junho 30, 2013

[Segurança] O futuro da segurança: e se o ataque virou rotina?

Nota: Este artigo faz parte (tardiamente) de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

Sob o ponto de vista do empresariado, especializado ou não em segurança da informação, os incidentes de seguranca ja viraram ~rotina, "carne de vaca", e todo dia surgem notícias de empresas ou órgãos de governos que foram atacados, tiveram seus sites retirados do ar por ataques de negação de serviço ou tiveram dados de clientes roubados. E a imprensa é hábil em acusar os super-sofisticados "hackers", como se a capacidade de ataque deles fosse ilimitada e nada há o que possamos fazer contra isso.

Veja o caso do jornal The New York Times: no início deste ano o jornal divulgou que foi invadido por hackers chineses (leia-se: "super hakers, capazes de invadir qualquer empresa em qualquer lugar do mundo"), que tiveram total acesso ao jornal por pelo menos 4 meses. Os atacantes conseguiram instalar 45 malwares, que não foram detectados pelo antivírus utilizado pela empresa, da gigante Symantec.

Se nem a Symantec consegue proteger o The New York Times, quem irá nos proteger? Nem mesmo o Chapolim Colorado...

Como consequencia da complexidade dos ataques atuais e da incapacidade da indústria em defender as empresas e os usuários, os casos de invasão ficaram comuns e, consequentemente, ninguém mais considera isso um grande problema. O impacto para a imagem das empresas é minimo: basta alegar que sua empresa foi atacada por um malware super sofisticado ou por hackers chineses, que estará tudo bem. Salvo raras excessões, os clientes não se assustam mais e não trocariam de fornecedor por causa da empresa ter sofrido um ataque. 

Se, nos primórdios da Internet, algumas empresas poderiam perder clientes ou até fechar por serem invadidas, hoje isto certamente não acontece mais. Na verdade, eu não conheço nenhum caso importante de empresa que fechou por causa de um cyber ataque, exceto pelo site brasileiro de piadas Humortadela. Há muitos anos atrás eu ouvi que a empresa americana CDNow teria falido por causa de um ataque, mas é mentira - o problema foi a administração e a concorrência mesmo.

Recentemente, tivemos alguns casos de empresas vergonhosamente atacadas e invadidas, mas que não sofreram grande impacto nos negócios depois dos ataques (isto é, tiveram prejuízo pontual por causa dos ataques, mas não perderam mercado): a Telefonica no Brasil e a Sony, em todo o mundo. Embora a ANATEL tenha proibido a Telefônica de vender o seu serviço de banda larga Speedy por causa da instabilidade de seus serviços (como consequência de ataques), a empresa continua vendendo Speedy como água. Embora a Sony tenha sofrido vários ataques em 2010, ninguém deixou de comprar o PlayStation.

Estes casos provam que, hoje em dia, o usuário dificilmente trocaria de empresa por causa de um ciber ataque (afinal, qualquer empresa spode ser atacada e derrubada hoje em dia), mas talvez por algum problema grave no serviço final ou falta de atendimento. Como eu disse, as notícias de ataques, roubos de dados e de sites fora do ar por causa de ataques DDoS são muito comuns, corriqueiros, e por isto os consumidores já se acostumaram. 

Os ciber ataques fazem parte do dia a dia, já viraram rotina.

A indústria já está percebendo isto, por isso fica cada vez mais difícil justificar o investimento em segurança.

junho 28, 2013

[Segurança] Um balanço da Co0L BSidesSP

Recentemente eu escrevi um post no blog do Garoa contando como foi a última edição da Co0L BSidesSP, que ocorreu dia 19 de Maio de 2013 na FATEC de São Caetano do Sul. Além do que consta no blog, eu gostaria de acrescentar mais algumas opiniões pessoais e comentários sobre esta experiência.

