março 31, 2013

[Cyber Cultura] Mais um hackerspace, agora em São José dos Campos

O pessoal de São José dos Campos acabou de alugar uma casa para hospedar o "SJC HackerClube", o hackerspace que eles estão criando por lá.

Pelas nossas contas, do Garoa, já somos 8 hackerspaces no Brasil.

O pessoal lutou bastante para conseguir montar o hackerspace deles. Em agosto de 2011 Alex Porto, um dos fundadores e que já frequentou bastante o Garoa, anunciou na própria lista do Garoa que eles tinham a intenção de criar um hackerspace em SJC, a partir de um grupo inicial de 5 interessados na época.

Desde agosto de 2012 o pessoal começou a se encontrar e fazer reuniões em um quiosque no Parque Santos Dumont, um parque na região central da cidade. Os encontros aconteciam todos os sábados pela manhã, em um simples quiosque de parque mesmo. Eles também aproveitaram para se juntar a outro grupo, chamado "Automação no Parque", que já se reunia neste mesmo local, nas manhãs de sábado.

Após vários meses de encontros e discussões, eles decidiram que estavam prontos para organizar seriamente o hackerspace. Fizeram vários encontros para discutir os detalhes, juntar um grupo de "fundadores", procuraram um imóvel para alugar e escolheram o nome "SJC HackerClube". O interessante é que eles pensaram em vários nomes, mas acabaram decidindo por este. A opção mais legal de nome era "Sabugosa Hackerspace", em homenagem ao Visconde de Sabugosa, mas desistiram pois as obras de Monteiro Lobato ainda são protegidas por direito autoral :(

Segundo o Alex Porto, o SJC Hacker Clube já conta com 30 membros pagando mensalidade, incluindo 12 fundadores.

Na semana passada eles comentaram que fecharam o aluguel de uma casa e agora vão começar a organizar o espaço para receber o hackerspace. E, o melhor, já divulgaram a festa de inauguração, que será no domingo dia 07/04/2013 a partir das 10h.


Quer conhecer o SJC Hacker Clube? Comece por aqui:


OBS: Post atualizado em 31/3/2013

[Segurança] Mais ainda sobre os ataques de DNS refletido

O pessoal do Linha Defensiva publicou um artigo legal sobre o que são os e aproveitaram para se juntar a galera que tem criticado a cobertura exagerada que a imprensa tem dado ao caso do ataque de DDoS ao Spamhaus. Vale a pena a leitura:

"O ‘maior ataque cibernético’ e outro grande exagero da imprensa"

Eles também criaram um diagrama bem caprichado para explicar o ataque que foi realizado ao Spamhaus, que enviou pacotes com o endereço IP das vítimas (com IP spoofing) direcionados a servidores DNS recursivos que estavam abertos a qualquer requisição vinda da Internet:



Para quem é responsável pela administração de servidores DNS, vale a pena dar uma olhada no paper do CERT.br com "Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos". O paper é de 2007 e eles acabaram de atualizar.

Enfim, como diriam os Titãs:
"Não importa contradição
O que importa é televisão
Dizem que não há nada que você não se acostume
Cala a boca e aumenta o volume então"


Para saber mais (aproveitando algumas dicas do Alberto, da Lucimara e do Evandro Hora):

março 28, 2013

[Segurança] O maior ataque de todos os tempos... da última semana

É impossível ver uma notícia como "Organização antispam sofre maior ataque cibernético da história" sem lembrar desta música dos Titãs:
"A melhor banda de todos os tempos da última semana
O melhor disco brasileiro de música americana
O melhor disco dos últimos anos de sucessos do passado
O maior sucesso de todos os tempos entre os dez maiores fracassos"
Segundo informações publicadas no blog da CloudFare, uma empresa que fornece serviço de proteção contra ataques de DDoS, o Spamhaus sofreu uma série de ataques de DDoS que atingiu um pico de 300 Gbps(gigabits por segundo). Até então, o maior ataque conhecido de DDoS tinha chegado a míseros 100 Gbps.
(veja nota adicional no final do post)
Segundo o G1, com 300 Gbps é possível transferir 37 filmes com qualidade DVD ou 55 CDs de música, em qualidade total, em apenas um segundo.

O Projeto Spamhaus é uma organização global sem fins lucrativos dedicada ao rastreamento de Spammers, com o objetivo de identificar redes de origem de mensagens de SPAM e colocá-las em uma "black list" para prevenir o envio de SPAM. A lista da Spamhaus é utilizada por diversos provedores e empresas para diminuir o SPAM recebido por seus usuários.

O ataque contra o Spamhaus começou desde o dia 18 de março, e foi lançado aparentemente pelo Anonymous com o nome de "OpStopHaus". A operação foi divulgada como um protesto contra a publicação de endereços IP pertencentes a provedores, operadoras e redes não conclusivamente ligados ao SPAM. Além disso, o Anonymous alega que o Spamhaus pratica chantagem e extorsão aos ISPs afetados por SPAM, para obrigá-los a proibir o envio de SPAM em suas redes. Coincidência ou não, a operação surgiu depois que a Spamhaus bloqueou o provedor holandês "Cyberbunker", um provedor que promete hospedar qualquer conteúdo que não seja pedofilia e terrorismo. Segundo a Spamhaus, o Cyberbunker estaria sendo utilizado por spammers para enviar e-mails indesejados. Este tipo de provedor é conhecido como "bullet proofing host", pois oferece serviço de hosting para qualquer tipo de conteúdo (incluindo sites criminosos), com a promessa de dificultar qualquer ação policial contra o site.

