Páginas

dezembro 31, 2014

[Segurança] Aniversário de 25 anos do Firewall

A McAffee lançou um infográfico para celebrar os 25 anos desde o lançamento do primeiro Firewall, em 1988. Eu, particularmente, não gostei deste infográfico: achei que faltou muita informação e, claro, foi muito tendencioso para a própria McAffee, com algumas informações que eu considero estranhas ou imprecisas (como dizer que o conceito de evasão surgiu em 2006 e que "clustering" surgiu em 2009, sendo que alguns firewalls de mercado atuavam em cluster vários anos antes disso).

Por isso, prefiro escrever a minha própria linha do tempo sobre o surgimento dos Firewalls. Assim como foi feito pela McAffee, vou colocar alguns outros eventos para ajudar a situar esta evolução no tempo.

Os primeiros "firewalls" foram, na verdade, roteadores de rede que eram utilizados para isolar redes distintas e filtrar alguns pacotes de rede entre elas, sempre na camada 3. Isso foi muito popular nos anos 80 e 90. Até meados da década de 90 era comum chamar de "Firewall" o conjunto de roteadores e proxies de aplicação que, em conjunto, eram utilizados para isolar uma rede de outra (como, por exemplo, separar a rede interna da rede externa, como a Internet).

  • 1981: Lançamento do PC
  • 1984: Nos EUA, a ARPANET vira a Internet, usando o TCP/IP desde 1983;
  • 1986: Surge o Brain, o primeiro vírus de computador (MS-DOS);
  • 1988: Morris Worm, a primeira grande infestação de um código malicioso na Internet;
  • 1988: Surge o primeiro CERT, o CERT-CC;
  • 1988: A DEC (Digital Equipment Corporation) publica um artigo aonde descreve um sistema de filtragem de pacotes batizado de "packet filter firewall";
  • 1989: Um paper da AT&T Labs introduz o conceito de "circuit level gateways", um modelo de Firewall atuando no protocolo TCP;
  • 1990: Wietse Venema cria o TCP Wrapper, que se popularizou ao permitir criar uma lista de acesso as aplicações de rede disponíveis em um servidor Unix-like;
  • 1991: A DEC lança o DEC SEAL, o primeiro Firewall a usar o conceito de Application-Level Firewall desenvolvido por Marcus Ranum (também chamados de Firewall de Aplicações, pois atuam na camada 7);
  • 1993: A Internet começa a virar uma rede global;
  • 1993: Marcus Ranum, Wei Xu, e Peter Churchyard lançam o Firewall Toolkit (FWTK), um Firewall de aplicação distribuído inicialmente com licença open source, em nome da empresa TIS (Trusted Information Systems);
  • 1994: Surge o Gauntlet firewall, a versão comercial do FWTK, que em 1998 foi adquirido pela Network Associates Inc, (NAI). O Gauntlet foi o líder de mercado por alguns anos até ser superado pelo Firewall-1, da Check Point;
  • 1994: A Check Point Software lança o produto FireWall-1 (FW-1), introduzindo o conceito de "Stateful Inspection", uma tecnologia que permite analisar diversas camadas de rede;
  • 1995: Criação do Comitê Gestor da Internet no Brasil (CGI.br) e surgimento dos primeiros sites brasileiros;
  • 1995: Lançamento do Livro "Building Internet Firewalls", da O'Reilly (1a edição)
  • 1995: A RFC 1825 (Security Architecture for IP) descreve o uso de Firewalls para prover segurança no protocolo IP;
  • 1996: Surge o Real Secure, da ISS, uma das principais soluções comerciais de detecção de intrusos (IDS - Intrusion Detection System);
  • 1997: Versão 1.0.1 do ipchains, um sistema de filtro de pacotes para o Kernel Linux que, a partir de 1998, começa a ser substituído pelo IPTables, mais completo;
  • 1998: Lançamento do Snort, um IDS open-source;
  • 1999: A RFC 2663 descreve o conceito de "Application Level gateway (ALG)", que funcionam de forma similar a proxies de aplicação;
  • 2000: Surgem os ataques distribuídos de negação de serviço (DDoS - Distributed Deny of Service);
  • 2000: Época de ouro dos Personal Firewalls; soluções de firewall dedicadas para desktops, com configurações de bloqueio de rede  de de aplicações. Uma ótima idéia, mas de difícil uso para o usuário final. Na prática acabaram sendo incorporados como uma funcionalidade dos anti-vírus;
  • 2002: Surge o ModSecurity, um projeto open source de Web Application Firewalls (WAF), que ajudou a difundir a tecnologia WAF;
  • 2008: Infecção do Conficker, verme que atinge 9 a 15 milhões de servidores Microsoft em todo o mundo.

Nota: Toda vez que alguém escreve um artigo dizendo que a empresa X lançou o "Next Generation Firewall", um panda bebê morre engasgado e cai em cima de um filhote de demônio da tansmânia, que também morre esmagado. Isso porque praticamente todos os fabricantes de firewall dizem ter sua própria versão de um "Next Generation Firewall", de forma que isso se transformou em um termo marqueteiro, e não necessariamente representa uma tecnologia específica.


dezembro 30, 2014

[Ciber Cultura] Regulamentação do Marco Civil

O CGI.br e seu GT de Regulamentação do Marco Civil da Internet criaram uma página para receber contribuições sobre os diversos itens que devem ser regulamentados no Marco Civil.

O Marco Civil da Internet (Lei 12.965/2014) foi sancionado no dia 23 de abril de 2014 pela Presidenta Dilma Roussef. Mas alguns dos dispositivos e regras da Lei ficaram para ser regulamentados posteriormente.

O site do CGI.br destaca o Artigo 9o, sobre a neutralidade de rede, e o Inciso II do Artigo 24, sobre a racionalização da gestão, expansão e uso da Internet, mas o CGI aceita comentários sobre diversos temas:
  • Definições técnicas e de termos relevantes ao Marco Civil
  • Neutralidade de Rede
  • Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas
  • Guarda de Registros de Conexão
  • Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
  • Outros aspectos e considerações

As contribuições enviadas pelo site do CGI.br serão consideradas pelo Grupo de trabalho, que irá criar um documento de trabalho com as conclusões de estudo. No final, o CGI.br irá encaminhar as contribuições aos órgãos do Governo Federal responsáveis pelo processo de regulamentação da lei do Marco Civil.

As contribuições devem ser feitas através de um formulário disponível online até o dia 31 de Janeiro de 2015 e ficarão disponíveis para consulta no site do CGI.br.

Nota (adicionada em 10/11/16): O Marco Civil foi regulamentado em 11 de Maio de 2016 através do Decreto nº 8.771.

dezembro 29, 2014

[Ciber Cultura] A pressão das Redes Sociais

A revista do SESC de Janeiro/2015 tem uma entrevista interessante com Peter Pál Pelbart, filósofo, e professor titular de Filosofia na Pontifícia Universidade Católica de São Paulo (PUC-SP). Nesta entrevista, ele faz alguns comentários interessantes sobre a influência que sofremos da tecnologia e das redes sociais.

Eu selecionei abaixo os trechos que me pareceram mais relevantes:
  • Com a proliferação e disseminação das redes sociais, o discurso se tornou muito superficial, plano? - Sim, e às vezes dá vontade de se desconectar. Com toda essa infosfera tão saturada, essa circulação de signos, informações, imagens, solicitações e imperativo de reagir imediatamente, vira e mexe eu tenho vontade de sustentar uma desconexão ativa que pode dar algum espaço para pensar, para que o que se diz possa ter algum sentido.
  • O [filósofo e escritor italiano] Franco Berardi tem uma ideia bonita relacionada ao neuromagma, que seria essa espécie de caldo de signos, imagens e estímulos incessantes em que todos estamos mergulhados e que excede muito a nossa capacidade humana de formular, elaborar. A partir disso, o que nós temos é mais uma reação do que uma posição. A gente reage mais a ondas psicomagnéticas, de informação, entusiasmo, terror, que atravessam o campo social. Reagimos a essas ondas como se não tivéssemos mais a capacidade de pensar.
  • Há uma espécie de homogeneização de certo modelo de classe média consumista ocidental que vai tomando conta do planeta junto de certo tipo de entretenimento, percepção, uso do espaço, regulação do tempo e outras coisas que são do pós-Fordismo, sem essa separação tão estrita do tempo do trabalho, do descanso, do entretenimento. Tudo isso se mistura um pouco. Quando você está no computador, você não sabe se está trabalhando, se está socializando, se entretendo etc. As fronteiras se desmancharam e nós estamos o tempo todo em um estado de alerta, de conexão, de produtividade.
  • E essa confusão cada vez mais evidente entre a vida real, cotidiana, e uma vida de ficção, sugerida? Isso tem a ver com a diminuição do espectro de vontades? - Claro, existe uma luta contra certos poderes, contra certos tipos de dominaçã
  • Sou a favor de que haja suspensões, que haja paradas, interrupções nesse trem louco que vem vindo há muitas décadas numa velocidade crescente e nos obriga a mobilizar toda a nossa energia com finalidades cada dia mais desconhecidas e inúteis. Enquanto não se frear esse trem, não será possível inventar finalidades outras que não a produção pela produção, o lucro pelo lucro e essa espécie de racionalidade capitalista que nos enlouquece literalmente.

