Páginas

maio 29, 2014

[Segurança] O bicho está pegando para os governos!!!

Não sei se você também tem esta percepção, mas estamos presenciando uma certa tensão entre alguns governos no mundo online:

Vejamos...



Desde que o Edward Snowden divulgou documentos comprovando um esquema monumental de espionagem global da NSA, vários governos e empresas começaram a se preocupar muito mais com a espionagem cibernética. Isso deixou de ser algo restritoà China e, eventualmente, Rússia, e tornou algo que impacta a todos os governos, empresas e pessoas. E, definitivamente, colocou os EUA lado a lado com os vilões da história (China e Rússia).

O site Stratfor publicou uma reportagem bem interessante discutindo as implicações da decisão dos EUA de criminalizar os 5 militares chineses. Segundo eles, embora esta decisão tenha pouco resultado prático, ela marca o início de um posicionamento formal do governo americano sobre ciber espionagem e guerra cibernética. Os Chineses não vão entregar os militares para os EUA e não vão parar de espionar todo mundo. Mas essa decisão dos EUA reconhece o envolvimento de governos com espionagem, sabotagem e destruição online e, mostrando que isso pode ser criminalizado, faz aumentar o risco de um país se envolver em ciber espionagem contra outra nação. Além disso, os EUA já iniciam a discussão sobre os limites da ciber espionagem e ciber guerra impondo o seu ponto de vista.

maio 27, 2014

[Cyber Cultura] Vamos reiniciar a Internet !!!

Várias entidades defensoras da privacidade e da liberdade da expressão, além de diversos sites e empresas, lançaram a campanha "Reset the Net", que pretende usar o dia 05 de Junho para protestar contra a espionagem massiva governamental.

A campanha convida todos a promoverem diversas iniciativas para proteger a nossa privacidade online:


[Cidadania] Sem jogo sujo: Protesto Não é Crime

O pessoal da Anistia Internacional fez um ótimo filme chamado "No Foul Play" ("Sem Jogo Sujo"), em favor do direito da população a protestar durante a Copa do Mundo.

O vídeo é parte da campanha "Dê a Eles um Cartão Amarelo", que também inclui uma petição online direcionada ao governo Brasileiro, para que ele respeite o direito de protestar e não reprima violentamente os protestos.



Como diz o próprio vídeo...

Protesto não é crime !!!

maio 23, 2014

[Cyber Cultura] Dia do Orgulho Nerd

Para comemorar o dia do Orgulho Nerd que acontece neste 25/maio (também conhecido como "Dia da Toalha"), nada melhor do que este vídeo que ilustra as mil e uma utilidades da toalha para um verdadeiro mochileiro:



Em sua série de livros "O Guia do Mochileiro das Galáxias", Douglas Adams (1952-2001) mudou para sempre a visão da humanidade sobre toalhas, desde então reconhecida como um ítem indispensável para nossa sobrevivência em qualquer lugar ;)

A citação original do livro O Guia do Mochileiro das Galáxias sobre a importância da toalha é a seguinte:

"(...)a toalha é um dos objetos mais úteis para um mochileiro interestelar. Em parte devido a seu valor prático: você pode usar a toalha como agasalho quando atravessar as frias luas de Beta de Jagla; pode deitar-se sobre ela nas reluzentes praias de areia marmórea de Santragino V, respirando os inebriantes vapores marítimos; você pode dormir debaixo dela sob as estrelas que brilham avermelhadas no mundo desértico de Kakrafoon; pode usá-la como vela para descer numa minijangada as águas lentas e pesadas do rio Moth; pode umedecê-la e utilizá-la para lutar em um combate corpo a corpo; enrolá-la em torno da cabeça para proteger-se de emanações tóxicas ou para evitar o olhar da Terrível Besta Voraz de Traal (um animal estonteantemente burro, que acha que, se você não pode vê-lo, ele também não pode ver você -estúpido feito uma anta, mas muito, muito voraz); você pode agitar a toalha em situações de emergência para pedir socorro; e naturalmente pode usá-la para enxugar-se com ela se ainda estiver razoavelmente limpa.