Segundo o post detalhado disponibilizado pela CloudFare sobre o início dos ataques, os ataques de DDoS contra o Spamhaus foram realizados na camada 3, e a principal técnica utilizada foi o de "DNS reflection", que consiste em enviar vários pedidos de acesso ao arquivo de zona de servidores DNS usando um endereço IP de origem falsificado igual ao da vítima, que irá receber um grande número de respostas para a vítima. No início os ataques eram de 10 Gbps, depois alcançaram um volume médio de tráfego de 75 Gbps vindo de 30 mil servidores DNS, representando uma taxa de amplificação de 100 vezes (ou seja, para cada byte que os atacantes enviavam, a vítima recebia 100 bytes).

Segundo um post mais recente da CloudFare, em 19 de março, o ataque de DDoS aumentou de tamanho e atingou cerca de 90 Gbps. No dia 21 de março o ataque oscilou entre 30 e 90 Gbps atingiu 120 Gbps em 22 de março. Quando os atacantes perceberam que não podiam derrubar o serviço da CloudFlare, eles começaram a atacar os provedores de link Internet deles, os provedor de backbone Tier 1 que fornecem conectividade para um dos provedores Internet da CloudFare e até mesmo gateways que fazem a conectividade entre os bckbones da Internet, conhecidos como Internet Exchange (IX). Um dos provedores de backbone Tier 1 atacados reportou que os ataques alcançaram 300 Gbps de tráfego. Na medida que estes ataques tem aumentado, vários provedores de backbone foram congestionados, principalmente na Europa, afetando centenas de milhões de pessoas.

Ainda que 300 Gbps de tráfego seja um volume impressionante, o ataque só foi possível pois juntou uma combinação perfeita de técnica de ataque e alvo: o ataque na camada 3 usando amplificação de requisições DNS, foi direcionado aos provedores globais de backbone, que tem links com um tamanho tal a ponto de ser atingido por 300 Gbps de dados. Provedores pequenos teriam caído muito antes. Entretanto, da mesma forma que os ataques DDoS pularam de 100 Gbps em 2010 para 300 Gbps nesta semana, nada impede que um atacante com motivação e uma botnet grande o suficiente realize outros ataques maiores no futuro, e em breve este título de "maior ataque da história" poderá passar para outro.





Notas:
  • O Sandro Suffert publicou um excelente post sobre o assunto: "O Maior ataque de negação de serviço (DDOS) da História - 300Gbps"
  • Na verdade os ataques DDoS já superaram a barreira dos 100 Gbps mesmo antes deste ataque ao Spamhaus. Segundo estatísticas divulgadas pelo Gartner, os ataques a bancos americanos realizados recentemente durante a Operação Ababil atingiram um tamanho total de 190 Gbps, sendo que o maior ataque contra um único banco foi de 110 Gbps. Nestes ataques, os atacantes usaram apenas 3.200 dos 9.200 bots que tinham. Ou seja, a coisa poderia ter sido pior. (adicionado em 28/3)
  • O pessoal do Gizmodo fez uma crítica bastante interessante sobre esta história toda. Eles apontaram corretamente que 300 Gbps é um volume de tráfego que não faz nem cócegas perto da quantidade trafegada pelos grandes provedores de backbone, e por isso, não há razão para tantos relatos pseudo-apocalípticos. Eles também questionaram se houve realmente algum impacto por causa destes ataques e criticaram o fato de todas as informações disponíveis terem sido divulgadas pela CloudFare, uma empresa que vende serviços de proteção contra DDoS e, portanto, tem interesse em causar o pânico entre prováveis clientes. Por outro lado, o Richard A Steenbergen publicou uma resposta bem interessante para a Gizmodo, afirmando que o principal impacto foi causado pelo ataque direcionado aos routers IX, e embora os provedores de backbone estejam acostumados a tratar volume de tráfego na ordem de terabytes por segundo, ele não costumam ter uma banda de 300 Gbps "sobrando", pois seria muito caro manter este recurso ocioso. (adicionado em 28/3)
  • Criei um post adicional sobre este assunto: "[Segurança] Mais ainda sobre os ataques de DNS refletido" (adicionado em 28/3)

