dezembro 31, 2014

[Segurança] Aniversário de 25 anos do Firewall

A McAffee lançou um infográfico para celebrar os 25 anos desde o lançamento do primeiro Firewall, em 1988. Eu, particularmente, não gostei deste infográfico: achei que faltou muita informação e, claro, foi muito tendencioso para a própria McAffee, com algumas informações que eu considero estranhas ou imprecisas (como dizer que o conceito de evasão surgiu em 2006 e que "clustering" surgiu em 2009, sendo que alguns firewalls de mercado atuavam em cluster vários anos antes disso).

Por isso, prefiro escrever a minha própria linha do tempo sobre o surgimento dos Firewalls. Assim como foi feito pela McAffee, vou colocar alguns outros eventos para ajudar a situar esta evolução no tempo.

Os primeiros "firewalls" foram, na verdade, roteadores de rede que eram utilizados para isolar redes distintas e filtrar alguns pacotes de rede entre elas, sempre na camada 3. Isso foi muito popular nos anos 80 e 90. Até meados da década de 90 era comum chamar de "Firewall" o conjunto de roteadores e proxies de aplicação que, em conjunto, eram utilizados para isolar uma rede de outra (como, por exemplo, separar a rede interna da rede externa, como a Internet).

  • 1981: Lançamento do PC
  • 1984: Nos EUA, a ARPANET vira a Internet, usando o TCP/IP desde 1983;
  • 1986: Surge o Brain, o primeiro vírus de computador (MS-DOS);
  • 1988: Morris Worm, a primeira grande infestação de um código malicioso na Internet;
  • 1988: Surge o primeiro CERT, o CERT-CC;
  • 1988: A DEC (Digital Equipment Corporation) publica um artigo aonde descreve um sistema de filtragem de pacotes batizado de "packet filter firewall";
  • 1989: Um paper da AT&T Labs introduz o conceito de "circuit level gateways", um modelo de Firewall atuando no protocolo TCP;
  • 1990: Wietse Venema cria o TCP Wrapper, que se popularizou ao permitir criar uma lista de acesso as aplicações de rede disponíveis em um servidor Unix-like;
  • 1991: A DEC lança o DEC SEAL, o primeiro Firewall a usar o conceito de Application-Level Firewall desenvolvido por Marcus Ranum (também chamados de Firewall de Aplicações, pois atuam na camada 7);
  • 1993: A Internet começa a virar uma rede global;
  • 1993: Marcus Ranum, Wei Xu, e Peter Churchyard lançam o Firewall Toolkit (FWTK), um Firewall de aplicação distribuído inicialmente com licença open source, em nome da empresa TIS (Trusted Information Systems);
  • 1994: Surge o Gauntlet firewall, a versão comercial do FWTK, que em 1998 foi adquirido pela Network Associates Inc, (NAI). O Gauntlet foi o líder de mercado por alguns anos até ser superado pelo Firewall-1, da Check Point;
  • 1994: A Check Point Software lança o produto FireWall-1 (FW-1), introduzindo o conceito de "Stateful Inspection", uma tecnologia que permite analisar diversas camadas de rede;
  • 1995: Criação do Comitê Gestor da Internet no Brasil (CGI.br) e surgimento dos primeiros sites brasileiros;
  • 1995: Lançamento do Livro "Building Internet Firewalls", da O'Reilly (1a edição)
  • 1995: A RFC 1825 (Security Architecture for IP) descreve o uso de Firewalls para prover segurança no protocolo IP;
  • 1996: Surge o Real Secure, da ISS, uma das principais soluções comerciais de detecção de intrusos (IDS - Intrusion Detection System);
  • 1997: Versão 1.0.1 do ipchains, um sistema de filtro de pacotes para o Kernel Linux que, a partir de 1998, começa a ser substituído pelo IPTables, mais completo;
  • 1998: Lançamento do Snort, um IDS open-source;
  • 1999: A RFC 2663 descreve o conceito de "Application Level gateway (ALG)", que funcionam de forma similar a proxies de aplicação;
  • 2000: Surgem os ataques distribuídos de negação de serviço (DDoS - Distributed Deny of Service);
  • 2000: Época de ouro dos Personal Firewalls; soluções de firewall dedicadas para desktops, com configurações de bloqueio de rede  de de aplicações. Uma ótima idéia, mas de difícil uso para o usuário final. Na prática acabaram sendo incorporados como uma funcionalidade dos anti-vírus;
  • 2002: Surge o ModSecurity, um projeto open source de Web Application Firewalls (WAF), que ajudou a difundir a tecnologia WAF;
  • 2008: Infecção do Conficker, verme que atinge 9 a 15 milhões de servidores Microsoft em todo o mundo.

