março 31, 2014

[Cyber Cultura] Edward Snowden no TED

O Edward Snowden deu uma palestra recentemete no TED, chamada "Here's how we take back the Internet" (também disponível no YouTube).

Filmada na conferência TED 2014 em 18 de Março deste ano, a palestra durou aproximadamente 35 minutos (sim, ela é longa comparada com o que costumamos ver nos vídeos do TED). O interessante é que ele deu a palestra através de tele-presença, utilizando um robozinho com uma tela aonde podemos ver o seu rosto, e através do qual ele também podia ver a platéia.



Nesta palestra, o Snowden comenta o impacto suas revelações, suas motivações, e também detalha algumas das principais informações que ele tornou público sobre a estrutura de espionagem e inteligência criada pela NSA.

Dois dias depois, o diretor da NSA Richard Ledgett deu sua resposta a palestra do Snowden, no próprio TED, aonde apresentou a visão da NSA sobre o Snowden e suas revelações.

março 30, 2014

[Segurança] Gráfico de Ataques da Kaspersky

Através do blog do Coruja de TI, fiquei sabendo que a Kaspersky lançou o site chamado Cyber Warfare Real Time Map que mostra uma animação muito bem feita ilustrando os ciber ataques em tempo real pelo mundo. O mapa usa dados coletados pelas soluções de segurança da Kaspersky para ilustrar diversos ataques que acontecem em todo o mundo, indicando o tipo de ataque, origem e destino.

O resultado é um mapa interativo, dinâmico, visualmente muito bonito e chamativo.







Entretanto, vale a pena notar que os dados são bem superficiais: há pouca informação sobre os tipos de ataques, e nenhum detalhe: o site apenas mostra os totais de ataques por países.

Também vale mencionar que, embora o título do site e do gráfico indique que se tratem de ataques relacionados a guerra cibernética ("cyber warfare"), não há nenhuma informação que comprove isso. A menos que você acredite que realmente aconteçam tantos ataques relacionados a guerras cibernéticas diariamente (o que eu duvido, e muito), me parece que na verdade este gráfico mostra qualquer tipo de ataque, ou seja, incluindo principalmente ataques comuns do dia-a-dia, como infecção de vírus e simples scans de rede.

Ou seja: o gráfico é bem legal, mas tem pouca utilidade prática e o título desmerece o trabalho por ser inadequado e exagerado (algo que costumamos chamar de FUD).

[Cyber Cultura] Visite o Datacenter do Google

Há algum tempo atrás o Google criou um passeio virtual em um dos seus datacenters através do Streetview, o datacenter de Lenoir, na Carolina do Norte.

A "tour" é meio limitada, não dá para ir na maioria dos lugares, exceto em um trajeto bem específico. Para quem já conhece algum grande datacenter por dentro (isto é, um DC grande e organizado, pois nem todos os que existem por aí merecem uma visita), não há muitas novidades aparentes em termos de infra-estrutura. O que me chamou mais a atenção foram algumas "cortinas" entre alguns conjuntos de rack, que eu acredito que sejam utilizadas para fazer um isolamento do ar nos corredores de rack por onde circulam ar quente (pois neles estão direcionadas as saídas de ventilação dos servidores e equipamentos). Também é interessante passear pela área externa da sala de servidores, aonde ficam os escritórios, e ver várias coisinhas que você nunca veria em um datacenter brasileiro, como um bar, mesas de ping-pong, sofás, uma sala com geladeiras com refrigerantes e sucos, etc.

Fora os aspectos técnicos, é um passeio virtual divertido, com alguns detalhes interessantes, tais como...

  • Um Stormtrooper vigiando os racks, acompanhado por um mini R2-D2:




  • Não é possível navegar nesta sala, mas deu para descobrir que ela tem, nada mais nada menos, 90 conjuntos de racks:



  • Um boneco gigante do Android dentro de um cercado de racks, em uma ante-sala do datacenter, aonde ficam as unidades de fitas de backup de dados:



  • Uma mesa de pebolim (também conhecido como "totó") no escritório:



  • Meu Deus... o que é isso?