Analisando a opinião do Peter Pál Pelbart, é impossível discordar de que hoje existe uma grande e invisível pressão para que estejamos sempre conectados, não apenas nas redes sociais, mas em todas as formas de comunicação online.

Os e-mails da empresa, os comentários familiares no WhatsApp, as mensagens e likes no facebook: tudo exige nossa interação imediata e não existe mais fronteira entre trabalho, descanso e diversão. Quem nunca respondeu um e-mail de trabalho durante as ferias ou a noite, antes de dormir? Quem nunca respondeu uma mensagem de whatsapp dos amigos ou parentes durante o horário do expediente? Esses pequenos atos acabam destruindo, aos poucos, a nossa noção de fronteira entre trabalho, casa e descanso.

Outra coisa muito interessante é notarmos esta diferenciação entre a vida real, cotidiana, e a vida online, qua acaba sendo uma vida de ficção. Isto é muito evidente em redes sociais como o Facebook: criamos um perfil idealizado de nós mesmos, aonde postamos fotos e opiniões que tendem a mostrar uma imagem específica, pasteurizada, de nós mesmos. Sugerimos uma imagem que não reflete a total realidade do dia-a-dia. Quem quer saber que hoje fiquei sem água e luz em casa e, por isso, só fui tomar banho de água gelada as 14h porque não aguentava mais o meu próprio cheiro? Não é melhor postar uma notícia sobre as chuvas e criticar o governo, que é exatamente o que a maioria das pessoas fazem? sem perceber, seguimos um script, um roteiro subconsciente que pasteuriza a todos: somos todos felizes, cercados de amigos, familiares, gatos e cachorros engraçados. No mundo online, vivemos cercados de paisagens deslubrantes, pôr-do-sol, praia, etc.

Como disse Peter Pál Pelbart, "Não tem coisa mais decepcionante do que você seguir o script de roteiro pré-fabricado. Há uma depauperação na imaginação sobre o que é desfrutar, o que é se divertir, o que é descobrir, o que é ter uma experiência. Você cumpre um destino. É um desafio coletivo, cultural, saber o que é realmente destampar a imaginação. Esse despotismo do “desfrute”, “goze”, “tenha prazer” e “consuma” obtura totalmente a imaginação."

dezembro 27, 2014

[Cyber Cultura] Dumont Hackerspace

O Dumont Hacker Space é um "hackerspace temporário", um espaço autônomo e itinerante que foi idealizado pela comunidade brasileira de hackerspaces para existir como um "meta-hackerspace" representando o movimento hacker dentro de algum evento relevante para a comunidade.

A iniciativa de criar o Dumont Hackerspace surgiu no FISL 15, realizado de 07 a 10 de Maio de 2014. Durante o FISL 15 vários hackerspaces se juntaram e, coletivamente, organizaram o espaço do Dumont Hackerspace. Estiveram presentes o Matehackers, o Garoa Hacker Club, MariaLab, Tarrafa, Hackerspace Salvador, Raul Hacker Club, Hap-Hacks e outros grupos em formação e interessados em formar mais hackerspaces pelo Brasil. O espaço funcionou como uma área livre e aberta para que os presentes desenvolvessem trabalhos, trocassem informações e que permitiu o bate papo entre novatos e veteranos. Nenhum conhecimento prévio foi exigido para participar e os presentes estavam dispostos a ajudar quem aparecesse. Este é o espírito dos hackerspaces !!!

O Dumont Hackerspace pretende ser um espaço autônomo, operado por representantes de diversos hackerspaces e comunidades, com o objetivo de oferecer a mesma experiência que um autêntico hackerspace pode lhe dar: diversas atividades multidisciplinares, compartilhamento de conhecimento e o verdadeiro espírito hacker.

O logotipo foi criado como uma imagem estilizada do Santos Dumont. O bigode e o chapéu são "marcas registradas" do Santos Dumont, a figura homenageada por ter o primeiro projeto "open source" bem documentado e amplamente conhecido e reproduzido de um brasileiro. Um fato muito interessante da história dele é que Santos Dumont permitiu que uma mulher pilotasse um dos seus dirigíveis em 1903, que se tornou a primeira mulher piloto da história (isto é, a primeira mulher a pilotar uma aeronave motorizada), Aida D'Acosta. Assim, ele rompeu o tabu de desenvolver toda uma área nova como também rompeu com os padrões de gênero existentes na época.

dezembro 24, 2014

Feliz Natal e Boas Festas

Poizé, 2014 foi um ano "especial":
  • Copa no Brasil e goooool da Alemanha
  • As eleições que entupiram o Facebook e calaram a boca dos protestos nas ruas
  • As ações da Petrobrás e o Dólar ameaçando valer R$ 5
  • Facebook lotado com vídeos em autoplay sobre gatinhos, cachorros e acidentes de carro, além das infinitas listas de "10 vídeos", "20 imagens", e as "150 dicas imperdíveis", e para coroar o ano, a coletânea de fotos de 2014 da galera. E o pessoal reclamava do falecido Orkut :(
  • No esporte, agora temos 2 surfistas Brasileiros famosos: o Gabriel Medina e a Bruna Surfistinha
  • Pousamos uma sonda espacial em um cometa \o/
  • Na área de segurança, o ano ficou marcado, entre outras coisas, por grandes bugs (por ex, o Heartbleed e o Shellshock), pelos roubos de cartões de crédito e dados de grandes lojas nos EUA e, agora no final de ano, pelo polêmico ciber ataque a Sony Pictures.
Depois de um ano tão agitado, vamos aproveitar as festas junto com nossos familiares e amigos para recuperar as energias para 2015.

Bom Natal e Feliz Ano Novo para todos !

dezembro 23, 2014

[Cyber Cultura] Crianças Hacker

Para aqueles que ainda acham (erroneamente) que hacker é só quem vive no mundo underground, sabe invadir sites, se comunica via IRC e s4b3 3scr3v3r 4ss1m, eu dedico este pequeno e inspirador vídeo feito pelo pessoal do Raul HackerClub, o hackerspace de Salvador (BA).


dezembro 19, 2014

[Cyber Cultura] Netscape, 20 anos

Há cerca de 20 anos atrás, no dia 15 Dezembro de 2014, foi lançado o Netscape 1.0, o browser que ajudou a popularizar a World Wide Web e, de quebra, a Internet que conhecemos hoje.


No início o Netscape era gratuito e amplamente distribuido entre os usuários web - seja por download ou por disquetes e CDs, incluindo CDs de provedores de acesso oferecidos em revistas de informática nas bancas de jornal. Rapidamente se tornou popular e praticamente dominou todo o mercado dos Browsers durante a década de 90. Nesta época o Netscape liderou várias inovações técnicas.

Infelizmente, o Netscape não resistiu a Guerra dos Browsers no final dos anos 90 e início dos anos 2000 e perdeu sua liderança de mercado para o Internet Explorer (IE), da Microsoft, até desaparecer por completo. Isso aconteceu principalmente quando a Microsoft começou a oferecer o IE gratuitamente, já pré-instalado nos sistemas operacionais e a Netscape, na contramão, decidiu oferecer seu Browser somente na versão paga.



Hoje em dia, é interessante notar que mesmo a versão 1.0 do Netscape já tinha uma interface muito parecida com a dos browsers atuais, com um menu e conjunto de ícones similar ao que conhecemos.

[Segurança] Os 10 Mandamentos do Hacker

Durante a décima edição da Co0L BSidesSP nós apresentamos em primeira mão os 10 Mandamentos do Hacker, um conjunto de 10 "mandamentos" sobre hacking ético, baseado nos 10 Mandamentos Bíblicos. São eles:
 I - Amar o conhecimento livre sobre todas as coisas
 II - Não usar títulos e certificações em vão
III - Aplicar patches de segurança mesmo aos domingos
IV - Honrar Linux e Sistemas Abertos
 V - Não invadirás computador alheio
 VI - Não adulterarás arquivos e dados
VII - Não furtarás o wifi do próximo
VIII - Não levantarás falsos perfis
 IX - Não desejarás as informações privadas do próximo
 X  - Não cobiçarás a senha do teu próximo

O Thiago Bordini foi o primeiro a ter a idéia, e me mandou uma mensagem que li dentro de um taxi e de lá mesmo começamos a conversar e viajar na maionese. Em seguida nós dois passamos mais alguns dias discutindo e lapidando a idéia até chegarmos nos mandamentos acima.