Nota: Toda vez que alguém escreve um artigo dizendo que a empresa X lançou o "Next Generation Firewall", um panda bebê morre engasgado e cai em cima de um filhote de demônio da tansmânia, que também morre esmagado. Isso porque praticamente todos os fabricantes de firewall dizem ter sua própria versão de um "Next Generation Firewall", de forma que isso se transformou em um termo marqueteiro, e não necessariamente representa uma tecnologia específica.


dezembro 30, 2014

[Ciber Cultura] Regulamentação do Marco Civil

O CGI.br e seu GT de Regulamentação do Marco Civil da Internet criaram uma página para receber contribuições sobre os diversos itens que devem ser regulamentados no Marco Civil.

O Marco Civil da Internet (Lei 12.965/2014) foi sancionado no dia 23 de abril de 2014 pela Presidenta Dilma Roussef. Mas alguns dos dispositivos e regras da Lei ficaram para ser regulamentados posteriormente.

O site do CGI.br destaca o Artigo 9o, sobre a neutralidade de rede, e o Inciso II do Artigo 24, sobre a racionalização da gestão, expansão e uso da Internet, mas o CGI aceita comentários sobre diversos temas:
  • Definições técnicas e de termos relevantes ao Marco Civil
  • Neutralidade de Rede
  • Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas
  • Guarda de Registros de Conexão
  • Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
  • Outros aspectos e considerações

As contribuições enviadas pelo site do CGI.br serão consideradas pelo Grupo de trabalho, que irá criar um documento de trabalho com as conclusões de estudo. No final, o CGI.br irá encaminhar as contribuições aos órgãos do Governo Federal responsáveis pelo processo de regulamentação da lei do Marco Civil.

As contribuições devem ser feitas através de um formulário disponível online até o dia 31 de Janeiro de 2015 e ficarão disponíveis para consulta no site do CGI.br.

Nota (adicionada em 10/11/16): O Marco Civil foi regulamentado em 11 de Maio de 2016 através do Decreto nº 8.771.

dezembro 29, 2014

[Ciber Cultura] A pressão das Redes Sociais

A revista do SESC de Janeiro/2015 tem uma entrevista interessante com Peter Pál Pelbart, filósofo, e professor titular de Filosofia na Pontifícia Universidade Católica de São Paulo (PUC-SP). Nesta entrevista, ele faz alguns comentários interessantes sobre a influência que sofremos da tecnologia e das redes sociais.

Eu selecionei abaixo os trechos que me pareceram mais relevantes:
  • Com a proliferação e disseminação das redes sociais, o discurso se tornou muito superficial, plano? - Sim, e às vezes dá vontade de se desconectar. Com toda essa infosfera tão saturada, essa circulação de signos, informações, imagens, solicitações e imperativo de reagir imediatamente, vira e mexe eu tenho vontade de sustentar uma desconexão ativa que pode dar algum espaço para pensar, para que o que se diz possa ter algum sentido.
  • O [filósofo e escritor italiano] Franco Berardi tem uma ideia bonita relacionada ao neuromagma, que seria essa espécie de caldo de signos, imagens e estímulos incessantes em que todos estamos mergulhados e que excede muito a nossa capacidade humana de formular, elaborar. A partir disso, o que nós temos é mais uma reação do que uma posição. A gente reage mais a ondas psicomagnéticas, de informação, entusiasmo, terror, que atravessam o campo social. Reagimos a essas ondas como se não tivéssemos mais a capacidade de pensar.
  • Há uma espécie de homogeneização de certo modelo de classe média consumista ocidental que vai tomando conta do planeta junto de certo tipo de entretenimento, percepção, uso do espaço, regulação do tempo e outras coisas que são do pós-Fordismo, sem essa separação tão estrita do tempo do trabalho, do descanso, do entretenimento. Tudo isso se mistura um pouco. Quando você está no computador, você não sabe se está trabalhando, se está socializando, se entretendo etc. As fronteiras se desmancharam e nós estamos o tempo todo em um estado de alerta, de conexão, de produtividade.
  • E essa confusão cada vez mais evidente entre a vida real, cotidiana, e uma vida de ficção, sugerida? Isso tem a ver com a diminuição do espectro de vontades? - Claro, existe uma luta contra certos poderes, contra certos tipos de dominaçã
  • Sou a favor de que haja suspensões, que haja paradas, interrupções nesse trem louco que vem vindo há muitas décadas numa velocidade crescente e nos obriga a mobilizar toda a nossa energia com finalidades cada dia mais desconhecidas e inúteis. Enquanto não se frear esse trem, não será possível inventar finalidades outras que não a produção pela produção, o lucro pelo lucro e essa espécie de racionalidade capitalista que nos enlouquece literalmente.

