novembro 30, 2013

[Segurança] Criptografia: Algoritmos Simétricos e Assimétricos

Fui convidado para dar uma palestra sobre Algoritmos Simétricos e Assimétricos na CryptoParty, um evento super legal que aconteceu em São Paulo neste sábado, 30/11.

Aproveitei a oportunidade para criar uma apresentação nova, com um visual legal e uma distribuição de assuntos de forma a torná-la bem didática e, ao mesmo tempo, interessante - mesmo para o público que já conhece do assunto. Minha preocupação maior, sempre que palestro ou dou curso sobre criptografia, é que as pessoas consigam entender facilmente os conceitos básicos e principais, pois criptografia é, provavelmente, o assunto mais complexo em toda a área de segurança.


Nesta apresentação eu foquei principalmente em mostrar o que são a criprografia simétrica e a criptografia assimétrica. Intencionalmente deixei de fora vários assuntos correlatos, como criptoanálise, certificação digital (que eu apresento bem superficialmente) e assinatura digital (um conceito muito importante, mas que não abordei justamente para simplificar o material e dar um foco no que considerei ser o assunto principal para o evento).

[Cyber Cultura] Obsolescencia programada

Este é um ótimo vídeo que critica de uma forma bem simples a pasteurização da nossa sociedade de consumo e a obsolecência programada, ou seja, como nos mantemos em um ciclo eterno de consumo aceitando passivamente produtos que foram criados para serem substituídos em pouco tempo.

 
IDIOTS from BLR_VFX on Vimeo.


Embora utilize diretamente a imagem da Apple, engana-se quem considera este vídeo como apenas uma crítica a Apple!

Este padrão de comportamento de consumo se repete em vários aspectos do nosso dia-a-dia, com celulares e computadores de todos os fabricantes, com outros produtos eletrônicos, carros, e por aí vai. Como eles descrevem no vídeo, a nossa felicidade é baseada em coisas que não precisamos e regida por entidades que não controlamos:
  • carros de luxo, com motores potentes para dirigir por ruas esburacadas e congestionadas, e mesmo assim trocamos a cada 3 ou 4 anos por um melhor e mais caro;
  • TV a cabo, que nos permite pagar para assistir programas de esportes (no caso do Brasil, esporte = futebol) e filmes que, na maioria das vezes, são repetidos;
  • celulares hiper caros que fazem quase tudo, inclusive ficar 100% conectados virtualmente com pessoas que não vemos ou falamos há anos, mas que o sinal falha na hora de fazer uma simples ligação. E a tela racha na primeira queda, e assim o celular inteiro precisa ser trocado, com a desculpa que sai mais barato comprar um novo do que trocar a tela.

Há várias críticas no vídeo que deveriam nos levar a uma profunda reflexão sobre nossos hábitos de consumo:
  • Os robôs são todos iguais, e fazem o mesmo movimento. Basta um andar, e todos vão atrás, em fila. Basta um comprar um produto (como um celular ou um aplicativo). e todos os demais fazem isso. Isso mostra como todos nós somos facilmente manipulados e aceitamos nos comportar de forma pasteurizada, sem uma real individualidade. Tente não abaixar o mais novo joguinho ou aplicativo. Você se verá como um ET, um ser excluído da sociedade e dos círculos de amizade só porque não joga Candy Crush;
  • Como nos viciamos na interação online, através de comunicadores e redes sociais, em detrimento da interação física entre as pessoas;
  • A facilidade com a qual compramos produtos de acordo com as influências dos outros - ok, em alguns casos os produtos podem ser bons, mas muitas vezes as pessoas compram algo porque está na moda. Pegando o exemplo da Apple: porquê comprar um iPhone 5S se o 4S funciona muito bem?
  • O mercado de aplicativos, que surgiu há poucos anos e hoje movimenta bilhões de dólares (os clientes da Apple já abaixaram mais de 50 bilhões de aplicativos até hoje).  Isso se deve pela facilidade de compra, além da influência que recebemos das pessoas que nos cercam;
  • Até que ponto os fabricantes produzem produtos com um tempo de vida curto, para que sejamos forçados a constantemente comprar novas versões? Produtos frágeis, que quebram facilmente, que a troca é mais barato que o conserto, ou que, eventualmente, sejam "programados" para falhar?

O vídeo acima é bem feito e reflete muito bem a sociedade de consumo atual, mas uma crítica muito mais profunda é feita no documentário "Comprar, Tirar, Comprar. Obsolescencia Programada" (em espanhol). O documentário define a "obsolescencia programada" como o desejo do consumidor de possuir algo um pouco antes, um pouco mais novo e um pouco melhor do que é necessário.

 
Comprar, Tirar, Comprar. Obsolescencia Programada from g on Vimeo.


Compramos mais por hábito ou diversão do que por necessidade, algo que a indústria começou a forçar os consumidores a fazerem desde a década de 20, quando a revolução industrial aumentou a produção a ponto dos consumidores não darem conta de consumir tudo o que era oferecido. Assim, a indústria americana optou por produzir mercadorias de qualidade mais baixa, com menor tempo de vida. Produtos tiveram seu tempo de vida diminuído (o documentário fala como isso aconteceo com as lâmpadas domésticas, meias de nylon e geladeiras).  Mas, pior do que isso é quando produtos são criados para falharem ou pararem de funcionar após um determinado tempo, como o exemplo de uma impressora que pára de imprimir após atingir 19 mil impressões.

Ontem vi uma frase, criticando a Black Friday, que tem muito a ver com esta crítica ao mercado de consumo:

"Only in America can people trample each other in sales to buy stuff they don't need one day after giving thanks for what they have."
"Só na América as pessoas pisam umas nas outras em promoções para comprar coisas que não precisam, um dia depois de dar graças por aquilo que eles têm."

novembro 28, 2013

[Cidadania] Até que ponto chegamos?

A frase abaixo foi escrita pela Ayn Rand, uma filósofa americana nascida na Russia em 1905. Embora ela tenha sido dita há muito tempo atrás e em outro país, ela nunca foi tão atual e tão válida para a nossa realidade aqui no Brasil:
"Quando você vê que a negociação é feita, não por consentimento, mas por compulsão - quando você ver que, para produzir, precisa obter a autorização de quem não produz nada - quando você ver o dinheiro fluindo para aqueles que negociam não com bens, mas com favores - quando ver que homens ficam ricos pelo suborno e por influência, mais que pelo trabalho, e que suas leis não nos protegem deles, mas protegem de você - quando ver que a corrupção é recompensada e a honestidade se converte em auto-sacrifício - então você saberá que a sua sociedade está condenada."
Fala a verdade... Isso não lembra um certo país que conhecemos?