março 27, 2013

[Cyber Cultura] O e-commerce no Brasil em 2012

A empresa e-bit divulgou recentemente alguns dados sobre os resultados do comércio eletrônico B2C (Business to Consumer) no Brasil em 2012:
  • R$ 22,5 bilhões: Quantia que o e-commerce movimentou no Brasil em 2012
  • R$ 49,7 bilhões: Movimento de todo o mercado digital em 2012, incluindo market places, venda de ingressos online, passagens aéreas e turismo e compras coletivas. A previsão é que esse número cresça 19,8% em 2013 e chegue a R$ 59,5 bilhões
  • 20%: O aumento de quanto o e-commerce movimentou em 2012 em relação ao ano anterior (R$ 18,7 bilhões em 2011)
  • 66,7 milhões: Número de pedidos em 2012
  • 24,2%: Crescimento do número de pedidos com relação ao registrado no ano passado
  • 42,2 milhões: Número de usuários que fizeram ao menos uma compra online no Brasil em 2012
  • 10,3 milhões: Quantidade de novos consumidores virtuais
  • 25%: Previsão de crescimento do e-commerce B2C em 2013
  • R$ 28 bilhões: Faturamento previsto para 2013
  • R$ 3,06 bilhões: Vendas online no Natal
  • R$ 243,8 milhões: Volume de vendas online de bens de consumo durante a Black Friday brasileira, uma promoção inspirada na tradicional megaliquidação do varejo americano que acontece na sexta-feira seguinte ao Dia de Ação de Graças
  • 2,5%: Participação do comércio móvel nas compras online em Janeiro de 2013
  • R$ 342: Tíquete médio anual em 2012 (este é o valor médio das compras). O tíquete médio de compras variou entre R$ 338 no primeiro semestre para R$ 346 na segunda metade de 2012
  • R$ 350: com tíquete médio por consumidor previsto para 2013
  • 1%: O Brasil foi o primeiro país latino-americano a conseguir que as vendas online atingissem 1% do Produto Interno Bruto (PIB)
  • 59,1%: Participação do Brasil no mercado de negócios digitais entre os países da América Latina e Caribe, segundo a operadora de cartões Visa
  • Segundo a Visa, o Brasil lidera o ranking de países da América Latina e Caribe que apresentaram o maior volume financeiro acumulado em compras via comércio eletrônico. O Brasil é seguido por México (14,2%), Caribe (6,4%), Argentina (6,2%), Chile (3,5%), Venezuela (3,3%), América Central (2,4%), Colômbia (2%) e Peru (1,4%).
  • 28,5%: Taxa de crescimento projetado pela Visa para as compras via comércio eletrônico em toda a América Latina e Caribe no fim deste ano.
  • 12,4%: Participação no volume de pedidos da categoria líder de pedidos em 2012, eletrodomésticos. Esta categoria é seguida por moda e acessórios (12,2%), saúde, beleza e medicamentos (12%) e pelo setor de informática (9,1%).
Segundo a e-bit, a expansão do e-commerce no Brasil é consequência de vários fatores, que incluem a retomada do crescimento econômico, o aumento do acesso à banda larga, as ações promocionais das lojas virtuais, e o aumento das vendas de dispositivo móveis e produtos de valor agregado, como tablets e smartphones, além da esperada , segundo a e-bit.

A e-bit também disponibiliza semestralmente o relatório WebShoppers, que analisa a evolução do comércio eletrônico, as mudanças de comportamento e preferências dos consumidores brasileiros.

A eMarketer também disponibiliza estatísticas sobre o mercado global de e-commerce.

março 22, 2013

[Cyber Cultura] A escola está na nuvem

Nesta palestra inspiradora, inteligente e, ao mesmo tempo, bem humorada, o educador Sugata Mitra compartilha suas idéias sobre como deve ser a educação no futuro. Baseado em várias experiências que ele realizou com crianças na India, ele percebeu que, mesmo que pobres e com pouco acesso a educação tradicional, as crianças podem aprender rapidamente até mesmo assuntos complexos se forem devidamente motivadas com perguntas e desafios, e tiverem a oportunidade de exercitar a auto-aprendizagem coletiva, aonde elas se ajudam mutuamente.

Mais do que uma simples crítica ao sistema educacional atual, que está vigente há séculos, ele apresenta uma nova idéia de "escola na nuvem", que também está longe também da nossa visão atual de e-learning: ele imagina um ambiente aonde as crianças, com o uso da tecnologia atual (computadores e wi-fi), podem explorar e aprender em grupo usando informações e orientação ("mentoring") através da nuvem (através da Internet). Ele chamou sua idéia de "Self Organized Learning Environments" (SOLE). Em vez de ensinar através de ameaças e punições, ele sugere que a educação do futuro deve ser baseada no  prazer de aprender.

março 20, 2013

[Segurança] Acesso escancarado ao banco de dados de segurança pública do Brasil

Uma reportagem do SBT divulgada há poucos dias gerou um certo buzz na mídia: os repórters do SBT mostrou um esquema de venda de senhas do INFOSEG, o banco de dados unificado de Segurança Pública do país, que reúne informações pessoais, dados financeiros e policiais (como informações sobre processos) de milhões de brasileiros. Nas mãos da polícia e de órgãos da Justiça, estas informações são utilizadas para investigação e para combater crimes. Mas, ao cair nas mãos de criminosos, estas informações permitem facilmente fraudar documentos, placas de carros ou aplicar diversos golpes. Por R$ 2 mil, é possível comprar na Santa Ifigênia o acesso ilícito ao INFOSEG durante 30 dias.

Mas, lamentavelmente, não há nenhuma novidade sobre isso. O próprio SBT já tinha feito uma reportagem muito parecida em 2008, quando comprou uma senha do INFOSEG por R$ 2mil e consultou dados do Lula, da Dilma e alguns políticos e empresários. Ídem em 2009. A BAND também fez uma reportagem sobre isto em 2010.