Analisando a opinião do Peter Pál Pelbart, é impossível discordar de que hoje existe uma grande e invisível pressão para que estejamos sempre conectados, não apenas nas redes sociais, mas em todas as formas de comunicação online.

Os e-mails da empresa, os comentários familiares no WhatsApp, as mensagens e likes no facebook: tudo exige nossa interação imediata e não existe mais fronteira entre trabalho, descanso e diversão. Quem nunca respondeu um e-mail de trabalho durante as ferias ou a noite, antes de dormir? Quem nunca respondeu uma mensagem de whatsapp dos amigos ou parentes durante o horário do expediente? Esses pequenos atos acabam destruindo, aos poucos, a nossa noção de fronteira entre trabalho, casa e descanso.

Outra coisa muito interessante é notarmos esta diferenciação entre a vida real, cotidiana, e a vida online, qua acaba sendo uma vida de ficção. Isto é muito evidente em redes sociais como o Facebook: criamos um perfil idealizado de nós mesmos, aonde postamos fotos e opiniões que tendem a mostrar uma imagem específica, pasteurizada, de nós mesmos. Sugerimos uma imagem que não reflete a total realidade do dia-a-dia. Quem quer saber que hoje fiquei sem água e luz em casa e, por isso, só fui tomar banho de água gelada as 14h porque não aguentava mais o meu próprio cheiro? Não é melhor postar uma notícia sobre as chuvas e criticar o governo, que é exatamente o que a maioria das pessoas fazem? sem perceber, seguimos um script, um roteiro subconsciente que pasteuriza a todos: somos todos felizes, cercados de amigos, familiares, gatos e cachorros engraçados. No mundo online, vivemos cercados de paisagens deslubrantes, pôr-do-sol, praia, etc.

Como disse Peter Pál Pelbart, "Não tem coisa mais decepcionante do que você seguir o script de roteiro pré-fabricado. Há uma depauperação na imaginação sobre o que é desfrutar, o que é se divertir, o que é descobrir, o que é ter uma experiência. Você cumpre um destino. É um desafio coletivo, cultural, saber o que é realmente destampar a imaginação. Esse despotismo do “desfrute”, “goze”, “tenha prazer” e “consuma” obtura totalmente a imaginação."

dezembro 27, 2014

[Cyber Cultura] Dumont Hackerspace

O Dumont Hacker Space é um "hackerspace temporário", um espaço autônomo e itinerante que foi idealizado pela comunidade brasileira de hackerspaces para existir como um "meta-hackerspace" representando o movimento hacker dentro de algum evento relevante para a comunidade.

A iniciativa de criar o Dumont Hackerspace surgiu no FISL 15, realizado de 07 a 10 de Maio de 2014. Durante o FISL 15 vários hackerspaces se juntaram e, coletivamente, organizaram o espaço do Dumont Hackerspace. Estiveram presentes o Matehackers, o Garoa Hacker Club, MariaLab, Tarrafa, Hackerspace Salvador, Raul Hacker Club, Hap-Hacks e outros grupos em formação e interessados em formar mais hackerspaces pelo Brasil. O espaço funcionou como uma área livre e aberta para que os presentes desenvolvessem trabalhos, trocassem informações e que permitiu o bate papo entre novatos e veteranos. Nenhum conhecimento prévio foi exigido para participar e os presentes estavam dispostos a ajudar quem aparecesse. Este é o espírito dos hackerspaces !!!

O Dumont Hackerspace pretende ser um espaço autônomo, operado por representantes de diversos hackerspaces e comunidades, com o objetivo de oferecer a mesma experiência que um autêntico hackerspace pode lhe dar: diversas atividades multidisciplinares, compartilhamento de conhecimento e o verdadeiro espírito hacker.

O logotipo foi criado como uma imagem estilizada do Santos Dumont. O bigode e o chapéu são "marcas registradas" do Santos Dumont, a figura homenageada por ter o primeiro projeto "open source" bem documentado e amplamente conhecido e reproduzido de um brasileiro. Um fato muito interessante da história dele é que Santos Dumont permitiu que uma mulher pilotasse um dos seus dirigíveis em 1903, que se tornou a primeira mulher piloto da história (isto é, a primeira mulher a pilotar uma aeronave motorizada), Aida D'Acosta. Assim, ele rompeu o tabu de desenvolver toda uma área nova como também rompeu com os padrões de gênero existentes na época.

