A Lorrie Faith Cranor, pesquisadora de segurança da Carnegie Mellon University, apresentou uma palestra em Março deste ano no TEDx sobre segurança das senhas. Chamada de "What’s wrong with your pa$$w0rd?", ela analisou 5000 senhas criadas por voluntários na Internet e avaliou como as senhas eram formadas baseado em algumas políticas de segurança pré-determinadas (por exemplo, senhas de 8 caracteres, senhas longas de no mínimo 16 caracteres ou senhas "fortes"com caracteres especiais, maiúsculas e minúsculas).
Em sua pesquisa, ela achou alguns padrões comportamentais, como o fato da maioria das pessoas usam apenas alguns caracteres espaciais na senha. Em ordem de preferência estão o @, $ e !
Afinal, o que devemos fazer quando temos contas em centenas de sistemas, e temos que ter uma senha diferente para cada sistema? Como criar senhas fáceis de lembrar e digitar?
A conclusão da Lorrie é que as pessoas se sentem mais confortáveis criando senhas longas (ex: iamaveryhappybaby) do que senhas complexas (ex: MadBby!1), e as senhas longas são mais facilmente usáveis e costumam ser mais seguras (difíceis de serem adivinhadas).
Para avaliar a melhor forma de criar uma senha ao mesmo tempo fácil e segura, ela em seguida analisou a teoria de uma tirinha clássica do Xkcd sobre tamanho das senhas, que defende a teoria de que uma senha formada por várias palavras randômicas seria muito difícil de ser descoberta.
Comparando senhas longas formadas por várias palavras com senhas curtas com caracteres especiais e senhas formadas por palavras pronunciáveis (várias letras unidas de forma a formar uma palavra que não existe mais pode ser proununciada e memorisada, como "vadasabi") a Lorrie concluiu que as senhas longas são mais difíceis de lembrar e são mais suscetíveis a erros de digitação do que as senhas com palavras pronunciáveis - para decepção dos fãs do Xkcd :(
Ou seja, devemos evitar palavras conhecidas em nossas senha se usar senhas o mais longo possível desde que sejam fáceis de lembrar e digitar.
Diversas novidades, informações, dicas e casos do dia-a-dia: na vida pessoal, sobre Tecnologia e, principalmente, Segurança da Informação.
Páginas
▼
outubro 31, 2014
outubro 30, 2014
[Cidadania] O CEO da Apple é gay! E daí?
A mídia deu grande destaque a um recente artigo do Tim Cook, CEO da Apple, em que ele disse abertamente que é gay. Segundo suas palavras:
Tim Cook assumiu a presidência da Apple em Agosto de 2011, quando Steve Jobs se afastou para cuidar de seu tratamento médico. Após a morte de Steve Jobs, Tim Cook continuou presidindo a compania.
O fato dele ser gay nunca foi um segredo, como mostra este artigo de 2011 e o artigo da Gizmodo em 2011 sobre o ranking dos Mais Influentes Gays e Lésbicas da América. Por isso, a grande reverberação que esta notícia causou na imprensa não deixa de ser surpreendente. Porque, afinal, dar destaque a uma notícia que não deveria ser novidade para ninguém ou que no mínimo, em nada muda a importância do Tim Cook e da Apple?
Talvez a resposta esteja no fato de que nossa sociedade espera que os grandes líderes sejam homens, brancos, heterossexuais e católicos. As poucas excessões para esse padrão, quando surgem, são tratados como atração turística - ou pior, como prova de uma suposta igualdade que não existe.
Afinal de contas, se as mulheres já sofrem preconceito na área de tecnologia, o que esperar do tratamento direcionado aos homossexuais? Certamente não é melhor.
Uma pesquisa da Human Rights Campaign Foundation aponta as principais razões para alguém não assumir sua sexualidade abertamente no ambiente de trabalho, tais como:
Tim Cook recentemente fez um discurso no Alabama, em que ele denunciou a história de seu estado natal em desrespeitar os direitos humanos de afro-descendentes, lésbicas, gays, bissexuais e transgêneros.
No estado do Alabama, aonde Tim Cook foi criado, as pessoas podem ser demitidas por causa de sua orientação sexual. E o casamento inter-racial (entre brancos e afrodescendentes) só foi permitido há 14 anos atrás.
"Let me be clear: I’m proud to be gay, and I consider being gay among the greatest gifts God has given me"
Tim Cook assumiu a presidência da Apple em Agosto de 2011, quando Steve Jobs se afastou para cuidar de seu tratamento médico. Após a morte de Steve Jobs, Tim Cook continuou presidindo a compania.
O fato dele ser gay nunca foi um segredo, como mostra este artigo de 2011 e o artigo da Gizmodo em 2011 sobre o ranking dos Mais Influentes Gays e Lésbicas da América. Por isso, a grande reverberação que esta notícia causou na imprensa não deixa de ser surpreendente. Porque, afinal, dar destaque a uma notícia que não deveria ser novidade para ninguém ou que no mínimo, em nada muda a importância do Tim Cook e da Apple?
Talvez a resposta esteja no fato de que nossa sociedade espera que os grandes líderes sejam homens, brancos, heterossexuais e católicos. As poucas excessões para esse padrão, quando surgem, são tratados como atração turística - ou pior, como prova de uma suposta igualdade que não existe.
Afinal de contas, se as mulheres já sofrem preconceito na área de tecnologia, o que esperar do tratamento direcionado aos homossexuais? Certamente não é melhor.
Uma pesquisa da Human Rights Campaign Foundation aponta as principais razões para alguém não assumir sua sexualidade abertamente no ambiente de trabalho, tais como:
- Causar desconforto entre os colegas de trabalho (38%)
- Possibilidade de ser estereotipado (36%)
- Possibilidade de perder contato com colegas de trabalho (31%)
- Receio de não ser considerado para promoções ou oportunidades de desenvolvimento (23%)
Tim Cook recentemente fez um discurso no Alabama, em que ele denunciou a história de seu estado natal em desrespeitar os direitos humanos de afro-descendentes, lésbicas, gays, bissexuais e transgêneros.
No estado do Alabama, aonde Tim Cook foi criado, as pessoas podem ser demitidas por causa de sua orientação sexual. E o casamento inter-racial (entre brancos e afrodescendentes) só foi permitido há 14 anos atrás.
