setembro 26, 2013

[Cyber Cultura] 30 anos de GNU

Neste mês está sendo será celebrado o trigésimo aniversário do Sistema GNU, mais conhecido por sua versão utilizando o núcleo Linux, o GNU/Linux, e que tem o Richard Stallman como seu fundador e principal evangelista.

No dia 27 de setembro de 1983, Stallman divulgou a mensagem de lançamento do Projeto GNU, clamando pela liberdade do Linux e pela liberdade dos programadores em desenvolverem códigos livremente, sem as amarras do Copyright, das licenças de software ou de acordos de confidencialidade ou de não divulgação. O projeto foi batizado assim pois a sigla GNU significa "GNU is Not Unix", representando uma forma de protesto contra o Unix, que na época representava uma das maiores influências em termos de software proprietário.

Desde então, o conceito de software livre e open source amadureceu, apesar de muita resistência da indústria. O livro "Coding Freedom", da Biella Colleman, narra a história do surgimento do GNU e do movimento software livre, e discute com muita precisão a motivação e os desafios que surgiram, principalmente no começo do movimento GNU.

desde então, o Richard Stallman se tornou um grande evangelizador e divulgador da cultura do software livre, atingindo um status de ídolo e, ao mesmo tempo, maníaco (para seus críticos). De qualquer forma, sua influência é grande e suas idéias são bem consistentes. Um de seus momentos mais hilários está eternizado no vídeo "Richard Stallman (as St IGNUcius)".



Embora por muitos anos o Stallman possa ter sido considerado um radical ou visionário por muitos, hoje em tempos de espionagem desenfreada dos governos (como nos últimos escândalos envolvendo a NSA), vemos que os sistemas de código aberto representam as melhores alternativas que temos para evitar a espionagem governamental através do uso de backdoors. Após 30 anos, o mundo rende-se ao GNU.

Em tempo: o Garoa vai fazer um evento especial para comemorar esta data.

setembro 25, 2013

[Segurança] A NSA tentou colocar backdoor no Linux?

Durante um painel de debates sobre o Kernel do Linux na LinuxCon & CloudOpen em Nova Orleans, aconteceu uma cena inusitada: de repente o moderador dirigiu uma pergunta aos painelistas: "Algum de vocês já foi abordado pelos Estados Unidos para colocar backdoor?". Quase imediatamente o Linus Tovalds deu uma resposta hilária:

"Noooooo"
(balançando a cabeça como se tivesse dito "Sim")

Em seguida, outro painelista, Tejun Heo, completou: "Not that I can talk about" ("Não que eu possa falar sobre"). E ambos arrancaram gargalhadas da platéia.

O vídeo do painel tem 42:38 minutos de duração e esta cena, curta e rápida, aconteceu aos 24:15.



Desde as denúncias do Edward Snowden, o hit do momento é justamente este assunto de espionagem governamental e da NSA ter instalado backdoors em diversos produtos (hardware e software), para facilitar a interceptação de dados. Não é de se adimirar, portanto, que este assunto apareça em um debate durante um evento de tecnologia.

Independente da NSA ter tentado colocar backdoors no Linux, o fato do sistema operacional ter código aberto permite que especialistas em todo o mundo conheçam e analisem o seu código fontee, assim, possam identificar qualquer tipo de função ou funcionalidade estranha. Mesmo uma alteração minúscula e quase imperceptível (como, por exemplo, fixar alguma variável nos algoritmos criptográficos) pode ser eventualmente percebida se o código passa pelos olhos de centenas de desenvolvedores.

setembro 21, 2013

[Segurança] Nova Lei dos Crimes Cibernéticos na Reforma do Código Penal

No final de agosto, o senador Pedro Taques (PDT-MT), apresentou na Comissão Especial de Reforma do Código Penal o substitutivo ao Projeto de Lei do Senado (PLS) nº 236/2012 que trata das mudanças na legislação penal brasileira. O projeto de novo Código Penal (CP) representa uma oportunidade única para revisar a legislação existente sobre crimes cibernéticos criada pela Lei Carolina Dieckmann, incluindo situações criminosas que ela não aborda e corrigindo o texto referenente aos poucos casos que a lei, mal e porcamente, trata.

O PLS 236 traz um variado conjunto de crimes cibernéticos, tema que foi discutido por muitos anos no Congresso Nacional e que foi transformado em lei no final de 2012 (a chamada "Lei Carolina Dieckmann"), propondo tipos penais específicos para crimes cometidos contra computadores (isto é, "sistemas informáticos") como o acesso indevido a sistema informático e a sabotagem informática. Ou seja, o novo Código Penal focou principalmente nos chamados "crimes informáticos próprios", ou seja, aqueles tipos de crime que atacam o dado e o sistema informático em si - o que é diferente dos chamados "crimes impróprios", que são aquelas condutas que usam os sistemas informáticos como meio para realizar um crime comum.

A maioria destas leis sobre crimes cibernéticos foram colocadas em um capítulo específico, criado para este fim, que foi batizado de "Título VI – Dos Crimes Cibernéticos". O PLS 236 divide o CP em duas partes, uma Geral e uma Especial, sendo que o título específico para os crimes cibernéticos foi incluído na chamada "Parte Especial". E há várias novidades e melhorias importantes:
  • Para evitar má interpretação futura, neste título foram definidos alguns conceitos do mundo da informática e dos crimes informáticos próprios. Embora o CP normalmente não tenha definições de conceitos, eles foram incluídos no caso de crimes cibernéticos em razão dos aspectos técnicos envolvidos e do pouco conhecimento popular sobre o assunto, de modo a orientar a correta interpretação da lei. Estes conceitos são semelhantes aos existentes na Convenção de Budapeste.
  • O artigo sobre acesso indevido (Art. 209) melhora o art. 154-A da Lei Carolina Dieckmann: ele fala em "acesso" em vez de "invasão", exige dolo específico (a finalidade de destruir, adulterar ou obter dados ou instalar vulnerabilidade para obter vantagem indevida) e retira a exigência anterior de que o sistema informático seja "protegido" - algo que é facilmente questionável e pode desqualificar o computador de um usuário comum, que muitas vezes não conta com medidas de segurança adequadas.
  • No artigo que trata sobre a punição de quem produz, comercializa, manipula ou vende artefatos maliciosos, tivemos uma importante conquista: foram incluídos alguns excludentes para evitar a punição de profissionais, pesquisadores e desenvolvedores que trabalham com segurança e que investigam artefatos maliciosos para aperfeiçoamento dos sistemas de segurança.