dezembro 24, 2014

Feliz Natal e Boas Festas

Poizé, 2014 foi um ano "especial":
  • Copa no Brasil e goooool da Alemanha
  • As eleições que entupiram o Facebook e calaram a boca dos protestos nas ruas
  • As ações da Petrobrás e o Dólar ameaçando valer R$ 5
  • Facebook lotado com vídeos em autoplay sobre gatinhos, cachorros e acidentes de carro, além das infinitas listas de "10 vídeos", "20 imagens", e as "150 dicas imperdíveis", e para coroar o ano, a coletânea de fotos de 2014 da galera. E o pessoal reclamava do falecido Orkut :(
  • No esporte, agora temos 2 surfistas Brasileiros famosos: o Gabriel Medina e a Bruna Surfistinha
  • Pousamos uma sonda espacial em um cometa \o/
  • Na área de segurança, o ano ficou marcado, entre outras coisas, por grandes bugs (por ex, o Heartbleed e o Shellshock), pelos roubos de cartões de crédito e dados de grandes lojas nos EUA e, agora no final de ano, pelo polêmico ciber ataque a Sony Pictures.
Depois de um ano tão agitado, vamos aproveitar as festas junto com nossos familiares e amigos para recuperar as energias para 2015.

Bom Natal e Feliz Ano Novo para todos !

dezembro 23, 2014

[Cyber Cultura] Crianças Hacker

Para aqueles que ainda acham (erroneamente) que hacker é só quem vive no mundo underground, sabe invadir sites, se comunica via IRC e s4b3 3scr3v3r 4ss1m, eu dedico este pequeno e inspirador vídeo feito pelo pessoal do Raul HackerClub, o hackerspace de Salvador (BA).


dezembro 19, 2014

[Cyber Cultura] Netscape, 20 anos

Há cerca de 20 anos atrás, no dia 15 Dezembro de 2014, foi lançado o Netscape 1.0, o browser que ajudou a popularizar a World Wide Web e, de quebra, a Internet que conhecemos hoje.


No início o Netscape era gratuito e amplamente distribuido entre os usuários web - seja por download ou por disquetes e CDs, incluindo CDs de provedores de acesso oferecidos em revistas de informática nas bancas de jornal. Rapidamente se tornou popular e praticamente dominou todo o mercado dos Browsers durante a década de 90. Nesta época o Netscape liderou várias inovações técnicas.

Infelizmente, o Netscape não resistiu a Guerra dos Browsers no final dos anos 90 e início dos anos 2000 e perdeu sua liderança de mercado para o Internet Explorer (IE), da Microsoft, até desaparecer por completo. Isso aconteceu principalmente quando a Microsoft começou a oferecer o IE gratuitamente, já pré-instalado nos sistemas operacionais e a Netscape, na contramão, decidiu oferecer seu Browser somente na versão paga.



Hoje em dia, é interessante notar que mesmo a versão 1.0 do Netscape já tinha uma interface muito parecida com a dos browsers atuais, com um menu e conjunto de ícones similar ao que conhecemos.

[Segurança] Os 10 Mandamentos do Hacker

Durante a décima edição da Co0L BSidesSP nós apresentamos em primeira mão os 10 Mandamentos do Hacker, um conjunto de 10 "mandamentos" sobre hacking ético, baseado nos 10 Mandamentos Bíblicos. São eles:
 I - Amar o conhecimento livre sobre todas as coisas
 II - Não usar títulos e certificações em vão
III - Aplicar patches de segurança mesmo aos domingos
IV - Honrar Linux e Sistemas Abertos
 V - Não invadirás computador alheio
 VI - Não adulterarás arquivos e dados
VII - Não furtarás o wifi do próximo
VIII - Não levantarás falsos perfis
 IX - Não desejarás as informações privadas do próximo
 X  - Não cobiçarás a senha do teu próximo

O Thiago Bordini foi o primeiro a ter a idéia, e me mandou uma mensagem que li dentro de um taxi e de lá mesmo começamos a conversar e viajar na maionese. Em seguida nós dois passamos mais alguns dias discutindo e lapidando a idéia até chegarmos nos mandamentos acima.

Também pensamos em criar um vídeo durante a Co0L BSidesSP para ajudar a divulgar os Mandamentos, com várias pessoas lendo cada um deles. Vários amigos gostaram da iniciativa e aceitaram participar. O Lincoln Werneck gravou tudo para nós e o Bordini fez a edição final.



Reconheço que não ficou tão divertido quanto a versão da Porta dos Fundos ;)

Uma das preocupações iniciais foi de tentar colocar os "mandamentos hacker" na mesma ordem e de forma que fossem mais ou menos equivalentes aos mandamentos originais. Por exemplo, se o mandamento "não matarás" é o quinto, então o 5º na versão hacker seria algo equivalente, algo como "não invadirás" (ou não ownarás, ou não defacerás, etc).