De cara, esta edição trouxe muitas novidades para o formato do evento, para os participantes e para nós da organização:
  • O local: Pela primeira vez realizamos o evento em um local totalmente independente do Garoa e do evento principal (a edição passada, que foi realizada junto com a H2HC já representou uma primeira ruptura, por ser a primeia edição fora do espaço do Garoa). Por questões de custos, decidimos aceitar um convite que recebemos da FATEC SCS e fizemos o evento lá, sem gasto nenhum (exceto pela faixina). Foi uma ótima decisão, pois o local é muito espaçoso, o que permitiu ter várias salas dedicadas a atividades diferentes. Além disso, o pessoal da FATEC SCS nos recebeu super bem e deu todo o apoio que precisávamos.
  • Churrasco: Para reduzir custos e não ficarmos no prejuízo, decidimos contratar um churrasqueiro em vez de contratar um buffet, como tínhamos feito nas edições passadas. Embora tenha dado certo do ponto de vista financeiro, isto nos deu muito trabalho extra, pois precisamos comprar as carnes, bebidas, carvão e gelo. Isso fez com que perdessems muito tempo e ficamos cansados, afinal lotamos dois carros (porta-malas e bancos de trás) com as compras. Para piorar, o churrasqueiro que cotratamos não deu conta da quantidade de pessoas e, por isso, na hora do almoço tinha pouco espetinho para muita gente. O resultado foi uma fila enorme para a comida, além da triste cena de ver pessoas furando a fila e desrespeitando os colegas. O fornecimento de espetinhos só regularizou no meio da tarde. 
  • Novas atividades: Nesta edição fizemos uma "Hacker Job Fair" na tentativa de aproximar as empresas e os participantes do evento, trazendo oportunidades de carreira para o pessoal. Também tivemos uma sala de descompressão, com lojinhas e uma piscina de bolinhas. Aparentemente o pessoal gostou: eu marquei algumas bolinhas e oferecemos brindes para quem achasse estas bolinhas. E não é que acharam? Além do mais, um amigo levou seu filho pequeno para o evento, que certamente se divertiu na piscina. 
  • Pré-venda de camisetas: foi ma idéia que nos permitiu fazer uma quantidade de camisetas condizente com a demanda e, pela primeira vez, não tivemos sobras. Nas edições anteriores ficamos com dezenas de camisetas, o que significaram muito dinheiro jogado fora, além do trabalho para levar de volta e guardar. Além disso, poderíamos ter usado o dinheiro da pré-venda para ajudar nas compras (o que seria ótimo para nosso fluxo de caixa) se o PayPal não tivesse bloqueado nossa conta :(
  • Pesquisa no formulário de inscrição: desta vez incluímos uma pequena pesquisa no formulário de inscrição, o que nos ajudou a ter uma melhor visão sobre o perfil do nosso público. Vou comentar sobre os resultados logo abaixo.


Na minha opinião, a foto com o pessoal sentado no gramado da FATEC SCS sintetiza exatamente o que nós queremos para a BSidesSP: que ela seja um lugar aonde as pessoas possam se encontrar, conversar, assistir conteúdo de qualidade e, principalmente, se divertir com os amigos.



O espaço da FATEC SCS simplesmente superou nossas expectativas: conseguimos distribuir as atividades confortavelmente, com espaço suficiente para todos. Cada oficina tinha uma sala dedicada, além de termos o auditório gigante, uma sala para palestra, uma sala de descompressão (com lojinhas e a piscina de bolinhas) e uma sala para a Hacker Job Fair. Além do mais, o pessoal da FATEC SCS nos deu muito apoio antes e durante o evento, o que nos ajudou bastante. Sinceramente, não esperávamos tamanha receptividade e tanta energia positiva.

Falando rapidamente das estatísticas (que estão mais detalhadas no blog do Garoa):
  • Tivemos 196 pessoas presentes
  • Bad news: tivemos um alto no-show: 47% dos inscritos não apareceram
  • A maioria dos inscritos tem bastante experiência: 59% já trabalham na área e a média de idade foi de 27.9 anos (variando de 13 a 52 anos).
  • Poucos participantes (cerca de 1/3) iriam participar da You Sh0t the Sheriff e apenas 25% já participaram de alguma das edições anteriores da Co0L BSidesSP.

Vale a pena falar um pouquinho mais sobre o no-show: ao se inscrever e não comparecer, este pessoal tomou o espaço de pessoas que gostariam de ter vindo no evento. Como as atividades estavam dimensionadas para mais de 300 pessoas, algumas palestras ou oficinas ficaram mais vazias do que pretendíamos, o que é chato também para os palestrantes. E, apesar do problema que tivemos de atraso no churrasco, sobrou muita comida e muita bebida. Acreditamos que os dois principais motivos para o no-show foram o final do campeonato "sei-lá-qual" de futebol no mesmo dia e a difícil localização da FATEC SCS.

Para dar uma idéia do crescimento das edições da BSidesSP, eu disponibilizei uma apresentação com um único slide que resume as cinco edições da Co0L BSidesSP que já realizamos, de Maio de 2011 até Maio deste ano.



Anote na sua agenda: A próxima edição será no dia 06 de Outubro de 2013, junto com a H2HC.