A frase original, em inglês, foi publicada em 1957 e diz respeito a considerar o dinheiro como o "barômetro" (a medida) da virtude de uma sociedade, e é assim: "When you see that trading is done, not by consent, but by compulsion — when you see that in order to produce, you need to obtain permission from men who produce nothing — when you see money flowing to those who deal, not in goods, but in favors — when you see that men get richer by graft and pull than by work, and your laws don’t protect you against them, but protect them against you — when you see corruption being rewarded and honesty becoming a self-sacrifice — you may know that your society is doomed."

novembro 25, 2013

[Segurança] Ransomwares no Brasil

É comum vermos na imprensa notícias sobre um tipo de código malicioso chamado de "ransonware". Eles são um tipo de malware muito comum na Europa e nos EUA que, após infectar um computador, causam algum tipo de bloqueio aonde a vítima é obrigada a pagar uma taxa para ter sua máquina liberada. É um tipo de "sequestro virtual", por assim dizer. Nos casos mais comuns, eles criptografam os arquivos da vítima e exibe uma mensagem exigindo o pagamento para restaurar o acesso.

Alguns dos ransomwares mais conhecidos enganam a vítima ao se fazer parecer com uma suposta notificação judicial da polícia, que mostra uma mensagem (falsa) exigindo o pagamento de uma "multa" pelo fato do computador ter arquivos piratas, ter conteúdo pornográfico ou pelo usuário ter navegado em sites ilegais. Tem até mesmo um que faz se passar por uma mensagem do governo americano dizendo que seu computador foi identificado pelo PRISM, o programa de espionagem da NSA denunciado pelo Edward Snowden! Mas isso é golpe: não existe policia nenhuma no mundo que fica monitorando isso e exija o pagamento de multa online.

 


Segundo uma pesquisa da Symantec, essa "multa" varia entre 50 e 100 euros na Europa, e geralmente é de 200 dólares nos EUA (eu diria de 100 ou 200 dólares). Segundo suas estimativas, as gangues que utilizam o ransomware conseguem extorquir mais de 5 milhões de dólares através desse esquema de extorsão das vítimas.

Mas há casos recentes de ciber criminosos exigindo quantias de até 3.000 dólares para "liberar" o computador (ou os arquivos). Há poucos meses atrás o G1 publicou uma reportagem do Altieres Rohr sobre um ransomwere que estava assustando usuários brasileiros, exigindo 3 mil dólares para liberar o acesso aos arquivos do computador que o ransomware encriptou (ou seja, ele infecta o computador, encripta vários arquivos e deixa uma mensagem para a vítima procurá-lo, e ele exige 3.000 dólares para desencripitar). Neste caso, tratava-se de um ransomwere criado por ciber criminosos de fora mas que estava infectando usuários em vários lugares do mundo, incluindo no Brasil e na Austrália.

Recentemente, o CERT americano divulgou um alerta sobre o CryptoLocker, um ransomware que afeta computadores rodando Windows e que encripta os arquivos locais, além de arquivos localizados em drives de rede, HDs externos, pen drives e até mesmo arquivos armazenados na nuvem. Neste caso, há relatos de que o ciber criminoso exige 300 dólares para desencriptar os arquivos e outros relatos de que ele exige 3 mil.

Os usuários são infectados por esses ransonwares da mesma forma que são infectados por malwares tradicionais: normalmente através de mensagens falsas, de phishing, aonde são convencidas a clicar em um link e abaixar um arquivo, que ela pensa ser uma imagem ou um documento, mas na verdade é um executável.

Mas não há grandes motivos para preocupação - não pelo menos, por aqui. Embora este tipo de golpe seja muito popular nos EUA e na Europa, principalmente por conta dos ciber criminosos da Europa Oriental e Rússia, ele é muito raro aqui no Brasil. Na verdade, praticamente todos os casos que acontecem aqui no Brasil de ransomware são porque os usuários acabaram infectados por ransomwares estrangeiros "por acidente", visitando sites lá fora ou sendo infectados por mensagens de phishing enviadas por ciber criminosos gringos. Praticamente não há ciber criminosos brasileiros criando ou distribuindo ransomwares.

Ou seja: ransonwares criados por brasileiros e atacando usuários brasileiros são muito raros. A reportagem do G1 citou um ransomware nacional que surgiu no ano passado e tentava convencer o usuário a comprar uma licença da Microsoft (falsa) por possuir o Windows pirata. Neste caso, em vez de receber o pagamento, como normalmente acontece nos ransomwares, o código brasileiro pedia os dados de cartão de crédito e os enviava para os ciber criminosos, que posteriormente poderiam cloná-lo. O único outro caso que eu conheço foi de uns brasileiros que tentaram criar um antivírus falso em 2009 (chamado Byte Clark), e que foi denunciado pelo Linha Defensiva.

novembro 22, 2013

[Cyber Cultura] Tudo pronto para a Co0L BSidesSP Black Hat Edition!

Neste próximo domingo, dia 24/11, teremos a 7a edição da Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP), que apelidamos de "Black Hat Edition" pois vai acontecer no domingo anterior a Black Hat Summit São Paulo, a primeira edição da Black Hat aqui no Brasil.

E temos várias novidades para esta edição:
  • Dependendo do horário, teremos entre 4 e 6 atividades acontecendo simultaneamente, incluindo duas trilhas de palestras e duas trilhas de oficinas;
  • Teremos algumas atividades novas, como o Brazilian Arsenal (um espaço para desenvolvedores de ferramentas nacionais e open source de segurança), um Capture The Flag (CTF), palestras relâmpagos ("Lightning Talks", de 10 minutos cada) e até mesmo uma oficina de Esgrima;
  • A Hacker Job Fair foi reformulada, e terá algumas mini-atividades para o pessoal conversar sobre carreira com alguns profissionais da área;
  • Teremos novamente uma área de descompressão aonde haverá um espaço para o pessoal do SJCHC e Área 31;
  • Como fizemos na maioria das edições anteriores, teremos um churrasco gratuito para todos. Mas, desta vez, teremos salada, para a alegria dos vegetarianos e dos não-vegetarianos também :)
  • Temos o apoio do Pirates Bar, que vai servir várias bebidas gratuitamente para o pessoal após o almoço;
  • O pessoal do StaySafePodCast vai gravar uma edição comemorativa diretamente do evento;
  • Novas camisetas, que ficaram super legais (e não digam que eu não avisei...). Como fizemos nas últimas edições, vamos dar preferência para quem fez a inscrição com direito a camiseta antecipada.
A sétima edição da Co0L BSidesSP será na Fatec de São Caetano do Sul, a partir das 11h do dia 24/11 (Domingo).