[Cyber Culura] Você não vai ficar com raiva de quem tem raiva
As eleições de 2014 provavelmente não serão lembradas pelo resultado apertado entre a Dilma e o Aécio. As promessas de campanha e as denúncias já serão esquecidas muito antes disso. Mas, se algo foi marcante para nós, foi a intensa discussão e polarização nas redes sociais.
Nos últimos meses, o Facebook, principalmente, foi inundado por mensagens contra ou a favor de um político ou de outro. Discussões sem fim, botos, notíias reais e distorcidas, críticas, acusações, etc. Vivemos uma verdadeira explosão de ódio na Internet brasileira, que culminou com mensagens de ódio contra os nordestinos, acusados injustamente de serem os responsáveis pela reeleição da candidata do PT.
Amigos deram "unfollow" uns nos outros. Parentes discutiram. como se isso fosse mudar alguma coisa...
As poucas celebridades que se manifestaram publicamente também foram alvos de comentários pejorativos, e o Chico Buarque, quem diria, virou meme !!!
Passado o segundo turno eleitoral, com as pessoas ainda de ressaca nas redes sociais, vale a pena rever este curto vídeo bem-humorado do Chico Buarque, que constata: "a Internet é aonde há as piores coisas". Uma ótima mensagem que mostra como as redes sociais amplificam a raiva, o ódio e desagrado, e a melhor forma de lidar com isso é, simplesmente, ignorando.
O vídeo foi gravado há cerca de três anos atrás, mas parece que foi feito ontem. Ele cabe como uma luva para o momento que estamos vivento.
Nos últimos meses, o Facebook, principalmente, foi inundado por mensagens contra ou a favor de um político ou de outro. Discussões sem fim, botos, notíias reais e distorcidas, críticas, acusações, etc. Vivemos uma verdadeira explosão de ódio na Internet brasileira, que culminou com mensagens de ódio contra os nordestinos, acusados injustamente de serem os responsáveis pela reeleição da candidata do PT.
Amigos deram "unfollow" uns nos outros. Parentes discutiram. como se isso fosse mudar alguma coisa...
As poucas celebridades que se manifestaram publicamente também foram alvos de comentários pejorativos, e o Chico Buarque, quem diria, virou meme !!!
Passado o segundo turno eleitoral, com as pessoas ainda de ressaca nas redes sociais, vale a pena rever este curto vídeo bem-humorado do Chico Buarque, que constata: "a Internet é aonde há as piores coisas". Uma ótima mensagem que mostra como as redes sociais amplificam a raiva, o ódio e desagrado, e a melhor forma de lidar com isso é, simplesmente, ignorando.
O vídeo foi gravado há cerca de três anos atrás, mas parece que foi feito ontem. Ele cabe como uma luva para o momento que estamos vivento.
outubro 29, 2014
[Segurança] Comando de Defesa Cibernética Brasileiro
Foi publicado no Diário Oficial a portaria do Ministério da Defesa que cria o Comando de Defesa Cibernética (ComDCiber) Brasileiro, uma iniciativa do governo para reforçar a estratégia de defesa cibernética nacional.
Segundo essa portaria (Nº 2.777/MD, de 27 de Outubro de 2014), o Estado-Maior Conjunto das Forças Armadas (EMCFA) fica responsável por supervisionar a implantação do Comando de Defesa Cibernética (ComDCiber) e da Escola Nacional de Defesa Cibernética (ENaDCiber), subordinados ao Comando do Exército. O ComDCiber e a ENaDCiber contarão com militares das três Forças Armadas, sendo que caberá ao Exército Brasileiro criar o chamado Núcleo do Comando de Defesa Cibernética (NuComDCiber) e o Núcleo da Escola Nacional de Defesa Cibernética (NuENaDCiber), subordinados ao Centro de Defesa Cibernética (CDCiber), que serão os embriões do ComDCiber e do ENaDCiber.
Aconteceu algo semelhante quando criaram o CDCiber há alguns anos atrás: primeiro criou-se um "núcleo" (ou seja, um grupo de trabalho), que posteriormente deu origem ao Centro como um todo.
Aos recém criados ComDCiber e ENaDCiber caberão organizar e executar os projetos governamentais de defesa cibernética, incluindo as medidas para efetiva implantação de uma defesa cibernética, a implantação de um Sistema de Homologação e Certificação de Produtos de Defesa Cibernética, o apoio à pesquisa e ao desenvolvimento de produtos de defesa cibernética, e a criação de um negócio batizado de "Observatório de Defesa Cibernética".
Segundo essa portaria (Nº 2.777/MD, de 27 de Outubro de 2014), o Estado-Maior Conjunto das Forças Armadas (EMCFA) fica responsável por supervisionar a implantação do Comando de Defesa Cibernética (ComDCiber) e da Escola Nacional de Defesa Cibernética (ENaDCiber), subordinados ao Comando do Exército. O ComDCiber e a ENaDCiber contarão com militares das três Forças Armadas, sendo que caberá ao Exército Brasileiro criar o chamado Núcleo do Comando de Defesa Cibernética (NuComDCiber) e o Núcleo da Escola Nacional de Defesa Cibernética (NuENaDCiber), subordinados ao Centro de Defesa Cibernética (CDCiber), que serão os embriões do ComDCiber e do ENaDCiber.
Aconteceu algo semelhante quando criaram o CDCiber há alguns anos atrás: primeiro criou-se um "núcleo" (ou seja, um grupo de trabalho), que posteriormente deu origem ao Centro como um todo.
Aos recém criados ComDCiber e ENaDCiber caberão organizar e executar os projetos governamentais de defesa cibernética, incluindo as medidas para efetiva implantação de uma defesa cibernética, a implantação de um Sistema de Homologação e Certificação de Produtos de Defesa Cibernética, o apoio à pesquisa e ao desenvolvimento de produtos de defesa cibernética, e a criação de um negócio batizado de "Observatório de Defesa Cibernética".
outubro 16, 2014
[Segurança] Porque a privacidade é importante
O jornalista britânico Glenn Greenwald deu uma excelente palestra no TED Global 2014, que aconteceu recentemente no Rio de Janeiro: Why privacy matters.
Em sua palestra, Greenwald discute o direito a privacidade e critica os esforços governamentais de criar um Estado de vigilância sobre as pessoas. Ele defende que todos nós entendemos instintivamento a importância de termos a nossa privacidade em determinados momentos, mesmo que não tenhamos motivo para nos esconder de outras pessoas e do governo. Afinal de contas, todos nós temos direito a liberdade e ao sentimento de poder agir e pensar em liberdade. Além do mais, todos nós temos algo para esconder do resto do mundo sobre o que pensamos, fazemos ou dizemos. Sejam ações, idéias, ou comportamentos. Coisas que não queremos que os outros não saibam.
