Páginas

abril 30, 2013

[Segurança] DDoS e congestionamento de trânsito

Uma reportagem recente do portal Bank Info Security me chamou a atenção. Com o título "DDoS: The new normal"a reportagem destaca uma entrevista com o presidente da Prolexic, que afirmou que os ataques DDoS já fazem parte do dia-a-dia das empresas. Ou seja, de tão frequentes, os ataques distribuídos de negação de serviço (DDoS) não são mais novidade e qualquer um pode ser afetado a qualquer momento.

E aí vem minha comparação: para as empresas, os ataques DDoS são como os congestionamentos nas grandes cidades: você sai de casa e já sabe que vai pegar um trânsito gigantesco que vai atrasar sua chegada ao trabalho. E isso já virou algo "normal" em qualquer cidade de grande porte, em qualquer lugar do mundo. O DDoS também: qualquer empresa pode ter seu site congestionado, e isso deixou de ser uma novidade, infelizmente. O DDoS está para a Internet assim como o congestionamento está para o trânsito de pessoas nas cidades: algo normal, inevitável, que atrapalha a nossa vida mas que nós acabamos nos acostumamos a conviver com eles.

Não dá para negar que a quantidade de ataques DDoS está crescendo em todo o mundo, principalmente por conta dos ataques associados ao hacktivismo. De acordo com o relatório "State of the Internet" da Akamai, o número de ataques DDoS aumentou 200% no ano passado em relação a 2011.

Graças ao uso frequente de ataques DDoS por hacktivistas de todo o mundo, hoje em dia os ataques DDoS podem atingir qualquer empresa ou governo. Os bancos americanos, por sinal, tem sido um alvo constante de protestos via DDoS, principalmente por conta da operação OpAbabil, que há vários meses tem derrubado sites de diversas instituições financeiras americanas como forma de pressionar o governo americano a retirar do ar as cópias do vídeo "Innocence of Muslins".

[Cyber Cultura] 20 anos de World Wide Web

Há vinte anos atrás, o CERN publicou a especificação de uma nova tecnologia que revolucionou o mundo: a World Wide Web. Além de criar o conceito, o CERN disponibilizou livremente o software necessário para executar um servidor web, juntamente com um navegador básico e uma biblioteca de código. Isso foi fundamental para a Internet surgir e crescer livremente, alcançando diversas faculdades, instituições governamentais e, em pouco tempo, se espalhando entre empresas e usuários em todo o mundo.

A World Wide Web, seu conceito de páginas, browsers e navegação através por hiperlinks posteriormente motivou o surgimento da Internet que conhecemos hoje.

A tecnologia por trás da World Wide Web foi inventada em 1989 no CERN por Tim Berners-Lee. Ela foi originalmente concebida para permitir a troca de informações entre os cientistas em universidades e institutos de todo o mundo. O primeiro site do CERN, e consequentemente do mundo, foi dedicado ao projeto em si e foi hospedado no computador do próprio Tim Berners-Lee, um NeXT. O site descrevia as características básicas da web, como acessar documentos de outras pessoas e como configurar seu próprio servidor.



Veja mais informações sobre o surgimento da World Wide Web no site do CERN.

Para comemorar a data, o CERN recolocou no ar o primeiro site: http://info.cern.ch/hypertext/WWW/TheProject.html.

Nota: Post atualizado em 02/05/13.

[Cyber Cultura] Hacker Job Fair

Entre algumas novidades que pretendemos ter na próxima edição da Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP), dia 19 de Maio, nós vamos realizar a "Hacker Job Fair".

A "Hacker Job Fair" é uma tentativa nossa de colaborar com o mercado de TI e de seguranca, oferecendo um espaço aonde as empresas podem divulgar novas oportunidades de carreira e buscar talentos, e os estudantes e mesmo os profissionais já empregados podem entrar em contato com estas empresas. Com esta iniciativa, esperamos diminuir o abismo existente entre as empresas e os profissionais, ajudando no amadurecimento do mercado de trabalho.

Algumas empresas já confirmaram sua participação na "Hacker Job Fair":
Também teremos uma palestra relacionada a carreira oferecida pela Vagas.com.br, com o tema "A Importância das Redes Sociais na sua Colocação Profissional".

A Co0L BSidesSP é uma mini-conferência gratuita sobre segurança da informação organizada pelo Garoa Hacker Clube para promover a inovação, discussão e a troca de conhecimento entre os participantes e divulgar os valores positivos e inovadores da cultura hacker. Além disso, a Co0L BSidesSP faz parte das conferências “Security B-Sides” existentes em mais de 35 cidades de dez países diferentes.