Nesta edição contamos com o patrocínio da Beyond Security, Conviso, Thinklogical e Trend Micro, além da Daryus Education. Além do patrocínio, a Thinklogical ofereceu o bar gratuitamente para os participantes e a iBliss ofereceu os prêmios para os três primeiros colocados no CTF.

novembro 21, 2013

[Segurança] Vem aí o BioChip

O pessoal do Área 31, o hackerspace de BH, se envolveu em um projeto muito interessante: implantar um chip no corpo e utilizá-lo para interagir com objetos do dia-a-dia.

O projeto, que tem sido desenvolvido pelo norte-americano Amal Graafstra desde 2005, utiliza um pequeno chip cilíndrico que funciona por Near Field Communication (NFC), e que mede cerca de 12 mm (aproximadamente o tamanho de um grão de arroz - veja as fotos). O dispositivo, então, funciona de forma similar a um desses cartões RFID que usamos no dia-a-dia (como crachá ou cartão de vale-transporte, por exemplo): um leitor emite um campo de eletromagnético que aciona o dispositivo e ele passa a emitir um sinal, e assim o leitor consegue identificar sua presença. Aí basta construir uma palicação específica para o leitor acionar um dispositivo externo que, por exemplo, pode ser utilizado para abrir portas, disparar comandos, etc.

O inventor do projeto possui um chip desses em cada mão, implantado entre a membrana do polegar e o dedo indicador. Como o NFC permite comunicação passiva do chip em curta distância, apenas aproximando a mão de um leitor, o dispositivo pode permitir a interação com diversos sistemas no dia a dia, como destrancar portas, fazer login em computadores, ligar veículos, automação residencial (controle da iluminação da casa, por exemplo) ou qualquer outra situação na qual a pessoa precise ser identificada e isso possa gerar alguma ação.


Para cada objeto que for automatizado, é necessário usar um leitor compatível com NFC, que deve ser conectado a um computador ou mini-PC (Arduino, RaspBerry ou Cubieboard, por exemplo) que vai interpretar a leitura do chip e vai associar a um comando, o que é feito por um programa específico. O custo estimado do kit com o chip, leitor e mini-PC seria de aproximadamente US$ 200. O chip será fabricado comercialmente na Alemanha, a partir de fevereiro de 2014. E o projeto ainda aceita doações pelo site indiegogo (até 17/dezembro).

O chip é revestido com um vidro biocompatível bastante resistente, não possui bateria e tem pouca quantidade de liga metálica, o que faz com que ele seja seguro para implantes, não precise ser trocado ou passar por manutenção. Também não precisa de bateria. A capacidade de armazenagem de dados, entretanto, é bem pequena: 144 bytes (na verdade, o projeto oferece 3 modelos de chips, um "low cost" sem memória adicional, um com 144 bytes e outro com 716 bytes). Mas pense que 144 bytes é equivalente a um post no Twitter, se fôssemos usar cada byte para representar um caracter, como acontece no dia-a-dia. Mas, certamente, em um projeto específico desses os bytes seriam melhor aproveitados para guardar o máximo possível de informações. Além disso, cada dispositivo tem um identificador único, gravado de fábrica, que não pode ser alterado (de 40 ou 56 bits, dependendo do modelo).



O pessoal do Área 31 já começou a pesquisar os aspectos de segurança do projeto. Segundo o Ewerson Guimarães (Crash), eles estão tentando implementar um esquema de criptografia dos dados que serão armazenados no chip, para que somente um computador específico possa ler as informações no chip.

O legal do envolvimento do pessoal do Área 31 é que eles tem grande experiência e conhecimento de segurança, e certamente poderão aprimorar em muito os aspectos de segurança e privacidade do projeto. Um whitepaper disponível no site do projeto lista apenas duas preocupações, com o escaneamento não autorizado do chip e se ele vai conter dados pessoais. E, mesmo assim, aborda elas de forma muito superficial e ingênua. Argumentos como "as soluções nas quais os clientes usam seus chips - como acesso em casa, ligar o carro, etc não denunciam o uso do chip para ninguém, eles são sistemas fechados" ignoram o fato de que o criminoso ou o atacante pode simplesmente ver você usando o chip e querer burlar isso para roubar sua casa ou seu carro. Como se não houvessem ladrões ou espiões hoje em dia...

Usar chips subcutâneos não é novidade nenhuma: há anos isso já é feito para identificar gado (veja uma reportagem de 2004 sobre isso) e, mais recentemente, animais de estimação. Mas, quando falamos em chips em pessoas, aí as preocupações com saúde e com segurança começam a ficar muito mais sérias.