Ou seja, o problema existe há cerca de 5 anos: criminosos tem acesso as senhas do INFOSEG, um sistema que mantém informações sigilosas de todos os cidadãos brasileiros, e comercializam estas senhas de acesso para quem quiser pagar.

A pergunta que não quer calar: como um sistema importantíssimo desses continua vulnerável depois de tanto tempo e tantas denúncias? Descaso, para falar o mínimo.

O pior de tudo é que seria muito fácil implementar alguns controles de segurança para minimizar a chance de vazamento das senhas e, assim, impedir o acesso não autorizado ao INFOSEG. O Edson Fontes deu algumas dicas simples e objetivas, que eu reproduzo abaixo:
  • Melhorar a autenticação do sistema: Para um sistema desta criticidade deveríamos ter o uso de vários fatores de autenticação, como certificados digitais, biometria ou tokens. Qualquer um destes mecanismos evitaria o vazamento das senhas: seria inútil roubar ou ceder uma senha de acesso ao sistema se o criminoso não tiver acesso ao segundo fator de autenticação. Provavelmente o mais fácil seria adotar o uso de tokens de autenticação OTP (One Time Password, iguais aos utilizados por vários bancos) ou certificados digitais ICP-Brasil. Várias empresas e os bancos já usam estas tecnologias há vários anos, com sucesso.
  • Revisão periódica dos usuários válidos: A revisão periódica evitará o acesso fraudulento através de contas de usuários que deveriam estar inativos, como ex-funcionários, policiais aposentados, etc. É um processo puramente burocrático e trabalhoso, mas importantíssimo.
  • Monitorar a quantidade de consultas: Provavelmente o acesso fraudulento ao INFOSEG deve gerar um número de consultas muito maior do que o uso normal. A monitoração ou limitação de quantidade de acessos pode facilmente alarmar quando o sistema está sendo utilizado fraudulentamente.
  • Controle de acesso a partir da localização física: Um controle relativamente simples, uma vez que a maioria das consultas do sistema deve acontecer a partir de funcionários de órgãos governamentais. Por isso, é possível limitar o acesso somente a partir de endereços IPs associados as redes do governo. Usuários remotos seriam obrigados a acessar a rede do governo via VPN, o que dificultaria em muito o acesso não autorizado por criminosos.
  • Envio de relatórios dos acessos para o usuário: Outra medida muito simples: os usuários poderiam receber, através de correio eletrônico, m pequeno relatório sobre seus acessos ao INFOSEG. Assim, o próprio usuário válido pode verificar se sua conta está sendo usada fraudulentamente por outras pessoas.
Em nenhum momento falamos de alguma tecnologia nova ou algum sistema extremamente complexo. Pior ainda, todas estas sugestões acima já são conhecidas pelo mercado e utilizadas com sucesso há vários anos por empresas de todos os portes e segmentos.

Veja também:

março 18, 2013

[Segurança] SWATting

O Brian Krebs, um dos melhores e mais importantes jornalistas especializados em segurança, recentemente contou através de seu blog sobre uma recente série de ataques que ele recebeu, provavelmente realizado por ciber criminosos que ele tem denunciado constantemente através de seu site.

Em seu post chamado "The World Has No Room For Cowards", ele conta como recebeu uma série de ataques cibernéticos e físicos em pouco espaço de tempo:
  • A Prolexic, que protege o site dele (KrebsOnSecurity.com) contra ataques de DDoS, recebeu uma carta, que parecia ter sido enviada pelo FBI, falsamente afirmado que o site estava hospedando conteúdo ilegal e que deveria ser desligado;
  • o site dele foi alvo de um grande ataque de DDoS (Distributed Deny of Service);
  • sua casa foi visitada por uma equipe de policiais, um tipo de trote chamado de "SWATting", aonde os atacantes fazem uma denúncia falsa ou anônima para a polícia causando a invasão e prisão da vítima.
Dentre todos estes ataques, o mais assustador é o "SWATting", pois pode representar um risco sério para a vítima caso haja algum tipo de confronto ou desentendimento no momento em que a polícia chega para atender a suposta ocorrência.

No caso do Brian Krebs, alguém ligou para a polícia (o famoso 911) alegando ser o Brian Krebs, relatando que russos haviam invadido sua casa e atirado na esposa. Para tornar a chamada mais verosímil, o número de identificação de chamadas combinava com o número do celular dele (algo que pode ser feito com certa facilidade usando VoIP). Por conta desta chamada falsa, a polícia mobilizou vários carros e policiais que foram até a casa do Brian Krebs e, no momento em que ele abriu a porta, o algemaram e levaram até o meio da rua para averiguação. Felizmente o incidente foi rapidamente explicado e tudo acabou bem, apesar do susto.

O Brian Krebs conta que já tinha conhecimento deste tipo de golpe, quando viu uma discussão em um fórum sobre usar SWATting como forma de vingança ou apenas para se divertir às custas de alguém. É o equivalente a encomendar dezenas de entregas de pizza para a casa de alguém, ou fazer uma ameaça de bomba na escola para não ter que fazer uma prova. Entretanto, entregar pizza ou fazer uma denúncia falsa de bomba está longe de ser tão perigoso como o envio de uma equipe da SWAT ou da polícia para invadir a casa de alguém. Este tipo de brincadeira coloca a vida das pessoas em risco, além de desperdiçar o tempo e dinheiro da polícia, que poderia estar atendendo emergências reais.