  • Em um dos quadros de aviso, há um documento com o título "Información sobre Compensación Laboral", mas não dá para ler o texto do aviso :(


Também é interessante dar uma olhada no vídeo sobre este datacenter. Notem que no vídeo os detalhes engraçadinhos ainda estão lá, mas passam quase desapercebidos.


março 27, 2014

[Segurança] Roubo na Target: sobrou até mesmo para os consultores

O roubo de dados na Target não pára de trazer notícias para a área de segurança...

Recentemente, em 24 de março, alguns dos bancos americanos afetados pelo roubo de dados de cartões de crédito da Target no final de 2013 entraram com um processo contra a empresa, visando resarcir os custos e as perdas por fraude que eles tiveram por causa do roubo de dados. A novidade é que estes bancos incluíram no processo a Trustwave Holdings Inc., a empresa de consultoria (QSA, de Qualified Security Assessor) contratada pela Target antes da invasão para certificar a Target dentro do padrão PCI/DSS (Payment Card Industry Data Security Standard).

Segundo o processo, a Trustwave falhou em manter a compliance da Target com o PCI e com outros padrões de segurança relacionados a proteção de dados e informações pessoais dos donos de cartão. Além do mais, os bancos acusam a Trustwave de falhar em garantir que a rede de PoS (os terminais de ponto de venda) e os demais sistemas da Target estavam seguros. Além de prover serviços de monitoração e detecção de intrusos para a Target, a Tustwave escaneou a rede da empresa em 20 de Setembro de 2013 e informou a Target que não haviam vulnerabilidades no ambiente. E a invasão na Target durou 3 semanas, apesar do monitoramento da Trustwave :(

Este caso pode trazer um precedente interessante para a indústria de segurança: o consultor e a empresa que provê serviços terceirizados de segurança se co-responsabilizando pelos danos causados por uma invasão. Se este processo seguir adiante, isso pode afetar o mercado de consultoria, certificação e de prestação de serviços de segurança, principalmente as empresas que oferecem serviços de gerenciamento de segurança (também chamado de MSS, de Managed Security Services).

março 26, 2014

[Cyber Cultura] Arduino Day 2014

No dia 29 de Março será realizado o Arduino Day, uma data para comemorar os primeiros 10 anos da criação do Arduino. Durante as celebrações do Arduino Day, várias comunidades locais de usuários vão organizar 24h de eventos (oficiais e independentes) em vários lugares do mundo para aproximar pessoas interessadas em Arduino, desenvolvedores e entusiastas, em um ambiente para se conhecerem, compartilharem suas experiências e aprenderem mais.

O site arduinoday.tv tem as instruções de como organizar o seu evento, e um mapa com a lista de todos os eventos agendados.


Arduino Day 2014


Vários hackerspaces também vão realizar encontros gratuitos neste dia, incluindo o Laboratório Hacker de Campinas (LHC). Compareçam !!!

março 25, 2014

[Segurança] Abrindo cofres

O vídeo abaixo criado pelo pessoal do site Numberphile é muito interessante; ele mostra como o físico norte-americano Richard Feynman tiinha um hobby no mínimo diferente: abrir os cofres de seus colegas enquanto ele trabalhava no laboratório de Los Alamos, aonde participou do Projeto Manhattan.



Este vídeo nos mostra como é fácil, com um pouco de raciocínio lógico e engenharia social, descobrir uma senha (no caso, a senha dos cofres) reduzindo drasticamente a possibilidade de senhas utilizadas.

Como os cofres nos escritórios do pessoal em Los Alamos utilizavam 3 combinações de números de 0 a 100, isso dava teoricamente 1.000.000 de combinações possíveis, o que demoraria cerca de 60 dias se alguém fosse testar todas as senhas possíveis. Mas Feynman usava alguns truques que permitiam a ele conseguir abrir a maioria dos cofres de seus colegas tentando apenas 8.000 combinações, o que levava somente 12 minutos (ou, em média, 6 minutos). Ou 20 combinações em apenas 1,5 minutos, pois em alguns casos ele conseguia conhecer 2 dos números.