Quando falamos em segurança, várias preocupações podem surgir. O verbete sobre NFC na Wikipedia mostra alguns riscos inerentes a essa tecnologia, mas na minha opinião, os principais e mais arriscados problemas (em termos de impacto e facilidade de implementação) são os seguintes:
  • Privacidade: Qual é o risco desse chip ter informações pessoais que podem ser acessadas por terceiros? Isso tudo depende do tipo de informação que o chip irá guardar, quando começar a ser utilizado.  Originalmente, o chip possui apenas um número identificador inserido de fábrica, que não pode ser alterado. Mas ele tem espaço para mais informações, que o usuário pode colocar a vontade (desde que limitado aos 140 bytes). Pior ainda se alguém tiver a brilhante idéia de colocar alguns dados médicos no chip: o pessoal do SAMU ou do hospital pode usar essa informação para o seu bem (por exemplo, se der entrada em um hospital desacordado e no chip constar que você tem alergia a algum medicamento), mas outras pessoas podem usar o seu histórico médico contra você, como em uma entrevista para emprego. Mesmo que você coloque apenas o endereço da sua página pessoal no Facebook: uma coisa é você passar isso para um amigo, outra é você colocar essa informação em um dispositivo que outra pessoa pode passar ao seu lado e escaneá-la, sem você sequer perceber.
  • Leitura não autorizada do chip: Teoricamente, a tecnologia NFC foi desenhada para leitura do chip à pequenas distâncias, menos de 20 cm. Isso significa que, teoricamente, se alguém quiser ler o seu chip, tem que estar bem próximo a você, e assim o dono do chip poderia perceber se alguém tentar escaneá-lo. Teoricamente, pois imagine alguém com um scanner dentro do metrô de São Paulo, as 18h. Além disso, um leitor colocado em um dos batentes laterais de uma porta provavelmente conseguiria escanear a maioria das pessoas que passem por ela. Mas, na verdade, esse limite de 20 cm é apenas teórico: um chip NFC "passivo" (como o biochip, que depende de um campo magnético externo para ser ativado) pode ser lido a até 1 metro de distancia, enquanto um dispositivo "ativo" (que também gera campo magnético próprio) pode ser escaneado a cerca de 10 metros de distância. Mas, ainda assim, será que não poderíamos construir um leitor mais potente, desenhado especialmente para ler chips a maiores distâncias? Isso me lembra dos concursos que haviam antigamente na Defcon para ver quem conseguia acessar uma rede wi-fi a maior distância: em 2005 4 jovens interceptaram uma rede wi-fi a 125 milhas (mais de 200km) de distância. Depois dessa, o concurso perdeu a graça! Ou seja: alguns limites só existem até alguém decidir quebrá-los.
  • Monitoramento e rastreabilidade dos cidadãos: Essa é uma preocupação semelhante ao caso do governo que tem um projeto para colocar chip nos carros: não queremos ser rastreados. Com um chip desse no seu corpo, alguém pode colocar um leitor e ficar rastreando todo mundo que entra em um prédio, passa por uma porta, ou entra no metrô (que estação você entra, qual estação você sai). Com um cartão ou chip RFID/NFC, basta alguém com o leitor passar perto e o dono do chip nem percebe que foi escaneado nem que está sendo rastreado.
  • Clonagem: Será fácil clonar um chip desses? Se alguém escanear o teu biochip, essa pessoa pode criar um outro chip (ou um cartao simples) usando o mesmo identificador e as mesmas informações, e se fazer passar por você? Ou seja, abrir a porta da sua casa, do seu carro, etc?
  • Interferência: seria possível interferir na comunicação entre o leitor e o chip, para adulterar a comunicação ou, ao menos, gerar tanto ruído a ponto de inutilizar o chip momentaneamente?
  • Ataques de Man in the Middle, de Relay e de Replay: Alguém, com um leitor, pode obter dados do chip e utilizá-los para se comunicar com o leitor original e se autenticar no lugar do usuário verdadeiro, seja em real time ou guardando as informações para se autenticar posteriormente. 
Preocupações a parte, o projeto é muitíssimo interessante e tem muita oportunidade ainda de ser melhorado. E o pessoal do Área 31 está de parabéns por se envolver nisso. Certamente eles vão aprender bastante e farão grande diferença no projeto, com uma visão muito mais realista dos potenciais problemas de segurança que um projeto desse pode enfrentar :)

novembro 19, 2013

[Cyber Cultura] Hackerspaces e Cultura Hacker - a cronologia em fatos e fotos

O Dyego Cantu, de Pato Branco (PR), criou uma palestra sobre "Hackerspaces e Cultura Hacker", em que ele apresenta muito bem o conceito e a evolução da cultura hacker e dos hackerspaces.



Eu gostei bastante da sequencia de eventos que ele listou em sua apresentação, que listo abaixo (e incluí alguns eventos adicionais, marcados com asterisco):
  • 1948 - Surge a cultura hacker no Tech Model Railroad Club (TMRC) no MIT, EUA
  • 1958 - TX-0, computador baseado em transistors criado no MIT. Foi peça-chave nas pequisas que deram origem ao Laboratório de Inteligência Artificial do MIT e a cultura hacker;
  • 1959 - O TMRC publica o "Dictionary of the TMRC Language", que tinha as definições de Hack e Hacker:
    • Hack: 1) an article or project without constructive end; 2) work undertaken on bad self-advice; 3) an entropy booster; 4) to produce, or attempt to produce, a hack (3);
    • Hacker: one who hacks, or makes them;
  • 1975 - Começa a funcionar o Homebrew Computer Club, no Vale do Silício (EUA), aonde vários hobbistas em informática (engenheiros e programadores) se encontravam quinzenalmente (até 1986). Deu origem a vários "hackers" e empreendedores que influenciaram a indústria de computadores pessoais nos EUA. Entre seus participantes famosos estavam Steve Jobs, Steve Wozniak e o John Draper (Captain Crunch);
  • 1975 - O grupo de Inteligência Artificial do MIT, junto com outros colaboradores, publica o Jargon File, que em 1983 deu origem ao The Hacker's Dictionary e em 1991 foi publicado como o The New Hacker Dictionary. Ele definia vários termos associados a cultura hacker;
  • 1981 - Surge o Chaos Computer Club (CCC) em Berlim (Alemanha), o maior grupo de hobbistas e hackers da Europa. Poucos anos depois, em 1984, organizam o Chaos Communication Congress, o mais antigo evento de segurança e cultura hacker ainda em atividade - que neste ano comemora sua 30a edição!
  • 1983: Richard Stallman lança o projeto GNU (GNU is Not Unix), que deu origem ao movimento Software Livre;
  • 1983(*): Lançado o filme War Games, que expôs ao mundo como um jovem podia invadir sistemas e, eventualmente, causar a terceira guerra mundial (ou melhor ainda, uma "Global Thermonuclear War");
  • 1984(*): Surge a revista trimestral 2600: The Hacker Quartely, sendo publicada até hoje. É uma revista sobre hacking, phreacking (hacking em telefonia) e cultura hacker em geral; 
  • 1985(*): Surge a revista eletrônica (e-zine) Phrack, sendo até hoje a e-zine mais influente sobre hacking;
  • 1986(*): O hacker "The Mentor" publica o texto "The Hacker Manifesto" na edição 7 da e-zine Phrack. Batizado originalmente de "The Conscience of a Hacker", tornou-se um texto antológico dentro da cultura hacker;
  • 1993(*): Primeira edição da Defcon, a maior conferência hacker dos EUA, que acontece anualmente em Las Vegas. Comemorou a sua vigésima edição no ano passado;
  • 1995(*): Prisão de Kevin Mitnick pelo FBI, o que deu grande destaque na mídia aos seus feitos e ajudou a popularizar o conceito de hacker como sendo a pessoa que usa seus conhecimentos para invadir computadores. Sua prisão por quase cinco anos sem julgamento deu origem a campanha "Free Kevin", muito popular no final dos anos 90;
  • 1995: É fundado o C-Base, em Berlin (Alemanha), um espaço coletivo e colaborativo que representa um dos primeiros hackerspaces do mundo;
  • 2006: Fundado o Metalab, em Viena (Austria), um dos mais importantes e influentes hackerspaces em todo o mundo. Também foi um dos principais responsáveis pelo surgimento e popularização do conceito de hackerspaces;
  • 2007: Lançado o "Hackerspace Design Patterns" durante a 24a edição do Chaos Communication Congress, que representa uma caprichada e divertida coletânea de boas práticas e dicas para criação e manutenção de um Hackerspace;
  • 2007: Criado o site hackerspaces.org, a principal referência sobre os hackerspaces;
  • 2008: Fundado o NYC Resistor (Nova York) e o Noisebridge (San Francisco), dois dos primeiros hackerspaces nos Estados Unidos. Eles surgiram após um grupo de hackers americanos ter visitado alguns hackerspaces Europeus em 2007 e levarem a idéia de hackerspaces para os EUA;
  • 2010: É criado o Garoa Hacker Clube, em São Paulo, o primeiro hackespace brasileiro;
  • 2010(*): Os primeiros protestos do grupo Anonymous em apoio ao Wikileaks lançam o Hacktivismo como tendência (e ameaça) global.
(*) Alguns eventos que não constam na apresentação original do Dyego Cantu - que eu considero relevantes, embora sua omissão não torne a apresentação do Dyego menos sensacional.