Também pensamos em criar um vídeo durante a Co0L BSidesSP para ajudar a divulgar os Mandamentos, com várias pessoas lendo cada um deles. Vários amigos gostaram da iniciativa e aceitaram participar. O Lincoln Werneck gravou tudo para nós e o Bordini fez a edição final.



Reconheço que não ficou tão divertido quanto a versão da Porta dos Fundos ;)

Uma das preocupações iniciais foi de tentar colocar os "mandamentos hacker" na mesma ordem e de forma que fossem mais ou menos equivalentes aos mandamentos originais. Por exemplo, se o mandamento "não matarás" é o quinto, então o 5º na versão hacker seria algo equivalente, algo como "não invadirás" (ou não ownarás, ou não defacerás, etc).

Aí eu descobri que, segundo a Wikipedia, existem ao menos 7 versões dos mandamentos, de acordo com cada religião, numeração ou interpretação do texto bíblico. O Exôdo lista 16 "10 mandamentos" (isso mesmo, os 10 mandamentos são 16 - mas se lermos com cuidado, veremos que vários são repetitivos). Para ter por onde começar, decidimos adotar a versão católica dos mandamentos, conforme abaixo (pelo simples fato que ele nos soou mais familiar):

1º - Amar a Deus sobre todas as coisas
2º - Não usar o Santo Nome de Deus em vão
3º - Santificar domingo e festas de guarda
4º - Honrar pai e mãe
5º - Não matarás
6º - Não adulterarás
7º - Não furtarás
8º - Não levantar falsos testemunhos
9º - Não desejarás a mulher do próximo
10º- Não roubar do teu próximo

Partindo do texto acima, fomos reescrevendo cada um deles até chegar finalmente nos Mandamentos Hacker ;)

Fiz até mesmo um QR Code para a página dos 10 Mandamentos Hacker no site do Staysafe, utilizando o encurtador is.gd (o is.gd permite customizar a URL encurtada e também tem a opção de gerar o QR Code automaticamente).


Nos digam o que acharam. Queremos ouvir sugestões, comentários, elogios, críticas, etc.

dezembro 17, 2014

[Segurança] Empresas na fronteira entre Guerra Cibernética e Hacktivismo

Em 2012 foi a gigante petrolífera Saudi Aramco: 30 mil computadores foram atacados e a empresa ficou fora do ar por 10 dias, em um ataque em protesto contra o governo Saudita.

Neste ano tivemos notícia de mais duas empresas que foram vítimas de ciber ataques complexos que foram vitimados por questões ideológicas, e podem, eventualmente, ter a participação (ou pelo menos a conivência) dos governos locais.

Esta pode ser a nova fronteira da guerra cibernética: ataques destrutivos direcionados a empresas, com motivação político-ideológica, aonde o sentimento nacionalista é um dos principais motivadores.

Recentemente, hackers invadiram a Sony Pictures Entertainment, possivelmente em represália a um filme da empresa sobre um plano de assassinato contra o líder Norte-Coreano Kim Jong Un (a comédia The Interview, ainda não lançada nos cinemas). Como resultado do ataque, teriam sido roubados 100 TBytes de informações (dos quais apenas 1TB foi divulgado até o momento), incluindo e-mails dos funcionários e executivos, dados da folha de pagamento e dados pessoais de 47 mil funcionários e contratados (como o ator Sylvester Stallone) e segredos da empresa tais como as versões finais de cinco grandes filmes que seriam lançado nessa próxima temporada de férias. Embora a Sony não tenha publicamente identificado o responsável pelo ataque, diversos rumores indicam que os especialistas em segurança contratados pela Sony ligaram o incidente ao grupo de hackers conhecido como DarkSeoul, que as autoridades sul-coreanas e americanas acreditam trabalhar para o governo norte-coreano.

E as novidades da Sony não acabam de chegar. Recentemente o grupo divulgou o roteiro do próximo filme do James Bond, além de mensagens de executivos da Sony com comentários ofensivos a Angelina Jolie e comentários racistas dirigidos ao presidente americano Barack Obama.

Poderia o lançamento de um simples filme motivar um ciber ataque tão destrutivo para os dados e para a imagem de uma empresa?

No início de 2014 um grupo de hackers do Iran, auto-identificado como "Anti WMD Team", invadiu e destruiu computadores e servidores da empresa Sands, uma gigante da indústria dos cassinos, dona dos luxuosos cassinos Venetian e Palazzo, em Las Vegas, entre outros. O ataque, batizado de Yellowstone 1, foi uma vingança a comentários do CEO da empresa durante um debate em Israel. Na ocasião, Sheldon Adelson disse que a melhor forma de negociar sobre o programa nuclear Iraniano seria jogar uma bomba atômica no deserto e ameaçar joar a próxima em Terã, caso o governo não desista de seus planos.

Durante o ciber ataque foram roubados dados pessoais de empregados e, principalmente, foi executado um malware devidamente customizado para destruir todos os computadores e servidores da empresa: apagar os discos, sobrescrever os dados com bits aleatórios, e em seguida reiniciar os equipamentos. Incontáveis computadores e cerca de três quartos de servidores da empresa em Las Vegas foram destruídos. Estima-se que a recuperação de dados e reconstrução dos sistemas poderiam custar à empresa pelo menos 40 milhões de dólares.

Poderia uma frase de um diretor durante um debate motivar um ciber ataque tão destrutivo para os dados de uma empresa?

dezembro 15, 2014

[Segurança] Ciber-guerra, antes do Stuxnet

O Stuxnet nos lançou uma nova era no campo da Guerra Cibernética: acreditava-se que, pela primeira vez, um governo conseguiu utilizar um ciber ataque para destruir uma instalação física de outro governo. Para quem não se lembra, o Stuxnet foi um malware, criado ao que tudo indica em um esforço conjunto do governo Americano e Israelense, destinado a infiltrar uma usina de enriquecimento de urânio do Irã e, alterando os parâmetros de funcionamento das centrífugas nucleares, conseguiu destruir parte dos equipamentos.

Mas, segundo uma reportagem da Bloomberg, dois anos antes um ciber ataque conseguiu causar uma grande explosão em um oleoduto na Turquia.



O ano foi 2008. O alvo foi o oleoduto Baku-Tbilisi-Ceyhan, que atravessa a Turquia, interligando o Mar Caspio com o Mar Mediterrâneo, e passando pelo Azerbajão e pela Georgia. O oleoduto tinha sensores e câmeras de monitoramento em toda sua extensão, de 1.099 milhas (cerca de 1.700 kilômetros).

O ciber ataque que causou uma explosão ainda é mantido em segredo, mas segundo a reportagem da Bloomberg, os atacantes obtiveram acesso aos sistemas através de vulnerabilidades no software de comunicação das câmeras de vigilância, e assim tiveram acesso a rede da empresa e conseguiram infectar com malware o servidor Windows que gerenciava a rede de alarmes. Assim, eles conseguiram desativar os alarmes, cortar as comunicações e aumentar a pressão de óleo para provocar a explosão.

No caso do ataque ao oleoduto, o principal suspeito é a Russia, por causa das disputas políticas e energéticas na região. Três dias depois da explosão, a Rússia iniciou a guerra contra a Georgia e jatos soviéticos bombardearam a cidade de Rustavi, na Geórgia, próximo a região aonde passa o oleoduto.

PS (Adicionado em 09/04/21): Essa tese do Mohan B. Gazula M.S. em  Computer Science da Boston University, apresentada em 2017 no MIT, traz uma visão dos principais conflitos de guerra cibernética que já aconteceram: "Cyber Warfare Conflict Analysis and Case Studies".

dezembro 12, 2014

[Cyber Cultura] Guia Geek de São Paulo

A São Paulo Turismo lançou o Roteiro Geek, um livreto que indica os diversos locais existentes em São Paulo para os apaixonados por tecnologia, ciências, ficção cientifica, séries, filmes, jogos, histórias em quadrinhos, etc. O Roteiro Geek faz parte de uma série de roteiros temáticos da cidade de São Paulo e foi lançado durante o Comic Con Experience.


O Roteiro Geek contém uma lista de diversos lugares legais na capital, tais como a Rua Santa Efigênia (o paraíso das compras de eletrônicos e, atualmente, qualquer coisa que tenha LED), atividades em parques, lojas temáticas, bibliotecas e gibitecas, museus, eventos especializados e "barcades" (bares com ambientes descontraídos para o público geek).

O roteiro é bilíngue (português/inglês), e será distribuído nas Centrais de Informação Turística da cidade. Ele também está disponível para download no site da SPTurismo.

