janeiro 30, 2015

[Cyber Cultura] Hackerspaces na Campus Party

Neste ano os hackerspaces vão invadir a Campus Party !!!

Pelo menos nove hackerspaces estarão presentes, compartilhando o espaço "Dumont Hackerspace". Teremos pessoas de vários lugares do Brasil:
O Dumont Hackerspace é um espaço autônomo e itinerante, idealizado em 2014 pela comunidade brasileira para existir como um meta-hackerspace representando o movimento hacker temporalmente dentro de diversos eventos de grande porte. A primeira edição do Dumont Hackerspace aconteceu no FISL15, realizado de 07 a 10 de Maio de 2014. Estiveram presentes o Matehackers, Garoa Hacker Club, MariaLab, Tarrafa, Hackerspace Salvador, Raul Hacker Club, Hap-Hacks e outros grupos em formação e interessados em formar mais hackerspaces pelo Brasil.



Durante a Campus Party 2015 iremos operar o Dumont Hackerspace junto com representantes de diversos hackerspaces brasileiros, makerspaces e coletivos. Será um espaço de livre acesso na área de Campuseiros, aonde vamos oferecer a mesma experiência que um autêntico hackerspace pode lhe dar. Teremos um espaço dedicado com seis bancadas aonde faremos diversas atividades multidisciplinares e educativas, como oficinas, palestras, mini-palestras, debates, jogos, competições, etc.

Além do Dumont, teremos algumas palestras nos palcos do evento e também no horário destinado as Comunidades.

Para saber mais, veja a página com a nossa programação e curta a nossa página no Facebook.

A 8ª edição da Campus Party Brasil (CPBR8) será realizada em São Paulo, no centro de exposições São Paulo Expo (Imigrantes) entre os dias 3 e 7 de fevereiro de 2015. A Campus Party é o maior acontecimento tecnológico do mundo nas áreas de inovação, ciência, cultura e entretenimento digital, reunindo milhares de pessoas - os campuseiros - para debater os principais temas de cada um destes universos. Os participantes mudam-se com seus computadores, malas e barracas para dentro de uma arena, onde se conectam a uma rede super veloz e convivem em torno de oficinas, palestras, conferências, competições e atividades de lazer.

janeiro 28, 2015

[Segurança] CSI:Cyber

Os nerds e fãs da série de TV CSI e de todas as suas variantes agora tem um motivo a mais para grudar na TV: a rede de TV americana CBS anunciou o lançamento da série CSI:Cyber, uma versão do CSI que promete tratar de investigação de crimes cibernéticos.




A atriz Patricia Arquette faz a personagem Avery Ryan, uma agente especial que lidera a divisão de Crimes Cibernéticos do FBI que, em suas próprias palavras, é uma "ciber policial" ("cyber cop") que trabalha na "Dark net".

Por essas poucas frases regurgitadas no trailer da série, de míseros 30 segundos, já podemos esperar uma enchurrada infinindável de buzzwords.

O seriado deve estreiar nos EUA no dia 04 de Março deste ano.

Nota: Como o site da CBS não permite visualizar o trailer do seriado a partir do Brasil, fui obrigado a usar técnicas de hackers para acessar o site utilizando um endereço Ip de outro país, que não fosse o meu (isto é, entrei na VPN da empresa). #chupaCSICyber

janeiro 26, 2015

[Segurança] Kleptografia

Em Agosto de 2014, o pesquisador Matthew Green, da Johns Hopkins University, apresentou um material bem interessante sobre "Kleptografia".

Em seu paper "Practical Kleptography", Matthew descreve a idéia de roubar segredos criptográficos de forma imperceptível, ou seja, criar sistemas criptográficos que tenham "backdoors" que permitam o acesso a informação original. Assim, ninguém sabe que uma informação encripitada pode ser acessada e, quando isso acontece, ninguém é capaz de perceber.

"Kleptografia" era considerado um conceito teórico até 2013, quando as revelações do Edward Snowden mostraram uma assustadora realidade: há vávios anos o governo americano, através da NSA, já tinha uma estratégia de influenciar o desenho de produtos comerciais de segurança de forma que fosse possível capturar dados sem ser detectado, mantendo a falsa percepção de que o produto é seguro.

Isso pode ser feito inserindo vulnerabilidades imperceptívels nos produtos ou, pior ainda, nos padrões e algoritmos de segurança enquanto eles são desenvolvidos, uma estratégia claramente adotada pela NSA. Em sua apresentação, Matthew descreve como tudo isso foi possível.

Além da apresentação ser bem interessante, eu adorei essa nova buzzword ;)

janeiro 23, 2015

[Segurança] Qual é a sua senha?