Nesse Título sobre crimes cibernéticos, o PLS traz diversos crimes de acesso indevido e sabotagem informática. Além disso, inclui  a fraude informática e um novo tipo penal relacionado ao conceito de "dano", o crime de  dano a dados informáticos (art. 164). Há alguns outros tipos de crimes cibernéticos que são mencionados em outras partes do Projeto de Código Penal. Por exemplo, o capítulo sobre os crimes contra a inviolabilidade de correspondência (Capítulo VIII) também inclui a violação de comunicação eletrônica, pois trata nos mesmos parágrafos a violação de comunicação "telegráfica, telefônica ou eletrônica" (Artigo 158). No artigo 176 foi criada a figura do estelionato massivo, quando envolve um número expressivo de vítimas (algo muito comum no mundo online!).

O Projeto também define duas modalidades novas de crimes: a “perseguição obsessiva ou insidiosa”, conhecida como "stalking"(art. 154), e a “intimidação vexatória”, o conhecido bullying, que foi incluído no parágrafo 1 do artigo 144, que trata sobre difamação.

Sem mais delongas, segue abaixo o texto das leis contra o crime cibernético conforme aprovado pela Comissão Especial de Reforma do Código Penal:

PARTE ESPECIAL
TÍTULO VI
DOS CRIMES CIBERNÉTICOS

Conceitos
Art. 213. Para efeitos penais, considera-se:
I – “sistema informatizado”: computador ou qualquer dispositivo ou conjunto de dispositivos, interligados ou associados, em que um ou mais de um entre eles desenvolve o tratamento automatizado de dados informatizados através da execução de programas de computador, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informatizados armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos;
II – “dados informatizados”: qualquer representação de fatos, informações ou conceitos sob forma suscetível de processamento num sistema informatizado, incluindo programas de computador;
III – “provedor de serviços”: qualquer entidade, pública ou privada, que faculte aos utilizadores de seus serviços a capacidade de comunicação por meio de seu sistema informatizado, bem como qualquer outra entidade que trate ou armazene dados informatizados em nome desse serviço de comunicação ou de seus utentes;
IV – “dados de tráfego”: dados informatizados relacionados com uma comunicação efetuada por meio de um sistema informatizado, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo de serviço subjacente;
V – “artefato malicioso”: sistema informatizado, programa ou endereço localizador de acesso a sistema informatizado destinados a permitir acessos não autorizados, fraudes, sabotagens, exploração de vulnerabilidades ou a propagação de si próprio ou de outro artefato malicioso;
VI – “credencial de acesso”: dados informatizados, informações ou características individuais que autorizam o acesso de uma pessoa a um sistema informatizado.

Acesso indevido
Art. 214. Acessar, indevidamente, por qualquer meio, direto ou indireto, sistema informatizado:
Pena – prisão, de um a dois anos.
Acesso indevido qualificado
§1º Se do acesso resultar:
I – prejuízo econômico;
II – obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais e industriais, arquivos, senhas, informações ou outros documentos ou dados privados;
III – controle remoto não autorizado do dispositivo acessado: Pena – prisão, de um a quatro anos.
§2º Se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos:
Pena – prisão, de dois a quatro anos.
Causa de aumento de pena
§3º Nas hipóteses dos §§ 1º e 2º, aumenta-se a pena de um a dois terços se houver a divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados, arquivos, senhas ou informações obtidas, se o fato não constituir crime mais grave.
Ação penal
§4º Somente se procede mediante representação, salvo na hipótese do § 2º deste artigo.

Sabotagem informática
Art. 215. Interferir sem autorização do titular ou sem permissão legal, de qualquer forma, na funcionalidade de sistema informatizado ou de comunicação de dados informatizados, causando-lhes entrave, impedimento, interrupção ou perturbação grave, ainda, que parcial:
Pena – prisão, de um a quatro anos.
§1º Na mesma pena incorre quem, sem autorização ou indevidamente, produz, mantém, vende, obtém, importa ou por qualquer outra forma distribui códigos de acesso, dados informáticos ou programas, destinados a produzir a ação descrita no caput.
§2º A pena é aumentada de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos: Pena – prisão, de dois a quatro anos.

Dano a dados informatizados
Art. 216. Destruir, danificar, deteriorar, inutilizar, apagar, modificar, suprimir ou, de qualquer outra forma, interferir, sem autorização do titular ou sem permissão legal, dados informatizados, ainda que parcialmente:
Pena – prisão de um a três anos.
Parágrafo único. Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Fraude informatizada
Art. 217. Obter, para si ou para outrem, em prejuízo alheio, vantagem ilícita, mediante a introdução, alteração ou supressão de dados informatizados, ou interferência indevida, por qualquer outra forma, no funcionamento de sistema informatizado:
Pena – de prisão, de um a cinco anos.
Parágrafo único. A pena aumenta-se de um terço se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime.

Obtenção indevida de credenciais de acesso
Art. 218. Adquirir, obter ou receber, indevidamente, por qualquer forma, credenciais de acesso a sistema informatizado:
Pena – prisão, de um a três anos.
Parágrafo único. Aumenta-se a pena de um a dois terços se o crime é cometido contra a Administração Pública Direta ou Indireta, qualquer um dos Poderes da União, Estado, Distrito Federal ou Município, ou contra empresa concessionária ou permissionária de serviços públicos.

Artefato malicioso
Art. 219. Constitui crime produzir, adquirir, obter, vender, manter, possuir ou por qualquer forma distribuir, sem autorização, artefatos maliciosos destinados à prática de crimes previstos neste Título, cuja pena será a prevista para o crime fim, sem prejuízo da aplicação das regras do concurso material.
Excludente de ilicitude
Parágrafo único. Não são puníveis as condutas descritas no caput quando realizadas para fins de:
I – investigação por agentes públicos no exercício de suas funções;
II - pesquisa acadêmica;
III – testes e verificações autorizadas de vulnerabilidades de sistemas; ou
IV – desenvolvimento, manutenção e investigação visando o aperfeiçoamento de sistemas de segurança.

É importante ressaltar que o Senador pedro Tarques submeteu o projeto para diversas entidades especializadas, e o capítulo sobre crimes cibernéticos foi avaliado também pelo Ministério Público Federal, que tem um grupo especializado em crimes cibernéticos, que é baseado em São Paulo. O Garoa Hacker Clube, através do Alberto Fabiano, ajudou o pessoal do MPF nesse trabalho de revisão, e as nossas sugestões foram incorporadas ao projeto, incluindo as definições no início da lei e a questão de exclusão de licitude no artigo sobre artefatos maliciosos.