A revista Veja em São Paulo desta semana também deu destaque para alguns lugares Geek da cidade. Um deles, o Season One Arts Bar (Rua Augusta, 520), ficou de fora do Roteiro Geek. A Veja também citou uma festas dedicada aos fãs de Star Wars chamada Darkside, no Beco 203 (R. Augusta, 609), regada a rock clássico e indie rock. O Roteiro Geek também pisou na bola ao não incluir o Garoa Hacker Clube :(

dezembro 10, 2014

[Segurança] A evolução do ciber crime brasileiro

Algumas reportagens e relatórios publicados recentemente mostram uma grande evolução no ciber crime brasileiro. É possível perceber que, aos poucos, os ciber criminosos nacionais estão se diversificando e saindo do modelo tradicional de fraude, baseado apenas em ataques de phishing e trojans bancários, algo que desde sempre dominou o cenário do ciber crime no Brasil.

Veja os exemplos a seguir:
  • A Kasperspy anunciou a descoberta de aplicativos falsos em nome de Bancos brasileiros no Google Play: tais aplicativos aparentemente direcionavam o acesso da vítima para páginas de phishing. Foi um ataque relativamente simples, mas é a primeira vez que eu vejo notícia sobre algum tipo de trojan direcionado para mobile desenvolvido por criminosos brasileiros. Trojans para mobile existem aos montes em todo o mundo, mas este tipo de ataque não era comum entre os nossos ciber criminosos;
  • Uma reportagem do Fantástico mostrou uma quadrilha brasileira que conseguia clonar cartões com Chip e utilizava terminais de ponto de venda (leitores de cartão) adulterados, que transmitiam os dados roubados via bluetooth. Fraudes em cartões com Chip são raros em todo o mundo, por isso a notícia chamou a atenção de quem trabalha na área. De acordo com a polícia, os bandidos movimentaram no mínimo R$ 4 milhões nos últimos oito meses. O grupo adulterava máquinas de pagamento que depois eram deixadas, principalmente, em restaurantes de luxo. Garçons eram convencidos a participar do golpe, substituindo a máquina normal pela adulterada. Há alguns meses atrás, bancos no exterior já tinham detectado fraudes em cartões com chip vindas do Brasil utilizando ataques de replay. Ao que tudo indica, o problema é que os bancos afetados não implementaram adequadamente todos os protocolos de segurança do padrão EMV;
  • A Trend Micro lançou um excelente relatório que detalha o funcionamento do ciber crime no Brasil, incluindo como são comercializado produtos e serviços criminosos. Este relatório mostra claramente como o mercado negro do ciber crime está bem evoluído por aqui. O aspecto que mais chamoou a atenção da mídia foram os treinamentos disponíveis para quem quiser aprender a cometer fraudes bancárias, que são oferecidos na Internet por valores que podem variar entre R$ 120 e R$ 1,5 mil. Mas, o aspecto mais interessante do relatóripo é que os criminosos também oferecem serviços e ferramentas para outros ciber criminosos, como páginas de phishing customizadas, que custam, em média, R$ 100. Outros produtos e serviços oferecidos pelo cibercrime no Brasil incluem credenciais de cartões de crédito válidos (a partir de R$ 90 dependendo do limite de crédito do cartão), lista de números de telefone (a partir de R$ 750 dependendo do tamanho da cidade); software que envia Spam via SMS (R$ 499), além de seguidores, visualizações e likes em mídias sociais (a partir de R$ 20).
Para saber mais, eu recomendo a leitura dos relatórios abaixo:

dezembro 09, 2014

[Segurança] Hackers, criminosos e anonimato

O Chema Alonso é um pesquisador de segurança espanhol muito talentoso e um excelente palestrante - suas palestras são sempre bem informativas e divertidas, devido ao seu jeito bem humorado de apresentar.

Em 2012 ele deu uma palestra no TEDxRetiro batizada de "Hacking y anonimato para pasar un buen rato", aonde ele falou sobre o que são hackers e sobre o anonimato na Internet.


No início da sua palestra, Chema destacou que hackers são pesquisadores de segurança. Em suas palavras, "Nosso trabalho consiste basicamente em causar a insegurança, bem trabalhada, gerando relatórios (papers) para precisamente gerar segurança conhecendo a insegurança".

Em seguida, ele apresentou bem rapidamente uma de suas pesquisas recentes, aonde ele criou um servidor proxy próprio, que divulgou através da Internet, para analisar o que as pessoas faziam quando utilizam servidores de proxy para buscar acesso anônimo na Internet. Segundo sua pesquisa, a maioria dos usuários que utilizavam acesso anônimo o faziam para uso malicioso ou crimonoso. Este trabalho foi apresentado com mais detlhes na Defcon em 2012.

dezembro 08, 2014

[Cyber Cultura] Ralph Baer, o pai dos video games

Faleceu Ralph Baer, aos 92 anos, considerado o "pai dos video games". Entre outras coisas, Ralph foi inventor do primeiro console de vídeo-game, o Magnavox Odyssey, lançado em 1972, e do Simon - o jogo que no Brasil foi lançado pela Estrela no início dos anos 80 com o nome de Genius, e que até hoje é um símbolo daquela década. Ele também inventou a pistola de luz, que foi um dos primeiros periféricos para vídeo-games.

Tem um documentário bem curto sobre o Ralph Baer, mas muito legal, que mostra que ele continuava bem ativo apesar da idade avançada. Ele participava da criação de jogos e brinquedos, e tinha mais de 150 patentes sob o seu nome.


Quando eu era criança tive a sorte de ter um Genius e um Odyssey. O Genius foi o primeiro jogo enetrônico vendido no Brasil. Na época, o Odyssey era concorrente do Atari, que era bem mais famoso (e que eu aproveitava para jogar na casa dos amigos e de um primo).

dezembro 05, 2014

[Cidadania] Porque você deve começar a compartilhar

O vídeo abaixo foi gravado recentemente na RuPy Brasil, em São José dos Campos. Os pythonistas presentes tivera a oportunidade de ouvir o depoimento e a história do aposentado Carlos Eduardo Glória, que acabou com sua depressão e mudou sua vida aprendendo a programar, graças ao conhecimento compartilhado livremente pela Internet.


A história do Carlos mostra como as nossas iniciativas que visam o compartilhamento do conhecimento, tais como eventos, comunidades e hackerspaces, podem ter um grande impacto nas pessoas.

dezembro 04, 2014

[Segurança] Estatísticas sobre Proteção de Dados

A EMC realizou recentemente um estudo sobre a adoção de estratégias de proteção de dados em empresas de 24 países, chamado de "Data Protection Index".

Os resultados desta pesquisa mostram que a maioria das empresas ainda não estão preparadas para proteger devidamente seus dados. Vaje alguns indicadores globais:
  • A perda de dados e o tempo de inatividade decorrente destes incidentes custoaram as empresas 1,7 trilhões de dólares no último ano, um crescimento de 400% nos últimos dois anos;
  • 64% das empresas sofreram parada inesperada ou perda de dados nos últimos 12 meses: 49% das empresas sofreram alguma queda inesperada de sistemas e 32% sofreram perda de dados;
  • Apenas 13% das empresas podem ser consideradas "acima da curva" na adoção de estratégias de proteção de dados: apenas 2% das empresas foram consideradas "líderes" (isto é usam vários métodos para proteção de dados e necessitam de pouco tempo para se recuperar de um incidente) e 11% foram classificadas como "adopters";
  • As principais causas dos incidentes de indisponibilidade ou perda de dados estão relacionados a falhas de hardware, queda de energia elétrica ou falha em software;
  • Quase 2/3 das empresas consideram Big Data, celulares e nuvens híbridas como os ambientes mais difíceis para proteger: 51% das empresas não têm um plano de recuperação de desastres para qualquer uma dessas áreas, e apenas 6% têm um plano para todos os três;
  • Com 30% de dados primários localizados em alguma forma de armazenamento em nuvem atualmente, a falta de uma estratégia de proteção de dados para este tipo de ambiente pode resultar em perda substancial para as empresas.
O estudo também criou um ranking dos países de acordo com o nível de proteção de dados adotado pelas as empresas locais. O ranking é liderado pela China, Honk Kong, Holanda, Singapura e EUA, nesta ordem.

O Brasil ficou colocado em 18o, entre os 24 países pesquisados. Aqui no Brasil, 59% das empresas sofreram parada ou perda de dados nos úntimos 12 meses, sendo que os custos relacionados a perda de dados e a parada de sistemas representaram, respectivamente, 2,8 bilhões de dólares e 24,1 bilhões de dólares.

dezembro 03, 2014

[Cidadania] Estatísticas da AIDS no Brasil

Como parte das atividades programadas para o Dia Mundial de Luta contra a AIDS, o ministro da Saúde apresentou novos dados sobre a epidemia no Brasil, que foram reunidos no Boletim Epidemiológico HIV-AIDS 2014.