Em tempo: a quinta edição da Co0L BSidesSP contou com o patrocínio da Trend Micro, da Cipher e da Tempest Security Intelligence. Digo isso porque o evento não seria possível sem o apoio delas.

junho 26, 2013

[Cyber Cultura] Richard Stallman vai para o Hall da Fama da Internet

A Internet Society e a Free Software Foundation anunciaram que o Richard Stallman foi incluído no Hall da Fama da Internet, um prêmio anual que homenageia as personalidades que fizeram contribuições significativas para o avanço da Internet em todo o mundo.

O Internet Hall of Fame homenageou o Stallman por suas contribuições filosóficas como o fundador do movimento do software livre, incluindo a criação do Projeto GNU, autoria da GNU General Public License (que surgiu muito antes do conceito de Creative Commons) e fundação da Free Software Foundation. Além do mais, neste ano será comoemorado 30 anos da publicação do o Manifesto GNU.

Para quem quiser conhecer mais sobre a história do Stallman e o nascimento do movimento do Software Livre, eu recomendo a leitura do livro "Coding Freedom", da Gabriella Coleman, que tem vários capítulos discutindo e detalhando isto muito bem. O livro está disponível para download.

A propósito, o vídeo dele como Saint IGNUcius e sobre a Igreja do Emacs (Church of Emacs) é hilário.



O Internet Hall of Fame de 2013 inclui vários agraciados, entre ativistas (como o Aaron Swartz), engenheiros e empreendedores (como o Marc Andreessen)

junho 15, 2013

[Cidadania] Vai protestar contra o sistema? O sistema agradece.

Não importa se você está no Brasil, na Turquia, nos EUA, no Egito ou na Espanha. Se você for as ruas protestar contra o governo, contra a indústria do copyright ou a favor da liberdade de expressão, provavelmente este protesto foi organizado pelas redes sociais. E provavelmente foi organizado pelo Anonymous. E provavelmente terá uma galera lá usando a máscara do filme V de Vingança.



Uma reportagem do jornal The New York Times de 2011 já alertava: a máscara do personagem Guy Fawkes é licenciada pela Time Warner, gigante da indústria do entretenimento. Portanto, ela é financeiramente beneficiada toda vez que alguém usa a máscara durante os protestos. Ou seja: os protestos contra a indústria do copyright beneficiam... a indústria do copyright.

A Time Warner agradece.

Segundo o NYT, a máscara do Guy Fawkes é a mais vendida entre as máscaras na Amazon (mais do que as máscaras do Batman, Harry Potter e Darth Vader). Segundo a empresa americana Rubie’s Costume, eles vendem cerca de 100 mil máscaras por ano, enquanto a venda das outras máscaras mal passa de 5 mil unidades por ano.

Como eu já expliquei anteriormente, os participantes do grupo Anonymous começaram a usar a máscara do Guy Fawkes quando organizaram os primeiros protestos nas ruas. Esta máscara foi criada como uma representação estilizada do Guy Fawkes no comic book "V de Vingança", escrito pelo Alan Moore em 1981. Em 2005 foi lançado o filme homônimo, que ajudou a popularizar o personagem V desta história como um defensor anônimo do povo contra um governo opressor. E, a partir daí, surgiu a associação da máscara estilizada com a ideologia utilizada pelo Anonymous em seus protestos.

Vamos protestar contra o governo? Contra o ACTA e as iniciativas pró-indústria do Copyright? Contra o aumento da passagem em São Paulo? Em Porto Alegre? Eu comprei a minha máscara do Guy Fawkes numa lojinha na Ladeira Porto Geral, por R$ 7,00.

E a Time Warner agradece.

junho 07, 2013

[Segurança] Eventos de Segurança no Segundo Semestre de 2013

Neste ano teremos uma grande variedade de eventos de segurança interessntes que irão ocorrer no segundo semestre. Reserve sua agenda, pois o ritmo de eventos entre Julho e Dezembro deste ano será bem intenso.