A quinta edição da Co0L BSidesSP tem o patrocínio da Trend Micro e ocorrerá no dia 19 de Maio de 2013 (domingo), como apoio ao You Sh0t the Sheriff (YSTS), uma das mais importantes conferências de segurança brasileiras, que será no dia seguinte, 20 de Maio.

abril 29, 2013

[Segurança] Um em cada 20 computadores estão infectados

Segundo uma estatística divulgada recentemente pela Kaspersky, aproximadamente 5% dos computadores pessoais em todo o mundo estão infectados, o que representa um em cada 20 computadores. Ou cerca de 50 milhões de computadores em todo o mundo. E, o que é pior: esta estatística diz respeito aos computadores que possuem anti-vírus.

Outro dado interessante: o relatório Security Intelligence Report Volume 14 (SIRv 14) da Microsoft, o Brasil é o segundo país do mundo com maior quantidade de desktops infectados, de acordo com os resultados obtidos através da ferramenta de anti-malware da Microsoft. Com 4.4 milhões de computadores infectados no quarto trimestre de 2012, o Brasil só perdeu para os Estados Unidos.

[Segurança] Twishing

Mais uma buzzword para a nossa coleção: "twishing".

Recentemente, um grupo de pesquisadores descobriram um novo malware projetado para ter roubar dados bancários dos usuários, que usa o Twitter para se espalhar e atingir mais vítimas. Este malware usa o Twitter da mesma forma que os malwares tradicionais usam os e-mails: para espalhar mensagens falsas (phishing) e, assim, infectar novas vítimas.

Esta técnica ganhou um novo nome: "twishing" (fusão Twitter + "phishing").

O malware, chamado TorRAT, é um kit de trojan já conhecido que tradicionalmente é usado para atacar bancos e instituições financeiras. Esta nova versão, após infectar uma vítima, monitora a navegação do usuário em seu browser e, quando ele acessa o Twitter, o malware injeta um código Javascript na página da conta da vítima e rouba o token de autenticação do usuário, que o malware posteriormente usa para postar tweets através da API do Twitter.

Segundo a reportagem do site Mashable, este malware possivelmente representa a primeira vez que contas no Twitter de usuários reais são invadidas e utilizadas para realizar ataques de phishing e espalhar malware.

[Cyber Cultura] Entendendo as gerações?

Recentemente eu assisti o vídeo "All work and all play" que explica de uma forma bem caprichada as diferenças entre as gerações que hoje habitam o mercado de trabalho: os "baby boomers", a geração X e a geração Y.

O vídeo foi publicado no ano passado e é bem didático, descrevendo como várias gerações enxergam o trabalho e como isso afeta a sociedade. Mas eu devo confessar que não sou muito empolgado com esta história de classificar e rotular as pessoas desta forma, algo que tem sido repetido ad infinitum no mundo empresarial, na mídia e no dia-a-dia. Explico:
  • Primeiro, qualquer generalização que tente descrever o ser humano tende ao erro. Pelo simples motivo de que o ser humano é complexo e não segue uma receita de bolo. Você pode pegar duas pessoas nascidas no mesmo dia, que tiveram o mesmo tipo de educação e estilo de vida similares, e ambos certamente serão pessoas totalmente diferentes entre si. Um pode ser um médico e o outro, um mecânico. Um pode ser ateu e o outro cristão. Um pode ser viciado na Internet e ou outro ser totalmente desligado. Um tem perfil no Facebook e o outro odeia redes sociais. Um pode comer primeiro o recheio da bolacha recheada e o outro come a bolacha de uma vez só. Outro pode comer pizza com catchup e o outro mistura macarrão com feijão. E por aí vai.
  • Igualmente, qualquer análise estatística representa a média do que está sendo observado e exclui os extremos. Se você colocar um pé numa bacia com gelo e outro numa bacia com água quente, na média você pode estar na temperatura ambiente, mas ainda assim não será nada agradável.
  • No caso específico da rotulação das gerações, ela é totalmente baseada no ponto-de-vista americano, da cultura, da economia e da sociedade americana. Começa pela tal "geração baby-boomers": este foi um fenômeno predominante nos EUA, e não no resto do mundo. Enquanto os "baby-boomers" estavam revolucionando a pesquisa e a economia americana, nós da América do Sul estávamos vivendo sob ditaturas, os Japoneses e Europeus estavam se reconstruindo no pós-guerra (e alguns deles também vivendo em ditaturas), os Russos estavam preocupados com a Guerra Fria, os Chineses estavam vivendo o início do comunismo, e por aí vai. Mesmo hoje em dia, não dá para considerar que o mundo inteiro é igual: para começo de conversa, a penetração da Internet é totalmente diferente nos países desenvolvidos e nos países sub-desenvolvidos. Enquanto a economia dos EUA e da Europa ainda está em crise (e, em alguns países Europeus, está quase em frangalhos), vários países estão estáveis e os países do BRIC (Brasil, Rússia, India e China) estão relativamente bem. Isso afeta o mercado de trabalho e, portanto, o empreendorismo e a fidelidade dos empregados a sua empresa atual.
De qualquer forma, não dá para negar que esta separação em gerações acaba descrevendo muito bem a mudança que tem ocorrido no mercado de trabalho, ou seja, na maioria (note: eu disse "na maioria", e não "na totalidade") das empresas e dos profissionais. Ainda mais hoje em dia, pois a globalização acaba por influenciar as características culturais e econômicas de cada país. Enquanto a globalização da economia afetava os países capitalistas e até mesmo os comunistas desde o final do século passado, nos anos 70, 80 e 90 vivemos o período da "aldeia global", que foi o início da cultura de massa promovida principalmente pela TV, e a partir dos anos 2000 vivemos e uma sociedade altamente conectada, não só com os nossos pares mas com o mundo todo, graças a Internet e ao fenômeno mais recente das redes sociais.