Porém o mais importante é o imenso valor psicológico da toalha. Por algum motivo, quando um estrito (isto é, um não-mochileiro) descobre que um mochileiro tem uma toalha, ele automaticamente conclui que ele tem também escova de dentes, esponja, sabonete, lata de biscoitos, garrafinha de aguardente, bússola, mapa, barbante, repelente, capa de chuva, traje espacial, etc, etc. Além disso, o estrito terá prazer em emprestar ao mochileiro qualquer um desses objetos, ou muitos outros, que o mochileiro por acaso tenha “acidentalmente perdido”. O que o estrito vai pensar é que, se um sujeito é capaz de rodar por toda a Galáxia, acampar, pedir carona, lutar contra terríveis obstáculos, dar a volta por cima e ainda assim saber onde está sua toalha, esse sujeito claramente merece respeito."

maio 22, 2014

[Segurança] Riscos de Segurança na Copa do Mundo

Daqui a poucos dias começará a Copa do Mundo de Futebol, e daqui a dois anos teremos as Olimpíadas de 2016 no Rio de Janeiro. Estes dois eventos que acontecerão no Brasil já tem estimulado protestos no mundo físico e virtual, mas na verdade, esta é só a ponta do iceberg: existem vários riscos de segurança relacionados a Copa do Mundo e as Olimpíadas que podem afetar a empresas, governos, os patrocinadores dos eventos, atletas, comerciantes, usuários finais, etc.

Os potenciais cenários de crimes, fraudes e protestos relacionados com a Copa do Mundo e as Olimpíadas representam diversos riscos de segurança, tais como:
  • Protestos e Hacktivismo: Desde a Copa das Confederações no ano passado, estes grandes eventos tem itensificado uma série de protestos contra o governo brasileiro, contra as entidades que organizam e patrocinam estes eventos e, inclusive, protestos direcionados as instituições financeiras em geral. E a tendência natural é que estas manifestações devem se intensificar durante a Copa.
    • Não custa lembrar o risco real de terrorismo e ciber terrorismo na Copa e na Olimpíada, principalmente entre grupos de outros países que tradicionalmente já enfrentam este tipo de problema (ou seja, EUA, países Europeus, Russia e diversos países do Oriente Médio);
    • Protestos nas ruas com ataques físicos a empresas, agências bancárias e caixas eletrônicos, com destruição e roubo de patrimônio;
    • Protestos online através de defacement, ataques DDoS ou roubo de dados:
      • defacement de sites como forma de protesto contra a Copa do Mundo
      • o roubo e divulgação de dados das empresas visa promover o descrédito da organização através da exposição de informações confidenciais, incluindo planos estratégicos, informações de negócio ou dados pessoais de clientes, executivos e funcionários;
      • ataques de negação de serviço DDoS tradicionais, como parte de grandes campanhas de hacktivismo contra os grandes eventos ou contra alvos específicos;
      • ataques de DDoS ou DoS aproveitando lógica de negócio, tal como o uso de scripts automatizados para executar um número excessivo de acessos ao site da empresa com objetivo de simplesmente impedir o acesso ao site ou, em última instância, bloquear contas de usuários (por exemplo, realizando diversas tentativas de login com senhas inválidas a ponto de causar o bloqueio das contas);
  • Ciber Fraude e Ciber Crime
    • Envio de mensagens de SPAM relacionadas a Copa do Mundo, para enganar usuários finais e infectá-los com malwares ou roubar dados pessoais. Esse tipo de ataque já está acontecendo e, por exemplo, o Catálogo de Fraudes da RNP já lista alguns casos;
    • Sites falsos para venda de ingressos para os jogos, enganando usuários e fazendo vendas fraudulentas (vende, obtém o dinheiro da vítima e não entrega nada);
    • Diversas fraudes de cartão de crédito e débito, aproveitando o grande fluxo de turistas extrangeiros com cartões de crédito de outros países
      • Clonagem de cartões de crédito: muitos países ainda não adotaram cartões com tecnologia de Chip, e assim são bem mais fáceis de serem clonados
      • Aumento de casos de compras fraudulentas com cartões clonados no comércio online e no comércio físico: um dos problemas é que os turistas de outros países utilizam cartões de bancos ou empresas de cartões que os logistas não conhecem, logo estes logistas terão maior dificuldade para identificar visualmente um cartão clonado