Aí eu descobri que, segundo a Wikipedia, existem ao menos 7 versões dos mandamentos, de acordo com cada religião, numeração ou interpretação do texto bíblico. O Exôdo lista 16 "10 mandamentos" (isso mesmo, os 10 mandamentos são 16 - mas se lermos com cuidado, veremos que vários são repetitivos). Para ter por onde começar, decidimos adotar a versão católica dos mandamentos, conforme abaixo (pelo simples fato que ele nos soou mais familiar):

1º - Amar a Deus sobre todas as coisas
2º - Não usar o Santo Nome de Deus em vão
3º - Santificar domingo e festas de guarda
4º - Honrar pai e mãe
5º - Não matarás
6º - Não adulterarás
7º - Não furtarás
8º - Não levantar falsos testemunhos
9º - Não desejarás a mulher do próximo
10º- Não roubar do teu próximo

Partindo do texto acima, fomos reescrevendo cada um deles até chegar finalmente nos Mandamentos Hacker ;)

Fiz até mesmo um QR Code para a página dos 10 Mandamentos Hacker no site do Staysafe, utilizando o encurtador is.gd (o is.gd permite customizar a URL encurtada e também tem a opção de gerar o QR Code automaticamente).


Nos digam o que acharam. Queremos ouvir sugestões, comentários, elogios, críticas, etc.

dezembro 17, 2014

[Segurança] Empresas na fronteira entre Guerra Cibernética e Hacktivismo

Em 2012 foi a gigante petrolífera Saudi Aramco: 30 mil computadores foram atacados e a empresa ficou fora do ar por 10 dias, em um ataque em protesto contra o governo Saudita.

Neste ano tivemos notícia de mais duas empresas que foram vítimas de ciber ataques complexos que foram vitimados por questões ideológicas, e podem, eventualmente, ter a participação (ou pelo menos a conivência) dos governos locais.

Esta pode ser a nova fronteira da guerra cibernética: ataques destrutivos direcionados a empresas, com motivação político-ideológica, aonde o sentimento nacionalista é um dos principais motivadores.

Recentemente, hackers invadiram a Sony Pictures Entertainment, possivelmente em represália a um filme da empresa sobre um plano de assassinato contra o líder Norte-Coreano Kim Jong Un (a comédia The Interview, ainda não lançada nos cinemas). Como resultado do ataque, teriam sido roubados 100 TBytes de informações (dos quais apenas 1TB foi divulgado até o momento), incluindo e-mails dos funcionários e executivos, dados da folha de pagamento e dados pessoais de 47 mil funcionários e contratados (como o ator Sylvester Stallone) e segredos da empresa tais como as versões finais de cinco grandes filmes que seriam lançado nessa próxima temporada de férias. Embora a Sony não tenha publicamente identificado o responsável pelo ataque, diversos rumores indicam que os especialistas em segurança contratados pela Sony ligaram o incidente ao grupo de hackers conhecido como DarkSeoul, que as autoridades sul-coreanas e americanas acreditam trabalhar para o governo norte-coreano.

E as novidades da Sony não acabam de chegar. Recentemente o grupo divulgou o roteiro do próximo filme do James Bond, além de mensagens de executivos da Sony com comentários ofensivos a Angelina Jolie e comentários racistas dirigidos ao presidente americano Barack Obama.

Poderia o lançamento de um simples filme motivar um ciber ataque tão destrutivo para os dados e para a imagem de uma empresa?

No início de 2014 um grupo de hackers do Iran, auto-identificado como "Anti WMD Team", invadiu e destruiu computadores e servidores da empresa Sands, uma gigante da indústria dos cassinos, dona dos luxuosos cassinos Venetian e Palazzo, em Las Vegas, entre outros. O ataque, batizado de Yellowstone 1, foi uma vingança a comentários do CEO da empresa durante um debate em Israel. Na ocasião, Sheldon Adelson disse que a melhor forma de negociar sobre o programa nuclear Iraniano seria jogar uma bomba atômica no deserto e ameaçar joar a próxima em Terã, caso o governo não desista de seus planos.

Durante o ciber ataque foram roubados dados pessoais de empregados e, principalmente, foi executado um malware devidamente customizado para destruir todos os computadores e servidores da empresa: apagar os discos, sobrescrever os dados com bits aleatórios, e em seguida reiniciar os equipamentos. Incontáveis computadores e cerca de três quartos de servidores da empresa em Las Vegas foram destruídos. Estima-se que a recuperação de dados e reconstrução dos sistemas poderiam custar à empresa pelo menos 40 milhões de dólares.

Poderia uma frase de um diretor durante um debate motivar um ciber ataque tão destrutivo para os dados de uma empresa?

dezembro 15, 2014

[Segurança] Ciber-guerra, antes do Stuxnet

O Stuxnet nos lançou uma nova era no campo da Guerra Cibernética: acreditava-se que, pela primeira vez, um governo conseguiu utilizar um ciber ataque para destruir uma instalação física de outro governo. Para quem não se lembra, o Stuxnet foi um malware, criado ao que tudo indica em um esforço conjunto do governo Americano e Israelense, destinado a infiltrar uma usina de enriquecimento de urânio do Irã e, alterando os parâmetros de funcionamento das centrífugas nucleares, conseguiu destruir parte dos equipamentos.