Segue abaixo uma lista com os eventos na área de segurança que eu considero merecerem a visita:
  • Junho/2013
    • 08/06: Tosconf - Evento organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace lá de Campinas. A Tosconf tem a pretensão de ser uma "conferência tosca", mas na verdade é um evento excelente, com ótimas palestras e oficinas sobre hacking em geral, incluindo assuntos diversos como hardware hacking e segurança da informação. Isto sem falar que o evento é realizado na sede do LHC, um ambiente muito legal e acolhedor.
    • 12 a 14/06: CIAB - embora seja um evento focado na venda de soluções para o mercado financeiro, as principais empresas de segurança participam com stands e palestras para atrair clientes dentre os bancos brasileiros. Tem uma área de exposições enorme, mas que inclui desde empresas de segurança da informação a fornecedores de caixas eletrônicos. Se você trabalha no setor financeiro ou em algum fornecedor de soluções de segurança, a presença é obrigatória.
    • 22 e 23/06: BHack (Belo Horizonte) - Segunda edição de um evento bem caprichado organizado pelos nossos amigos do DC Labs, de Belo Horizonte. A grade tem um ótimo mix de palestras técnicas e algumas um pouco mais gerenciais, distribuídas em duas tracks simultâneas e com excelentes palestrantes. O evento é uma ótima iniciativa para levar conteúdo de qualidade para o público mineiro.
  • Julho/2013
    • 01 e 02/07: GRC International + DRI Day América Latina - Evento de GRC e Continuidade de Negócios, com palestras focadas em assuntos gerenciais. O GRC International + DRIDay é focado em governança, gestão de riscos e continuidade de negócios para um público de gestores.
  • Agosto/2013
    • 12 e 13/08: V Congresso de Crimes Eletrônicos e Formas de Proteção - Evento organizado pela FECOMÉRCIO que reúne especialistas, empresários, autoridades, peritos e juristas envolvidos no combate ao crime eletrônico. Inclui palestras e e debates sobre soluções e tendências. Evento gratuito e de boa qualidade.
    • 14 a 16/08: ICCyber 2013 - O maior evento de forense da América Latina e que já está em sua 10ª edição. Neste ano o ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos) ocorrerá em São Paulo, na Fecomércio. É um evento com foco bem específico em investigação e combate ao crime cibernético e forense computacional. Atrai principalmente membros da polícia federal e estadual (peritos e delegados especializados em crime cibernético), membros do governo e forças armadas, funcionários de bancos e empresas de cartão, além de juristas e representantes de instituições do Brasil e do exterior (incluindo palestrantes do FBI e polícias de outros países). A ICCyber inclui palestras técnicas e uma área de expositores relativamente grande, além de uma trilha para apresentação de artigos científicos. A edição deste ano da ICCYBER foi cancelada :(
    • 22/08: SecureBrasil - Evento muito bem organizado pela Flipside e com a chancela do (ISC)², o que atrai os principais profissionais de segurança do mercado - e, em especial, aqueles que são certificados CISSP. O evento conta com palestras direcionadas a profissionais experientes, com uma área de exposições para os patrocinadores.
    • 29/08: Dia Internacional de Segurança em Informática (DISI) - evento realizado anualmente pela Rede Nacional de Ensino e Pesquisa (RNP) para educar e conscientizar usuários finais sobre segurança na Internet. O DISI inclui atividades de conscientização gratuitas, abertas ao público e que são transmitidas online em tempo real.
    • 29/08: VIII Workshop SegInfo (twitter @SegInfo) - O principal evento de segurança no Rio de Janeiro. O Seginfo é um evento muitíssimo bem organizado pelo pessoal da Clavis (muito bem organizado mesmo!), que possui uma abordagem técnica e empresarial ao mesmo tempo, com excelentes palestras sobre segurança da informação, além de uma competição de War Games. Neste ano o pessoal da Clavis vai dar um novo formato para o evento, que desta vez terá uma versão que será um evento noturno e gratuito. O evento ocorrerá no Auditório do Centro de Convenções da Bolsa do Rio de Janeiro, no Centro do Rio.