Conforme dito pela Reuters em uma excelente reportagem publicada em fevereiro deste ano, o Brasil possui um cenário de ciber crime desenfreado, com empresas despreparadas, uso disseminado de software pirata e baixo investimento em segurança. Diante deste cenário, enfrentamos o sério risco de sofrer grandes ataques e fraudes cibernéticos durante a Copa.

maio 19, 2014

[Segurança] Open Source é realmente seguro?

O bug do Heartbleed foi um tapa na cara da comunidade Open Source.

Muito se fala que os softwares de código aberto são mais seguro do que os softwares proprietários pois permitem que a comunidade audite o código e identifique mais rapidamente bugs e backdoors. Mas, no caso do Heartbleed, descobrimos que o OpenSSL tinha um bug grave por cerca de 2 anos, justamente uma solucão extremamente popular para servidores web e utilizado por milhares de empresas e grandes sites. Sobrou até para o OpenVPN...

Desde as revelações do Edward Snowden sobre o imenso aparato de ciber espionagem do governo americano, muito se fala que o uso de softwares Open Source é uma forma de evitar programas com backdoors colocados por governos com objetivo de facilitar a espionagem. O principal argumento em favor das ferramentas Open Source é que, como o código fonte está totalmente disponível, a comunidade pode analisá-lo e identificar qualquer backdoor ou vulnerabilidade plantada intencionalmente.

Mas este mito da "comunidade que verifica e garante" mostrou-se ineficaz: o bug do Heartbleed afetou um software Open Source muito usado e estava presente há cerca de 2 anos (o bug surgiu na versão 1.0.1, de Março de 2012).

Se os softwares Open Source são mais seguros, como é possível que um software extremamente popular e muito usado ficasse vulnerável por tanto tempo?

Conversando com alguns colegas da área e juntando minhas opiniões pessoais, eu vejo vários motivos que, em conjunto, podem levar a este tipo de situação:
  • Criptografia é algo complicado: Simples assim. Algoritmos criptográficos são complexos e exigem um grande conhecimento teórico e muito específico de matemática (incluindo teoria dos números, álgebra, corpos finitos, aritimética modular, e várias outras coisas que eu poderia colocar aqui para encher linguiça). Além de conhecimentos no protocolo específico. Ou seja, nem todo mundo consegue entender, desenvolver ou auditar algoritmos criptográficos;
  • Nem todo programador é um bom programador: escrever código exige conhecimento técnico, conhecimento lógico, criatividade, experiência e talento específico. Se vários programadores se debruçarem sobre um mesmo problema, provavelmente cada um criará um programa totalmente diferente para resolver o mesmo problema. Assim como qualquer projeto de software, um projeto de software aberto inclui programadors excelentes e programadores medíocres. E a qualidade do software pode variar;
  • Poucos programadores conhecem princípios de desenvolvimento seguro: Nós que trabalhamos na área de segurança da informação achamos que todo programador deveria ter conhecimento sobre como desenvolver um código de forma a evitar bugs de segurança. Existem livros, sites e muita informação sobre boas práticas de desenvolvimento. Uma ótima referência sobre este assunto é o projeto OWASP. Mas, mesmo assim, poucos desenvolvedores conhecem estas práticas. E muito bug de segurança poderia ser evitado, mas não é. Isso inclui checagem de parâmetros, validação do tamanho dos dados e dos campos, etc;
  • Nem todo programador documenta muito bem o que fez no código: isso é um problema que atrapalha qualquer pessoa que tente entender um algoritmo feito por outra pessoa; 
  • Nem todo mundo audita o código: Nem todo mundo gosta ou sabe auditar um código, ainda mais se for de um software complexo (em termos de quantidade de linhas de código ou de complexidade do assunto em si). Aí vale a lei do menor esforço: se um problema está resolvido, muita gente prefere focar em trabalhar em outras áreas do projeto do que ficar revisando o que foi feito por outro programador. Desenvolver um código seguro, confiável e estável exige testes e auditorias constantes (e diversos tipos diferentes de testes);
  • Há programadores que escrevem código complicado de propósito: Segundo um profissional que conheço, há desenvolvedores que escrevem código de forma complicada justamente para "ficarem donos" daquele código. Assim, eles garantem que o projeto vá depender deles, já que são os únicos que entendem o que aquele pedaço de código faz. 
A nossa falta de capacidade de auditar softwares de código aberto também não quer dizer que eles são mais ou menos seguros do que softwares proprietários. Pelo menos, no caso do Open Source, o código está disponível para qualquer pessoa analisar. No caso de uma ferramenta proprietária, somente a empresa que a desenvolveu sabe exatamente o que se passa nas entranhas do software. e, aí sim, um bug ou backdoor pode ficar muito tempo sem ser descoberto.