Os mesmos princípios utilizados por Feynman são usados até hoje para quebrar senhas: é muito mais fácil tentar um conjunto de senhas mais prováveis do que todas as compbinações possíveis.

março 20, 2014

[Segurança] Overdose de eventos em Abril/2014 [post atualizado]

Em abril deste ano teremos uma overdose de eventos de segurança! Entre os dias 11 e 16 de Abril, teremos nada menos do que quatro eventos diferentes, para todos os gostos:

  • 08 a 10/04: LAAD Security (Feira Internacional de Segurança Pública e Corporativa), no Riocentro (Rio de Janeiro). Evento focado principalmente segurança física e defesa para o setor de segurança pública (forças armadas e policiais), mas que também aborda a área de segurança da informação, com palestras e exposição de 150 empresas de 16 diferentes países;
  • 11 a 12/04: 9ª edição do Workshop SegInfo, no Rio de Janeiro. Com o tema Segurança Ofensiva, esta edição não terá venda de ingressos, que serão disponibilizados para clientes, colaboradores e convidados dos patrocinadores;
  • 11 a 12/04: CryptoRave - evento gratuito que é uma variação da CryptoParty, cujo foco principal é no uso de ferramentas básicas de segurança e na privacidade na rede. O evento será das 19h do dia 11/04 (sexta-feira) até a noite de 12/04 (Sábado) no Centro Cultural São Paulo. A CryptoParty foi bem legal, com palestras e oficinas bem interessantes e um público diversificado - por isso eu acredito que vale a pena dar uma passada na CryptoRave;
  • 13/04: Co0L BSidesSP - evento gratuito com palestras e oficinas sobre segurança da informação e cultura hacker, voltado para o fomento da comunidade. Faz parte da família de eventos Security BSides que acontecem em várias cidades do mundo;
  • 14/04: You Sh0t The Sheriff (YSTS) - um dos mais importantes e exclusivos eventos nacionais de segurança;
  • 15 a 16/04: it-sa - uma conferência alemã de segurança da informação que será realizada pela primeira vez no Brasil, em São Paulo. A it-sa diz ser um dos maiores eventos da área em todo o mundo e é sediada na cidade de Nuremberg, na Alemanha. Aqui no Brasil, o evento terá um dia e meio de duração com uma agenda composta apenas por painéis de debates. Olhando a programação, um amigo me resumiu da seguinte forma: "festa estranha com gente esquisita". Concordo...
Esse súbito acúmulo de eventos no meio de Abril tem uma explicação muito simples: todos estão fugindo da Copa do Mundo. Por isso, eventos que aconteceriam em Maio, ou até mesmo em Junho, foram antecipados para abril ou até mesmo cancelados.

Nota: Post atualizado em 28/03 com informações sobre a LAAD Security e comentários sobre a CryptoRave e it-sa. Atualizado novamente com informações sobre o Workshop SegInfo, no Rio de Janeiro.

março 19, 2014

[Segurança] Target e o impacto de um roubo de dados

Muito já se falou sobre o roubo de dados da Target, que pode ter atingido dados de 70 a 110 milhões de clientes.



Há alguns dias atrás a Forbes publicou um artigo que mostra os impactos financeiros que esse roubo de dados causou a Target:

  • Seu lucro no quarto trimestre de 2013 (referente a um faturamento de US$ 21.5 bilhões) caiu quase 50%;
  • O lucro anual da Target em 2013, no total de US$ 1.97 bilhões, caiu mais de um terço (34.3%), enquanto sua receita anual cresceu 0,9% (atingindo $72.6 bilhões);
  • As ações cairam 9% desde o anúncio do roubo de dados;
  • A Target gastou US$ 17 milhões com o roubo de dados em 2013, e não sabe qual será o custo total que ela terá que arcar durante 2014 por causa do incidente.
Além disso, o roubo de dados da Target afetou aproximadamente 1/3 dos consumidores americanos.

Segundo a Target, estes resultados negativos foram influenciados pelo roubo de dados descoberto em Dezembro/2013 e também pela performance "desapontadora" das operações deles no Canadá.

Qualquer que seja o motivo, certamente esses números vão fazer a alegria da galera de segurança acostumada a usar estatísticas assustadoras sobre ataques para espalhar o FUD, já que vivemos em uma indústria que está acostumada a assustar clientes e forçar a venda de produtos goela abaixo. Preparem-se para vê-los repetidas vezes na próxima apresentação de algum fornecedor e nos próximos eventos marketeiros de segurança...