O projeto de lei que reforma o Código Penal Brasileiro se baseou na legislação atual e incluiu também outras 140 proposições legislativas que versam sobre direito penal, sendo algumas delas também eram relacionadas aos crimes cibernéticos:
  • 18. PLS nº 21, de 2013, que altera o Decreto-Lei n° 2.848, de 7 de dezembro de 1940 - Código Penal, para tipificar o crime de prática do bullying virtual praticado pela internet ou por mensagens de celular, do Senador Clésio Andrade. Este Projeto não chegou a ser apreciado por qualquer Comissão. Além do mais, segundo a avaliação da comissão, "Todavia, julgamos que tais condutas não têm dignidade penal. É excessivo o uso do direito penal para lidar com esse tipo de conflito social. Portanto, julgamos que essa proposta, assim como a constante do Projeto de Código, não merecem seguir adiante."
  • 57. PLS nº 386, de 2011, que altera o Código Penal, para prever como modalidade qualificada do crime de difamação o ato de divulgação não autorizada de imagens ou vídeos por meio eletrônico que contenha cena de sexo ou qualquer forma de exposição de sua intimidade, conhecido como sexting, de autoria do Senador Blairo Maggi. O Projeto não chegou a ser apreciado por qualquer Comissão.
  • 65. PLS nº 427, de 2011, que altera o Código Penal para prever o crime de atentado contra a segurança de meio ou serviço de comunicação informatizado, de autoria do Senador Jorge Viana. O Projeto não chegou a ser apreciado por qualquer Comissão.
  • 72. PLS nº 481, de 2011, que altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal, para dispor sobre os crimes de constrangimento e de ameaça praticados por meio das redes sociais presentes na rede mundial de computadores – Internet, de autoria do Senador Eduardo Amorim. O Projeto foi sensível a questão da calúnia, injúria ou difamação praticadas pela Internet e previu causa de aumento de pena, dado o efeito multiplicador proporcionado pelo meio cibernético.
  • 74. PLS nº 484, de 2011, que altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal, para dispor sobre os crimes de calúnia, difamação e injúria praticados na rede mundial de computadores – Internet, de autoria do Senador Eduardo Amorim. A proposta foi incorporada ao substitutivo oferecido pela CCT ao PLS nº 481, de 2011.
  • 79. PLS nº 567, de 2011, que estabelece causa de aumento de pena para os crimes contra a honra praticados por meio da Internet e prevê prazo mínimo de dois anos para o armazenamento dos dados pelo provedor da conexão, de autoria do Senador Blairo Maggi. Segundo o relatório do Senador Pedro Tarques, estas regulações sobre a guarda de logs vão além da matéria penal e que devem ser feitas pelo órgão regulador desse setor.
  • 134. PLS nº 101, de 2011, que altera o Código Penal para criminalizar a criação de identidade ou perfil falsos na internet e outras condutas equiparadas, de autoria do Senador Ciro Nogueira. O Projeto não chegou a ser apreciado por qualquer Comissão, mas estas condutas estão atendidas nos crimes de fraude informática (art. 170) e de falsa identidade (art. 268).
A íntegra do parecer foi disponibilizada no site do Senador Pedro Taques, que foi o relator na comissão do Senado responsável pela revisão do projeto de lei que reforma o Código Penal Brasileiro, de autoria do Senador José Sarney.

setembro 20, 2013

[Segurança] Ataques a caixas eletrônicos

Uma simples pesquisa no Google por imagens de caixas eletrônicos retorna uma grande quantidade de fotos de caixas eletrônicos destruídos, vítimas dos constantes ataques de criminosos que tentam pegar o dinheiro contido no cofre interno deles.

Os caixas eletrônicos são, a grosso modo, um cofre grande e pesado com uma tela de computador e um mecanismo de cuspir dinheiro. Por isso, roubar ou arrombar um caixa eletrônico não é uma tarefa fácil. Os três tipos mais comuns de ataques físicos a caixas eletrônicos são:
  • roubar o caixa inteiro da agência, para tentar arrombá-lo em outro lugar
  • usar um maçarico para perfurar a blindagem do caixa eletrônico
  • usar explosivos para explodir o caixa eletrônico e conseguir ter acesso ao cofre
No ano passado ocorreram 1.757 arrombamentos a agências, postos de atendimento e caixas eletrônicos no Brasil, alta de 83,21% em relação a 2011 segundo a Pesquisa Nacional de Ataques a Bancos, feita pela Confederação Nacional dos Vigilantes (CNTV) e pela Confederação Nacional dos Trabalhadores do Ramo Financeiro (Contraf-CUT).

Segundo uma reportagem do R7 de 2012, a epidemia de explosões de caixas eletrônicos fez com que os estabelecimentos comerciais retirassem os caixas eletrônicos, com medo de sofrerem prejuízos por conta destas explosões. Consequentemente, os caixas enetrônicos começaram a sumir em BH. A reportagem, na época, já indicava uma média de quase uma ocorrência por dia em só Minas Gerais. Além disso, segundo a reportagem, os bancos não se responsabilizam pelo prejuízo causado aos estabelecimentos que tem os caixas eletrônicos (como supermercados e lojas), que acabam sendo danificados com as explosões.

As fotos e as reportagens existentes sobre o assunto mostram que os ataques acontecem há vários anos e estão espalhados por todo o país, em cidades grandes ou pequenas, em todos os estados - sem discriminação - como Cassilândia (MS), União do Sul (670 km ao Norte de Cuiabá - MT) e Conceição do Pará (MG). Vejam alguns exemplos de explosões e ataques a caixas eletrônicos que achei através de uma simples busca no Google Imagens:


14/11/2008 - Bandidos explodiram um caixa eletrônico do Bradesco na zona norte de São Paulo

02/03/2009 - Bandidos roubam caixa eletrônico na Avenida Rio Branco, no centro do Rio

08/03/2010 - Bandidos arrombam caixa eletrônico em Belo Horizonte (MG)

12/05/2011 - Caixa eletrônico danificado em mercado na zona norte de São Paulo

12/05/2011 - Explosão de caixa eletrônico em mercado em Taboão da Serra (SP)

19/05/2011 - Caixa eletrônico da rede Banco 24 Horas explodido no supermercado Combate, na zona leste da capital paulista.