No ano passado o Rodrigo Rubira Branco (BSDaemon) escreveu um artigo excelente sobre este assunto no site da 4Linux, entitulado "Segurança de Software: código aberto versus fechado faz diferença quando tratamos de vulnerabilidades em programas?". O artigo sobre o Heartbleed na Wikipedia também possui uma seção que discute as prováveis causas e consequências do bug. Ambos valem muito a leitura !!!

maio 15, 2014

[Segurança] O Direito de Ser Esquecido

Recentemente o Tribunal de Justiça da União Europeia anunciou uma decisão contra o Google que garantiu ao cidadão comum o "direito de ser esquecido", ou seja, que cidadãos podem solicitar aos buscadores na Internet que apaguem (ou retirem, ou filtrem) informações publicadas na Internet que os prejudiquem ou Não sejam relevantes.

A decisão foi relacionada a um processo de um cidadão espanhol (Mario Costeja González) em conjunto com a Agência Espanhola de Proteção de Dados, pois uma busca no Google identificava notícias em um jornal local relacionadas a uma antiga dívida dele, de 16 anos atrás.

O tribunal avaliou a responsabilidade dos buscadores e o direito do cidadão em proteger sua vida privada e a privacidade de suas informações. Segundo o tribunal, os donos dos dados tem o direito de solicitar a retirada de dados que sejam inadequados, irrelevantes ou excessivos frente a necessidade deles serem divulgados, e os instrumentos de busca tem a obrigação de suprimir os resultados, a menos que haja maior interesse de conhecimento do público sobre esta informação.

"direito de ser esquecido" é (ao menos deveria ser!) um dos pontos principais em qualquer discussão sobre privacidade online. Ele significa que qualquer cidadão pode pedir a retirada de seus dados da Internet, em especial quando se trata de informações antigas, inacuradas ou irrelevantes. Segundo o tribunal europeu, deve haver um equilíbrio entre a privacidade do indivíduo e o interesse público em conhecer aquela informação.

Mas o "direito de ser esquecido" tem vários aspectos polêmicos:

  • Ele não necessariamente significa que todas as informações sobre o indivíduo devem ser apagadas;
  • Corre o risco de ser confundido com censura;
  • A complexidade técnica em implantar controles, filtros ou restrições nos mecanismos de buscas;
  • A possibilidade das emprsas de busca serem sobrecarregadas de solicitações de remoção de dados de milhares de indivíduos em todo o mundo.


Embora a decisão do Tribunal de Justiça da União Europeia seja específica para buscadores online, o "direito de ser esquecido" deveria se aplicar a qualquer empresa ou provedor de conteúdo na Internet, incluindo redes sociais e provedores de e-mail. Ou seja, deveríamos ter o direito de exigir que sites como o Facebook ou serviços como o GMail apagassem todos os nossos dados armazenados por eles.