Nosso comportamento pode mudar dramaticamente quando estamos em uma situação aonde somos vigiados: isto é uma simples reação natural, humana. Nosso conportamento é mais conformista e obediente quando somos monitorados, e assim podemos ser controlados mais facilmente. A vigilância massiva causa uma prisão mental em todos nós. Ou seja, no mundo digital de hoje, o vigilantismo é a nova forma de controle e tirania. E, o melhor de tudo: não é necessário vigiar a todos o tempo todo - basta fazer as pessoas acreditarem que podem ser monitoradas a qualquer momento.
Pensando bem, isto não é um fenômeno que acontece somente nos dias de hoje e no mundo online. Um dos maiores poderes das ditaduras é a vigilância sobre sua população através de espiões e delatores. Foi assim em países Europeus que eram dominados por regimes comunistas, é assim até hoje em Cuba - por exemplo. Assim como descrito no livro 1984, um livro escrito em 1948 !!!
Uma sociedade aonde as pessoas podem ser monitoradas a qualquer momento é uma sociedade dominada pela conformidade, obediência e submissão. E que limita a nossa liberdade.
Uma verdadeira sociedade democrática sabe respeitar não apenas os cidadãos obedientes, mas até mesmo os seus dissidentes.
Em sua palestra, Greenwald discute o direito a privacidade e critica os esforços governamentais de criar um Estado de vigilância sobre as pessoas. Ele defende que todos nós entendemos instintivamento a importância de termos a nossa privacidade em determinados momentos, mesmo que não tenhamos motivo para nos esconder de outras pessoas e do governo. Afinal de contas, todos nós temos direito a liberdade e ao sentimento de poder agir e pensar em liberdade. Além do mais, todos nós temos algo para esconder do resto do mundo sobre o que pensamos, fazemos ou dizemos. Sejam ações, idéias, ou comportamentos. Coisas que não queremos que os outros não saibam.
Nosso comportamento pode mudar dramaticamente quando estamos em uma situação aonde somos vigiados: isto é uma simples reação natural, humana. Nosso conportamento é mais conformista e obediente quando somos monitorados, e assim podemos ser controlados mais facilmente. A vigilância massiva causa uma prisão mental em todos nós. Ou seja, no mundo digital de hoje, o vigilantismo é a nova forma de controle e tirania. E, o melhor de tudo: não é necessário vigiar a todos o tempo todo - basta fazer as pessoas acreditarem que podem ser monitoradas a qualquer momento.
Pensando bem, isto não é um fenômeno que acontece somente nos dias de hoje e no mundo online. Um dos maiores poderes das ditaduras é a vigilância sobre sua população através de espiões e delatores. Foi assim em países Europeus que eram dominados por regimes comunistas, é assim até hoje em Cuba - por exemplo. Assim como descrito no livro 1984, um livro escrito em 1948 !!!
Uma sociedade aonde as pessoas podem ser monitoradas a qualquer momento é uma sociedade dominada pela conformidade, obediência e submissão. E que limita a nossa liberdade.
Uma verdadeira sociedade democrática sabe respeitar não apenas os cidadãos obedientes, mas até mesmo os seus dissidentes.
outubro 14, 2014
[Cyber Cultura] Cadê as mulheres em TI ?
A foto abaixo, tirada na Defcon deste ano, mostra algo que só acontece mesmo em eventos de TI: uma fila gigantesca para o banheiro masculino, enquanto o banheiro feminino estava vazio.
Mas há outros indicadores da dominância masculina no mundo de TI. Por exemplo...
Apesar da participação relativamente pequena, diversas mulheres gravaram seus nomes na história da tecnologia e são influentes até hoje. Não custa lembrar que uma mulher, a Ada Lovelace, é considerada a primeira programadora da história. Além dela, outros exemplos de mulheres importantes são a Grace Hopper, Frances E. Allen, Mary Kenneth Keller, Radia Perlman, Ida Rhodes, Jean E. Sammet, Marissa Mayer. E, em homenagem a todas elas, no dia 14 de Outubro é celebrado o "Ada Lovelace Day".
Na revista Wired de Setembro deste ano, há um pequeno artigo que aborda de forma muito interessante os aspectos culturais que ajudam a perpetuar a dominância masculina na indústria de TI americana - mas que se aplica a vários outros países, inclusive aqui no Brasil.
O autor comparou o mercado americano com o indiano, que ele considera ter mais igualdade entre os sexos. Embora as mulheres tenham igual capacidade mental de realizar trabalhos com tecnologia, a cultura tecnológica americana certamente tem um sexo muito bem definido. Desde o início, a idéia de alguém promovendo a inovação é associada a pioneiros, exploradores, guerreiros. Sempre do sexo masculino. São pessoas destemidas, combatentes, agressivas e perigosas, ainda mais em uma cultura extremamente competitiva como a Americana. Por isso, o profissional ideal é o guerreiro solitário. E aí é consolidada a imagem totalmente masculinizada do profissional de destaque na área de TI. Não importa a inteligência, a racionalidade ou o diálogo. Para exemplificar este culto ao macho empreendedor, é comum vermos hackatons regados a cerveja, servida aos participantes por atendentes do sexo feminino.
Por causa dessa cultura de idolatria ao macho empreendedor, é muito comum ver que a opinião das mulheres sobre este assunto sempre cai na discussão do preconceito e falta de valorização profissional que elas recebem no mercado de trabalho. Infelizmente também é muito comum ouvir relatos de mulheres que sofreram perseguição e ofensas.
Estas atitudes acabam isolando e afastando as mulheres do mercado de trabalho, e podem culminar com elas simplesmente optando por sair do mercado :(
No mundo ideal, deveríamos respeitar nossos colegas de trabalho independente do seu sexo, opção sexual, raça, vestimenta ou qualquer aspecto físico ou ligado a aparência. E o respeito vai até nos mínimos detalhes do dia-a-dia, evitando atitudes, comentários ou piadas que possam parecer ofensivos para os outros.
Mas há outros indicadores da dominância masculina no mundo de TI. Por exemplo...