09/09/2011 - Quatro homens explodiram um caixa eletrônico do banco Itaú no município de Rancho Alegre (46 km de Londrina, PR)

03/10/2011 - Explosão de caixa eletrônico em Penha (SC)

11/11/2010 - Oito homens armados com metralhadoras explodiram dois terminais de auto-atendimento de um supermercado em Jaboatão dos Guararapes (PE). A explosão foi tão forte que danificou parte da instalação elétrica no teto, que tem mais de três metros de altura.

29/12/2011 - Caixa eletrônico do Banco do Brasil arrombado com um maçarico no centro do município de Mossoró

14/01/2012 - Loja de conveniência de um posto de combustíveis na cidade de Santo André, (SP)

13/03/2012 - Assaltantes instalam dinamites em 2 caixas eletrônicos mas apenas um explodiu, em Dom Aquino, a 172 quilômetros de Cuiabá (MT)

18/03/2012 - Caixa eletrônico é arrombado em Joinville (SC)

08/05/2012 - Caixa eletrônico furtado da agência do Banrisul do município de Ubiretama foi encontrado em uma plantação de milho no interior de Boa Vista do Buricá (RS)

01/07/2012 - Ladrões explodem caixa eletrônico de supermercado mas não levam nada

02/07/2012 - Explosão de caixa eletrônico na Zona Norte de Manaus (AM)

30/07/2012 - Caixa atacado na Prefeitura de Brejo do Cruz, no Sertão da Paraíba

22/08/2012 - Bandidos explodem caixa eletrônico em Itapevi (SP)

06/09/2012 - Explodido caixa eletrônico da Caixa Ecônomica Federal localizado dentro da Prefeitura Municipal de Amélia Rodrigues (BA)

08/10/12 - Caixa arrombado com maçarico em São Pedro D'aldeia.

11/10/2012 - Quatro assaltantes arrombaram um caixa eletrônico da sede da Prefeitura de Francinópolis (184 km de Teresina - PI)

23/10/2012 - Bandidos explodem caixa eletrônico do Banco Bradesco em Sete Lagoas (MG)

08/12/2012 - Câmeras do circuito interno de segurança flagraram quatro homens que explodiram o caixa eletrônico em um supermercado em Cascavel (PR).

08/01/2013 - Ladrões explodiram o caixa eletrônico do Banco do Brasil da cidade de Davinópolis (MA). A explosão foi tão violenta que o caixa foi arremessado para dentro de uma loja que fica ao lado do agência.

05/03/2013 - Seis homens explodiram caixas eletrônicos de uma agência bancária localizada na cidade de Gurjão, no Cariri da Paraíba. Dá até para ver a tinta roxa usada como mecanismo de segurança para inutilizar as notas do caixa eletrônico.

27/08/2013 - Criminosos invadiram uma agência bancária em Uberlândia, MG (veja também o vídeo)

Quadrilha explode caixas eletrônicos e destrói uma agência do Itau em Santo André (SP)

Mas não pense que isso acontece só no Brasil. Vários países da América Latina também sofrem com problemas de ataques a caixas eletrônicos, incluindo o México, Chile, Venezuela e Argentina. Mas, nestes países, é mais comum usar maçaricos ou outras ferramentas para arrombar os caixas eletrônicos - embora também seja fácil encontrar relatos de uso de explosivos. O curioso é que na Bolívia, no México e no Chile também são comuns ataques incendiários, ataques com tinta ou com o uso de explosivos, acredite, como uma forma de protestar contra os bancos - isto é, danificar os caixas eletrônicos para causar prejuízo aos bancos.






setembro 15, 2013

[Cyber Cultura] Juntando objetos do dia-a-dia com eletrônica e computadores

Esta palestra do TED é muito inspiradora: "Jay Silver: Hackeie uma banana, faça um teclado!".

O inventor Jay Silver mostra idéias bem malucas de como juntar objetos do dia-a-dia e o mundo ao nosso redor com computadores, aproveitando que tudo ao nosso redor dem capacidade de conduzir (ou não) eletricidade. Ele faz coisas incríveis com um pouco de criatividade, conhecimento básico de eletrônica e informática: que tal usar duas fatias de pizza para controlar uma apresentação em slides? Ou conectar seu notebook em uma tijela de água para tirar fotos do seu gato quando ele toma água? Ou fazer música com um lápis (afinal, grafite conduz eletricidade), com frutas ou com seus cachorros? Ou tocar um piano usando bananas ou uma escada?



Ele comenta também sobre o MaKey MaKey, um kit simples que ele lançou originalmente através do Kickstarter justamente para facilitar esta integração entre um computador e objetos do dia-a-dia. O kit custa apenas $49.95.

setembro 13, 2013

[Cyber Cultura] Dia do Programador

Hoje, 13/09, é o dia do programador. E nada melhor para celebrar esta data do que uma tirinha auto-explicativa do site Vida de Programador:



[Cyber Cultura] Quantos hackers são necessários para trocar uma lâmpada?

Quantos hackers são necessários para trocar a lâmpada de um Hackerspace?