O principal aspecto positivo dessa decisão recente contra o Google é que ela irá permitir o amadurecimento da discussão sobre o direito de privacidade online. Não é a toa que vários países possuem ou estão criando leis específicas sobre privacidade de dados online.

maio 13, 2014

[Cidadania] A importância da Empresa Júnior na Universidade

O Movimento Empresa Júnior, MEJ, surgiu a partir da necessidade de um grupo de jovens em criar algo que proporcionasse a realidade empresarial ainda na graduação. Geridas exclusivamente por universitários, as empresas juniores realizam projetos de alta qualidade e baixo custo para micro e pequenas empresas e estimulam a atitude empreendedora entre seus membros, formando assim, profissionais diferenciados para o mercado de trabalho e capazes de mudar o nosso país.

A Empresa Júnior (EJ) é uma associação civil, sem fins lucrativos, constituída e gerida exclusivamente por alunos de graduação de estabelecimentos de ensino superior. Seu objetivo é prestar serviços e desenvolver projetos para empresas, entidades e para sociedade em geral, nas suas áreas de atuação, sob a orientação de professores e profissionais especializados. As EJs tem a natureza de uma empresa real, com diretoria executiva, conselho de administração, estatuto e regimentos próprios. Além disso, possuem gestão autônoma em relação à direção da faculdade, centro acadêmico ou qualquer outra entidade acadêmica.

As EJs permitem que seus participantes (alunos que atuam como diretores ou que realizam os projetos):
  • Tenham a oportunidade de aplicação prática dos seus conhecimentos teóricos, relativos à área de formação profissional específica;
  • Realizem projetos de qualidade, com acompanhamento de colegas mais experientes e professores;
  • Tenham a experiência de gerenciar projetos e gerenciar uma empresa;
  • Desenvolvam o espírito crítico, analítico e empreendedor;
  • Facilita o ingresso do estudante no mercado de trabalho, através de experiência profissional e contato direto com clientes e empresas;
  • Contribua com a sociedade, através de prestação de serviços especialmente ao micro, pequeno e médio empresário.
Além disso, a sociedade se beneficia com as EJs, qie prestam servicos de qualidade a baixo custo.

A idéia de Empresa Júnior surgiu na França em 1967 por iniciativa de universitários que achavam que apenas as aulas não eram suficientes para prepará-los para o mercado de trabalho. Com isso, começaram a criar empresas sem fins lucrativos, dentro de suas universidades, para prestar serviços a preços acessíveis para micro e pequenas empresas, ganhando assim a experiência prática que tanto buscavam.

Aos poucos essa ideia ganhou força, espalhou-se pela Europa e deu origem ao "Movimento Empresa Júnior". Em 1988 as EJs chegaram no Brasil, primeiramente em São Paulo, em universidades de ponta como a FGV, USP e Mackenzie. Hoje já estão nas melhores universidades paulistas: USP, Unicamp, ITA, FGV, Mackenzie, ESPM, Unesp, entre outras. Aqui é o país onde o "movimento" mais cresceu no mundo: hoje temos aqui mais empresas juniores do que todos os países da Europa somados, realizando mais de 2.500 projetos por ano em 800 EJs espalhadas pelas universidades dos 27 Estados do país. São mais de 10 mil "membros" que se renovam a cada ano.

Felizmente, chegamos a um ponto em que possuir uma EJ é sinônimo de qualidade de ensino para as faculdades \o/


As EJs brasileiras estão organizadas em algumas federações estaduais, como a FEJESP - Federação das Empresas Juniores do Estado de São Paulo (que foi a pioneira), e possuem uma confederação nacional, chamada Brasil Junior. Estas entidades ajudam na formação de novas EJs, além de prestar apoio as diversas EJs já existentes. Elas também tem um papel importante em garantir a uniformidade das empresas juniores e garantir que elas recebam o apoio necessário da faculdade para a realização de projetos de qualidade.

Um ótimo material para explicar a importância das Empresas Juniores é este vídeo institucional, que eu vi através do site da ICMC Júnior, a EJ do instituto de Computação da USP São Carlos:



O Movimento Empresa Júnior completou 25 anos em 2013. E para celebrar essa trajetória, a Brasil Júnior está preparando um documentário que irá registar a história deste movimento. Inclusive, é possível contribuir para a realização deste projeto.

maio 07, 2014

[Cidadania] Somos todos suspeitos!