  • O governo estima que cerca de 734 mil pessoas vivem com HIV e AIDS hoje no país. Desse total, 80% (589 mil) foram diagnosticadas e cerca de 150 mil não sabem que estão infectados;
  • As regiões Sudeste e Sul representam 54,4% e 20,0% do total de casos identificados de 1980 até junho de 2014;
  • Foram registrados no Brasil, de 1980 até junho de 2014, 491.747 (65,0%) casos de AIDS em homens e 265.251(35,0%) em mulheres;
  • A maior concentração dos casos de AIDS no Brasil está entre os indivíduos com idade entre 25 a 39 anos em ambos os sexos;
  • Quase 400 mil pessoas já estão em tratamento com antirretrovirais pelo Sistema Único de Saúde (SUS);
  • Desde os anos 80, foram notificados 757 mil casos de AIDS no país e foram identificados 278.306 óbitos tendo como causa básica a AIDS;
  • A epidemia no Brasil está estabilizada, com cerca de 39 mil casos de AIDS novos ao ano;
  • O coeficiente de mortalidade por AIDS foi de 5,7 mortes por 100 mil habitantes em 2013 (queda de 13% nos últimos 10 anos).

  • Neste ano o Ministério da Saúde criou uma campanha baseada na estratégia de prevenir, testar e tratar, com público-alvo os jovens. A nova campanha dá destaque para a realização do teste de AIDS, apresentando jovens experimentando diversas situações da vida com a palavra “testar”. Para reforçar o slogan, foi adotada a gíria “#partiu teste”,

    O Dia Mundial de Luta contra a AIDS é celebrado todo ano no dia 1º de dezembro. Na campanha deste ano, o Ministério da Saúde chama atenção para os 30 anos da luta contra a AIDS no Brasil. Desde 1996, o Brasil distribui o coquetem de medicamentos contra a AIDS gratuitamente.

    O Departamento de DST, Aids e Hepatites Virais do Ministério da Saúde também criou um vídeo que conta a história dos 30 anos de lutra contra AIDS e da resposta brasileira à epidemia.


    A BBC Brasil fez um vídeo curto com a história do surgimento da AIDS e com as principais estatísticas da doença.

    novembro 30, 2014

    [Cidadania] Dia Mundial de Luta contra a AIDS

    O Dia Mundial de Luta contra a AIDS é celebrado todo ano no dia 1º de dezembro. Na campanha deste ano, o Ministério da Saúde chama atenção para os 30 anos da luta contra a AIDS no Brasil.



    A Pastoral da Aids e da Conferência Nacional dos Bispos do Brasil (CNBB) também estão realizando uma campanha chamada “Cuide bem de você e de todos os que você ama. Faça o teste de HIV”. Esta campanha será desenvolvida em cerca de 11 mil paróquias e dioceses do Brasil durante 2015, chamando a atenção para a necessidade de prevenção e de realizar o teste rápido para o HIV. A campanha tem o padre Fábio de Melo como protagonista.

    Não existe uma data exata sobre o começo da transmissão do vírus da AIDS, embora alguns apontem o ano de 1930, na África Central. Nas décadas de 60 a 80 foram registrados diversos casos de doenças sem que ninguém conseguisse explicar o motivo, até que em 1981, a AIDS foi reconhecida. Até o surgimento de tratamentos eficazes, a AIDS fez diversas vítimas, incluindo personalidades famosas no Brasil e no mudo, como o cantor Freddie Mercury, do Queen e os cantores Cazuza e Renato Russo (Legião Urbana).

    Desde 1987, o dia 1° de dezembro é lembrado como o Dia Mundial da Luta contra o HIV/AIDS. A data foi instituída pela Assembleia Mundial de Saúde, com apoio da Organização das Nações Unidas (ONU), como maneira de reforçar a solidariedade, a tolerância e alertar as pessoas para a prevenção ao vírus HIV.

    Ter o vírus HIV não é a mesma coisa que ter a AIDS: a AIDS (ou SIDA, em portugês) é o nome da doença, que é causada pelo vírus HIV. É possível que uma pessoa contaminada pelo vírus HIV (chamada de soropositiva) possa viver muitos anos sem apresentar sintomas e nem desenvolver a doença. Mas, mesmo nesses casos, eles podem transmitir o vírus a outras pessoas, normalmente através de relações sexuais desprotegidas, pelo compartilhamento de seringas contaminadas ou de mãe para filho durante a gravidez e a amamentação.

    novembro 28, 2014

    [Segurança] O Hacktivismo não morreu

    A falta de ciber ataques do grupo Anonymous aqui no Brasil pode nos trazer a falsa sensação de que o Hacktivismo "saiu de moda".

    De fato, em nenhum lugar do mundo é possível ver a mesma frequencia de operações como as que ocorreram em 2011 e 2012, quando facilmente era possível encontrar algum ciber ataque acontecendo em algum lugar do mundo. Nos últimos 2 anos, certamente a quantidade de protestos online caiu drasticamente.

    Mas protestos continuam a acontecer na América Latina e no mundo. Pegando exemplos recentes, os dois protestos abaixo mostram que o grupo Anonymous ainda está vivo ao redor do mundo:
    • #OpRevolucion (México): Desde o dia 20/11 diversos sites do governo mexicano estão sofrendo ataques de DDoS como parte de um grande protesto nacional contra a violência do governo, que entre outras coisas, causou a morte de 43 estudantes.



    novembro 27, 2014

    [Cyber Cultura] O Movimento Hackerspace

    Em 2012 o Mitch Altman (um dos fundadores do hackerspace de San Francisco, o Noisebridge) deu uma excelente palestra sobre os hackerspaces durante o TEDx de Bruxelas.

    Com o título de "The Hackerspace Movement", a palestra to Mitch mostrou como foi o surgimento e a expansão dos hackerspaces, que surgiram primeiro na Europa e depois foram parar nos EUA. Ele também deu alguns exemplos de projetos interessantes realizados por vários hackerspaces e, no final, descreveu de forma entusiástica e emocionante a cultura do Noisebridge, que é uma cultura de troca livre de conhecimento e respeito ao próximo que reflete muito bem o espírito dos hackerspaces em geral.

    novembro 26, 2014

    [Segurança] RoadSec São Paulo

    O RoadSec é um evento que sugriu no final de 2013 com um propósito bem legal e inovador: de ser um evento itinerante de segurança da informação, com edições em várias cidades brasileiras. Depois de correr o país em 2014, quando teve a oportunidade de realizar edições regionais em 9 capitais e contou com mais de 2000 participantes, o Roadsec chega a São Paulo para fazer uma mega edição de encerramento do ano, no dia 02 de Dezembro. O evento oferece várias palestras, oficinas, campeonatos e uma festa de encerramento com show da banda Ira!

    O Roadsec também tem o propósito de ajudar as comunidades locais de segurança, e por isso eles tem apoiado os hackerspaces em todas as edições realizadas em cidades que já tem um hackerspace ativo.



    A edição de São Paulo tem ótimos palestrantes, como o Diego Aranha, falando do projeto Você Fiscal, Thiago Musa, falando sobre Segurança em Apple Pay, Fernando Mercês, Maycon Vitali, Alan Castro e Silvio Rhatto (um dos organizadores da CruptoParty).

    Também será realizada a etapa classificatória de São Paulo do campeonato de CTF (Capture The Flag) Hackaflag na parte da manhã, e na parte da tarde haverá a final que inclui também os ganhadores de todos os demais estados. O campeonato é patrocinado pela Symantec e está valendo uma viagem para o Vale do Silício

    As oficinas serão sobre Lego Mindstorms, Lock Picking, Anki Drive, pilotagem de drones Parrot. Durante o dia também haverá DJs. Como se isso não bastasse, um after pós-show do Ira! ainda espera os fortes!

    Com seu modelo itinerante, o Roadsec inovou ao levar conteúdo de qualidade a várias cidades e estados. Todos sabemos que, fora de São Paulo, poucas cidades hospedam eventos frequentes de Segurança.

    Quando & Onde:

    novembro 24, 2014

    [Cidadania] 25 anos de Empresa Júnior

    As Empresas Juniores surgiram como uma forma dos alunos se organizarem para, através de uma empresa gerida por eles mesmos, conseguirem ter uma experiência profissional dentro da própria faculdade. Algo muito diferente e mais enriquecedor do que um simples estágio: em vez de fazer trabalhos de pouca importância, na EJ os alunos podem gerenciar os próprios projetos, participar d eprojetos que eles mesmo definem, dimensionam e planejam, e, além disso tudo, tem a oportunidade de participar da diretoria da EJ, já adquirido uma experiência de gestão que será muito importante nas suas carreiras.