Por isso, vale a pena ver como o vídeo descreve as gerações existentes hoje em dia:
  • Baby Boomers (anos 60 e 70)
    • O espaço de trabalho limitava-se ao escritório: a jornada de trabalho tinha hora certa para começar e acabar (até hoje minha mãe não entende porque eu não tiro 30 dias de férias todo ano...) e não se levava trabalho para casa
    • As responsabilidades eram individuais e específicas
    • Vários anos de experiência levavam ao crescimento dentro da empresa
    • As empresas tinham estruturas hierárquicas
    • O trabalho era sinônimo de disciplina
    • Sucesso era sinônimo de estabilidade
    • A recompensa pelo trabalho vinha com o tempo (isto é, com a aposentadoria!)
  • Geração X
    • O horário de trabalho foi extendido para o "happy hour" e surge o culto ao "workaholic", aquele viciado em trabalho que fica no escritório até tarde
    • Trabalhadores competitivos e auto-confiantes, seguindo uma lógica mais individualista
    • Busca pelo rápido crescimento profissional
    • Crescimento na empresa baseado na meritocracia
    • Foco em diplomas, MBAs, PHDs para se destacar, além da aparência (argh, quem mandou usar terno em um país quente como o Brasil?)
    • O sucesso significava ser jovem e rico (hum, vai me dizer que isso não é um valor forte da cultura americana e que a economia dos EUA é uma das poucas que permitiam e ainda permitem isso?)
    • A recompensa pelo trabalho surge imediatamente.
  • Geração Y (ou Millenials):
    • O trabalho está sempre presente e totalmente móvel: destaque para o home-office e espaços compatilhados, aonde cada um pode fazer seu próprio horário
    • O prazer determina a realização profissional
    • Sucesso é sinônimo de prazer e paixão pelo que faz
    • Boom do empreendorismo com o apoio da força coletiva (com destaque ao crowdfunding)
    • Relacionamentos no trabalho baseados na velocidade do dia-a-dia: foco em projetos de curto-prazo e feedback constante
    • A hierarquia foi substituída pela troca de conhecimentos
    • Valorização de formas mais informais de educação (hum, por isso que o mercado valoriza tanto as Certificações?): foco na flexibilidade e aprender novas habilidades




Baseado em minha experiência pessoal e no que eu percebo dos meus amigos e colegas de trabalho, na verdade estas definições descrevem muito mais o mercado de trabalho como um todo do que uma geração específica. Ou seja, eu vejo muito mais sentido em dizer que, por exemplo, "Geração X" descreve a forma de trabalho nos anos 80 e 90 e que "Geração Y" descreve a dinâmica das empresas atuais, independente da idade das pessoas. O mercado de trabalho, a economia e os profissionais estão seguindo um ciclo alinhado de mudanças, de acordo também com a evolução natural da sociedade, das tecnologias e dos relacionamentos pessoais e profissionais.

abril 12, 2013

[Carreira] Visualize sua rede de contatos no LinkedIn

O serviço InMaps do LinkedIn permite que visualizemos de uma forma gráfica como os nossos contatos profissionais estão distribuídos.

Este serviço monta um gráfico a partir dos seus contatos e os distribui de acordo com características específicas, que você tem que descobrir quais são para identificar os rótulos que foram criados. Não deixa de ser algo bem interessante.