Os eventos acima foram marcantes e fundamentais para o surgimento da cultura hacker e, recentemente, dos hackerspaces. Na minha opinião, os hackerspaces vem para resgatar os valores originais da cultura hacker, de aprendizagem, ética, compartilhamento do conhecimento e busca por inovação.

Certamente o Dyego e eu esquecemos de listar vários outros fatos relevantes para a cultura hacker. Fique a vontade para sugerir novas inclusões para este timeline.

OBS: Post atualizado em 08/01/16

novembro 18, 2013

[Cyber Cultura] Hacker.

Achei que a definição de "hacker" no The Jargon File merece uma entrada no blog:
hacker /s.m./ [originalmente, alguém que faz móveis com um machado]

1. Uma pessoa que gosta de explorar os detalhes de sistemas programáveis e expandir suas capacidades, ao contrário da maioria dos usuários, que preferem aprender apenas o mínimo necessário.
2. Pessoa que programa com entusiasmo (às vezes obssessivamente) ou que gosta de programar ao invés de ficar apenas teorizando sobre programação.
3. Uma pessoa capaz de apreciar o valor do hacking.
4. Uma pessoa que é boa em programar rapidamente.
5. Um perito em um programa em particular, ou que frequentemente trabalha nele ou com ele; como "Unix hacker". (Definições 1 a 5 são correlacionadas, e pessoas que nela se encaixam reunem-se.)
6. Um perito ou entusiasta de qualquer tipo. Pode-ser um hacker de astronomia, por exemplo.
7. Pessoa que gosta do desafio intelectual de superar ou lograr limitações com criatividade.
8. [Em desuso] Um intrometido malicioso que tenta descobrir informações sensíveis bisbilhotando. Por isso "hacker de senha", "hacker de rede". O termo correto para esta definição é cracker.

O termo "hacker" também tende a conotar participação na comunidade global definida pela rede (veja a rede, e endereço Internet). Implica também que a pessoa descrita de alguma forma aderiu a alguma versão da ética hacker (consulte a ética hacker).
É melhor ser descrito como um hacker pelos outros do que descrever a si mesmo dessa forma. Os hackers consideram-se uma espécie de elite (a meritocracia baseada na habilidade), embora uma [elite] em que novos membros são recebidos de bom grado. Há, portanto, uma certa satisfação do ego em participar e ser identificado como um hacker (mas se você alega ser um e não é, você vai rapidamente ser rotulado como farsante). Veja também Wannabee.

Parte dessa tradução foi baseada no trabalho do pessoal do LHC (Laboratório Hacker de Campinas).

novembro 14, 2013

[Segurança] Java e seus Exploits

O site Securelist, da Kaspersky, publicou recentemente um relatório sobre os ataques e exploits direcionados ao Java, e os números são impressionantes:
  • 161 vulnerabilidades foram detectadas por diferentes empresas e especialistas nos últimos 12 meses. Seis destas vulnerabilidades foram consideradas críticas;
  • O Kaspersky Lab detectou mais de 14,1 milhões de ataques que utilizaram exploits Java. Isso representa um crescimento de 33,3% comparado com o período anterior;
  • Cerca de 80% dos ataques foram concentrados em apenas 10 países, sendo que os EUA e a Rússia representam pouco mais de 50% - seguidos pela Alemanha e Itália. Alemanha, Rússia e os EUA também são os principais países que originam estes ataques. Já o Canadá, EUA, Alemanha e Brasil foram os países com o maior crescimento de ataques;
  • A Kaspersky Lab detectou 2.047 famílias diferentes de códigos maliciosos categorizados como exploits do Java. No entanto, apenas nove destas famílias representam a maioria dos ataques que foram lançados (aproximadamente 81%), que exploraram nove vulnerabilidades.
  • Praticamente metade dos ataques (47.95%) usaram ​​apenas seis grupos de exploits.

O relatório "Java under attack – the evolution of exploits in 2012-2013" conclui que, embora a Oracle se esforce para oferecer atualizações constantes do Java, o número de ataques não para de crescer por causa da demora dos usuários em instalar as atualizações de segurança. Por outro lado, os ciber criminosos se aproveitam do fato do Java ser usado por milhões de usuários em todo o mundo, o que garante uma grande quantidade de potenciais vítimas para novas vulnerabilidades.

novembro 13, 2013

[Cyber Cultura] Passaporte Hacker Brasileiro

Na décima edição da H2HC lançamos o Passaporte Hacker Brasileiro, ou seja, a versão nacional do Hackerspace Passaport.

Esta versão tem a capa em verde escuro, imitando os antigos passaportes brasileiros, com uma imagem do Pixotosco, um grafite bem conhecido dos paulistanos, que é obra do Tony de Marco, um dos associados do Garoa Hacker Clube.

Internamente, o nosso passaporte hacker tem os logotipos dos hackerspaces brasileiros e dos principais eventos de segurança nacionais. Também prestamos uma homenagem à Ekoparty, à conferência chilena 8.8 e à BSides de Lisboa.

O passaporte hacker pode ser comprado no Garoa Hacker Clube, através de algum hackerspace e também estará a venda na próxima edição da Co0L BSidesSP.