    As primeiras Empresas Juniores surgiram no Brasil a partir de 1988, e já no início da década de 90 o movimento começou a se espalhar, primeiro pelo estado de São Paulo, e depois para vários estados. Eu mesmo tive a chance de participar dos dois primeiros encontros nacionais: o primeiro em São Paulo e o segundo já em Salvador.

    Para celebrar e criar um registro desta trajetória de 25 anos, o pessoal atual do Movimento Empresa Junior criou um documentário sensacional, financiado através de crowdfunding, com muitas cenas e depoimentos sobre como surgiu e qual é a importância das empresas juniores. É um documentário curto, de meia hora, que vale a pena ser assistido.


    novembro 17, 2014

    [Cyber Cultura] Nós amamos os robôs !!!

    Pousamos em um cometa !!!!

    É isso mesmo... Recentemente a Agência Espacial Européia (European Space Agency, ESA) utilizou uma nave espacial, batizada de Rosetta, para levar a sonda Philae até o cometa 67P/Churyumov–Gerasimenk, que atualmente está a cerca de 510 milhões de kilômetros da Terra. A Rosetta e a sonda Philae viajaram mais de 6 bilhões de kilometros até o cometa, que orbita o Sol a velocidade de até 135mil km/h e chega a se aproximar da órbita de Júpiter. Elas viajaram quase 10 anos viajando pelo espaço (a nave foi lançada em Março de 2004) ayé que a sonda fizesse o incrível pouso na superfície do cometa, para pegar carona e transmitir fotos e dados científicos sobre ele.



    Um dos aspectos interessantes dessa missão é que, como o sinal da sonda demora cerca de 30 minutos para chegar até a Terra, todo o procedimento de pouso foi feito de forma robotizada e autônoma.

    Isso nos mostra até aonde a tecnologia atual nos faz chegar: pousar as cegas em um cometa voando pelo espaço sideral !!!

    E viva os robôs !!!

    A ficção científica nos forneceu dezenas de personagens robóticos em livros, filmes e desenhos animados, que até hoje povoam nossa imaginação, desafiando os limites da tecnologia. Para homenagear os robôs reais e da ficção científica, a Carnegie Mellon criou em 2003 o Robot Hall of Fame.

    Quais são os seus robôs favoritos na ficção científica? Seguem os meus...

    Resumo - meus robôs favoritos
    Robô Hacker R2D2
    Robô cientista Data - Star Trek Nova Geração
    Robô poliglota C-3PO
    Robô inteligente e depressivo Marvin - O Guia do Mochileiro das Galaxias
    Robô depressivo David - A.I. Artificial Intelligence
    Robô medroso C-3PO
    Para limpar a casa Rosie - Os Jetsons
    Para limpar o planeta Wall-e
    Para combater o crime Robocop
    Para proteger o mundo Transformers
    Para destruir o mundo Gort - O dia em que a Terra parou
    Para escravizar a humanidade Sentinelas - Matrix
    Para destruir a humanidade Cylons (Cilônios) - Battlestar Galactica
    Para destruir o futuro da humanidade Terminator (Exterminador) (T-800) - O Exterminador do Futuro
    Para salvar o futuro da humanidade Terminator (Exterminador) (T-800) - O Exterminador do Futuro 2
    Robô Monstro MechaGodzilla
    Robô Vintage B-9 - Perdidos no Espaço


    O site ScreenRant também publicou uma lista com os seus 20 favoritos robôs de filmes.

    novembro 13, 2014

    [Segurança] Cartazes da Décima edição da Co0L BSidesSP

    Para ajudar a divulgar a décima edição da Co0L BSidesSP, nós fizemos alguns cartazes:




    A décima edição da Co0L BSidesSP será no Domingo dia 23/11, na PUC-SP (Campus Consolação). O evento terá diversas atividades paralelas, incluindo 2 trilhas de palestras, oficinas, Lightning Talks e competições de Capture the Flag (CTF), corrida de drones e disputas de robótica amadora (com robôs seguidores de linha e sumô de robôs). O evento é gratuito e as inscrições podem ser feitas pelo site.

    novembro 12, 2014

    [Segurança] Governo Brasileiro é campeão de phishing

    Segundo uma estatística recente da empresa Cyveillance, o Brasil lidera a lista de sites governamentais que estão hospedando phishing (ex: sitemalicioso.gov.br ou sitemalicioso.gov.cn).


    No período de um ano, entre Setembro de 2013 e 2014, eles encontraram 195 sites de phishing hospedados em servidores administrados por entidades governamentais em todo o mundo, espalhados entre 47 governos diferentes.

    Isto representa sites que provavelmente estavam vulneráveis e foram explorados por atacantes, que os invadiram e aproveitaram para hospedar páginas maliciosas. Por isso, o estudo acaba apontando quais governos tem pouco cuidado ao administrar sua infra-estrutura tecnológica. Um ranking vergonhoso para qualquer um.

    novembro 10, 2014

    [Cyber Cultura] Cadê os hackers do Garoa?

    As vezes eu fico sabendo de críticas de que o Garoa não tem hackers.

    Infelizmente a maioria das pessoas que vi fazer este tipo de comentário são aueles que acham que "hacker" é somente quem sabe invadir um site ou explorar vulnerabilidades (ou porque é do "underground", ou porque é "Pentester"). Esse é o "hacker" que os jornalistas gostam, um esteriótipo baseado em uma visão equivocada da cultura hacker. Além disso, este tipo de crítica é frequentemente direcionado aos profissionais profissionais de segurança: "só conhece segurança quem sabe invadir computadores".

    Pouca gente tem visão de que segurança é muito mais do que invadir um site (hum, essa é uma discussão que merece um post dedicado...) e uma quantidade bem menor de pessoas entende que hacker pode ser qualquer pessoa interessada e apaixonada por tecnologia.

    Para piorar, a área de segurança é repleta de muitos egos inflados: pessoas que adoram falar mal dos outros, pois só eles são foda. Só porque o fulano consegue invadir um site, ele se acha Deus. O próprio The Jargon File reconhece esse lado elitista da cultura hacker:

    Hackers consider themselves something of an elite (a meritocracy based on ability), though one to which new members are gladly welcome. There is thus a certain ego satisfaction to be had in identifying yourself as a hacker (...).

    Eu acredito que esses egos inflados estão ligados a um "efeito homem-aranha as avessas": o sujeito tem um grande poder (entender como burlar a segurança de sistemas) mas não tem maturidade, humildade nem responsabilidade para lidar com isso. E, principalmente, não tem a visão da complexidade que é defender um sistema, frente a facilidade de atacar - provavelmente a grande maioria jamais conseguirá proteger um site ou uma empresa apropriadamente.

    Mas quem frequenta o Garoa, ou pelo menos acompanha o que realmente acontece por lá, sabe o quanto nos orgulhamos de ser um espaço repleto de verdadeiros hackers. E o caso mais recente aconteceu há poucos dias atrás.

    Recentemente fomos procurados por um grupo de adolecentes, alunos de uma escola da periferia de São Paulo, que precisavam de ajuda para construir uns robozinhos. Eles simplesmente montaram uma equipe que está indo para o Quanta, uma competição internacional de matemática e ciências que ocorrerá de 15 a 18 de novembro na Índia.

    Como vivem em uma área pobre, eles batalharam muito para conseguir juntar um pouco de recursos para bancar a viagem: fizeram uma vaquinha online e felizmente também conseguiram alguns patrocinadores. E, chegando lá, eles vão participar de duas competições com barcos autônomos: o desafio consiste em fazer um robô barquinho que identifica a borda final da piscina, bate e volta, e precisa ser rápido.

    Quando procuraram o Garoa, eles ainda estavam montando o barco. Tinham algumas peças, motores e muita vontade. Na falta de um chassi, resolveram utilizar garrafas PET de refrigerante. Tinham pouco conhecimento de Arduino e robótica, mas foram auto-didatas: estudaram, fuçaram, tentaram, pesquisaram mais e também pediram ajuda.