OBS: Post atualizado em 27/03.

março 17, 2014

[Segurança] Poster da próxima Co0L BSidesSP

Criei recentemente um poster para ajudar a divulgar a próxima edição da Co0L BSidesSP, que acontecerá no dia 13/04, na PUC-SP.



Para criar a "cloud tag", eu utilizei um aplicativo online bem legal, o www.wordle.net, com as seguintes palavras-chaves, que estão relacionadas aos temas e atividades do evento:
  • Palestras
  • Oficinas
  • Lightning Talks
  • Capture The Flag (CTF)
  • Hacker Job Fair
  • Brazilian Arsenal
  • Churrascker
  • Segurança da Informação
  • Hackerspaces
  • Cultura Hacker
  • Inovação

Wordle: BSidesSP


Devido as minhas limitações artísticas, criei o poster em um Power Point e salvei como imagem. O arquivo original está disponível no meu Slideshare ;)

março 16, 2014

[Cyber Cultura] CryptoRave

Entre os dias 11 e 12 de abril teremos, aqui em São Paulo, a CryptoRave, um evento que pretende durar 24 horas com diversas atividades relacionadas a liberdade e privacidade na Rede.



A CryptoRave acontecerá no espaço do Centro Cultural São Paulo com uma grade rica de palestras, painéis e oficinais sobre temas atuais relacionados a segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede. As oficinas serão um espaço de aprendizado na prática (mão-na-massa) de como instalar e configurar ferramentas de segurança e de criptografia, como o uso da rede Tor para anonimato, a criação e envio de e-mail criptografado com PGP e o bate-papo criptografado (OTR). Também haverá uma Install Fest para uma instalação completa de sistemas operacionais livres GNU/Linux.

O evento também terá o desafio Capture a Bandeira ("Capture the Flag"), que terá como prêmio 1 (um) bitcoin. A festa oficial acontece na noite do dia 11, no jardim do Centro Cultural São Paulo e contará com muita música (banda, DJs e VJs).

A CryptoRave é organizada pela Actantes, entidade de defesa da privacidade e liberdade na rede, Grupo de Trabalho "Segurança e Privacidade" da rede social livre Saravea, Escola de Ativismo, o grupo Teatro Mágico, ThoughtWorks, empresa que quer criar uma humanidade melhor através do software, a MakroSystems empresa de segurança brasileira, e muitos outros colaboradores individuais.

A CryptoRave integra um conjunto de ações no mundo inteiro - as criptofestas (CryptoParty) - que tem como objetivo ensinar como utilizar ferramentas básicas de segurança e garantir sua privacidade na rede. Se você é iniciante ou nunca ouviu falar de criptografia, não se preocupe, haverá atividades para todos os públicos: iniciante, intermediário e avançado.

A programação oficial, os detalhes do desafio da captura da bandeira, e as informações sobre como se inscrever encontram-se no site oficial do evento.

Data: das 19h do dia 11 até a noite do Sábado 12 de Abril no Centro Cultural São Paulo
Local: São Paulo, Rua Vergueiro, 1000, próximo a estação Vergueiro do Metrô.
Como participar: é necessário fazer a inscrição (gratuita) pelo site.

março 13, 2014

[Cyber Cultura] Revolução MAKER

A TV Info fez uma reportagem curtinha, porém bem legal, sobre o crescimento do movimento "maker" no Brasil, que resume um pouco da reportagem com o mesmo título que foi publicada na revista deste mês.

As reportagens dão destaque para alguns "makerspaces" e hackerspaces. A parte inicial da vídeo reportagem foi gravada no Garoa Hacker Clube :)




A reportagem na revista Info se limita a descrever 5 espaços existentes em SP: além do Garoa, fala do Lab de Garagem, o Garagem Fab Lab, o Pedro Terra Lab e o Laboriosa 89. Ela peca em dois aspectos:
  1. Se limitar aos espaços existentes na cidade de São Paulo, em vez de procurar exemplos em outras cidades e estados do Brasil;
  2. Misturar, no mesmo saco, hackerspace e "makerspace".