A minha rede social, por exemplo, está bem compacta, o que significa que a maioria dos meus contatos profissionais estão concentrados no mercado nacional de Segurança e, portanto, se conhecem entre si.



O LinkedIn é muito utilizado como rede social profissional, aonde temos a oportunidade de compartilhar nosso perfil profissional e nos conectar com colegas do mercado. Esta ferramenta de mapas é bem interessante pois nos ajuda a conhecer melhor nosso relacionamento com nossos contatos e a visualizar a interação que existe entre eles.

abril 02, 2013

[Cyber Cultura] Um dia Primeiro de Abril bem Geek

Como já virou tradição, neste dia primeiro de Abril várias empresas de tecnologia, publicações e sites especializados publicaram algum tipo de notícia falsa em homenagem ao Dia da Mentira. Veja alguns deles:

O Info Online e o site Tech Crunch publicaram reportagens sobre as melhores piadas de primeiro de Abril. Veja abaixo alguns dos melhores vídeos que foram lançados hoje, na minha opinião:









abril 01, 2013

[Segurança] Agenda provisória da Co0L BSidesSP 5 divulgada hoje

Foi divulgado hoje, 01/04, a agenda provisória da quinta edição da Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP), o evento organizado pelo Garoa Hacker Clube que acontecerá dia 19 de Maio, na véspera do You Sh0t the Sheriff (YSTS).


O evento terá várias palestras e oficinas sobre segurança e cultura hacker, além de um debate e uma Hacker Job Fair. As oficinas serão práticas (hands-on), na área que chamamos de Garoa Village). As inscrições são gratuitas e serão abertas a partir de 15/04.


Horário Local Atividade
9:00 Recepção e Credenciamento
10:00 Abertura
10:10 Sala 1 Palestra Conscientização para Capivaras, Ewerson Guimarães (Crash)
Sala 2 Palestra Isto é APT !!!, Fernando Mercês
Garoa Village Oficina de Arduino, Massimo Banzi
Garoa Village Oficina PC Assembly, Daniel Quadros
11:00 Sala 1 Palestra Decepticon: The Short Edition, Nelson Brito
Sala 2 Palestra Engenharia reversa de sistemas Windows, Felipe "Juca" Sanches
11:50 Intervalo para Almoço
12:50 Sala 1 Palestra Muffins e Cupcakes, Tony Rodrigues
Sala 2 Palestra Criptografia Quântica com a Língua do P, Paulo Barreto
Garoa Village Oficina de Desenvolvimento de Malwares, Vecna
Garoa Village Oficina Oficina: Desenvolvendo ferramentas de segurança em C, Wietse Venema
13:40 Sala 1 Palestra Explorando Backdoors em Pentest, David L. Lightman
Sala 2 Palestra Protegendo usuários contra ataque Codified Likeness Utility, Kevin Flynn
14:30 Sala 1 Palestra Firewall ou IDS?, Jack Stanfield
Sala 2 Debate As mulheres na área de Segurança da Informação, Kate Libby e Angela Bennett
Garoa Village Oficina A arte de Rootkits, Eugene Belford (The Plague)
Garoa Village Oficina Criptoanálise e quebra de senhas, Irwin 'Whistler' Emery
15:20 Sala 1 Palestra Redes Wireless e War Driving, Padre Landell de Moura
Sala 2 Palestra Password Cracking sob (boa) pressão, Stanley Jobson
16:10 Intervalo e Leilão Beneficente
16:20 Sala 1 Palestra Derrubando a Internet intergalática com ataques de amplificação com DNS reflection, Sven Olaf Kamphuis, CyberBunker
Sala 2 Palestra Earth Computing sem Hadoop, Arthur Dent
Garoa Village Oficina: DIY Nuclear - Construa seu próprio mini-reator ARK, Tony Stark
Garoa Village Oficina de Crimeware, Cosmo
17:10 Sala 1 Palestra BCP e Sobrevivencia em um apocalipse Zumbi, Rick Grimes
Sala 2 Palestra A Arte da Cyber Guerra, Sun Tzu
18:00 Sala 1 Palestra Pentest em instalações militares, Luke Skywalker
Sala 2 Palestra VIPS – Histórias Reais de um Engenheiro Social, Marcelo Nascimento da Rocha
Garoa Village Debate: Krusty Security - Porque Bozo é para Lammers
Garoa Village Oficina de Nmap, Trinity
18:50 Sala 1 Gestão e motivação de equipes de segurança, Anakin Skywalker
Sala 2 Técnicas de Evasão, David Copperfield


A agenda é provisória e pode sofrer alterações a qualquer momento.

O pessoal da NoSuchCon, na França, também divulgou a agenda hoje.