    O grupo é da Escola Estadual Professor Luís Magalhães de Araújo, no Jardim das Flores, na zona sul da capital. Outro lado bem legal desta história é que vários alunos esta escola já foram premiados em olimpíadas de matemática :)

    novembro 07, 2014

    [Segurança] 158 malwares por minuto

    A PandaLabs lançou algumas estatísticas novas sobre malwares:
    • 200 milhões de novos malwares foram criados no terceiro trimestre de 2014
      • Isso representa 227.747 novos malwares por dia...
      • ... ou 158 malwares por minuto
    • 3/4 dos malwares são Trojans, enquanto apenas 9% desses malwares são novos vírus e 4% são vermes (worms)

    novembro 04, 2014

    [Cyber Cultura] Lembrando Aaron Swartz

    Em Junho deste ano foi lançado o documentário "The Internet's Own Boy: The Story of Aaron Swartz" (página no IMDb), que conta a história do Aaron Swartz, que se suicidou em janeiro de 2013. Aaron era um programador e ciber ativista que estava sendo processado pelo governo americano por disponibilizar livremente revistas e artigos do MIT, com risco de pegar até 35 anos de prisão e multa de 1 milhão de dólares. Segundo crítidos do processo, o governo americano queria usá-lo como bode espiatório e como uma mensagem contra o compartilhamento de informações online.

    O documentário foi dirigido pelo Brian Knappenberger, o mesmo diretor do excelente documentário sobre hacktivismo "We Are Legion". Ele aborda a história de vida do Aaron e toda a discussão sobre direitos civis e livre acesso a informação relacionadas ao seu trabalho (e sua morte).

    No dia 08 de novembro do ano passado, dia do aniversário do Aaron, foi realizado o evento "Remembering Aaron Swartz", em sua homenagem. Neste ano, está sendo organizado um hackaton em vários locais do mundo.


    O documentário "The Internet's Own Boy: The Story of Aaron Swartz" pode ser baixado gratuitamente neste site.

    novembro 03, 2014

    [Cidadania] Eleições: #TransparenciaNaoTemPartido

    O pessoal do Você Fiscal lançou um apelo em formato de abaixo-assinado, exigindo uma auditoria independente e transparente no processo eleitoral. O abaixoássinado recebeu o singelo título de "Por uma auditoria técnica, suprapartidária, independente e aberta da votação eletrônica #TransparenciaNaoTemPartido"

    Independente de dar certo ou não, o texto do abaixo-assinado explica muito bem o problema das urnas eletrônicas brasileiras e de como o TSE conduz o processo eleitoral. Por isso mesmo, resolvi transcrever abaixo os trechos mais relevantes deste texto.

    Boa leitura !

    "Os maiores interessados na segurança das eleições, como os partidos e os candidatos, nunca questionaram a integridade dos sistemas utilizados."
    Isso foi o que o TSE disse à Folha de São Paulo, no último dia 25 de outubro, véspera do segundo turno, reafirmando "a segurança de todos os sistemas da urna eletrônica".
    Parece fazer sentido, não? (...) Seria ótimo, se não fosse falso.
    • O PSB reclamou: antes do 1º turno das eleições de 2014, o PSB/RJ protocolou uma solicitação ao TRE/RJ para que um perito indicado pelo partido pudesse realizar análise por amostragem das urnas eletrônicas antes e depois da votação.
    Engrossando a lista dos que já questionaram os sistemas, o PSDB também entrou, no último dia 30 de outubro, com um pedido de auditoria do processo eleitoral junto ao órgão, derrubando de vez a versão do TSE.

    O que diz a ciênciaO Brasil usa um tipo de urna eletrônica chamada DRE, do inglês Direct Recording Electronic: urnas deste tipo registram o voto de maneira exclusivamente eletrônica.
    Por não criarem evidência física do voto, todas as urnas do tipo DRE, não importa o fabricante ou modelo, estão sujeitas a fraudes em larga escala que podem ser feitas sem deixar vestígios. Não há com o que comparar o resultado, então é impossível saber se ele está correto ou não.
    Desde que este tipo de equipamento foi introduzido em vários lugares do mundo, pesquisadores encontraram tantos problemas e falhas de segurança, que todos os países, exceto o Brasil, abandonaram seu uso. Na Alemanha, urnas DRE são inconstitucionais.
    É consenso científico: nenhuma urna DRE é capaz de proteger a integridade e o sigilo do voto.
    O Brasil, porém, segue usando-as, e o TSE continua afirmando que são seguras.
    Em 2012, Diego Aranha, então professor da UnB (atualmente, professor da UNICAMP), encontrou falhas gravíssimas de segurança na urna eletrônica. Essas falhas, confirmadas pelo Ministério Público Federal, dão brecha à violação do sigilo do voto e à adulteração do resultado final.
    As vulnerabilidades foram encontradas pelo pesquisador em testes organizados pelo próprio TSE. Os resultados foram esmiuçados em relatório enviado ao órgão e em publicação científica internacional revisada por pares.
    Novos testes, que serviriam para confirmar se as falhas haviam sido de fato corrigidas, foram suspensos pelo TSE este ano.

    Fora de controleA raiz do problema é que, para todos os fins práticos, o TSE não está sujeito a nenhum tipo de controle democrático.
    O mesmo órgão especifica o equipamento, desenvolve o software, regulamenta o processo em resoluções, executa a logística das eleições e julga denúncias de crime eleitoral e pedidos de auditoria.
    O conflito de interesses é claro: qualquer crítica ao processo eleitoral será julgada pelo próprio responsável por ele. Como podemos esperar qualquer tipo de imparcialidade?
    Este conflito não é hipotético:
    • Em 2006, João Lyra, então candidato pelo PTB, pediu ao TSE que investigasse irregularidades nos registros eletrônicos dos votos. O TSE respondeu que técnicos indicados pelo próprio órgão realizariam "perícia administrativa" e que a análise, no valor de R$ 2 milhões, deveria ser paga pelo autor da solicitação, o qual não poderia indicar técnicos que o representassem. A perícia independente acabou não acontecendo, e o denunciante ainda foi multado por "litigação de má fé" após se recusar a pagar pela perícia nos termos do TSE.
    • Em 2012, ao receber relatório técnico com as falhas encontradas pelo Prof. Diego Aranha, o órgão afirmou que haviam sido consertadas, mas não sentiu a necessidade de apresentar evidências. Em vez de agradecer ao pesquisador, que fez trabalho especializado de graça, acusou-o: descobrir e divulgar à sociedade as falhas seria "ameaçar a democracia".
    • Neste ano, 2014, o PDT (base aliada da Dilma) apresentou novas suspeitas de irregularidades ao TSE, peticionando que as investigasse. A resposta? "As informações prestadas pela área de Tecnologia da Informação do TSE [a mesma que desenvolve o software sob suspeita] demonstraram, à sociedade, a absoluta inverossimilhança das apontadas falhas, respondendo, com segurança, a todos os questionamentos deduzidos pela peticionária (...)." As respostas da equipe técnica sequer foram publicadas.
    Em outros países, como nos EUA, o equipamento e o software de votação são licitados pelo Executivo. Se há questionamentos sobre a segurança, o Judiciário é livre para suspender contratos, emitir multas e rever resultados. O Legislativo determina livremente que tipos de equipamentos podem ser usados e estabelece regras para as licitações.
    Isolado de qualquer necessidade de prestação de contas, o órgão, além de automaticamente julgar que está sempre certo, se enxerga como sinônimo da própria democracia, e vê como ameaça a ela qualquer questionamento a si.

    Os maiores interessados(...) os maiores interessados na segurança das eleições não são os partidos e candidatos, são os eleitores.
    Somos nós que votamos, e somos nós que exigimos saber como nosso voto é contado.
    Auditar o processo eleitoral é uma necessidade constante, independente de denúncia.
    O TSE se esqueceu do eleitor, para quem trabalha. Obcecado pela urna que criou, redefiniu sua missão como sendo a de defendê-la, custe o que custar, ainda que sofra a própria democracia. Não podemos deixar que continue assim.
    A auditoria da votação eletrônica, porém, é uma causa de toda a sociedade. É algo que vem sendo exigido por cientistas, cidadãos e partidos de diferentes orientações há muito tempo, e não dá mais para empurrar com a barriga.
    Foram 18 anos até que o tema finalmente chegasse ao debate nacional. A mobilização da sociedade civil e o resultado apertado contribuíram crucialmente para colocar em evidência a fragilidade do modo como contamos nossos votos. Não podemos desperdiçar essa oportunidade histórica. Depois das eleições, o tema perde interesse, e precisaremos de mais uma década até que o assunto volte a ter o mesmo alcance.
    Como eleitores, independente de orientação, o que precisamos é garantir que a auditoria do processo eleitoral seja profunda, extensa, independente e aberta, para que as nossas próximas eleições (que estão logo ali) sejam, pela primeira vez, transparentes.