Na minha opinião, hackerspaces e makerspaces são dois conceitos parecidos, porém diferentes. Enquanto o "makerspace" é um local para as pessoas construírem coisas em um espaço de alguma forma colaborativo, o hackerspace é muito mais amplo: é um local para fazer qualquer coisa minimamemte relacionada com tecnologia, desde construir projetos, mas também fazer oficinas, palestras, discussões, ou simplesmente se socializar, englobando qualquer área do conhecimento que seja relacionada, sem existir a necessidade de se construir algo. Ou seja, enquanto o makerspace é um espaço focado em se construir algo, o hackerspace aceita qualquer tipo de atividade, sendo assim bem mais amplo e livre.

março 12, 2014

[Cyber Cultura] 25 anos de WWW

Em Março de 1989, o Tim Berners-Lee lançou o paper “Information Management: A Proposal”, que serviu de base para o surgimento da World Wide Web (WWW), o sistema de gerenciamento e exibição de informações baseados em repositórios descentralizados, hipertextos e hiperlinks acessados por "browsers", que deu início aos sites que conhecemos hoje.



Para celebrar a data, o World Wide Web Consortium e a World Wide Web Foundation lançaram o site Webat25.org, que reúne artigos, vídeos e notícias sobre a história da WWW.

Os fatos abaixo resumem a breve história da Web:

  • Março de 1989: Tim Berners-Lee escreve o artivo "Information Management: A Proposal" (“Gestão da Informação: Uma Proposta”), que é distribuído para comentários no CERN;
  • Outubro de 1990: TBL começa a trabalhar em um navegador de hipertexto + editor usando o ambiente de desenvolvimento NeXTStep. Ele batiza o programa e o projeto de “WorldWideWeb”;
  • Agosto de 1991: O software Web é disponibilizado via FTP;
  • Maio de 1992: Lançada a versão de teste do navegador “Viola” de Pei Wei;
  • Fevereiro de 1993: O National Center for Supercomputing Applications (NCSA) lança a primeira versão alfa do navegador Mosaic, de Marc Andreessen, que popularizou a Web;
  • Abril de 1993: O CERN declara que a tecnologia WWW seria livremente utilizável por qualquer pessoa, sem taxas a serem pagas ao CERN;
  • Outubro de 1994: É fundado o World Wide Web Consortium (W3C);
  • Dezembro de 1994: Lançado o browser Netscape, que foi extremamente popular nos promórdios a Web.

[Cyber Cultura] O Brasil na idade das pedras da era da informação

Um artigo publicado recentemente no site da revista Info nos mostram alguns dados sobre o uso das tecnologias no Brasil e nos faz pensar qual é o nosso papel no mundo atual... que não é diferente do que sempre foi: simples consumidor de tecnologias desenvolvidas por outros países.

No Brasil de hoje, todo mundo tem celular e metade da população está conectada à Internet (e grudada no Facebook), mas...
  • O Brasil colabora com menos de 0,1% das exportações mundiais de produtos de tecnologia de informação e comunicação (celulares, tablets, computadores, circuitos) (dados de fevereiro da ONU);
  • O Brasil ocupa o 64º lugar em inovação tecnológica. Aqui na América Latina estamos atrás do Chile, Uruguai, Argentina e México;
  • O Brasil ocupa o 84º lugar em velocidade da Internet, segundo o relatório anual da Akamai. Nossa marca, 2,7 megabits por segundo, está abaixo da média global, de 3,6 Mbps.

Estes dados são mais assustadores se pensarmos que, atualmente, é muito fácil criar e empreender no mundo digital: basta ter uma idéia, acesso a Internet e conhecimento tecnológico para lançar um aplicativo novo. As App Stores e a tecnologia de Cloud Computing facilitaram muito o acesso ao mercado para pequenos desenvolvedores. Você tem uma idéia, cria um aplicativo e ele pode ir crescendo conforma a aceitação do mercado.

Segundo o artigo da Info, dois terços do mercado mundial de tecnologia é dominado por países emergentes. Por isso, "o próximo Facebook" pode nascer na garagem de qualquer um, em qualquer lugar do mundo. Ou será que não?

março 10, 2014

[Segurança] Traffic Light Protocol

O "Traffic Light Protocol" (TLP) ("Protocolo do Semáforo", em uma tradução simples e literal, minha) é uma metodologia bem simples e objetiva para sinalizar mensagens e trocas de informação, utilizado por várias empresas e entidades conhecidas, como o próprio CERT-US e a ENISA.

