.
PL | Lei | Artigo | Resultado... |
Artigo vetado | |||
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar; | Artigo vetado. (A Presidência considerou o tipo penal demasiado abrangente devido a amplitude do conceito de dado eletrônico) | ||
Lei Nº 12.735 (Azeredo) | N/A | Os órgãos da polícia judiciária estruturarão, nos termos de regulamento, setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado. | N/A |
Lei Nº 12.735 (Azeredo) | Lei nº 7.716, de 5 de janeiro de 1989 | Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional. Pena: reclusão de um a três anos e multa. § 1º Fabricar, comercializar, distribuir ou veicular símbolos, emblemas, ornamentos, distintivos ou propaganda que utilizem a cruz suástica ou gamada, para fins de divulgação do nazismo. Pena: reclusão de dois a cinco anos e multa. § 2º Se qualquer dos crimes previstos no caput é cometido por intermédio dos meios de comunicação social ou publicação de qualquer natureza: Pena: reclusão de dois a cinco anos e multa. § 3º No caso do parágrafo anterior, o juiz poderá determinar, ouvido o Ministério Público ou a pedido deste, ainda antes do inquérito policial, sob pena de desobediência: I - o recolhimento imediato ou a busca e apreensão dos exemplares do material respectivo; II – a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da publicação por qualquer meio; III - a interdição das respectivas mensagens ou páginas de informação na rede mundial de computadores. § 4º Na hipótese do § 2º, constitui efeito da condenação, após o trânsito em julgado da decisão, a destruição do material apreendido. | Obriga a remoção de conteúdo online associado a discriminação ou preconceito. |
Lei Nº 12.737 (Dieckmann) | Código Penal | Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. § 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. § 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: I – Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos. | Mínimo de 3 meses a 1 ano de detenção para invasão de computadores ou criação e distribuição de programas para invasão. (OBS: a pena aumenta para 6 meses a 2 anos de prisão se envolver acesso a segredos comerciais ou dados sigilosos) |
Lei Nº 12.737 (Dieckmann) | Código Penal | Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento: Pena - detenção, de um a três anos, e multa. § 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. § 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública. | Mínimo de 1 a 3 anos de detenção para ataques de DDoS. |
Lei Nº 12.737 (Dieckmann) | Código Penal | Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Pena - reclusão, de um a cinco anos, e multa. Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito. | 1 a 5 anos de prisão para falsificação de cartão de crédito. |
É interessante notar que, após mais de 10 anos de discussões no Congresso e muita polêmica, o PL do Azeredo teve quase todos os seus artigos removidos durante as discussões, na tentativa de minimizar as críticas, e acabou sendo reduzido a dois artigos, que definem a estruturação das polícias especializadas em crime cibernético e a remoção de conteúdo online associado a discriminação ou preconceito. Já a lei Carolina Dieckmann, que trata de crimes cibernéticos, atropelou todas as discussões e foi aprovado às pressas por todo mundo.
As duas leis passam a valer 120 dias após a data em que foram publicadas no Diário Oficial (3/12/2012). Com isso, somente os ciber crimes cometidos após Abril de 2013 poderão ser enquadrados nestas leis.
Para saber mais:
- Podcast "Para Sua Segurança" de junho deste ano em que discuti com o Ricardo Castro e a Dra Gisele Truzzi (Truzzi Advogados) sobre a aprovação relâmpago o PL 2793.
- Artigo do José Milagre sobre "O que muda com a aprovação das Leis de crimes informáticos (Lei 12.735 e 12.737/2012)"
- Notícia sobre a publicação das leis no site do Senado
- Texto completo da Lei Nº 12.735 (ex-PL do Azeredo)
- Texto completo da Lei Nº 12.737 (ex-PL da Carolina Dieckmann)
dezembro 04, 2012
[Segurança] Relembrando os Malwares em 2011
Todo ano a Symantec produz um relatório muitíssimo completo sobre a evolução dos códigos maliciosos, que inclui uma discussão sobre os Malwares que afetam cada região e os principais países do globo. Este relatório, chamado de
Internet Security Threat Report, normalmente é lançado entre abril e maio de cada ano, logo ainda falta um tempinho até conhecermos como foi a evolução das ameaças cibernéticas em 2012.
Entretanto, eu quero destacar que o relatório lançado neste ano, sobre o cenário de ameaças em 2011, contém dois infográficos bem legais: um que resume os principais acontecimentos a cada mês de 2011 e outro, mostrado abaixo, com as principais estatísticas sobre códigos maliciosos.