    O que você pode fazerNesta terça-feira, dia 4 de novembro de 2014, às 19h, o TSE se reunirá em plenário, e pode acolher ou rejeitar o pedido de auditoria. (Você pode ler o texto do pedido aqui.)
    Apesar da imparcialidade que se esperaria de um tribunal, ministros do TSE já vêm falando publicamente que se opõem ao pedido de transparência. Precisamos lembrá-los de que é para os eleitores que eles trabalham, e que isso é algo que eles devem a nós, antes de a qualquer partido.
    Nós, do Você Fiscal, iniciamos esta petição para fazer pressão e precisamos da sua ajuda: "Por uma auditoria técnica, suprapartidária, independente e aberta da votação eletrônica".
    Além de assinar a petição, por favor, faça um pequeno esforço e ligue para o TSE.
    Independente de orientação partidária, somos todos eleitores. Temos pouquíssimo tempo e precisamos nos unir para ter certeza de que seremos ouvidos.

    outubro 31, 2014

    [Segurança] O que está errado com nossas $enh4s ?

    A Lorrie Faith Cranor, pesquisadora de segurança da Carnegie Mellon University, apresentou uma palestra em Março deste ano no TEDx sobre segurança das senhas. Chamada de "What’s wrong with your pa$$w0rd?", ela analisou 5000 senhas criadas por voluntários na Internet e avaliou como as senhas eram formadas baseado em algumas políticas de segurança pré-determinadas (por exemplo, senhas de 8 caracteres, senhas longas de no mínimo 16 caracteres ou senhas "fortes"com caracteres especiais, maiúsculas e minúsculas).

    Em sua pesquisa, ela achou alguns padrões comportamentais, como o fato da maioria das pessoas usam apenas alguns caracteres espaciais na senha. Em ordem de preferência estão o @, $ e !

    Afinal, o que devemos fazer quando temos contas em centenas de sistemas, e temos que ter uma senha diferente para cada sistema? Como criar senhas fáceis de lembrar e digitar?

    A conclusão da Lorrie é que as pessoas se sentem mais confortáveis criando senhas longas (ex: iamaveryhappybaby) do que senhas complexas (ex: MadBby!1), e as senhas longas são mais facilmente usáveis e costumam ser mais seguras (difíceis de serem adivinhadas).

    Para avaliar a melhor forma de criar uma senha ao mesmo tempo fácil e segura, ela em seguida analisou a teoria de uma tirinha clássica do Xkcd sobre tamanho das senhas, que defende a teoria de que uma senha formada por várias palavras randômicas seria muito difícil de ser descoberta.



    Comparando senhas longas formadas por várias palavras com senhas curtas com caracteres especiais e senhas formadas por palavras pronunciáveis (várias letras unidas de forma a formar uma palavra que não existe mais pode ser proununciada e memorisada, como "vadasabi") a Lorrie concluiu que as senhas longas são mais difíceis de lembrar e são mais suscetíveis a erros de digitação do que as senhas com palavras pronunciáveis - para decepção dos fãs do Xkcd :(

    Ou seja, devemos evitar palavras conhecidas em nossas senha se usar senhas o mais longo possível desde que sejam fáceis de lembrar e digitar.

    outubro 30, 2014

    [Cidadania] O CEO da Apple é gay! E daí?

    A mídia deu grande destaque a um recente artigo do Tim Cook, CEO da Apple, em que ele disse abertamente que é gay. Segundo suas palavras:
    "Let me be clear: I’m proud to be gay, and I consider being gay among the greatest gifts God has given me"

    Tim Cook assumiu a presidência da Apple em Agosto de 2011, quando Steve Jobs se afastou para cuidar de seu tratamento médico. Após a morte de Steve Jobs, Tim Cook continuou presidindo a compania.

    O fato dele ser gay nunca foi um segredo, como mostra este artigo de 2011 e o artigo da Gizmodo em 2011 sobre o ranking dos Mais Influentes Gays e Lésbicas da América. Por isso, a grande reverberação que esta notícia causou na imprensa não deixa de ser surpreendente. Porque, afinal, dar destaque a uma notícia que não deveria ser novidade para ninguém ou que no mínimo, em nada muda a importância do Tim Cook e da Apple?

    Talvez a resposta esteja no fato de que nossa sociedade espera que os grandes líderes sejam homens, brancos, heterossexuais e católicos. As poucas excessões para esse padrão, quando surgem, são tratados como atração turística - ou pior, como prova de uma suposta igualdade que não existe.

    Afinal de contas, se as mulheres já sofrem preconceito na área de tecnologia, o que esperar do tratamento direcionado aos homossexuais? Certamente não é melhor.

    Uma pesquisa da Human Rights Campaign Foundation aponta as principais razões para alguém não assumir sua sexualidade abertamente no ambiente de trabalho, tais como:
    • Causar desconforto entre os colegas de trabalho (38%)
    • Possibilidade de ser estereotipado (36%)
    • Possibilidade de perder contato com colegas de trabalho (31%)
    • Receio de não ser considerado para promoções ou oportunidades de desenvolvimento (23%)
    Algumas estatísticas mostram claramente a discriminação nas empresas. As mulheres estão no comando de apenas 48 das 1000 maiores empresas americanas (ou seja, elas são cerca da metade de população, mas lideram aproximadamente 5% das empresas). Segundo um relatório da Deloitte, 83% dos trabalhadores gays, lésbicas e bissexuais escondem sua orientação sexual no ambiente de trabalho.

    Tim Cook recentemente fez um discurso no Alabama, em que ele denunciou a história de seu estado natal em desrespeitar os direitos humanos de afro-descendentes, lésbicas, gays, bissexuais e transgêneros.



    No estado do Alabama, aonde Tim Cook foi criado, as pessoas podem ser demitidas por causa de sua orientação sexual. E o casamento inter-racial (entre brancos e afrodescendentes) só foi permitido há 14 anos atrás.

    [Cyber Culura] Você não vai ficar com raiva de quem tem raiva

    As eleições de 2014 provavelmente não serão lembradas pelo resultado apertado entre a Dilma e o Aécio. As promessas de campanha e as denúncias já serão esquecidas muito antes disso. Mas, se algo foi marcante para nós, foi a intensa discussão e polarização nas redes sociais.

    Nos últimos meses, o Facebook, principalmente, foi inundado por mensagens contra ou a favor de um político ou de outro. Discussões sem fim, botos, notíias reais e distorcidas, críticas, acusações, etc. Vivemos uma verdadeira explosão de ódio na Internet brasileira, que culminou com mensagens de ódio contra os nordestinos, acusados injustamente de serem os responsáveis pela reeleição da candidata do PT.

    Amigos deram "unfollow" uns nos outros. Parentes discutiram. como se isso fosse mudar alguma coisa...

    As poucas celebridades que se manifestaram publicamente também foram alvos de comentários pejorativos, e o Chico Buarque, quem diria, virou meme !!!



    Passado o segundo turno eleitoral, com as pessoas ainda de ressaca nas redes sociais, vale a pena rever este curto vídeo bem-humorado do Chico Buarque, que constata: "a Internet é aonde há as piores coisas". Uma ótima mensagem que mostra como as redes sociais amplificam a raiva, o ódio e desagrado, e a melhor forma de lidar com isso é, simplesmente, ignorando.



    O vídeo foi gravado há cerca de três anos atrás, mas parece que foi feito ontem. Ele cabe como uma luva para o momento que estamos vivento.

    outubro 29, 2014

    [Segurança] Comando de Defesa Cibernética Brasileiro

    Foi publicado no Diário Oficial a portaria do Ministério da Defesa que cria o Comando de Defesa Cibernética (ComDCiber) Brasileiro, uma iniciativa do governo para reforçar a estratégia de defesa cibernética nacional.

    Segundo essa portaria (Nº 2.777/MD, de 27 de Outubro de 2014), o Estado-Maior Conjunto das Forças Armadas (EMCFA) fica responsável por supervisionar a implantação do Comando de Defesa Cibernética (ComDCiber) e da Escola Nacional de Defesa Cibernética (ENaDCiber), subordinados ao Comando do Exército. O ComDCiber e a ENaDCiber contarão com militares das três Forças Armadas, sendo que caberá ao Exército Brasileiro criar o chamado Núcleo do Comando de Defesa Cibernética (NuComDCiber) e o Núcleo da Escola Nacional de Defesa Cibernética (NuENaDCiber), subordinados ao Centro de Defesa Cibernética (CDCiber), que serão os embriões do ComDCiber e do ENaDCiber.

    Aconteceu algo semelhante quando criaram o CDCiber há alguns anos atrás: primeiro criou-se um "núcleo" (ou seja, um grupo de trabalho), que posteriormente deu origem ao Centro como um todo.


    Aos recém criados ComDCiber e ENaDCiber caberão organizar e executar os projetos governamentais de defesa cibernética, incluindo as medidas para efetiva implantação de uma defesa cibernética, a implantação de um Sistema de Homologação e Certificação de Produtos de Defesa Cibernética, o apoio à pesquisa e ao desenvolvimento de produtos de defesa cibernética, e a criação de um negócio batizado de "Observatório de Defesa Cibernética".