Mas, segundo uma reportagem da Bloomberg, dois anos antes um ciber ataque conseguiu causar uma grande explosão em um oleoduto na Turquia.



O ano foi 2008. O alvo foi o oleoduto Baku-Tbilisi-Ceyhan, que atravessa a Turquia, interligando o Mar Caspio com o Mar Mediterrâneo, e passando pelo Azerbajão e pela Georgia. O oleoduto tinha sensores e câmeras de monitoramento em toda sua extensão, de 1.099 milhas (cerca de 1.700 kilômetros).

O ciber ataque que causou uma explosão ainda é mantido em segredo, mas segundo a reportagem da Bloomberg, os atacantes obtiveram acesso aos sistemas através de vulnerabilidades no software de comunicação das câmeras de vigilância, e assim tiveram acesso a rede da empresa e conseguiram infectar com malware o servidor Windows que gerenciava a rede de alarmes. Assim, eles conseguiram desativar os alarmes, cortar as comunicações e aumentar a pressão de óleo para provocar a explosão.

No caso do ataque ao oleoduto, o principal suspeito é a Russia, por causa das disputas políticas e energéticas na região. Três dias depois da explosão, a Rússia iniciou a guerra contra a Georgia e jatos soviéticos bombardearam a cidade de Rustavi, na Geórgia, próximo a região aonde passa o oleoduto.

PS (Adicionado em 09/04/21): Essa tese do Mohan B. Gazula M.S. em  Computer Science da Boston University, apresentada em 2017 no MIT, traz uma visão dos principais conflitos de guerra cibernética que já aconteceram: "Cyber Warfare Conflict Analysis and Case Studies".

dezembro 12, 2014

[Cyber Cultura] Guia Geek de São Paulo

A São Paulo Turismo lançou o Roteiro Geek, um livreto que indica os diversos locais existentes em São Paulo para os apaixonados por tecnologia, ciências, ficção cientifica, séries, filmes, jogos, histórias em quadrinhos, etc. O Roteiro Geek faz parte de uma série de roteiros temáticos da cidade de São Paulo e foi lançado durante o Comic Con Experience.


O Roteiro Geek contém uma lista de diversos lugares legais na capital, tais como a Rua Santa Efigênia (o paraíso das compras de eletrônicos e, atualmente, qualquer coisa que tenha LED), atividades em parques, lojas temáticas, bibliotecas e gibitecas, museus, eventos especializados e "barcades" (bares com ambientes descontraídos para o público geek).

O roteiro é bilíngue (português/inglês), e será distribuído nas Centrais de Informação Turística da cidade. Ele também está disponível para download no site da SPTurismo.

A revista Veja em São Paulo desta semana também deu destaque para alguns lugares Geek da cidade. Um deles, o Season One Arts Bar (Rua Augusta, 520), ficou de fora do Roteiro Geek. A Veja também citou uma festas dedicada aos fãs de Star Wars chamada Darkside, no Beco 203 (R. Augusta, 609), regada a rock clássico e indie rock. O Roteiro Geek também pisou na bola ao não incluir o Garoa Hacker Clube :(

dezembro 10, 2014

[Segurança] A evolução do ciber crime brasileiro

Algumas reportagens e relatórios publicados recentemente mostram uma grande evolução no ciber crime brasileiro. É possível perceber que, aos poucos, os ciber criminosos nacionais estão se diversificando e saindo do modelo tradicional de fraude, baseado apenas em ataques de phishing e trojans bancários, algo que desde sempre dominou o cenário do ciber crime no Brasil.