Entre um dado impressionante e outro, destaca-se o total de 403 milhões de novos malwares que surgiram em 2011, o que significa cerca de 33 milhões de malwares por mês, ou seja, quase 1 milhão de novos códigos maliciosos detectados por dia. É muita coisa...
Entretanto, eu quero destacar que o relatório lançado neste ano, sobre o cenário de ameaças em 2011, contém dois infográficos bem legais: um que resume os principais acontecimentos a cada mês de 2011 e outro, mostrado abaixo, com as principais estatísticas sobre códigos maliciosos.
Entre um dado impressionante e outro, destaca-se o total de 403 milhões de novos malwares que surgiram em 2011, o que significa cerca de 33 milhões de malwares por mês, ou seja, quase 1 milhão de novos códigos maliciosos detectados por dia. É muita coisa...
dezembro 01, 2012
[Cidadania] Dia Mundial de Luta Contra a Aids
Todo o dia 1º de Dezembro é celebrado o Dia Mundial de Luta Contra a Aids, uma data utilizada para conscientizar governos e a sociedade sobre a necessidade de pesquisa, educação e prevenção contra esta doença.
Segundo estimativas do Ministério da Saúde, entre 490 mil e 530 mil pessoas vivem com HIV no Brasil. Dessas, 135 mil não sabem que têm o vírus. No ano passado, foram registrados 38,8 mil novos casos da doença – a maioria nos grandes centros urbanos.
De acordo com uma pesquisa realizada recentemente pela Caixa Seguros com o acompanhamento do Ministério da Saúde e da Organização Pan-Americana de Saúde (Opas), quatro em cada dez jovens brasileiros acham que não precisam usar camisinha em um relacionamento estável, e três em cada dez ficariam desconfiados da fidelidade do parceiro caso ele (ou ela) propusesse sexo seguro. Ao todo, 91% dos jovens entrevistados já tiveram relação sexual e 36% não usaram preservativo na última vez que tiveram relações sexuais.
A pesquisa também identificou que falta aos jovens brasileiros o conhecimento de algumas informações básicas sobre AIDS e DSTs (Doenças Sexualmente Transmissíveis), algo que deveria ser suprido pela escola, pela família e através da Internet.
Com o objetivo de incentivar os cidadãos a usarem preservativos nas relações sexuais, o Grupo Pela Vidda, uma ONG que luta há vários anos pela valorização, integração e dignidade dos doentes de AIDS, disponibilizou na Internet e nas redes sociais três filmes de conscientização. Os vídeos são curtos, de 19 segundos cada um, bem humorados e comparam a relação sexual humana com as dificuldades que os animais têm em se acasalarem.
O UOL e o pessoal do (RED) publicaram um álbum de fotos das várias manifestações que ocorreram durante o Dia Mundial de Luta Contra a Aids em todo o mundo.
Segundo estimativas do Ministério da Saúde, entre 490 mil e 530 mil pessoas vivem com HIV no Brasil. Dessas, 135 mil não sabem que têm o vírus. No ano passado, foram registrados 38,8 mil novos casos da doença – a maioria nos grandes centros urbanos.
De acordo com uma pesquisa realizada recentemente pela Caixa Seguros com o acompanhamento do Ministério da Saúde e da Organização Pan-Americana de Saúde (Opas), quatro em cada dez jovens brasileiros acham que não precisam usar camisinha em um relacionamento estável, e três em cada dez ficariam desconfiados da fidelidade do parceiro caso ele (ou ela) propusesse sexo seguro. Ao todo, 91% dos jovens entrevistados já tiveram relação sexual e 36% não usaram preservativo na última vez que tiveram relações sexuais.
A pesquisa também identificou que falta aos jovens brasileiros o conhecimento de algumas informações básicas sobre AIDS e DSTs (Doenças Sexualmente Transmissíveis), algo que deveria ser suprido pela escola, pela família e através da Internet.
Com o objetivo de incentivar os cidadãos a usarem preservativos nas relações sexuais, o Grupo Pela Vidda, uma ONG que luta há vários anos pela valorização, integração e dignidade dos doentes de AIDS, disponibilizou na Internet e nas redes sociais três filmes de conscientização. Os vídeos são curtos, de 19 segundos cada um, bem humorados e comparam a relação sexual humana com as dificuldades que os animais têm em se acasalarem.
O UOL e o pessoal do (RED) publicaram um álbum de fotos das várias manifestações que ocorreram durante o Dia Mundial de Luta Contra a Aids em todo o mundo.