[Cidadania] Mulheres e Greys

Nesta noite de domingo eu resolvi assistir algumas palestras do TED, enquanto provavelmente alguns milhões de pessoas assistiam o Fantástico e o paredão do Big Brother Brasil. Duas palestras, em especial, estavam em destaque e me chamaram a atenção: uma emocionante palestra da Leslie Morgan Steiner sobre violência doméstica e a palestra da iO Tillett Wright sobre a diversidade sexual. Ambas tratam, ao seu modo, a questão do preconceito e da repressão as minorias. Afinal, hoje em dia é tão fácil ser carimbado como minoria - a menos que você seja, ao mesmo tempo homem, heterosexual, cristão, loiro, malhado...

Em sua palestra chamada "Crazy Love - Por que as vítimas de violência doméstica não vão embora " a Leslie Morgan Steiner compartilhou com o público a sua chocante e emocionante experiência de ser casada por cerca de dois anos e meio com uma pessoa que batia nela e apontava uma arma em sua cabeça frequentemente, uma ou duas vezes por semana. Sua principal intenção foi discutir o porque as vítimas, em sua maioria mulheres, caem nesta situação e tem dificuldade de sair deste tipo de relacionamento. O pior de tudo é que a violência doméstica atinge uma em cada 3 pessoas, e acontece aonde menos gostaríamos: no ambiente familiar.

Veja a transcrição de alguns momentos interessantes e emocionantes da palestra:
  • "O homem que eu amava mais do que qualquer pessoa no mundo apontou uma arma na minha cabeça e ameaçou me matar tantas vezes que eu nem me lembro quantas."
  • "a violência doméstica acontece com qualquer um, independentemente de raça, religião, classe social ou educação. Está em todos os lugares."
  • "o primeiro estágio de qualquer relação de violência doméstica é seduzir e encantar a vítima. (...) o segundo passo é isolar a vítima."
  • "Eu errei em pensar que eu era a única e sozinha nessa situação. Uma em cada três mulheres americanas tiveram experiências de violência ou perseguição em algum momento da vida, as estatísticas mostram que 15 milhões de crianças são agredidas todo ano, 15 milhões. Na verdade, eu estava em grande companhia."
  • "Por que eu fiquei? (...) nunca pensei em mim como uma mulher maltratada. Ao contrário, eu era uma mulher muito forte apaixonada por um homem profundamente perturbado e eu era a única pessoa na Terra que poderia ajudar Connor a enfrentar seus problemas."
  • "por que ela simplesmente não vai embora? (...) é extremamente perigoso deixar um agressor. O último passo padrão da violência doméstica é matar a vítima. Mais de 70 por centro dos assassinatos por violência doméstica acontecem depois que as vítimas terminam a relação (...). Outras consequências são: perseguição por um longo período, mesmo depois do agressor casar novamente; recusa em fornecer recursos financeiros; e manipulação do sistema judiciário da família para aterrorizar a vítima e seus filhos, que são forçados regularmente pelos juízes de família a passar um tempo sem supervisão com o homem que batia na mãe deles."



A palestra "Cinquenta tons de gay" da iO Tillett Wright, por sua vez, abordou a diversidade humana, e quanto difícil é perigoso criar uma lei ou um comportamento que divida as pessoas em determinados grupos, tipos ou características. Baseado em sua vida pessoal e em um projeto que ela criou para fotografar rostos de pessoas que se encaixam em algum lugar do espectro LBGTQ, ela passou a questionar o quanto as pessoas se consideram gay ou hétero, em uma escala de 1 a 100, e descobriu que a maioria das pessoas se consideram na região mais intermediária, não 100% gay nem hétero. Ou seja, a discriminação traz um grande problema, pois em algum momento a pessoa que está discriminando traça uma linha que isola os "cidadãos de segunda categoria".

Ela disse várias coisas bem interessantes e que resumem muito bem a sua mensagem:
  • "Os seres humanos se empurram para caixas no momento em que se vêem."
  • "as categorias, eu descobri, são muito limitantes. As caixas são muito estreitas. E isso pode se tornar realmente perigoso."
  • "(...) eu era um minoria, e dentro do meu próprio país, baseado em uma face da minha personalidade. Eu era legalmente e sem dúvida uma cidadã de segunda classe."
  • " Como pode alguém votar para destitiuir os direitos da grande variedade de pessoas que eu conhecia baseado em um elemento de suas personalidades?"
  • "muitas pessoas optaram por algo entre 70 e 95% ou entre as marcas de 3 e 20%. Claro, havia muitas pessoas que escolheram 100% uma coisa ou outra mas eu descobri que uma porção muito maior das pessoas se identificavam como algo que parecia mais sutil. Eu descobri que a maioria das pessoas caía num espectro que passei a chamar "Grey" (cinza - trocadilho com a palavra gay)."
  • "seres humanos não são unidimensionais. (...) mesmo sabendo que a maior parte das pessoas se identifica de alguma forma mais perto de um binário ou outro há este vasto espectro de pessoas que existem no meio."
  • "Onde exatamente alguém se torna um cidadão de segunda classe?"
  • "O que vemos são seres humanos em sua total multiplicidade. E vê-los torna mais difícil lhes negar humanidade. No mínimo dos mínimos, eu espero que torne mais difícil negar direitos humanos."