Este é um ótimo vídeo do grupo Fronteiras do Pensamento que resume muito bem os principais aspectos do aparelho de espionagem montado pelo governo americano (nas gestões Bush e Obama) e que foi denunciado pelo Snowden.



Nesta curta entrevista com a Saskia Sassen, mestre em Ciências Sociais e PhD em Economia, especializada em globalização, migração urbana e tecnologias de comunicação por parte dos governos, ela faz uma rápida e objetiva análise do poder de vigilância dos governos sobre os cidadãos, que é a situação que vivenciamos hoje em dia através da espionagem e vigilância desmedida através dos meios de comunicação.

De acordo com Saskia, há três aspectos principais que merecem ser notados sobre a vigilância governamental:

  • Primeiramente, a grande infra-estrutura que foi construída para montar essa máquina de vigilância, e que nós não notamos. Isto deveria ser algo facilmente visível: nos EUA, ela cita existirem cerca de 10 mil edifícios espalhados no país desde 2010 para operacionalizar esse gigantesco aparato de vigilância contínua. Mas nós somos tão bombardeados de informações o tempo todo que não conseguimos perceber isso. Minha conclusão: fomos mantidos alienados, manipulados e enganados para não perceber e não dar atenção para isso, pelo menos não até surgir o escândalo do Snowden e da imprensa internacional ter dado destaque para as suas revelações. É interessante ver que, no início de 2012, a Wired fez uma reportagem de capa sobre o data-center gigantesco da NSA e que denunciava o esquema de espionagem deles, mas esta reportagem não causou nem um milésimo da comoção que foi gerada pelos relatos do Snowden;
  • A lógica desse aparato de vigilância está errada: para capturar 2 ou 3 criminosos/terroristas por ano, o governo assume que todo mundo é suspeito! O pressuposto básico dos governos para investir nestes mecanismos de vigilância é de que todos nós, cidadãos, somos suspeitos. Por causa de poucos grupos perigosos, para proteger o país todos os que moram nesse país são vigiados e os dados de todos são coletados 24 horas por dia, todos os dias do ano: nossos e-mails, nossa comunicação pessoal, etc. Isso, para ela, é uma grande ruptura no posicionamento e lógica tradicional da atuação do estado, considerando o modelo de atuação estabelecido pela revolução francesa e pela tradição Americana. Meu comentário: de fato, a NSA assumiu a postura que, para "encontrar uma agulha no palheiro, ela quer ter uma cópia de todo o palheiro" (isso já foi dito pelo general Keith Alexsander, chefe da NSA). Ou seja, a estratégia de vigilância da NSA foi construída sobre a idéia de que, hoje em dia, é mais fácil coletar tudo primeiro e buscar por informações específicas depois, do que vigiar susteitos caso-a-caso. Dessa forma, todos são vigiados, todos tem seus dados copiados (como se fôssemos todos suspeitos), e depois são feitas as investigações e buscas necessárias nessa massa gigantesca de dados;
  • Será que estes mecanismos realmente funcionam? Não há provas de que este aparato de vigilância funcione para achar terroristas. Para Saskia, nem o povo nem o governo se beneficiam com esta prática, mas sim as grandes empresas de tecnologia, que fornecem os equipamentos para essa gigantesca infra-estrutura de vigilância.