  • Setembro/2013
    • 14 e 15/09: Vale Security Conference (ValeSecConf) (twitter @ValeSecConf) - Evento organizado em São José dos Campos, que visa atingir o público na região do Vale do Paraíba. O evento terá sua segunda edição neste ano, e tem um mix de palestras com temas técnicos e gerenciais, com ótimos palestrantes. Nesta edição também já está confirmado um debate sobre a lei Carolina Dieckman. A primeira edição, realizada em 2011, foi muito bem organizada e teve excelentes palestras.
    • 16 a 18/09: CNASI São Paulo - o tradicional Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) organizado pelo IDETI. Palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança. Inclui várias atividades entre palestras, mini-cursos e debates, além de uma área de exposições para os patrocinadores.
    • 21/09: RoadSec (twitter @roadsec) - Edição de Curitiba de um novo evento organizado pela Flipside, que pretende ser um evento itinerante realizado em diversas cidades brasileiras. Segue o formato de um dia repleto de palestras com palestrantes previamente selecionados em conjunto com palestrantes locais e com uma apresentação do patrocinador.
    • 27 e 28/09: Silver Bullet - Terceira edição do Silver Bullet, que sempre é realizado na Fecomércio, em São Paulo. Evento de dois dias (sexta e sábado) e até duas tracks que atrai vários profissionais e interessados em segurança da informação. O SB é organizado pelos mesmos criadores da conferência You Sh0t the Sheriff. A semelhança da SB com seu "irmão mais velho" está na promoção de temas inovadores e de novas pesquisas, com o diferencial de ser um evento aberto (enquanto o YSTS é, primariamente, "invite only") e dar espaço principalmente a palestrantes nacionais. Além de palestras, neste ano eles repitirão um painel inventado em 2012 e batizado de "Technology Gangnam Style", formado por discussões com interação de todo o público sobre diversas tecnologias de segurança da informação. A edição de 2012 estava bem menor do que o ano anterior (em termos de espaço físico e quantidade de público presente), mas espero que continue atraindo um bom público.
  • Outubro/2013
    • 03 e 04/10: Sacicon - Evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês. ou seja, palestrantes e visitantes extrangeiros são bem-vindos. Além do mais, o evento começa com um keynote speaker e uma festa na noite de 03/10 e continua no dia seguinte com palestras após um "hangover brunch".
    • 05 e 06/10: Décima edição da Hackers to Hackers Conference (H2HC) (twitter @h2hconference) - A H2HC é o maior, mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa em segurança, vulnerabilidades e novos ataques. Antigamente a H2HC atraia principalmente pesquisadores independentes de segurança ou participantes do mundo underground, mas hoje em dia o evento se tornou um dos mais importantes do mercado de segurança brasileiro, com palestras técnicas e mini-cursos.
    • 06/10: Conferência O Outro Lado BSides São Paulo - A sexta edição da mini-conferência Co0L BSidesSP, organizada pelo Garoa Hacker Clube, acontecerá em paralelo com a H2HC. A conferência será gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras (com foco mais técnico), oficinas (hands-on), debates e um churrasco para os participantes.
    • 19/10: RoadSec (twitter @roadsec) - Edição de Belo Horizonte do novo evento organizado pela Flipside. Oferece um dia repleto de palestras, com palestrantes previamente selecionados, palestrantes locais e uma apresentação do patrocinador.
    • 28 e 20/10: CNASI Recife - Terceira edição do CNASI em Recife (PE). Os "CNASI regionais" são uma versão "mini-me" do CNASI São Paulo, com dois dias de palestras e atividades relacionados a gestão, auditoria de TI, segurança da informação e governança. O evento também tem uma pequena área de expositores.
  • Novembro/2013
  • Dezembro/2012
Não posso deixar de mencionar cinco eventos internacionais que valem a pena, se sobrar tempo e dinheiro:
  • Black Hat e Defcon, eventos importantíssimos e gigantes que acontecem em Las Vegas (EUA) na semana entre o final de julho e início de agosto. A Black Hat (27/07 a 01/08) é um dos mais importantes eventos de segurança do mundo e a Defcon (01 a 04/08) é a maior conferência hacker do mundo, com mais de 6 mil pessoas e dezenas de palestras e atividades simultâneas.
  • BSides Las Vegas, dias 31/07 e 01/08, na véspera da Defcon. É uma ótima opção para quem quer ir na Defcon mas não quer (ou não pode) gastar dinheiro com a inscrição da Black Hat. Com diversas palestras em um clima super descontraído, a BSidesLV foi a primeira conferência no formato Security BSides. As inscrições são gratuitas mas se esgotam rapidamente (na verdade, já se esgotaram...).
  • Ekoparty, na Argentina. Um excelente evento de segurança que acontece de 23 a 27 de Setembro em Buenos Aires (Argentina), com foco principal em pesquisa em segurança e palestras mais técnicas. Também inclui uma competição de Capture The Flag (CTF) e uma área de expositores. A "eko" é um evento de excelente qualidade e muito próximo de nós. Certamente é o evento internacional com melhor relação custo x benefício para nós.
  • BSides Lisboa, em Portugal. Porque não aproveitar a proximidade da língua e da cultura e visitar a BSides Lisboa, no dia 04 de Outubro? O evento terá duas trilhas de palestras (uma com palestras de 60 minutos e outra com palestras mais curtas, de 30 minutos de duração). 
  • Trigésimo CCC: evento gigante realizado na Alemanha na semana entre o Natal e o Ano-Novo, atraindo hackers de toda a Europa. É também o mais antigo evento da atualidade. Prepare-se para o frio...
Para ver uma lista mais completa com todos os eventos de TI e segurança no Brasil e os principais eventos no mundo, eu recomendo que você visite o site Agenda TI.

Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem. Mas eu só coloco aqui os eventos que eu considero importantes e que eu gosto ;)

Notas:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.