A arte do passaporte hacker brasileiro está disponível no link https://www.slideshare.net/anchises/hacker-passport-brazil, para quem preferir imprimí-lo por conta propria ou se quiser criar uma variação dele.

Nota: Link da arte do passaporte atualizado em 06/07/2017.

novembro 12, 2013

[Segurança] Most Wanted Cyber Criminals

O FBI possui uma lista de "Most Wanted Cyber Criminals", disponível online no site deles. Há mais de 60 anos o FBI mantém uma lista de procurados (bem ao estilo daqueles cartazes que vemos em filmes de velho oeste), destacando os principais criminosos e terroristas que causaram grandes danos aos EUA.

Mas a criação de uma lista específica para os ciber criminosos mostra o aumento da importância dos crimes cibernéticos e, consequentemente, o aumento dos esforços do FBI nesta área. O FBI é a principal entidade do governo americano que investiga os crimes de alta tecnologia, incluindo fraude online, ciber espionagem, invasões de computador, fraude em telecom, malwares, scams e o ciber terrorismo.


As recompensas variam entre 20 mil dólares até US$ 100 mil, e a lista tem 10 ciber criminosos, além do link para o poster de uma gang de ciber criminosos europeus com outros 8 procurados. A maior recompensa, de 100 mil dólares, é para quem der informações que levem a prisão do russo Aleksey Belan, acusado de invadir bancos de dados de três grandes empresas de e-commerce dos EUA e revender os dados pessoais de milhões de clientes.



O IDG Now! publicou uma matéria sobre esta lista, aonde deu destaque ao caso de  Carlos Enrique Perez-Melara, de El Salvador, acusado de vender um Cavalo de Troia chamado "Spy Lover", que foi projetado para espionar maridos ou esposas. O FBI está atrás de Perez-Melara desde 2005, quando foi emitido um mandado de prisão por vender o seu programa para mil clientes que, em seguida, o usou para possivelmente infectar vários outros. O IDG Now! destaca que já fazem 8 anos que o FBI o procura (e note que, segundo o site do FBI, ele mora - ou morava - nos EUA!), e o prêmio para quem der informações sobre ele está em 50 mil dólares.

novembro 08, 2013

[Segurança] Como a NSA traiu a confiança de todo o mundo

O Mikko Hypponen deu uma palestra sensacional no TEDx de Bruxelas sobre o estado de vigilância e espionagem criado pela NSA e como isso afeta a nossa provacidde. A palestra, chamada "How the NSA betrayed the world's trust -- time to act",  é simplesmente sensacional, e ele resume muito bem em pouco mais de 19 minutos as denúncias contra a NSA e rebate todos os principais argumentos contra este esquema de espionagem.

Para exemplificar a importancia e o impacto da palestra, basta dizer que ela foi apresentada em Outubro deste ano e hoje, 8 de novembro, foi colocada no ar e está na home page do TED, em destaque!




Segundo Mikko, nós estamos de frente a um esquema de vigilância tão gigantesco que ninguém jamais poderia imaginar, nem mesmo George Owell, o autor do clássico livro 1984, que escreveu sobre um estado altamente vigilante e cunhou o termo "Big Brother".

Mikko ataca objetivamente vários fatos sobre o escândalo da NSA e os 4 principais argumentos a favor da espionagem anericana:
  • Fato "É vigilância massiva e indiscriminada": Mesmo que os EUA vigiem apenas ligações telefônicas e o acesso Internet de extrangeiros, e não de cidadãos americanos, estamos falando de praticamente 96% da população do planeta, que são "extrangeiros"! Ou seja, todos nós! Além do mais, eles não estão vigiando pessoas suspeitas de cometer algo ilegal - eles estão capturando dados e espionando todo mundo!
  • Fato "Um pouco de vigilantismo é bom": Sim, quando a polícia precisa investigar suspeitos ou potenciais suspeitos de um crime, ou monitorar um criminoso. Mas este não é o caso da NSA, que está espionando todo mundo, capturando dados de todos, indiscriminadamente.
  • Fato "Participação das empresas": Os primeiros slides sobre o PRISM mostra que a NSA capturava dados de várias empresas, como a Microsoft, Yahoo, Google, Facebook e Apple. Todas essas empresas negaram participar do programa. Uma explicação possível é que essas empresas foram hackeadas, invadidas pela NSA para capturar seus dados. É muito possível, ainda mais depois de recentes revelações de que a NSA grampeava links de comunicação entre os datacenters do Google e do Yahoo!. Mas o Mikko se esqueceu de outra coisa: essas empresas são proibidas, pelo governo, a divulgar a verdade sobre o relacionamento com o governo. Ou seja, mesmo que elas tenham colaborado intencionalmente, elas não podem revelar isso e são obrigadas a negar !!!
  • Fato "Perseguição ao Snowden": Acusar o Snowden de causar impacto nas empresas de Cloud Computing e empresas de software é como culpar o Al Gore pelos problemas do aquecimento global! Eles Não são a raiz do problema, eles estão apenas denunciando que o problema existe!
  • Argumento "Todo mundo já sabia disso": Errado! Ninguém sabia que todos estes programas existiam, e não podíamos imaginar isso nem nos nossos piores pesadelos. Pior ainda, não sabíamos que a NSA poderia chegar a ponto de forçar as empresas de software a colocar backdoors em seus produtos e chegaria a enfraquecer algoritmos de criptografia, e assim, colocar todos nos em risco nos forçando a usar softwares "menos seguros".
  • Argumento "Todos os países espionam": Sim, vários países espionam, mas o poderio de espionagem americano é muito maior, desproporcionalmente maior, por conta do domínio americano das tecnologias que usamos. Para exemplificar, quantos serviços e empresas americanas usamos no nosso dia-a-dia, e quantos serviços e equipamentos usamos da Suécia? Nós somos totalmente dependentes das empresas americanas (hardware, software, telecomunicações, Internet, serviços online, cloud computing, etc), e estas empresas são reféns da NSA.
  • Argumento "Os EUA estão combatendo o Terrorismo": Não é verdade, pois a espionagem é indiscriminada, incluindo líderes europeus, os presidentes do México e Brasil, o Parlamento Europeu e até mesmo o Papa! Os EUA estão tentando achar terroristas no Vaticano? Além do mais, será que o terrorismo é uma ameaça tão grande que justifica abrirmos mão de nossa privacidade, de nossos direitos, rasgar a constituição e a declaração universal dos direitos humanos?
  • Argumento "Não tenho nada a esconder": Talvez o pior deles, pois significa que estamos abrindo mão da privacidade, que é um direito fundamental nosso, que é a base da liberdade de expressão e, portanto, a base da democracia. Mesmo que você não tenha nada a esconder e seja brutalmente honesto na Internet, mesmo assim você se sente obrigado a compartilhar tudo sobre você com uma agência de espionagem de outro pais?