Eu decidi compartilhar estas palestras pois acredito que a mensagem que elas trazem é, acima de tudo, de que devemos respeitar e tratar bem todas as pessoas. A personalidade do ser humano é muito complexa e diversificada, e qualquer tentativa de categorizar e rotular é injusta e perigosa, traz o desrespeito, o preconceito e, pior ainda, podem motivar a violência.

março 17, 2013

[Segurança] 10 anos de H2HC

A Hackers 2 Hackers Conference (H2HC) vai realizar a sua décima edição este ano, e já tem data marcada: será em São Paulo, de 03 a 08 de Outubro de 2013.

A H2HC é, de longe, o maior e mais importante evento de segurança brasileiro focado principalmente em novas pesquisas de segurança, com atenção especial para novas técnicas de ataques, novas ferramentas e vulnerabilidades. Devido a sua qualidade, o evento tem cada vez mais atraído importantes profissionais do Brasil e do exterior.

A 10ª H2HC será no Novotel Morumbi (o mesmo local das edições de 2009 e 2010), em um auditório para 600 pessoas e com uma área em anexa aonde realizaremos a Co0L BSidesSP. Anote as datas:
  • 03 e 04 de Outubro: H2HC trainings 1
  • 05 e 06 de Outubro: H2HC Conference
  • 06 de Outubro: Co0L BSidesSP
  • 07 e 08 de Outubro: H2HC trainings 2
A propósito, o call for papers da H2HC já está aberto.

março 15, 2013

[Segurança] Seu site foi Hackeado?

O Google lançou nesta semana um hotsite chamado “Webmasters Help For Hacked Sites” com uma série de vídeo-tutoriais para orientar os webmasters que tiveram seus sites hackeados.

A linguagem utilizada é bem simples, objetiva e direta, o que torna estes vídeos  uma excelente ferramenta para orientar até mesmo os donos de sites pouco experientes. Os vídeos falam principalmente sobre sites que foram invadidos e utilizados para espalhar SPAM ou distribuir malware, mas podem ser úteis para qualquer caso - inclusive se seu site sofrer um defacement.

Na página principal são apresentados oito passos principais parar restaurar um site invadido. Para cada passo é apresentado um vídeo e uma descrição do que deve ser feito, incluindo links para sites e ferramentas que podem ajudar na identificação e correção do problema. Em alguns casos, são descritos alguns passos intermediários. Os oito passos são os seguintes:


  1. Assista o vídeo de Overview
  2. Contacte o seu serviço de hospedagem e, se necessário, busque uma equipe de apoio
  3. Coloque o seu site em quarentena, para evitar que ele continue espalhando conteúdo malicioso
  4. Use as ferramentas de Webmaster do Google
  5. Avalie os danos, caso seu site seja usado para SPAM ou para distribuir malware
  6. Identifique a vulnerabilidade que foi utilizada para a invasão do seu site
  7. Limpe e mantenha o seu site, recuperando o seu conteúdo
  8. Solicite uma revisão para o Google, para que seu site não seja mais identificado como um site invadido


Tudo começa por um vídeo introdutório de "overview" sobre os conceitos básicos que ajudarão o webmaster a identificar o problema em seu site.



Os vídeos estão em inglês, mas há a opção de ativar as legendas em inglês ("captions") e configurar a tradução automática para o Português - mas o resultado é desastroso! Por exemplo, "site" acabou sendo traduzido por "local". Argh!!!!

[Cyber Cultura] Tem alguém lhe dando uma mão

Um amigo e antigo colega de trabalho, o Hélio Silva, me passou um artigo bem legal que ele escreveu há muitos anos atrás (em 2002), quando ele escrevia uma coluna sobre Linux no site da Info Exame. Nós dois trabalhamos na mesma empresa e, por um tempo, em áreas correlatas, até que nós dois assumimos a responsabilidade de fazer a gestão da infra-estrutura Internet daquela empresa e o Hélio tornou-se meu chefe.

Trabalhávamos em um grande grupo editorial, na época em que a Internet estava nascendo no país. Tínhamos, na ocasião, um conjunto de 32 endereços de rede classe C, se bem me lembro (pois na época o Nic.br dava endereços IP a rodo, e o fim do IPv4 era algo sequer imaginado). Gerenciávamos a disponibilidade do link, os roteadores, o proxy server, o gateway de e-mail (uma bomba ambulante, que fazia a conversão entre o protocolo SMTP padrão e o CC:Mail, uma solução de e-mail da IBM que para a época já era capenga e caía quase que diariamente) e o Firewall, que foi o primeiro Firewall-1 que instalei, na antiga versão 2.1 (super modernoso para a época), rodando em um servidor SUN (sem monitor, para economizar custos). Vários dos servidores rodavam em Linux, algo que causava arrepios nos nossos gestores e sempre éramos obrigados a usar o mesmo argumento para justificar a escolha: "é o mesmo sistema operacional usado pela NASA." Na prática, a escolha era por conta da estabilidade e confiabilidade, em uma época em que servidores Windows rodavam Windows NT. Mas vai explicar isso para um gerente!? É mais fácil falar sobre a NASA...