O pior de tudo é pensar que vários outros governos, órgãos de inteligência e forças policiais podem começar a seguir essa estratégia Americana, de interceptar e monitorar as comunicações de todo mundo através da Internet.

maio 05, 2014

[Segurança] Melhorando a segurança da Target, pós-invasão

Recentemente a Target anunciou a contratação de seu novo CIO ("pós-invasão"), embora continue procurando um CISO. Além disso, a empresa divulgou várias medidas que foram tomadas para melhorar a segurança do ambiente. Estas são, na verdade, exemplos de ações que devem ser tomadas por todas empresas:
  • Gestão de Alertas e Logs: Melhorar o monitoramento e o registro de logs, incluindo a implementação de regras adicionais, geração de mais alertas e logs, centralizando os feeds de logs;
  • Segurança nos Pontos de Venda: Instalação de whitelisting de aplicação nos sistemas de ponto-de-venda e desenvolvimento de ferramentas de gerenciamento dos pontos-de-venda;
  • Segmentação de redes: melhorar a segmentação de redes, além de revisar e racionalizar as regras de Firewall e adotar um processo abrangente de governança;
  • Rever e limitar o acesso dos fornecedores: inclui o cancelamento de alguns meios de acesso remoto dos fornecedores ao ambinete da Target, incluindo o bloqueio dos protocolos FTP e telnet. Eu imagino que aqui eles estão dizendo que vão limitar todos os acessos remotos necessários para que sejam feitos somente por SSH e SFTP;
  • Aumentar a segurança de contas de usuários: revisão de contas e senhas dos 445.000 membros da equipe da Target e dos terceiros (espero que revisem os usuários e, por conta da invasão, troquem obrigatoriamente a senha de todos), ampliação do uso de autenticação de dois fatores (isto é algo que pode ser facilmente implementado principalmente para acesso remoto!), desativação de várias contas de fornecedores, revisão de privilégios para certas contas e conscientização e treinamento dos usuários sobre troca de senha;
  • Cartões com chip: A partir do início de 2015, todos os cartões de crédito e débito da Target (chamados de REDcard) utilizarão chip (tecnologia chamada no mercado de CHIP-and-PIN) em parceria com a MasterCard. O uso de cartões com Chip é muito raro nos EUA, embora seja comum no Brasil e em toda a Europa.
A notícia não mencionou nada sobre a situação de compliance com o PCI, nem se a Target está fazendo algo para evitar a guarda de dados de cartões dos clientes (ou ao menos melhorar a segurança desses dados). Nada foi dito também na questão da gestão e priorização dos alertas e na melhora da capacidade de identificar e responder rapidamente a incidentes. Estes foram dois problemas que ajudaram para que a invasão e o roubo de dados ocorresse.

maio 02, 2014

[Cyber Cultura] Respondendo aos Trolls

Até o Paulo Coelho já reclamou dos Trolls e nos deu seus "sábios" conselhos sobre como lidar com eles. Outra abordagem interessante (e engraçada) é essa aqui:



Por coincidência, recentemente eu estava lendo a biografia do Will Wheaton e me deparei com esse techo:

"Although his Star Trek character, and by extension Wheaton himself, was disliked by a vocal group of Trekkies during TNG's first run, he commented about his critics in an interview for WebTalk Radio:

'Later, I determined that the people who were really, really cruel – like the Usenet weenies – really are a statistically insignificant number of people. And I know, just over the years from people who've e-mailed me at my web site and people who I've talked to since I started going to Star Trek conventions again in the last five years, that there are so many more people who really enjoyed everything about the show, including my performance, including the character.'"
O que o Will Wheaton vivenciou foi a situação de ser alvo de um grupo de Trolls. Ou seja, independente de você fazer algo que seja apreciado por você mesmo e pela grande maioria das pessoas, sempre haverá alguém que vai aparecer com uma crítica ácida, cruel, ou com um comentário desnecessariamente maldoso. E, por algum motivo estranho, parece ser mais fácil criticar do que elogiar o próximo - e tem gente que gosta de criticar tudo.

Dentre todas as reações possíveis nesta hora a melhor é, sem dúvida, simplesmente ignorar a crítica e a pessoa que fez o comentário malicioso. Ignorar e tocar a vida adiante, fazendo o que você gosta, do jeito que gosta e da forma que seja apreciado pela grande maioria das pessoas.

Isto é algo que todos nós podemos presenciar algum dia e que até possui uma frase característica no mundo da ciber cultura, que indica o ato de receber uma crítica e ignorá-la: "Haters gonna hate" (algo como "os provocadores irão odiar" - nhaca, ficou horrível traduzido).