- Segundo estatísticas do Google, apenas 17% de seus funcionários são mulheres
- 12% dos engheiros do Pinterest são mulheres
- Nesse trabalho super interessante, a Alyssa Frazee fez um levantamento entre os usuários do Github e, baseado no nome do perfil deles, estimou que apenas cerca de 5% dos perfis são de mulheres (vide gráfico abaixo). O artigo dela é bem interessante, pois ela também mapeou a percentagem de usuários e usuárias de acordo com a linguagem de programação utilizada ;)
Apesar da participação relativamente pequena, diversas mulheres gravaram seus nomes na história da tecnologia e são influentes até hoje. Não custa lembrar que uma mulher, a Ada Lovelace, é considerada a primeira programadora da história. Além dela, outros exemplos de mulheres importantes são a Grace Hopper, Frances E. Allen, Mary Kenneth Keller, Radia Perlman, Ida Rhodes, Jean E. Sammet, Marissa Mayer. E, em homenagem a todas elas, no dia 14 de Outubro é celebrado o "Ada Lovelace Day".
Na revista Wired de Setembro deste ano, há um pequeno artigo que aborda de forma muito interessante os aspectos culturais que ajudam a perpetuar a dominância masculina na indústria de TI americana - mas que se aplica a vários outros países, inclusive aqui no Brasil.
O autor comparou o mercado americano com o indiano, que ele considera ter mais igualdade entre os sexos. Embora as mulheres tenham igual capacidade mental de realizar trabalhos com tecnologia, a cultura tecnológica americana certamente tem um sexo muito bem definido. Desde o início, a idéia de alguém promovendo a inovação é associada a pioneiros, exploradores, guerreiros. Sempre do sexo masculino. São pessoas destemidas, combatentes, agressivas e perigosas, ainda mais em uma cultura extremamente competitiva como a Americana. Por isso, o profissional ideal é o guerreiro solitário. E aí é consolidada a imagem totalmente masculinizada do profissional de destaque na área de TI. Não importa a inteligência, a racionalidade ou o diálogo. Para exemplificar este culto ao macho empreendedor, é comum vermos hackatons regados a cerveja, servida aos participantes por atendentes do sexo feminino.
Por causa dessa cultura de idolatria ao macho empreendedor, é muito comum ver que a opinião das mulheres sobre este assunto sempre cai na discussão do preconceito e falta de valorização profissional que elas recebem no mercado de trabalho. Infelizmente também é muito comum ouvir relatos de mulheres que sofreram perseguição e ofensas.
Estas atitudes acabam isolando e afastando as mulheres do mercado de trabalho, e podem culminar com elas simplesmente optando por sair do mercado :(
No mundo ideal, deveríamos respeitar nossos colegas de trabalho independente do seu sexo, opção sexual, raça, vestimenta ou qualquer aspecto físico ou ligado a aparência. E o respeito vai até nos mínimos detalhes do dia-a-dia, evitando atitudes, comentários ou piadas que possam parecer ofensivos para os outros.
outubro 10, 2014
[Segurança] Os maiores roubos de dados de 2014 (por enquanto)
O portal Data Breach Today publicou um infográfico bem feito mostrando os maiores roubos de dados deste ano.
Assustador, não é?
Atualização (25/11): O portal CSO Online também publicou um slideshow com 27 casos de roubo de dados que aconteceram em 2014.
Assustador, não é?
Atualização (25/11): O portal CSO Online também publicou um slideshow com 27 casos de roubo de dados que aconteceram em 2014.
outubro 09, 2014
[Segurança] Malwares para Caixas Eletrônicos
Uma das tendências mais relevantes do ciber crime mundial é a criação de códigos maliciosos para infectar caixas eletrônicos e facilitar o roubo de dinheiro na boca do caixa.
Recentemente, a Interpol e a Kaspersky anunciaram a descoberta de um novo malware, batizado de "Tyupkin" (também conhecido como PinPad), que permite ejetar dinheiro em caixas eletrônicos. Segundo a Kaspersky, o malware utiliza um CD bootável para ser carregado e conseguir infectar o equipamento. A partir deste momento, o malware fica rodando em background aguardando um comando do usuário (uma sequência de números) para ser ativado. Para não chamar a atenção, ele só funciona nas noites de domingo e segunda-feira. Uma vez ativo, ele mostra quanto dinheiro tem em cada gaveta do caixa eletrônico e permite liberar até 40 notas de uma só vez. Estima-se que os criminosos podem ter roubado vários milhões de dólares no Leste Europeu (incluindo a Russia), Europa, Israel, Estados Unidos, Ásia (China, Índia e Malasia) e até mesmo aqui na América Latina.
O vídeo abaixo, da Kaspersky, monstra o malware em funcionamento, em um caixa infectado.
A possibilidade de ciber ataques direcionados a ATMs não é algo novo e ganhou notoriedade mundial em 2010, quando o (falecido) pesquisador de segurança Barnabie Jack divulgou, na Black Hat, suas pesquisas sobre como criar um malware para ATMs, e fez caixas eletrônicos cuspirem dinheiro no palco, ao vivo.
No final de 2013, pesquisadores alemães monstraram no CCC que ciber criminosos europeus estão usando pen drives USB com malware para infectar caixas eletrônicos. Eles faziam um buraco no ATM para ter acesso a interface USB do equipamento e a utilizavam para carregar o malware.
No Brasil, já tivemos alguns casos de ladrões conseguirem acessar a interface USB existente nos caixas eletrônicos para roubar dinheiro. Com o acesso ao USB, o criminoso pode simplesmente conectar um teclado e conseguir comandar o ATM, o que exige apenas um pouco de perícia e conhecimento interno de como funcionam os caixas (algo fácil para que trabalha nos bancos ou nos fabricantes de ATMs). Ou então, conectar um pen-drive (veja também reportagem em vídeo) com um sistema operacional ou um programa específico para controlar o caixa.