Não posso deixar de dizer que tudo o que eu aprendi na época deveu-se principalmente a 5 fatores: minha faculdade (IME-USP), de onde obtive experiência como usuário de estações SUN e tive o primeiro contato com os primórdios da Internet; meu primeiro emprego, em uma revenda da SUN, que me ensinou a debulhar estes servidores e me deu a base que precisava sobre UNIX e, consequentemente, Linux; ao Sandro Enomoto, amigo, colega de faculdade e de profissão, que me recebeu nesta empresa e me ensinou o be-a-bá de administração de servidores em um ambiente de provedor de Internet; o Fred (Frederico Neves, do Nic.br), que foi nosso suporte de 2o nível, recebia minhas ligações desesperadas e me ensinou o que era o TCP Wrapper; e ao Luciano Ramalho, meu primeiro chefe nesta empresa e hoje grande amigo e companheiro do Garoa Hacker Clube, que me deu esta oportunidade e também me deu o meu primeiro livro da O'Reilly: "Managing Internet Information Services" (até hoje guardo este livro comigo).

Sem mais delongas, segue uma cópia do pequeno artigo do Hélio, que ele resgatou milagrosamente do site Internet Archive: Wayback Machine:

"Penta-saudações!

Em 1994 eu trabalhava para uma grande organização que, graças a um visionário, passava por um momento de intensa paixão pela descoberta da Internet. Naqueles dias me foi conferida a responsabilidade de cuidar do acesso corporativo à grande rede, herdando uma infra-estrutura já implantada. Quase tive uma síncope quando percebi que o limite entre uma WAN com mais de 2.000 estações e centenas de servidores era tão somente uma máquina 486 sem marca, rondando uma versão beta 1 ponto alguma coisa do Linux.

A intrépida maquininha rodava um proxy Apache e atendia a milhares de requisições simultâneas, operando 24 horas por dia, 7 dias por semana, sem abrir o bico. Não havia redundância de nada. Se ela parasse um segundo, eu logo descobriria pela freqüência com que meus telefones tocariam. Uma das poucas vezes que isso aconteceu foi quando houve uma limpeza na sala de telefonia, onde essa máquina operava e alguém descuidou-se e...soltou o cabo de força.

Neste tempo eu era zero de Linux, mas contei com a ajuda e a paciência do Kiki, um colega de trabalho que entrou nessa encrenca junto comigo. Ele operava o Linux e, vez por outra, me ensinava um comando ou outro e explicava os fundamentos daquele software misterioso que ali eu aprendi a respeitar.

Todas as semanas a quantidade de usuários aumentava, assim como também aumentavam a quantidade de contas de e-mail. Sim, isso mesmo, além de tudo nossa maquininha era servidor de e-mail para um grupo restrito de usuários. O e-mail corporativo era outro que explico mais adiante.

Com os olhos esbugalhados, já maiores que seus pequenos óculos, o Kiki se assustava quando eu lhe passava os novos pedidos de acesso.

Eu me incumbia das chatices corporativas e ele monitorava e mantinha nossa rede imune a ataques e em operação constante. A chatice corporativa incluía, além das questões burocráticas, um Pentium 133 com o Windows NT que rodava um gateway de e-mail ligando um Lotus cc:mail à internet. A instabilidade do gateway, os constantes paus e a falta de suporte dos fabricantes quintuplicavam meu trabalho e me roubavam noites de sono. Dormia com um olho fechado e o outro mirando o bip sob a cômoda.

Nesse período nefasto, apresentei um bug do software de gateway para o fabricante e recebi uma resposta que jamais esqueceria. Dizia o seguinte: “Nós conhecemos o problema e não vamos resolvê-lo porque não há mais interesse da nossa empresa nesse produto”. Digno de uma moldura e um quadro na parede. Fiquei ali triste e desamparado sem os códigos-fonte do software de gateway, tentando achar um substituto enquanto milhares de usuários, e pior, meus chefes, reclamavam dos problemas. Enquanto isso, o danado do Kiki trocava e-mails com aqueles caras do software livre, fazia updates e correções no Linux que nunca parava.

A estabilidade do Linux chegou a ser mesmo um problema para que conseguíssemos convencer a empresa a fazer um pequeno investimento numa máquina nova e um sistema de firewall mais robusto.

Ali, na escola do desespero, andando no fio da navalha, tinha algo acontecendo que, naquele momento, não conseguia perceber: havia a mão generosa do Kiki e dos eventos me ensinando o novo. Se o NT/gateway não tivesse me roubado tanto tempo, talvez pudesse ter aproveitado mais.

Passados os anos, tomamos rumos e destinos diferentes, Kiki é hoje um especialista em segurança dos mais qualificados, enquanto eu me direcionei para desenvolvimento de aplicações de Internet. Só voltei a me reconciliar com o NT quando desenvolvi, para rodar em um 2000 Server, aplicações pesadas escritas em PHP, que faziam acesso a grandes bancos de dados e que não me tiraram um segundo sequer do meu precioso sono."

março 12, 2013

[Segurança] A biometria está morta?