Ao final, Mikko aponta o uso do software livre como uma das poucas soluções que temos contra o massivo esquema de espionagem governamental.

novembro 07, 2013

[Cyber Cultura] Os interesses do Governo estampados no Marco Civil

Não foi a tôa que o nosso governo começou a apoiar o Marco Civil após as denúncias do Edward Snowden de que a NSA estava espionando o governo Brasileiro, incluindo a Presidenta Dilma, o Ministério das Minas e Energia e a Petrobrás.

Também não foi a tôa que a presidência solicitou ao Congresso a tramitação em regime de urgência para o Marco Civil - coincidentemente após os escândalos de espionagem.

Para quem não sabe, o Marco Civil da Internet (PL 2126/2011) é um conjunto de disposições que definem os direitos e deveres dos fornecedores de serviços e dos usuários Internet . Ou, como diz o início do artigo primeiro do Marco Civil, "Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil"

Basta uma lida na redação atual do Marco Civil (de 05/11), que está atualmente em discussão no Congresso, para facilmente identificar vários trechos que foram incluídos pelo governo por conta dos riscos de espionagem online. O resultado desta manipulação até que não foi de todo o ruim: nós, usuários, ganhamos algumas proteções jurídicas adicionais a nossa privacidade, uma vez que foram revistos alguns artigos no capítulo sobre direitos e garantias do usuário, em particular, e no capítulo sobre a provisão de conexão e aplicações de Internet.

Por outro lado, o governo cumpriu sua promessa de apertar o cerco aos grandes provedores de serviços que são baseados fora do Brasil, como o Google e o Facebook, exigindo que eles guardem os dados de usuários brasileiros aqui no país.

Veja abaixo os trechos da versão atual do Marco Civil aonde eu coloquei em negrito essas novas "features anti-espionagem". Não custa lembrar que estes trechos assinalados não estavam no projeto original, né?

CAPÍTULO II - DOS DIREITOS E GARANTIAS DOS USUÁRIOS

Art. 7º O acesso à Internet é essencial ao exercício da cidadania e ao usuário são assegurados os seguintes direitos:
I – à inviolabilidade da intimidade e da vida privada, assegurado o direito à sua proteção e à indenização pelo dano material ou moral decorrente de sua violação;
II – à inviolabilidade e ao sigilo do fluxo de suas comunicações pela Internet, salvo por ordem judicial, na forma da lei;
III – à inviolabilidade e ao sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;

IV– à não suspensão da conexão à Internet, salvo por débito diretamente decorrente de sua utilização;
V – à manutenção da qualidade contratada da conexão à Internet;
VI – a informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de Internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; e
VII – ao não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de Internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII – a informações claras e completas sobre a coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justificaram sua coleta;
b) não sejam vedadas pela legislação ; e
c) estejam especificadas nos contratos de prestação de serviços.
IX – ao consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – à exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de Internet, a seu requerimento, ao término da relação entre as partes; e
XI– à publicidade e clareza de eventuais políticas de uso dos provedores de conexão à Internet e de aplicações de Internet.

Art. 8º A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à Internet.
Parágrafo único. São nulas de pleno direito as cláusulas contratuais que violem o disposto no caput, tais como aquelas que:
I - impliquem ofensa à inviolabilidade e ao sigilo das comunicações privadas pela Internet; ou
II – em contrato de adesão, não ofereçam como alternativa ao contratante a adoção do foro brasileiro para solução de controvérsias decorrentes de serviços prestados no Brasil.


CAPÍTULO III - DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET

Seção II - Da Proteção aos Registros, Dados Pessoais e Comunicações Privadas

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de Internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no artigo 7º.
§ 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer.
§ 3º O disposto no caput não impede o acesso, pelas autoridades administrativas que detenham competência legal para a sua requisição, aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei.
§ 4º As medidas e procedimentos de segurança e sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento.

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, dados pessoais ou de comunicações por provedores de conexão e de aplicações de Internet em que pelo menos um desses atos ocorra em território nacional, deverá ser respeitada a legislação brasileira, os direitos à privacidade, ao sigilo dos dados pessoais, das comunicações privadas e dos registros.
§1º O disposto no caput se aplica aos dados coletados em território nacional e ao conteúdo das comunicações, nos quais pelo menos um dos terminais esteja localizado no Brasil.
§2º O disposto no caput se aplica mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

§3º Os provedores de conexão e de aplicações de Internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira, a coleta, guarda, armazenamento ou tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.

Art. 12. O Poder Executivo, por meio de Decreto, poderá obrigar os provedores de conexão e de aplicações de Internet previstos no art. 11 que exerçam suas atividades de forma organizada, profissional e com finalidades econômicas a instalarem ou utilizarem estruturas para armazenamento, gerenciamento e disseminação de dados em território nacional, considerando o porte dos provedores, seu faturamento no Brasil e a amplitude da oferta do serviço ao público brasileiro.

Art. 13. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos artigos 10, 11 e 12 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa de até dez por cento do faturamento bruto do grupo econômico no Brasil no seu último exercício, excluídos os impostos;
III – suspensão temporária das atividades que envolvam os atos previstos nos artigos 11 e 12; ou
IV – proibição de exercício das atividades que envolvam os atos previstos nos artigos 11 e 12.
Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País.