Veja os exemplos a seguir:
  • A Kasperspy anunciou a descoberta de aplicativos falsos em nome de Bancos brasileiros no Google Play: tais aplicativos aparentemente direcionavam o acesso da vítima para páginas de phishing. Foi um ataque relativamente simples, mas é a primeira vez que eu vejo notícia sobre algum tipo de trojan direcionado para mobile desenvolvido por criminosos brasileiros. Trojans para mobile existem aos montes em todo o mundo, mas este tipo de ataque não era comum entre os nossos ciber criminosos;
  • Uma reportagem do Fantástico mostrou uma quadrilha brasileira que conseguia clonar cartões com Chip e utilizava terminais de ponto de venda (leitores de cartão) adulterados, que transmitiam os dados roubados via bluetooth. Fraudes em cartões com Chip são raros em todo o mundo, por isso a notícia chamou a atenção de quem trabalha na área. De acordo com a polícia, os bandidos movimentaram no mínimo R$ 4 milhões nos últimos oito meses. O grupo adulterava máquinas de pagamento que depois eram deixadas, principalmente, em restaurantes de luxo. Garçons eram convencidos a participar do golpe, substituindo a máquina normal pela adulterada. Há alguns meses atrás, bancos no exterior já tinham detectado fraudes em cartões com chip vindas do Brasil utilizando ataques de replay. Ao que tudo indica, o problema é que os bancos afetados não implementaram adequadamente todos os protocolos de segurança do padrão EMV;
  • A Trend Micro lançou um excelente relatório que detalha o funcionamento do ciber crime no Brasil, incluindo como são comercializado produtos e serviços criminosos. Este relatório mostra claramente como o mercado negro do ciber crime está bem evoluído por aqui. O aspecto que mais chamoou a atenção da mídia foram os treinamentos disponíveis para quem quiser aprender a cometer fraudes bancárias, que são oferecidos na Internet por valores que podem variar entre R$ 120 e R$ 1,5 mil. Mas, o aspecto mais interessante do relatóripo é que os criminosos também oferecem serviços e ferramentas para outros ciber criminosos, como páginas de phishing customizadas, que custam, em média, R$ 100. Outros produtos e serviços oferecidos pelo cibercrime no Brasil incluem credenciais de cartões de crédito válidos (a partir de R$ 90 dependendo do limite de crédito do cartão), lista de números de telefone (a partir de R$ 750 dependendo do tamanho da cidade); software que envia Spam via SMS (R$ 499), além de seguidores, visualizações e likes em mídias sociais (a partir de R$ 20).
Para saber mais, eu recomendo a leitura dos relatórios abaixo:

dezembro 09, 2014

[Segurança] Hackers, criminosos e anonimato

O Chema Alonso é um pesquisador de segurança espanhol muito talentoso e um excelente palestrante - suas palestras são sempre bem informativas e divertidas, devido ao seu jeito bem humorado de apresentar.

Em 2012 ele deu uma palestra no TEDxRetiro batizada de "Hacking y anonimato para pasar un buen rato", aonde ele falou sobre o que são hackers e sobre o anonimato na Internet.


No início da sua palestra, Chema destacou que hackers são pesquisadores de segurança. Em suas palavras, "Nosso trabalho consiste basicamente em causar a insegurança, bem trabalhada, gerando relatórios (papers) para precisamente gerar segurança conhecendo a insegurança".

Em seguida, ele apresentou bem rapidamente uma de suas pesquisas recentes, aonde ele criou um servidor proxy próprio, que divulgou através da Internet, para analisar o que as pessoas faziam quando utilizam servidores de proxy para buscar acesso anônimo na Internet. Segundo sua pesquisa, a maioria dos usuários que utilizavam acesso anônimo o faziam para uso malicioso ou crimonoso. Este trabalho foi apresentado com mais detlhes na Defcon em 2012.

dezembro 08, 2014

[Cyber Cultura] Ralph Baer, o pai dos video games

Faleceu Ralph Baer, aos 92 anos, considerado o "pai dos video games". Entre outras coisas, Ralph foi inventor do primeiro console de vídeo-game, o Magnavox Odyssey, lançado em 1972, e do Simon - o jogo que no Brasil foi lançado pela Estrela no início dos anos 80 com o nome de Genius, e que até hoje é um símbolo daquela década. Ele também inventou a pistola de luz, que foi um dos primeiros periféricos para vídeo-games.

Tem um documentário bem curto sobre o Ralph Baer, mas muito legal, que mostra que ele continuava bem ativo apesar da idade avançada. Ele participava da criação de jogos e brinquedos, e tinha mais de 150 patentes sob o seu nome.


Quando eu era criança tive a sorte de ter um Genius e um Odyssey. O Genius foi o primeiro jogo enetrônico vendido no Brasil. Na época, o Odyssey era concorrente do Atari, que era bem mais famoso (e que eu aproveitava para jogar na casa dos amigos e de um primo).

dezembro 05, 2014

[Cidadania] Porque você deve começar a compartilhar

O vídeo abaixo foi gravado recentemente na RuPy Brasil, em São José dos Campos. Os pythonistas presentes tivera a oportunidade de ouvir o depoimento e a história do aposentado Carlos Eduardo Glória, que acabou com sua depressão e mudou sua vida aprendendo a programar, graças ao conhecimento compartilhado livremente pela Internet.


A história do Carlos mostra como as nossas iniciativas que visam o compartilhamento do conhecimento, tais como eventos, comunidades e hackerspaces, podem ter um grande impacto nas pessoas.

dezembro 04, 2014

[Segurança] Estatísticas sobre Proteção de Dados

A EMC realizou recentemente um estudo sobre a adoção de estratégias de proteção de dados em empresas de 24 países, chamado de "Data Protection Index".