Duas histórias recentes poderiam, e deveriam, levantar o questionamento sobre a eficácia dos leitores de impressão digital, provavelmente o mais popular dos dispositivos biométricos:
  • No final de Fevereiro, a polícia de São Paulo indiciou os donos de duas auto-escolas que fraudavam o sistema do Detran através de moldes em silicone das digitais dos alunos, que eram utilizadas para burlar o sistema que controla a presença dos alunos nas aulas de direção. Foram apreendidas cerca de 400 moldes com as digitais dos alunos.
  • Nesta semana, uma médica do SAMU (Serviço de Atendimento Móvel de Urgência) foi flagrada marcando o ponto de seis colegas usando dedos de silicone.


Surpreso? Afinal, quem nunca assistiu um filme no qual o mocinho, ou o vilão, usou um molde de silicone para burlar um sensor e entrar em uma instalação super-hiper-ultra-segura? Para piorar as coisas, em 2006 os MythBusters fizeram um programa no qual testaram a eficácia dos leitores de biometria. O resultado é que os sensores que eles testaram falharam em três testes: usando uma fita de latex com a impressão digital, usando um dedo falso criado com gel balístico e, o pior de tudo, usando uma simples xerox da impressão digital. Infelizmente o vídeo não está disponível no site deles e foi retirado do YouTube, mas eu tive a sorte de assistir em 2006 e fiz um pequeno post sobre isso. No experimento eles até que tiveram um pouquinho de trabalho no começo dos testes, mas depois de um tempo tiveram uma sacada que os ajudou a conseguir burlar os leitores biométricos que estavam testando.

Mas estas duas notícias recentes de golpes em sistemas de autenticação biométrico são tão parecidas e surgiram em datas tão próximas, que nos levam a um questionamento natural: será que os dispositivos de leitura biométrica podem ser enganados tão facilmente? E como ficamos, agora que até mesmo o TSE está planejando usar biometria para identificar os eleitores nas próximas eleições?

Se você perguntar para um fabricante (ou representante) desta tecnologia, certamente ele dirá que o sistema é infalível e totalmente confiável. Sei disso pois, há muitos anos atrás, eu já trabalhei em uma empresa que revendia este tipo de solução. Mas há alguns fatores que podem fazer com que esta solução se torne ineficaz contra fraudes (e, na verdade, estes fatores se aplicam a qualquer solução):
  • Falta de cuidado na escolha da tecnologia e do fornecedor. Assim como qualquer solução tecnológica, há fabricantes mais confiáveis e soluções mais robustas - em contra-partida, sempre há também os fornecedores de solução "baratinha". A verdade é uma só: quanto menos confiável for o fornecedor, mais barato e de pior qualidade será o produto oferecido. Não temos informações obre quais eram as marcas dos produtos utilizados, mas isto pode ajudar a explicar o porque os sistemas falharam ao reconhecer um dedo falso.
  • Falta de cuidado na implementação e na configuração, diminuindo a sensibilidade do sensor. Os sistemas de leitura de impressão digital "escaneiam" o dedo do usuário e, a partir da impressão digital, identificam alguns padrões e pontos-chave que serão utilizados para construir uma "minutiae", que descreverá aquela impressão no sistema. O nível de sensibilidade deste processo é configurável: quanto mais preciso for configurado, maior a chance de identificar uma digital corretamente mas também é maior o risco de não identificar uma digital válida, exigindo que o usuário passe seu dedo no sensor diversas vezes até ser autenticado - algo que pode ser irritante e inconveniente. Por isso, é provável que em ambos os casos os técnicos que instalaram os sensores e o software de reconhecimento o configuraram para ter um grau baixo de precisão (e, portanto, uma maior taxa de aceite e menos dor de cabeça para os usuários - é o velho questionamento entre segurança versus usabilidade e conveniência). Além do mais, no caso da auto-escola, o leitor biométrico devia estar instalado no micro da própria auto-escola e, portanto, próprio dono do equipamento poderia configurar a sensibilidade do leitor biométrico - quanto menos sensível, mais fácil cometer a fraude.
  • Testes insuficientes. Fala sério, se você vai adquirir uma solução destas para proteger um sistema que já tem histórico de fraudes (como o cartão de ponto de funcionários ou os sistemas do Detran), você não iria testar o sistema contra fraudes óbvias como o uso de um molde de silicone?

Na minha opinião, é muito provável que a fraude aconteceu por má qualidade dos fornecedores ou por má configuração dos dispositivos, e não por problemas na tecnologia em si. De qualquer forma, este tipo de fraude devia ter sido prevista e testada antes da aquisição e instalação dos sistemas.

março 11, 2013

[Segurança] Você esqueceu o Facebook aberto?

Este pequeno vídeo faz uma sátira inteligente de uma situação que pode acontecer com todos nós: o que poderia acontecer se você deixasse o seu computador ligado, com a tela da sua rede social aberta?

A preocupação vale para sua casa ou no trabalho, tanto para a sua rede social favorita, o seu e-mail, ou também para os sistemas da empresa. Temos que tomar cuidado com o que publicamos online e, neste caso, evitar que outras pessoas acessem indevidamente os nossos sistemas. Isto inclui garantir que o seu computador sempre estará desligado ou travado, protegido por senha, e, preferencialmente, desconecte-se das redes sociais, e-mails e sistemas quando você não estiver utilizando.



Este é mais um ótimo vídeo, divertidíssimo e atual, do pessoal do "Porta dos Fundos".
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.