1 para reclamar da lâmpada queimada
1 para criar uma página no wiki sobre a lâmpada queimada
2 para testarem a instalação elétrica da casa toda e descobrirem que a instalação elétrica está ok
1 para propor um fork da iluminação da sala
10 para fazerem uma oficina de eletricidade, com multímetro, amperímetro, osciloscópio e... uma lâmpada que funciona (que não foi colocada no lugar da queimada)
1 para pedir pizza
1 para fazer uma palestra sobre as invenções de Thomas Edison
1 para ficar trollando dizendo que o Tesla era muito melhor
2 para construirem uma escada para trocar a lâmpada
5 para tentarem fazer um robô-seguidor de linha que também troca a lâmpada
1 para pedir pizza
5 para fazerem um coding dojo com objetivo de criar um programa em phyton que simula o problema da lâmpada queimada
1 para postar o código fonte do projeto no github
6 para fazer um testador de lâmpada, que inclui um sensor controlado por arduíno para calcular o brilho da lâmpada
1 para pedir pizza
1 para sugerir colocar uma fita de leds em toda a sala em vez de trocar a lâmpada
1 para sugerir a troca de toda a luminária
20 para levarem luminárias velhas que estavam em suas casas
10 para ficar reclamando das luminárias acumuladas no depósito, ocupando espaço
1 para pegar as malditas luminárias e transformar todas elas em outro robozinho seguidor de linha
1 para pedir pizza
1 para reclamar que o pedido de pizza tem que ter opção para os vegetarianos
(2 meses se passam e a lâmpada ainda não foi trocada!)
1 para sugerir uma festa da troca da lâmpada, com comes e bebes sendo vendidos para arrecadar fundo para o hackerspace
1 vegano para perguntar se a "festa da troca da lâmpada" vai ter comida para ele
50 para irem na festa, comerem, ficarem bêbados, e não trocarem a lâmpada
8 para fazerem uma oficina de como construir uma lâmpada usando garrafas PET e clips de papel
1 para comprar um extintor de incêndio novo, depois da oficina que não deu certo...
1 para doar uma lâmpada usada, empoeirada, mas que ainda funciona
5 para doar uma lâmpada queimada cada, achando que a galera vai hackear e consertar a lâmpada
2 para fazer um cubo de LEDs e ficar insistindo que é melhor usar o cubo de leds do que a lâmpada
1 para pedir pizza
1 para reclamar que a tecnologia da lâmpada é proprietária, e que devemos criar um projeto aberto de hardware para substituir a lâmpada
1 para instalar uma lâmpada mais forte na sala ao lado, para poder iluminar a sala que ainda está escura pois a lâmpada queimada ainda não foi trocada
4 para fazerem um iluminador automático, controlado com arduíno, usando um sensor de luminosidade e vários leds, para iluminar a sala quando estiver escuro
2 para conectarem o arduino na Internet e mostrar uma página no site do Hackerspace com o status da iluminação da sala
3 para reclamarem que a página de status da iluminação da sala não está funcionando
1 para pedir pizza
1 pessoa para lembrar da Centennial Bulb, uma lâmpada que está acesa há 112 anos
1 para enviar um link para o documentario "Obsolescencia Programada" que conta a história dos cartéis de fabricantes de lâmpadas que extinguiram as lâmpadas de alta durabilidade do mercado, que são perfeitamente factíveis do ponto de vista técnico mas que são uma desgraça para os interesses econômicos dos fabricantes de lâmpadas
1 para reclamar que não dá pra assistir o vídeo sem ser obrigado a instalar o Flash Player proprietário da Adobe
20 para sugerir técnicas obscuras de sniffing de protocolo para extração do video-stream
20 para basicamente dizerem que a dificuldade não é técnica, mas sim alguma forma de extremismo ideológico
metade da lista de emails entrando num flame war a respeito do capitalismo selvagem e corporate greed
1 para perguntar se alguém chegou a assistir o vídeo para saber se era mesmo interessante
15 para ignorar a pergunta e continuar debatendo alguma visão maniqueísta sobre software livre versus software proprietário
1 para lembrar que está na sala naquele momento e que a lâmpada continua apagada, mas que pelo menos assim fica mais confortável para assistir o documentário em clima de cineminha, só falta a pipoca
6 para oferecer doações de fornos microondas quebrados, para alguém consertar e poder fazer pipoca
1 para dizer que aceita todos os microondas que ninguém quiser, desde que entreguem na casa dele
1 para dizer que a sala escura fica mais aconchegante e dá um clima romântico, sugerindo uma iluminação com leds vermelhos
3 garotas para reclamar que o comentário foi sexista e que o rapaz deveria ser expulso ou moderado na lista de discussão
(6 meses se passam e a lâmpada ainda não foi trocada!)
1 para sugerir um projeto que envolva o uso reciclável da lâmpada queimada, fazendo um mini-robô com ela, uma lamparina ou um mini-coquetel molotov para levar nas manifestações de rua contra a corrupção
1 para oferecer um conjunto de cabos de força de PC velho, dizendo que podemos utilizá-los para conectar a lâmpada na tomada
1 para reclamar que alguém pegou o alicate de cortar fios e, depois de usar, guardou na gaveta errada
1 para fazer vários desenhos e grafites na sala usando tinta fosforescente
1 para, num belo dia e sem avisar ninguém, nem planejar, subir numa cadeira e trocar a lâmpada queimada por aquela lâmpada usada e empoeirada, pois estava escuro para ele usar a bancada
1 para atualizar a página no wiki sobre a lâmpada queimada

setembro 11, 2013

[Segurança] Obama e o fim da Internet livre

Era uma vez um presidente americano, celebrado como o primeiro presidente negro afro-descendente afro-americano, que ganhou o prêmio Nobel da Paz.

Era uma vez um presidente americano que criou um vírus capaz de destruir uma refinaria de urânio e, assim, colocou a guerra cibernética nos jornais e na agenda de todos os governos.

Era uma vez um presidente americano que criou a maior aparelhagem de espionagem global já vista, através da Internet, redes de telefonia, celulares e até mesmo comunicações criptografadas. E, assim, ele acabou com a privacidade na Internet.

Ainda é cedo para dizer como as próximas gerações irão se lembrar do Barack Obama, e qual será o seu maior legado para a história. Mas, nos últimos meses, fomos bombardeados por revelações de um gigantesco esquema de espionagem global criado pela NSA, a agência nacional de segurança dos EUA. Segundo as denúncias feitas pelo Edward Snowden, um ex-analista de inteligência subcontratato, a NSA obtém dados de navegação e conversação na Internet com a suposta conivência de grandes empresas, chegando até mesmo a usar backdoors em produtos de mercado, conseguir quebrar protocolos de segurança como o SSL e o TLS, e acessando VPNs de diversas empresas e governos. Não pouparam nem mesmo a Dilma nem a Petrobrás.


Desde o início de Junho deste ano, a cada dia os jornais e revistas publicam um pouco mais de detalhes sobre a capacidade de espionagem do governo americano, e alguns nomes estão começando a ficar popular (e a frequentar o pesadelo de vários governos e empresas), tais como:

  • PRISM - o massivo programa de espionagem e análise de dados obtidos de comunicações via Internet, incluindo informações supostamente fornecidas por empresas como including Microsoft, Yahoo!, Google, Facebook, YouTube, AOL, Skype e Apple, além de empresas de telecomunicações como a Verizon, gigante operadora americana.
  • X-Keyscore - um sistema secreto da NSA capaz de analisar dados coletados e identificar a nacionalidade das pessoas investigadas com base em suas mensagens.
  • TAO - divisão da NSA chamada de Tailored Access Operations (TAO), que é um grupo criado em 1997, especializado em infiltrar computadores de alvos específicos (pessoas ou empresas vigiadas). O grupo foi responsável por obter acesso a 258 alvos em 89 países na segunda metade da última década e realizou 279 operações em 2010 e 231 em 2011;
  • ROC (Remote Operations Center) - Grupo de elite da divisão TAO, responsável por operações "ofensivas" (isto é, ciber ataques direcionados a alvos específicos);
  • BLARNEY- um programa para transformar as informações coletadas em meta-dados e permitir a análise inteligente dos dados
  • Boundless Informant - um programa de visualização de dados, baseado em Big Data e Cloud Computing
  • Upstream - uma infraestutura de coleta de dados montada pela NSA capaz de coletar dados de links de comunicação e cabos submarinos. Especula-se que a NSA tenha instalado dispositivos de captura de dados nestes links, que são responsáveis por parte do backbone global de comunicação da Internet.
  • FORNSAT ("foreign satellite collection") - estrutura para coleta de dados de satélites de comunicação de outros países
  • Pinwale - banco de dados de e-mails interceptados pela NSA
  • BULLRUN - conjunto de técnicas de quebra de criptografia utilizadas pela NSA, incluindo a invasão de computadores para obter chaves criptográficas, ataques de Man in the Middle, o enfraquecimento intencional dos padrões de criptografia e colocar backdoors em algoritmos e produtos.
  • Flying Pig e Hush Puppy - programas que monitoram comunicações criptografadas e redes privadas, que utilizam TLS/SSL ou VPN.
  • Silverzephyr - programa que registra o conteúdo de gravações de voz e fax originários da América Latina.
  • US-985D - codenome do programa de espionagem massiva na França
  • US-987LA e US-987LB - codenomes dos programas de espionagem massiva na Alemanha
  • DRTBOX e WHITEBOX - técnicas de interceptação de ligações telefônicas utilizadas pela NSA contra a França (e, talvez, também direcionados para outros países europeus)
  • MUSCULAR - ferramenta da NSA e da GHCQ utilizada para interceptar dados trafegados em links de comunicação privados entre os datacentes o Google e do Yahoo!.
  • STATEROOM - programa de interceptação de rádio, telecomunicações etráfego Internet através de instalações diplomáticas australianas.
  • MARINA - banco de dados os metadados da NSA, que cria uma espécie de gráfico social a partir dos dados, fornecendo uma interface de busca de comportamento online e indivíduos para os analistas da NSA. Inclui o conteúdo completo e o metadado das informações capturadas e permite a análise dos contatos (alvos, amigos, contatos) e identificadores (os perfis onlinese e-mails que você tem) da vítima;
  • Serendipity - ferramenta dedicada a monitorar as contas do Google e como os usuários acessam serviço;
  • Accumulo - banco de dados NoSQL para armazenamento de Big Data, trabalhando com base em pares chave-valor. É um projeto semelhante ao BigTable do Google ou DynamoDB da Amazon, mas inclui características especiais de segurança projetadas para a NSA, como vários níveis de acesso. É construído sobre a plataforma Hadoop e outros produtos da Apache;
  • DROPMIRE - ferramenta d eintereceptação implantada pela NSA nos equipamentos de fax criptografados (Cryptofax) da embaixada européia en Washington, DC, que permitiu a NSA espionar diversos governos europeus;
  • GENIE: Codinome para um esforço da NSA em invadir redes de outros países e colocá-las sob seu controle, através da invasão de milhares de computadores, roteadores e firewalls em todo o mundo (68,975 equipamentos em 2011. O grupo conta com a ferramenta camada de TURBINE para controlar as máquinas infectadas, com o objetivo de obter dados ou realizar ataques;
  • ANT (Advanced Network Technology) - divisão da NSA especializada em produzir ferramentas de acesso a diversos equipamentos e produtos, incluindo celulares, computadores, equipamentos de redes e de segurança, incluindo produtos de companhias como a Juniper Networks, Cisco Systems, Huawei, HP e Dell. No final de dezembro/2013 a revista Der Spiegel publicou uma série de reportagens aonde descreveu as divisões TAO, ANT e um "catálogo de produtos" da NSA com 50 páginas descrevendo as ferramentas que possui e a quais equipamentos ela tem acesso;
  • QUANTUMTHEORY - Conjunto de ferramentas da NSA utilizada para invadir empresas, serviços ou produtos específicos, ou seja, o "arsenal" de zero-day exploits da NSA;
  • QUANTUMINSERT - Ferramenta utilizada pela NSA e GCHQ para rastrear a navegação Internet das pessoas e, em momentos oportunos, injetar pacotes para direcionar o acesso da pessoa vigiada para um dos servidores conhecidos como FOXACID, que são servidores da NSA que manipula o acesso da vítima sem que ela perceba e consegue "plantar" um malware, que vai agir como software espião;
  • QUANTUMBOT: ferramenta para interceptar comunicações de bots IRC;
  • QUANTUMCOPPER: ferramenta para interceptar e alterar qualquer tipo de comunicação TCP, o que permite a eles, por exemplo, interromper qualquer comunicação TCP;
  • SEASONEDMOTH: o "implante" instalado na vitima, que fica ativo por 30 dias;
  • IRATEMONK: ferramenta da NSA para infectar um computador sobrescrevendo o malware no firmware do hard drive de vários fabricantes conhecidos (Western Digital, Seagate e Maxtor);
  • Turmoil: sensores passivos de captura de dados;
  • Turbine: injetor de pacotes em redes;
  • QFIRE: projeto que inclui Turmoil e Turbine para invadir routers e outros equipamentos;
  • SOMBERKNAVE: um dos implantes de software utilizados pela NSA para invadir e exfiltrar informação, este em especial permite a NSA enviar pacotes pela interface de rede wireless do computador invadido, mesmo que ela esteja desabilitada;
  • WARRIORPRIDE: Framework para malware e keylogger desenvolvida e compartilhada por todas as agências de espionagem do grupo "Five Eyes". Cada agência utiliza este framework para suas próprias ações de inteligência e ciber ataque, podendo desenvolver plugins customizados;
  • IRATEMONK: programa da NSA para criar uma família de malwares para uso em operações ofensivas, batizados de EquationLaser, EquationDrug e GrayFish após serem descobertos pela Kaspersky.
A Wikipedia, a propósito, mantém uma lista dos programas de espionagem governamentais e uma página que detalha as revelações deste ano.

A espionagem entre países existe desde muito antes da Internet, desde antes dos países surgirem. Além do mais, sempore especulou-se da capacidade de espionagem do governo americano e há vários anos já se sabia que o governo Bush interceptava ligações telefônicas. Uma apresentaçào na Black Hat em 2010 discutiu, por exemplo, a existência de backdoors em equipamentos de rede para permitir a interceptação de dados por agentes da lei.