Nestes casos acima, o ladrão precisa ter acesso físico ao caixa eletrônico para conseguir instalar o código malicioso no equipamento, e assim fazer o ATM dispensar o dinheiro. Até o momento estes ataques não correspondem a um cenário de um malware infectando ATMs automaticamente e indiscriminadamente através da rede. Que continue assim ;)
Recentemente, a Interpol e a Kaspersky anunciaram a descoberta de um novo malware, batizado de "Tyupkin" (também conhecido como PinPad), que permite ejetar dinheiro em caixas eletrônicos. Segundo a Kaspersky, o malware utiliza um CD bootável para ser carregado e conseguir infectar o equipamento. A partir deste momento, o malware fica rodando em background aguardando um comando do usuário (uma sequência de números) para ser ativado. Para não chamar a atenção, ele só funciona nas noites de domingo e segunda-feira. Uma vez ativo, ele mostra quanto dinheiro tem em cada gaveta do caixa eletrônico e permite liberar até 40 notas de uma só vez. Estima-se que os criminosos podem ter roubado vários milhões de dólares no Leste Europeu (incluindo a Russia), Europa, Israel, Estados Unidos, Ásia (China, Índia e Malasia) e até mesmo aqui na América Latina.
O vídeo abaixo, da Kaspersky, monstra o malware em funcionamento, em um caixa infectado.
A possibilidade de ciber ataques direcionados a ATMs não é algo novo e ganhou notoriedade mundial em 2010, quando o (falecido) pesquisador de segurança Barnabie Jack divulgou, na Black Hat, suas pesquisas sobre como criar um malware para ATMs, e fez caixas eletrônicos cuspirem dinheiro no palco, ao vivo.
No final de 2013, pesquisadores alemães monstraram no CCC que ciber criminosos europeus estão usando pen drives USB com malware para infectar caixas eletrônicos. Eles faziam um buraco no ATM para ter acesso a interface USB do equipamento e a utilizavam para carregar o malware.
No Brasil, já tivemos alguns casos de ladrões conseguirem acessar a interface USB existente nos caixas eletrônicos para roubar dinheiro. Com o acesso ao USB, o criminoso pode simplesmente conectar um teclado e conseguir comandar o ATM, o que exige apenas um pouco de perícia e conhecimento interno de como funcionam os caixas (algo fácil para que trabalha nos bancos ou nos fabricantes de ATMs). Ou então, conectar um pen-drive (veja também reportagem em vídeo) com um sistema operacional ou um programa específico para controlar o caixa.
Nestes casos acima, o ladrão precisa ter acesso físico ao caixa eletrônico para conseguir instalar o código malicioso no equipamento, e assim fazer o ATM dispensar o dinheiro. Até o momento estes ataques não correspondem a um cenário de um malware infectando ATMs automaticamente e indiscriminadamente através da rede. Que continue assim ;)
outubro 08, 2014
[Cidadania] Crise da água em São Paulo
Eu não sei se estou sendo alarmista ou paranóico, mas parte de mim não consegue tirar da cabeça a notícia de que poderemos ficar sem água na grande SP daqui a cerca de 50 dias (pelo menos esta é a previsão para o fim da atual capacidade de captação do sistema Cantereira). A cada dia recebemos notícias sobre os níveis alarmantes dos nossos reservatórios de água.
A impressão que eu tenho é que o governo e parte da população estão ignorando a crise do abastecimento de água, certos de que a "providência divina" irá trazer chuvas antes que tenhamos sérios problemas no abastecimento. A população também é culpada, porque ainda é comum tomar conhecimento de relatos de desperdício de água.
Enquanto os reservatórios que abastecem a Grande São Paulo estão em níveis críticos, cinco dos principais rios que cortam ou banham o Estado de São Paulo estão com menos de 30% da água que deveriam ter nesta época do ano.
A que ponto podemos chegar? Falta de água para o saneamento básico e higiene pessoal (tomar banho, lavar roupa e louça, etc) e sermos obrigados a comprar água mineral para beber e cozinhar - supondo que os supermercados vão conseguir atender a demanda e não vão inflacionar os preços. Além disso, corremos o risco da seca impactar na geração de energia elétrica. Isso tudo pode levar a outras medidas desesperadas como a suspensão de aulas nas escolas, protestos, saques, etc.
Veja o caso da cidade de Itu, em São Paulo, que tem em torno de 165 mil habitantes: a população está enfrentando racionamento há sete meses e, recentemente, foram realizados diversos protestos violentos na cidade. Para lidar com a falta de chuva, a prefeitura vem tomando medidas extremas: o abastecimento é limitado a apenas 10 horas a cada dois dias, e o município resolveu vetar novos empreendimentos imobiliários para impedir o aumento do consumo.
Diversas outras cidades paulistas já sofrem com o racionamento, afetando mais de 2 milhões de pessoas. Em Salto, o rio Tietê tem seu menor nível em 70 anos, com profundidade cerca de nove metros menor que a registrada em épocas de cheia. Em Valinhos, o racionamento começou em Fevereiro deste ano e deve durar pelo menos mais 12 meses. Em Cajuru (a 298 km de São Paulo) a prefeitura suspendeu as aulas na rede municipal e proibiu a utilização de banheiros nos prédios públicos. Em Bebedouro, o corte de abastecimento acontece todos os dias das 10h às 17h.
Pouco se fala também dos impactos no meio-ambiente e na economia, tais como a falta de água para a irrigação das propriedades rurais, enquanto diversos rios deixaram de ser navegáveis, prejudicando o escoamento da produção agrícola.
E as causas deste problema são muitas: décadas de mau comportamento em relação ao uso da água e do solo, ocupação urbana desenfreada, desrespeito as nascentes e mananciais que abastecem os nossos rios, aumento da poluição dos rios e falta de tratamento dos esgotos. Some a isso o desperdício no consumo doméstico, na distribuição (38,8% da água tratada no Brasil é desperdiçada antes de chegar à torneira dos consumidores) e até mesmo na agricultura (a irrigação é responsável por 70% do consumo de água no Brasil).
De qualquer forma, precisamos pensar em algum tipo de “plano B” caso a crise no abastecimento se agrave mais ainda e chegue a um ponto crítico.
Um cenário de falta de água em São Paulo beira o apocalipse: milhões de pessoas sem água para saneamento básico, com racionamento rigoroso, e vivendo as custas de água potável comprada em supermercados. Some a isso protestos nas ruas e eventuais saques a supermercados.
Uma alternativa para diminuir um pouco o impacto deste problema é as empresas avaliarem suas políticas de home office para evitar o deslocamento de seus funcionários, que ficariam em casa e menos expostos a protestos (além do mais, ficando em casa as pessoas podem tomar menos banho ;) Eventualmente, executivos e alguns funcionários podem se mudar provisoriamente para outras cidades ou estados que não estejam enfrentando problema no abastecimento (olha aí novamente a importância de permitir e flexibilizar o trabalho remoto).