Os resultados desta pesquisa mostram que a maioria das empresas ainda não estão preparadas para proteger devidamente seus dados. Vaje alguns indicadores globais:
  • A perda de dados e o tempo de inatividade decorrente destes incidentes custoaram as empresas 1,7 trilhões de dólares no último ano, um crescimento de 400% nos últimos dois anos;
  • 64% das empresas sofreram parada inesperada ou perda de dados nos últimos 12 meses: 49% das empresas sofreram alguma queda inesperada de sistemas e 32% sofreram perda de dados;
  • Apenas 13% das empresas podem ser consideradas "acima da curva" na adoção de estratégias de proteção de dados: apenas 2% das empresas foram consideradas "líderes" (isto é usam vários métodos para proteção de dados e necessitam de pouco tempo para se recuperar de um incidente) e 11% foram classificadas como "adopters";
  • As principais causas dos incidentes de indisponibilidade ou perda de dados estão relacionados a falhas de hardware, queda de energia elétrica ou falha em software;
  • Quase 2/3 das empresas consideram Big Data, celulares e nuvens híbridas como os ambientes mais difíceis para proteger: 51% das empresas não têm um plano de recuperação de desastres para qualquer uma dessas áreas, e apenas 6% têm um plano para todos os três;
  • Com 30% de dados primários localizados em alguma forma de armazenamento em nuvem atualmente, a falta de uma estratégia de proteção de dados para este tipo de ambiente pode resultar em perda substancial para as empresas.
O estudo também criou um ranking dos países de acordo com o nível de proteção de dados adotado pelas as empresas locais. O ranking é liderado pela China, Honk Kong, Holanda, Singapura e EUA, nesta ordem.

O Brasil ficou colocado em 18o, entre os 24 países pesquisados. Aqui no Brasil, 59% das empresas sofreram parada ou perda de dados nos úntimos 12 meses, sendo que os custos relacionados a perda de dados e a parada de sistemas representaram, respectivamente, 2,8 bilhões de dólares e 24,1 bilhões de dólares.

dezembro 03, 2014

[Cidadania] Estatísticas da AIDS no Brasil

Como parte das atividades programadas para o Dia Mundial de Luta contra a AIDS, o ministro da Saúde apresentou novos dados sobre a epidemia no Brasil, que foram reunidos no Boletim Epidemiológico HIV-AIDS 2014.

  • O governo estima que cerca de 734 mil pessoas vivem com HIV e AIDS hoje no país. Desse total, 80% (589 mil) foram diagnosticadas e cerca de 150 mil não sabem que estão infectados;
  • As regiões Sudeste e Sul representam 54,4% e 20,0% do total de casos identificados de 1980 até junho de 2014;
  • Foram registrados no Brasil, de 1980 até junho de 2014, 491.747 (65,0%) casos de AIDS em homens e 265.251(35,0%) em mulheres;
  • A maior concentração dos casos de AIDS no Brasil está entre os indivíduos com idade entre 25 a 39 anos em ambos os sexos;
  • Quase 400 mil pessoas já estão em tratamento com antirretrovirais pelo Sistema Único de Saúde (SUS);
  • Desde os anos 80, foram notificados 757 mil casos de AIDS no país e foram identificados 278.306 óbitos tendo como causa básica a AIDS;
  • A epidemia no Brasil está estabilizada, com cerca de 39 mil casos de AIDS novos ao ano;
  • O coeficiente de mortalidade por AIDS foi de 5,7 mortes por 100 mil habitantes em 2013 (queda de 13% nos últimos 10 anos).

  • Neste ano o Ministério da Saúde criou uma campanha baseada na estratégia de prevenir, testar e tratar, com público-alvo os jovens. A nova campanha dá destaque para a realização do teste de AIDS, apresentando jovens experimentando diversas situações da vida com a palavra “testar”. Para reforçar o slogan, foi adotada a gíria “#partiu teste”,

    O Dia Mundial de Luta contra a AIDS é celebrado todo ano no dia 1º de dezembro. Na campanha deste ano, o Ministério da Saúde chama atenção para os 30 anos da luta contra a AIDS no Brasil. Desde 1996, o Brasil distribui o coquetem de medicamentos contra a AIDS gratuitamente.

    O Departamento de DST, Aids e Hepatites Virais do Ministério da Saúde também criou um vídeo que conta a história dos 30 anos de lutra contra AIDS e da resposta brasileira à epidemia.


    A BBC Brasil fez um vídeo curto com a história do surgimento da AIDS e com as principais estatísticas da doença.
    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.