O surpreendente agora é que as revelações de Snowden mostram que as especulações que existiam até então e as "teorias da conspiração" eram verdade - ou pior, eram mais brandas do que a verdade.
Mas nada é mais surpreendente e assustador do que as revelações recentes do Guardian, New York Times e ProPublica de que a NSA e a agência de inteligência britânica (GCHQ) tem capacidade de decifrar informações criptografadas, o que significa o fim de toda a privacidade na Internet. A NSA e o GCHQ possuem um programa caro, amplo e multifacetado capaz de quebrar os mesmos algoritmos de criptografia que fazem da Internet um lugar (supostamente) seguro para os negócios, como sistemas bancários, e-commerce e comunicações privadas de empresas: o SSL, o TLS e as VPNs.

A imagem abaixo, do jornal NYT, mostra um trecho do planejamento orçamentário de 2013 que descreve as formas pelas quais a agência contorna a criptografia das comunicações online: através de relacionamento com empresas da indústria para incluir alterações secretas em softwares comerciais para enfraquecer a criptografia, colocar backdoors ou inserir vulnerabilidades e de lobby para influenciar a escolha de padrões de criptografia e forçar fraquezas nos algoritmos. Ou seja, ela não quebrou os algoritmos de criptografia em si.


Os programas do governo americano não atacam apenas a privacidade, mas destroem completamente qualquer confiança das pessoas de que podem ter garantia de privacidade em suas comunicações do dia a dia. Elas também destroem a confiança nas empresas que oferecem estas proteções.

Em função disso, há pouco o que pode ser feito, do ponto de vista político e técnico (aproveitando algumas sugestões do Bruce Schneier):
  • Precisamos questionar o controle da Internet. Há vários anos o Brasil faz parte de um pequeno grupo de países que questiona a gestão da Internet pelos EUA (afinal, a ICANN é um órgão do Departamento de Comércio americano) e propõe que a Internet seja de responsabilidade da ONU. está na hora de aproveitar estes escâncalos e retomar esta crítica.
  • Utilize serviços para se ocultar, como servidores proxy e a rede Tor para tornar sua navegação anônima e se esconder na rede.
  • Continue criptografando suas comunicações. Mesmo que a NSA possa ter acesso a comunicações protegidas por SSL ou IPSec VPN, você está mais seguro do que se comunicar em claro.
  • Se você precisa ter informações realmente importantes em seu computador, nunca o conecte na Internet. Use um computador novo, que nunca foi conectado à Internet ou uma rede separada, restrita. Ao precisar transferir um arquivo, criptografe o arquivo no computador seguro e use um pen-drive USB para copiar o arquivo para seu computador conectado na Internet.
  • Desconfie dos softwares comerciais,  principalmente os fornecidos por grandes empresas americanas. Assuma que os produtos possam ter backdoors. Utilize preferencialmente softwares de código aberto, pois é mais difícil para a NSA colocar um backdoor sem que ninguém mais perceba. Esta dica vale para soluções de criptografia, sistemas operacionais e softwares em geral.
  • Use algoritmos e soluções de criptografia de domínio público, que são conhecidos e tem que ser compatíveis com outras implementações. Soluções proprietárias são mais fáceis de serem manipuladas pela NSA e é muito menos provável que essas mudanças sejam descobertas.
  • Precisamos gerar ruído. A NSA captura um volume gigantesco de dados e para isso tem centenas ou milhares de servidores e um data center novinho. Mas, mesmo assim, eles estão limitados pelas mesmas realidades econômicas como o resto de nós, pois centenas de servidores e milhares de gigabytes de espaço em disco custam caro. Nossa melhor defesa é fazer a vigilância sair tão caro quanto possível. Criptografe tudo, até mesmo comunicação simples, que normalmente não precisaria ser criptografada. Vamos dar trabalho para eles!

Para saber mais:

OBS:

setembro 09, 2013

[Segurança] Bradley Manning, Edward Snowden e a ética na segurança da informação

As constantes revelações do esquema de espionagem do governo americano por Edward Snowden e a recente condenação do soldado americano Bradley Manning por ter vazado documentos secretos dos EUA para o Wikileaks traz uma discussão interessante para os profissionais de segurança da informação.

De um lado está Manning: um ex-analista de inteligência do exército americano condenado por vazar milhares de documentos secretos que, entre outras coisas, mostravam crimes de guerra que os EUA escondiam. Ao seu lado, Edward Snowden, um ex-analista de inteligência subcontratado que ficou mundialmente conhecido ao divulgar informações secretas sobre os projetos secretos do governo americano para espionar indiscriminadamente todo mundo que usa a Internet.

De outro lado está a sociedade, que sonha com uma Internet livre, com regimes democráticos e privacidade. E no meio disso tudo estamos nós, profissionais de segurança, responsáveis por proteger todas as informações das empresas em que trabalhamos. Fazemos isso através de tecnologias (como criptografia, controles de acesso, firewalls, backups, ferramentas contra vazamento de dados e muito mais) e processos, que incluem treinamento e conscientização.

Mas, nos casos do Manning e Snowden, não foram vazamentos acidentais nem simples, por alguns motivos:
  • foram copiadas uma quantidade gigantesca de dados - no caso do Manning, foram cerca de 750 mil documentos classificados como secretos do governo americano
  • os documentos descrevem ações eticamente questionáveis do governo. No caso do Manning, segundo seu julgamento próprio, eram provas de crimes de guerra, atrocidades e ações moralmente condenáveis realizadas pelo exército e pelo governo americano. No caso do Snowden, eram provas de que o governo americano e a NSA montaram uma gigantesca estrutura para espionar indiscriminadamente praticamente todo mundo que habita o planeta Terra, desrespeitando princípios básicos de privacidade e respeito.
E como um profissional de segurança deveria se portar frente a um caso desses? Qual deve ser o nosso posicionamento frente a alguém que vaza informações que dizem respeito a ações aparentemente ilegais ou imorais de uma empresa ou governo? devemos simplesmente condená-los?

Para pensar sobre isso, recorro a um recurso muito conhecido por vários de nós, o Código de Ética elaborado pelo ISC2:
  1. Protect society, the common good, necessary public trust and confidence, and the infrastructure.
  2. Act honorably, honestly, justly, responsibly, and legally.
  3. Provide diligent and competent service to principals.
  4. Advance and protect the profession.