A impressão que eu tenho é que o governo e parte da população estão ignorando a crise do abastecimento de água, certos de que a "providência divina" irá trazer chuvas antes que tenhamos sérios problemas no abastecimento. A população também é culpada, porque ainda é comum tomar conhecimento de relatos de desperdício de água.
Enquanto os reservatórios que abastecem a Grande São Paulo estão em níveis críticos, cinco dos principais rios que cortam ou banham o Estado de São Paulo estão com menos de 30% da água que deveriam ter nesta época do ano.
A que ponto podemos chegar? Falta de água para o saneamento básico e higiene pessoal (tomar banho, lavar roupa e louça, etc) e sermos obrigados a comprar água mineral para beber e cozinhar - supondo que os supermercados vão conseguir atender a demanda e não vão inflacionar os preços. Além disso, corremos o risco da seca impactar na geração de energia elétrica. Isso tudo pode levar a outras medidas desesperadas como a suspensão de aulas nas escolas, protestos, saques, etc.
Veja o caso da cidade de Itu, em São Paulo, que tem em torno de 165 mil habitantes: a população está enfrentando racionamento há sete meses e, recentemente, foram realizados diversos protestos violentos na cidade. Para lidar com a falta de chuva, a prefeitura vem tomando medidas extremas: o abastecimento é limitado a apenas 10 horas a cada dois dias, e o município resolveu vetar novos empreendimentos imobiliários para impedir o aumento do consumo.
Diversas outras cidades paulistas já sofrem com o racionamento, afetando mais de 2 milhões de pessoas. Em Salto, o rio Tietê tem seu menor nível em 70 anos, com profundidade cerca de nove metros menor que a registrada em épocas de cheia. Em Valinhos, o racionamento começou em Fevereiro deste ano e deve durar pelo menos mais 12 meses. Em Cajuru (a 298 km de São Paulo) a prefeitura suspendeu as aulas na rede municipal e proibiu a utilização de banheiros nos prédios públicos. Em Bebedouro, o corte de abastecimento acontece todos os dias das 10h às 17h.
Pouco se fala também dos impactos no meio-ambiente e na economia, tais como a falta de água para a irrigação das propriedades rurais, enquanto diversos rios deixaram de ser navegáveis, prejudicando o escoamento da produção agrícola.
E as causas deste problema são muitas: décadas de mau comportamento em relação ao uso da água e do solo, ocupação urbana desenfreada, desrespeito as nascentes e mananciais que abastecem os nossos rios, aumento da poluição dos rios e falta de tratamento dos esgotos. Some a isso o desperdício no consumo doméstico, na distribuição (38,8% da água tratada no Brasil é desperdiçada antes de chegar à torneira dos consumidores) e até mesmo na agricultura (a irrigação é responsável por 70% do consumo de água no Brasil).
De qualquer forma, precisamos pensar em algum tipo de “plano B” caso a crise no abastecimento se agrave mais ainda e chegue a um ponto crítico.
Um cenário de falta de água em São Paulo beira o apocalipse: milhões de pessoas sem água para saneamento básico, com racionamento rigoroso, e vivendo as custas de água potável comprada em supermercados. Some a isso protestos nas ruas e eventuais saques a supermercados.
Uma alternativa para diminuir um pouco o impacto deste problema é as empresas avaliarem suas políticas de home office para evitar o deslocamento de seus funcionários, que ficariam em casa e menos expostos a protestos (além do mais, ficando em casa as pessoas podem tomar menos banho ;) Eventualmente, executivos e alguns funcionários podem se mudar provisoriamente para outras cidades ou estados que não estejam enfrentando problema no abastecimento (olha aí novamente a importância de permitir e flexibilizar o trabalho remoto).
outubro 04, 2014
[Cidadania] 5 de Outubro: Vamos fiscalizar o nosso voto
Neste domingo, 05 de Outubro, teremos eleição para Presidente, Governador, Senador, Deputados Estadual e Federal. E, graças ao projeto Você Fiscal, pela primeira vez nós eleitores temos a oportunidade de ajudar a auditor o resultado da votação.
No final da eleição, as 17h, basta ir na sua zona eleitoral e tirar uma foto do Boletim de Urna (BU), que é a totalização de cada urna. A foto pode ser tirada através de qualquer celular com câmera e enviada via um Aplicativo Android do projeto, ou através do site.
Recentemente, o pessoal do Você Fiscal publicou no Twitter algumas das principais dicas:
Já são 12.500 instalações do aplicativo, 12.000 confirmados no evento do Facebook e 3.361 pessoas que adotaram uma zona eleitoral no site!
O diagrama abaixo, retirado do site do projeto, explica como podemos ajudar. Para maiores esclarecimentos, visite o site www.vocefiscal.org.
No final da eleição, as 17h, basta ir na sua zona eleitoral e tirar uma foto do Boletim de Urna (BU), que é a totalização de cada urna. A foto pode ser tirada através de qualquer celular com câmera e enviada via um Aplicativo Android do projeto, ou através do site.
Recentemente, o pessoal do Você Fiscal publicou no Twitter algumas das principais dicas:
- O fato de não ser permitido entrar com câmera dentro da seção eleitoral não impede que você fotografe o BU. Ele será afixado na porta da seção, do lado de fora. Veja o artigo 82 da resolução 23399/2013 do TSE aqui;
- Você pode fotografar BUs de quantas seções quiser ou puder. No site http://somos.vocefiscal.org/ você poderá adotar uma zona (cada zona tem várias seções), mas isso não faz com que você tenha que fiscalizar todas as zonas daquela seção ou mesmo mudar de ideia de última hora e resolver fotografar outras zonas não adotadas no site.
- O aplicativo só está disponível para Android dessa vez mas isso não impede que as pessoas possam participar fazendo fotos com qualquer câmera digital. Basta fazer as fotos e nos enviar por e-mail: bu@vocefiscal.org. Esse vídeo ensina a tirar as fotos com qualquer tipo de celular. Temos ainda um infográfico que pode ser inclusive impresso.
- É possível enviar as fotos do BU para o Você Fiscal até 23h59 de segunda-feira, dia 06/10.
Já são 12.500 instalações do aplicativo, 12.000 confirmados no evento do Facebook e 3.361 pessoas que adotaram uma zona eleitoral no site!