CAPÍTULO IV - DA ATUAÇÃO DO PODER PÚBLICO

Art. 24. Constituem diretrizes para a atuação da União, dos Estados, do Distrito Federal e dos Municípios no desenvolvimento da Internet no Brasil:
I – estabelecimento de mecanismos de governança multiparticipativa, transparente, colaborativa e democrática, com a participação do governo, do setor empresarial, da sociedade civil e da comunidade acadêmica;
II – promoção da racionalização da gestão, expansão e uso da Internet, com participação do Comitê Gestor da Internet no Brasil;
III – promoção da racionalização e da interoperabilidade tecnológica dos serviços de governo eletrônico, entre os diferentes Poderes e níveis da federação, para permitir o intercâmbio de informações e a celeridade de procedimentos;
IV – promoção da interoperabilidade entre sistemas e terminais diversos, inclusive entre os diferentes níveis federativos e diversos setores da sociedade;
V – adoção preferencial de tecnologias, padrões e formatos abertos e livres;
VI – publicidade e disseminação de dados e informações públicos, de forma aberta e estruturada;
VII – otimização da infraestrutura das redes e estímulo à implantação de centros de armazenamento, gerenciamento e disseminação de dados no país, promovendo a qualidade técnica, a inovação e a difusão das aplicações de Internet, sem prejuízo à abertura, à neutralidade e à natureza participativa;
VIII – desenvolvimento de ações e programas de capacitação para uso da Internet;
IX – promoção da cultura e da cidadania; e
X – prestação de serviços públicos de atendimento ao cidadão de forma integrada, eficiente, simplificada e por múltiplos canais de acesso, inclusive remotos.

Para saber mais:

novembro 04, 2013

[Segurança] 25 anos do Morris Worm

Há 25 anos atrás, mais precisamente no dia 2 de Novembro de 1988, o mundo foi tomado pelo Morris Worm, um tipo de vírus que se espalhou rapidamente por alguns milhares de servidores e representou a primeira grande infestação em massa na história. O "worm", assim batizado por ser um código malicioso que se auto-replicava infectando servidores vulneráveis, foi criado por um estudante de 23 anos de idade na universidade de Cornell, Robert Morris Jr. Ele causou um impacto gigantesco na época, uma época em que a Internet ainda estava nascento e seu acesso ainda era restrito a poucos institutos de pesquisa, órgãos governamentais e universidades americanas.

O jornal The Washington Post escreveu um longo artigo detalhando essa história, que vale a pena ser lido pelos mais entusiastas e curiosos. O mais importante de tudo é que o Morris Worm inaugurou algumas coisas que hoje em dia nos parecem rotineiras:
  • grandes infestações por vírus automatizados, uma vez que esta foi a primeira infestação em larga escala por algum tipo de código malicioso ou ataque - algo que anos mais tarde se tornou assustadoramente comum;
  • a preocupação de responder rapidamente a incidentes de segurança, através de grupos específicos e coordenados, para centralizar as informações e compartilhar as estratégias de proteção. E assim surgiu o CERT/CC (Computer Emergency Response Team) e as centenas de instituições similares que se proliferaram pelo globo nos anos seguintes;
  • a aplicação de leis contra ataques cibernéticos. Robert Morris Jr. inaugurou o "Computer Fraud and Abuse Act", que tinha sido aprovada dois anos antes. Ele foi o primeiro condenado por esta lei e, por isso, cumpriu liberdade condicional por três anos, fez 400 horas de serviço comunitário e teve que pagar uma multa de pouco mais de 10.000 dólares.
Tecnicamente, o Morris Worm é chamado de "verme" ("worm") em vez de vírus, pois há uma pequena diferença: enquanto os vírus usam algum arquivo "hospedeiro" para se propagar e infectar outros equipamentos (como um arquivo infectado do Word ou um executável), os vermes se propagam sozinhos, automaticamente, independente da necessidade de um arquivo infectado ser enviado para a vítima. Eles são auto-contidos, ou seja, o próprio código do verme já contém as funções que definem como ele se espalha e como ele infecta um alvo. Na prática, é uma diferença técnica que não diz muita coisa para o público leigo, por isso muitas vezes preferimos rotular tudo de "vírus" (erroneamente) ou, de uma forma mais correta, é melhor rotular tudo de "código malicioso".


O portal Naked Security publicou um artigo descrevendo o funcionamento do verme, que atacava servidores Unix. Ele usou várias técnicas de ataque para se espalhar de um computador ao outro, técnicas que são utilizadas até hoje, tais como:

  • explorava uma vulnerabilidade de estouro de pilha em um serviço nativo do sistema operacional - no caso, o fingerd;
  • explorava uma opção de debugging desnecessariamente ativada no servidor de e-mail, o sendmail;
  • usava ataque de força bruta, ou seja, acessava o arquivo local de senhas e tentava adivinhar senhas dos usuários usando permutações do login e do nome real do usuário, além de um pequeno dicionário de senhas;
  • se aproveitava de uma facilidade configurada normalmente nos servidores Unix na época, que permitia que usuários não precisassem se autenticar quando faziam o login remoto a partir de um "host confiável" (através do comando rsh, de remote shell).

O worm estava programado para evitar a infecção em uma máquina já invadida, para diminuir o impacto e a chance de detecção, mas uma falha na programação impediu que essa "proteção" funcionasse. Por isso, um servidor infectado acabava tendo várias instâncias do vírus rodando e ficava extremanente lento.

O site NetworkWorld publicou o vídeo de uma reportagem da época sobre o Morris Worm - e é muito interessante ver como eles descriviam o vírus, que incluiram pérolas como "os estudantes estão a salvo, os computadores não".


Hoje o mundo dos códigos maliciosos se sofisticou, e muito. Se nos anos 90 eles eram destinados a pesquisa, diversão ou simplesmente para assustar as pessoas, hoje são direcionados ao crime cibernético e a construção de botnets, que acabam sendo usadas por.... criminosos cibernéticos, em sua grande maioria (há também os hacktivistas, que usam alguma sbotnets para fazer ataques de DDoS). Códigos maliciosos profissionais, desenvolvidos por programadores experts e vendidos no underground para facilitar o crime cibernético são dominantes hoje em dia. Nomes como Zeus, Citatel, SpyEye e Carberp são temidos em todo o mundo (menos no Brasil, pois os nossos ciber criminosos preferem crias seus próprios trojans em vez de comprar kits de outros países).

O worm criado por Morris foi importante na história da Internet e da segurança pois ele serviu como um grande despertador: antes dele, havia muito pouca, ou nenhuma, preocupação com segurança. Após o ataque, em que várias organizações foram afetadas, muitas delas continuaram a se falar para organizar estratégias de defesa e, principalmente, procedimentos de resposta a ataques. Os profissionais da época começaram a se preocupar com tecnologias para detecção de ataques e proteção das redes, e assim nasceu uma nova cultura de segurança corporativa e, entre outras coisas, surgiram os grupos de resposta a incidentes.

No ano passado eu já tinha escrito um pequeno post sobre o aniversário do Morris Worm. Para saber detalhes do worm, recomendo a leitura do paper original do Eugene Spafford, um dos principais responsáveis por entender o worm na época e que hoje é um respeitadíssimo especialista na área de segurança.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.