O TLP lembra muito o conceito de classificação da informação, mas é um modelo mais simples e direcionado para um uso objetivo: troca de infomação. Isto não quer dizer que ele substitui um sistema de classificação de informação. Na minha opinião, ele é um complemento. O TLP define quatro níveis de compartilhamento, de acordo com o grau de sensibilidade da informação e as respecitivas considerações sobre como ela deve (ou não) ser compartilhada: Red (Vermelho), Ambar (Amarelo), Green (Verde) ou White (Branco).


No site do CERT-US tem uma descrição desses níveis, conforme a seguir:

Cor Quando Usar Como Compartilhar
RED
(Vermelho)
O remetente pode usar a indicação "TLP:RED" quando compartilhar uma informação que não pode ser compartilhada com outras organizações, e esta informação pode levar a impactos na privacidade, na reputação , ou nas operações de terceiros se for mal utilizada. Os destinatários não podem compartilhar estas informações com terceiros exceto com o grupo específico (ou durante a reunião ou conversa) em que a informação foi divulgada originalmente.
AMBER
(Ambar)
O remetente pode usar a indicação "TLP:AMBER" quando a informação depende de dados adicionais para ser efetivamente colocada em prática, mas mesmo assim ainda traz riscos à privacidade, reputação , as operações de terceiros se for compartilhada fora das organizações envolvidas. Os destinatários só podem compartilhar as informações com membros de sua própria organização, desde que precisem tomar conhecimento dela, e somente no nível de detalhe que seja necessário para agir com base nessa informação .
GREEN
(Verde)
O remetente pode usar a indicação "TLP:GREEN" quando a informação for útil para a conscientização de todas as organizações participantes, ou com seus pares dentro da comunidade mais ampla ou do setor de atuaçào. Os destinatários podem compartilhar estas informações com seus pares e organizações parceiras dentro do seu setor ou sua comunidade, mas não podem fazê-lo através de canais de comunicação públicos.
WHITE
(Branco)
O remetente pode usar a indicação "TLP:WHITE" quando compartilhar uma informação que traz o mínimo ou nenhum risco previsível pelo seu mau uso, de acordo com as regras e procedimentos aplicáveis ​​para a divulgação pública. Os destinatários podem compartilhar e distribuir estas informações sem restrições, sujeitos apenas a controles de direitos autorais (se existirem).

Quando alguma pessoa compartilha uma informação, ela define um certo nível de classificação seguindo o protocolo TLP, conforme acima A partir daí, o nível marcado no TLP vai indicar, para os destinatários, como eles devem tratar a informação recebida.

Por exemplo, se você gostou deste post e quer compartilhar com os colegas do seu SOC, você pode mandar um e-mail para eles com a tag TLP:WHITE no subject. Mas, por outro lado, suponha que vocês estejam analisando um sample de um malware que foi detectado em sua rede e tem que trocar mensagens entre si ou com o seu fornecedor de anti-vírus. Neste caso, marquem os e-mails com a tag TL:RED.

O TLP é reconhecido entre vários membros da indústria que frequentemente compartilham informações com parceiros de confiança. O site do CERT-US também tem um documento em PDF de duas páginas, que resume muito bem o que é o TLP.

OBS: Pequena atualização de formatação da tabela em 29/01/19.

março 07, 2014

[Cyber Cultura] Dia Internacional da Mulher


Desde hoje, diversos sites na Internet estão celebrando o Dia Internacional da Mulher (International Women’s Day), que acontece dia 8 de março. Podemos ver essas comemrações online através do doodle do Google ou de alguns sites que mudaram sua cor padrão para púrpura e colocaram páginas ou vídeos específicos sobre o assunto.


O site do International Women's Day tem uma página de recursos com dezenas de vídeos sobre o assunto.

Para ver mais notícias sobre o dia internacional da mulher em todo o mundo, siga a hashtag #womensday ou o perfil @womensday no Twitter, e visite a página internationalwomensday no Facebook ou no LinkedIn.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.