O diagrama abaixo, retirado do site do projeto, explica como podemos ajudar. Para maiores esclarecimentos, visite o site www.vocefiscal.org.
outubro 02, 2014
[Segurança] Roubo de dados assusta as empresas americanas
O grande roubo de dados da Target, no final do ano passado, foi só a ponta do Iceberg. Se em Janeiro deste ano já se previa que diversos grandes lojas de varejo americanas estavam sendo atacadas, o que vimos nos últimos meses foi apenas a confirmação destes rumores, com os ataques a terminais de pontos de venda (PoS) atingindo empresas de todos os portes nos EUA.
Diversas empresas americanas já divulgaram que foram invadidas, e a última grande notícia veio da Home Depot, gigante americana no comércio de material para construção, que teve 56 milhões de dados de cartões roubados.
Outras vítimas anunciadas no decorrer deste ano incluem o eBay (145 milhões de usuários afetados), a cadeia de restaurantes PF Chang's, a cadeia de lojas Neiman Marcus (350 mil dados de cartões roubados), a rede americana de supermercados Supervalu, a Sally Beauty (loja de cosméticos da qual roubaram dados de 25 mil clientes), Goodwill (que teve 868 mil cartões roubados durante 18 meses, através da invasão da empresa que fornecia o software de PoS hospedado na nuvem), a rede de hotéis Bartell Hotels (entre 44 mil e 53 mil clientes afetados), o site de venda online de lingeries Yandy.com (45 mil clientes afetados) e a UPS (foram roubados os dados de cartões de 105 mil clientes entre Janeiro e Agosto deste ano). Até mesmo um pequeno restaurante em Nova Orleans, chamado Mizado Cocina, foi atacado por um malware de PoS. E, recentemente, uma cadeia americana de restaurantes chamada Jimmy John's e uma loja de roupas do Texas, chamada Sheplers, também divulgaram que tiveram dados de cartões roubados.
Para piorar, a empresa que vendeu o sistema de PoS para a tal rede de restaurantes Jimmy John (chamada Signature Systems) anunciou que outros 108 restaurantes americanos também foram invadidos. Segundo a empresa, os ciber criminosos descobriram o username e senha utilizados para acessar remotamente os terminais de PoS. E aí eles fizeram a festa, usando este acesso para instalar o malware nestes clientes.
Parece muita coisa? Segundo estimativas do serviço secreto americano, mais de 1000 empresas foram atacadas pelo Backoff, um dos malwares especializados em atacar sistemas de PoS.
Isso tudo diz respeito a roubo de dados de lojas de varejo e restaurantes - eu nem estou discutindo aqui os casos recentes de roubo de 5 milhões de senhas no Google e da invasão do banco americano JPMorgan Chase.
Em comum, estes incidentes mostram duas novas tendências do ciber crime: o uso de malwares especializados em roubar dados de terminais de venda e o roubo de grande quantidade de dados de sites e empresas do setor lojista. Invadir bancos e grandes empresas de telecom não é tão fácil, mas as empresas do setor de varejo tradicionalmente costumam ter baixo investimento em TI e em segurança. Empresas de diversos tamanhos podem ser afetadas, não apenas os grandes lojistas.
Com isso, a quantidade de dados roubados em todo o mundo sobe assustadoramente a cada dia e os ciber ataques já representam a principal causa dos roubos de dados (veja gráfico abaixo).
Nessas horas, uma das principais táticas dos ciber criminosos consiste em utilizar malwares especializados em roubar dados de terminais de cartão de crédito (ou PoS, sigla em inglês para "Point of Sale", ou ponto de venda). Além do BlackPOS, que atacou a Target, alguns ataques recentes utilizaram o malware batizado de Blackoff (veja relatório do CERT.US). Tais códigos maliciosos podem ser utilizados, por exemplo, para infectar os computadores dos caixas das lojas, aonde estão conectados os dispositivos de leitura de cartão de crédito. Assim, quando o cliente faz uma compra e resolve pagar com cartão de crédito ou de débito, o malware identifica o processamento desta transação e rouba os dados de cartão, que estão na memória do computador infectado.
Uma das consequências deste cenário desesperador é o surgimento de leis específicas para proteção de dados em todo o mundo e que imponham a responsabilidade das empresas de notificar os clientes afetados. Outra consequência, interessante, é uma crescente "fadiga" e sentimento de impotência entre os profissionais de segurança.
Nota (25/11): O serviço postal americano (U.S. Postal Service) também sofreu um roubo de dados afetando 800 mil empregados e 2.9 milhões de clientes.
Diversas empresas americanas já divulgaram que foram invadidas, e a última grande notícia veio da Home Depot, gigante americana no comércio de material para construção, que teve 56 milhões de dados de cartões roubados.
Outras vítimas anunciadas no decorrer deste ano incluem o eBay (145 milhões de usuários afetados), a cadeia de restaurantes PF Chang's, a cadeia de lojas Neiman Marcus (350 mil dados de cartões roubados), a rede americana de supermercados Supervalu, a Sally Beauty (loja de cosméticos da qual roubaram dados de 25 mil clientes), Goodwill (que teve 868 mil cartões roubados durante 18 meses, através da invasão da empresa que fornecia o software de PoS hospedado na nuvem), a rede de hotéis Bartell Hotels (entre 44 mil e 53 mil clientes afetados), o site de venda online de lingeries Yandy.com (45 mil clientes afetados) e a UPS (foram roubados os dados de cartões de 105 mil clientes entre Janeiro e Agosto deste ano). Até mesmo um pequeno restaurante em Nova Orleans, chamado Mizado Cocina, foi atacado por um malware de PoS. E, recentemente, uma cadeia americana de restaurantes chamada Jimmy John's e uma loja de roupas do Texas, chamada Sheplers, também divulgaram que tiveram dados de cartões roubados.
Para piorar, a empresa que vendeu o sistema de PoS para a tal rede de restaurantes Jimmy John (chamada Signature Systems) anunciou que outros 108 restaurantes americanos também foram invadidos. Segundo a empresa, os ciber criminosos descobriram o username e senha utilizados para acessar remotamente os terminais de PoS. E aí eles fizeram a festa, usando este acesso para instalar o malware nestes clientes.
Parece muita coisa? Segundo estimativas do serviço secreto americano, mais de 1000 empresas foram atacadas pelo Backoff, um dos malwares especializados em atacar sistemas de PoS.
Isso tudo diz respeito a roubo de dados de lojas de varejo e restaurantes - eu nem estou discutindo aqui os casos recentes de roubo de 5 milhões de senhas no Google e da invasão do banco americano JPMorgan Chase.