Baseado no código acima, vemos que o primeiro e mais importante princípio de todos nós deve ser "proteger a sociedade e o bem comum".

Não estou dizendo que devemos ajudar ou fazer vistas grossas a quem vaza informações. Mas, para nós, é muito mais fácil trabalhar para uma empresa ou órgão de governo que age eticamente. Infelizmente existem empresas e governos que não se enquadram nessa categoria, e temos o total direito ético de nos recusarmos a trabalhar em um lugar assim. E, se descobrimos tais atitudes em nosso ambiente de trabalho, devemos tomar todas as medidas cabíveis, do ponto de vista legal, ético e moral, para denunciar o que estiver acontecendo de errado.

Como denunciar? Converse com seus superiores imediatos. Além disso, grandes empresas possuem, normalmente, um canal para que funcionários denunciem comportamento não ético ou ilegal. Se estes dois caminhos não funcionarem, geralmente há órgãos reguladores que são responsáveis por tratar tais denúncias. Roubar informações confidenciais e divulgá-las na imprensa, definitivamente, não é a melhor forma de denunciar um problema, nem a mais ética. Embora possa ser uma medida extrema a ser tomada em alguns casos especiais.

O que Manning, Snowden e o Assange nos ensinam, na minha opinião, é que infelizmente, às vezes é preciso agir errado para fazer o que é certo. Mas esse é um passo muito questionável, perigoso e que exige muita responsabilidade, coragem e preparação para enfrentar as consequências.

setembro 06, 2013

[Segurança] Agenda da Co0L BSidesSP - H2HC e Black Hat Edition

Já estão disponíveis online as agendas das duas próximas edições da Conferência o Outro Lado Security BSides São Paulo (Co0L BSidesSP), o evento de segurança e cultura hacker organizado por alguns profissionais da área com o apoio do Garoa Hacker Clube.

Teremos mais duas edições do Co0L BSidesSP em 2013, com diversas atividades, incluindo palestras, oficinas práticas e muito mais. A partir de hoje as agendas provisórias estão disponíveis no site dos respectivos eventos:
  • Co0L BSidesSP H2HC edition: Será no dia 06 de outubro, em conjunto com a H2HC, com uma trilha de palestras e uma de oficinas. As inscrições para esta edição serão abertas no dia 09/09/2013.
  • Co0L BSidesSP BlackHat edition: Acontecerá no dia 24/novembro, na FATEC SCS e no final de semana anterior a Black Hat Summit São Paulo. Teremos duas trilhas de palestras, (provavelmente) duas trilhas de oficinas, uma nova atividade chamada Brazilian Arsenal (para divulgar projetos open source nacionais de segurança), um Capture the Flag (CTF), e a Hacker Job Fair. As inscrições para esta Co0L BSidesSP começam apenas no dia 28/10.
Estas serão a sexta e sétima edições da Co0L BSidesSP, respectivamente, que fazem parte do circuito global de eventos Security BSides, alcançando 91 edições em dez países diferentes até Julho de 2013. A Co0L BSidesSP é uma mini-conferência gratuita que visa divulgar o Garoa Hacker Clube e, principalmente, promover a inovação, discussão e a troca de conhecimento entre os participantes e divulgar os valores positivos e inovadores da cultura hacker.

Para saber um pouco mais sobre a Co0L BSidesSP e sobre as edições anteriores, visite o nosso site e veja nossas principais estatísticas:

setembro 05, 2013

[Segurança] Cloud Security Alliance Brasil com novo Presidente

Nesta semana o pessoal do capítulo Brasileiro da Cloud Security Alliance elegeu um novo presidente do capítulo, o Paulo Pagliusi. Para quem não o conhece, ele é um profissional com muitos anos de carreira na área de segurança, aonde seu conhecimento e experiência só não são maiores do que a sua sincera modéstia. A maior parte destes anos foram dedicados na Marinha do Brasil, aonde entre outras coisas é Capitão-de-Mar-e-Guerra da Reserva e fundou a Divisão de Criptologia no CASNAV. Ele também tem experiência como diretor do ISACA-RJ e atualmente é sócio-diretor da Procela Inteligência em Segurança.

O Pagliusi está desde o começo na CSA Brasil, aonde colaborou em alguns projetos, publicou artigos em nosso blog, fez várias palestras em nome do capítulo e esteve sempre presente, tanto nos momentos de maior ou menor atividade.

O Pagliusi é o terceiro presidente da CSA BR, após o Leonardo Goldim e o André Serralheiro, que foram respectivamente o fundador e o segundo presidente do capítulo.

A Cloud Security Alliance é uma entidade formada por voluntários interessados em estudar e educar sobre segurança em ambientes de computação em nuvem. Ela possui diversos grupos de trabalhos que já produziram um rico material sobre o assunto, que são refer6encia no mercado.

Como o Pagliusi sempre diz, "bons ventos a todos".

setembro 04, 2013

[Cyber Cultura] Hackerspace Passport

O "Hackerspace Passport" é uma imitação de passaporte que foi criada há pouco tempo atrás pelo Mitch Altman, um dos fundadores do Noisebridge (o hackerspace de São Francisco), como uma forma divertida de estimular as pessoas a visitarem outros hackerspaces e guardarem um tipo de recordação das visitas que fizeram. Assim, sempre que você visita um hackerspace, ganha um carimbo em seu passaporte (normalmente com o logo do hackerspace visitado).

Como ele mesmo diz, o passaporte pode ajudar a promover um maior número visitas a hackerspaces em todo o mundo. Além do mais, o passaporte hacker transmite uma sensação maior de que fazemos todos parte de uma grande comunidade. De quebra, também serve para estimular os hackerspaces a aumentar a colaboração mútua, a visitação entre eles e incentivar todos os hackerspaces a apoiarem uns aos outros.

Hoje em dia, vários Hackerspaces e até mesmo algumas conferências de segurança ao redor do mundo (incluindo a Defcon e a Co0L BSidesSP) já fizeram seus próprios carimbos, para que as pessoas possam ter seu passaporte carimbado onde quer que vão.

Atualmente o passaporte dos hackerspaces pode ser comprado em alguns sites no exterior (os preços indicados não incluem o frete):
Os hackerspaces e eventos de segurança podem colocar um pequeno selo em seus sites indicando que aceitam Hackerspaces Passports - ou seja, eles tem um carimbo para que você leve seu passaporte lá!


Para saber mais:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.