Em comum, estes incidentes mostram duas novas tendências do ciber crime: o uso de malwares especializados em roubar dados de terminais de venda e o roubo de grande quantidade de dados de sites e empresas do setor lojista. Invadir bancos e grandes empresas de telecom não é tão fácil, mas as empresas do setor de varejo tradicionalmente costumam ter baixo investimento em TI e em segurança. Empresas de diversos tamanhos podem ser afetadas, não apenas os grandes lojistas.
Com isso, a quantidade de dados roubados em todo o mundo sobe assustadoramente a cada dia e os ciber ataques já representam a principal causa dos roubos de dados (veja gráfico abaixo).
Nessas horas, uma das principais táticas dos ciber criminosos consiste em utilizar malwares especializados em roubar dados de terminais de cartão de crédito (ou PoS, sigla em inglês para "Point of Sale", ou ponto de venda). Além do BlackPOS, que atacou a Target, alguns ataques recentes utilizaram o malware batizado de Blackoff (veja relatório do CERT.US). Tais códigos maliciosos podem ser utilizados, por exemplo, para infectar os computadores dos caixas das lojas, aonde estão conectados os dispositivos de leitura de cartão de crédito. Assim, quando o cliente faz uma compra e resolve pagar com cartão de crédito ou de débito, o malware identifica o processamento desta transação e rouba os dados de cartão, que estão na memória do computador infectado.
Uma das consequências deste cenário desesperador é o surgimento de leis específicas para proteção de dados em todo o mundo e que imponham a responsabilidade das empresas de notificar os clientes afetados. Outra consequência, interessante, é uma crescente "fadiga" e sentimento de impotência entre os profissionais de segurança.
Nota (25/11): O serviço postal americano (U.S. Postal Service) também sofreu um roubo de dados afetando 800 mil empregados e 2.9 milhões de clientes.
outubro 01, 2014
[Geek] Arduino for Dummies
O Arduino é uma placa simples e compacta que serve como plataforma de prototipagem de circuitos eletrônicos interativos, baseada nos conceitos de hardware livre e de placa única. Possui um microcontrolador Atmel AVR e diversos conectores de entrada/saída, que permitem seu uso para obter dados externos e enviar comandos para outros componentes e dispositivos eletrônicos. Ele pode ser facilmente programado através da linguagem Processing, uma linguagem de programação parecida com o C/C++.
O grande sucesso do Arduíno deve-se a vários motivos, como sua grande facilidade de uso, flexibilidade e baixo custo. Assim, ele se popularizou como um dispositivo de controle para sistemas eletrônicos amadores e semi-profissionais.
O Arduino foi criado na Itália em 2005 e, como seu projeto é aberto, ele pode ser facilmente montado e modificado por diversos fabricantes (ou montado em casa, uma vez que você tenha os componentes necessários).
Utilizar o Arduino é muito simples. Além dele, é necessário um computador (para desenvolver os programas e carregá-los no Arduino) e os componentes eletrônicos compatíveis com o seu projeto (tais como sensores, motores, leds, resistores, etc).
Para começar a utilizar o Arduino, antes de mais nada, é necessário fazer o download do software do Arduino no site oficial, o Arduino.cc, e instalá-lo em seu computador.
Em seguida, conecte o seu Arduino no computador através da USB, abra o aplicativo do Arduino, selecione o tipo de Arduíno que você tem e qual porta serial que está utilizando.
A partir deste momento, você consegue utilizar a interface do Arduino para abrir programas, editá-los e gravá-los na sua placa de Arduino.
O Arduino é algo tão fácil de usar que ele já disponibiliza dezenas de programas prontos, para facilitar a vida do pessoal iniciante. O programa "Blink" é o mais simples deles, pois basta conectar o Arduino no seu PC através de um cabo USB e, após carregar o programa, ele fará piscar o led existente na própria placa do Arduino. Assim, sem usar nenhum componente extra, é possível já testar se o ambiente (seu computador + Arduino) está funcionando :)
Depois de fazer o seu Arduino piscar, o céu é o limite. Uma boa forma de começar é comprar um kit para iniciante, que venha com os componentes eletrônicos básicos e com algum manual de uso, com projetos simples.
OBS: As imagens acima foram retiradas do site do Arduino.
O grande sucesso do Arduíno deve-se a vários motivos, como sua grande facilidade de uso, flexibilidade e baixo custo. Assim, ele se popularizou como um dispositivo de controle para sistemas eletrônicos amadores e semi-profissionais.
O Arduino foi criado na Itália em 2005 e, como seu projeto é aberto, ele pode ser facilmente montado e modificado por diversos fabricantes (ou montado em casa, uma vez que você tenha os componentes necessários).
Utilizar o Arduino é muito simples. Além dele, é necessário um computador (para desenvolver os programas e carregá-los no Arduino) e os componentes eletrônicos compatíveis com o seu projeto (tais como sensores, motores, leds, resistores, etc).
Para começar a utilizar o Arduino, antes de mais nada, é necessário fazer o download do software do Arduino no site oficial, o Arduino.cc, e instalá-lo em seu computador.
- Obs: Usuários Mac que tenham um Arduino com interface FTDI (vide abaixo), devem baixar o driver para Virtual COM Port (VCP). Se você fizer este passo, será necessário reiniciar o computador.
Em seguida, conecte o seu Arduino no computador através da USB, abra o aplicativo do Arduino, selecione o tipo de Arduíno que você tem e qual porta serial que está utilizando.
A partir deste momento, você consegue utilizar a interface do Arduino para abrir programas, editá-los e gravá-los na sua placa de Arduino.
O Arduino é algo tão fácil de usar que ele já disponibiliza dezenas de programas prontos, para facilitar a vida do pessoal iniciante. O programa "Blink" é o mais simples deles, pois basta conectar o Arduino no seu PC através de um cabo USB e, após carregar o programa, ele fará piscar o led existente na própria placa do Arduino. Assim, sem usar nenhum componente extra, é possível já testar se o ambiente (seu computador + Arduino) está funcionando :)
Depois de fazer o seu Arduino piscar, o céu é o limite. Uma boa forma de começar é comprar um kit para iniciante, que venha com os componentes eletrônicos básicos e com algum manual de uso, com projetos simples.
OBS: As imagens acima foram retiradas do site do Arduino.