O programa de TV americano "Jimmy Kimmel Live!" (uma das dezenas de talk shows que existem por lá) fez um quadro muito divertido, sobre a facilidade que é descobrir as senhas das pessoas.

Preocupado com a segurança e a privacidade online, o apresentador Jimmy Kimmel destacou que tudo deve começar pla preocupação em como os usuários escolhem sua senha. Não adianta o Obama criar novas leis para penalizar os hackers, se nós não tomamos cuidado para proteger a nós mesmos. Como ele destacou, é comum usuários escolherem senhas fáceis de serem descobertas e a senha mais utilizada pelos americanos é "password123". Há várias senhas que são muito utilizadas por usuários em geral, e por serem tão óbvias, seu uso facilita a vida de quem deseja descobrir uma senha para obter um acesso não autorizado.

Para exemplificar a facilidade de descobrir as senhas e a falta de cuidado que as pessoas tem com suas senhas, ele mostrou um vídeo aonde várias pessoas foram entrevistadas na Hollywood Boulevard, e o repórter fazia perguntas para descobrir as senhas dos entrevistados.

Um dos exemplos bizzaros foi de um jovem:
Repórter: Qual é a uma boa senha para os Italianos?
Entrevistado: É o nome da avó.
Repórter: E qual é o nome da sua avó?
Entrevistado: Ahh... Maria.
Repórter: Então Maria é a sua senha?
Entrevistado: Ah sim, Maria é a minha senha... (facepalm)


janeiro 20, 2015

[Segurança] Como foram os eventos de Segurança em 2014?

No final do ano passado e em 2011 eu escrevi um post comentando sobre os eventos de segurança que tivemos, quais foram os melhores, e quais os seus pontos fortes e fracos. Este ano, novamente, eu decidi opinar sobre os eventos de 2014, embora desta vez eu tenha faltado em vários eventos que aconteceram este ano por motivos profissionais (viagem a trabalho) ou pessoais (ex: minhas férias neste ano coincidiram com alguns eventos importantes). Por isso, em alguns casos, as minhas opiniões expressas abaixo foram baseadas em relatos que ouvi de amigos.

Começando, vou comentar sobre os eventos mais relevantes de 2014 (bons ou não), na minha opinião:
  • As grandes novidades
    • Roadsec: O RoadSec cresceu e virou um gigante. Eles foram em nada menos do que 9 cidades brasileiras, com palestras, oficinas e uma grande competição de Capture The Flag. E ainda fizeram um mega-evento de encerramento em São Paulo, em um lugar super legal, o Audio Clube (um clube/balada bem espaçoso perto da Barra Funda). Além do mais, eles deram uma grande revigorada nas competições de CTF. Ganhamos um evento que conseguiu atender os profissionais espalhados pelo país;
    • Nullbyte: A Bahia merecia um evento de segurança, e ganhou um evento que, ao que tudo indica, foi muito bom, com excelentes palestrantes;
  • Os melhores eventos de 2014
    • You Shot the Sheriff (YSTS). Sem dúvida nenhuma, o YSTS continua sendo um dos eventos de segurança mais importantes no Brasil. A qualidade do evento e o ar de exclusividade (a grande maioria dos ingressos é oferecida somente pelos patrocinadores) torna o evento altamente "desejável" pela comunidade de segurança. Após uma desastrosa tentativa de aumentar o tamanho do evento há 2 anos atrás, eles voltaram a utilizar um espaço relativamente pequeno, com uma platéia formada por poucos e bons. Também conta com excelentes palestras e um clima descontraído (em parte potencializado pelo open bar após o almoço). Certamente é um dos eventos para ver e ser visto ;)
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Novamente realizamos três edições neste ano: em 13/4 (véspera do YSYS), 06/10 (junto com a Copa do Mundo) e a décima edição em 23/11 (próxima a Black Hat São Paulo). Lógico que eu gosto do evento, pois sou um dos organizadores - mas mesmo assim, acredito que merecemos destaque por ser um evento gratuito, com um leque diversificado de assuntos e com diversas atividades de excelente qualidade acontecendo simultaneamente: palestras, oficinas, Lightning Talks e um churrasco gratuito para os participantes. Neste ano uma das principais novidades foram as competições de robótica, que aos poucos tem atraído mais e mais pessoas. O feedback que recebemos do público sempre é muito bom, o que nos mantém motivados a melhorar sempre ;)
  • As ótimas surpresas em 2014
    • O SecureBrasil megalomaníaco, no hotel Grand Hyatt, com dois dias e várias trilhas de palestras (gerencial, técnico e soluções). O evento muito bem organizado pela Flipside e com a chancela do (ISC)², atrai a galera CISSP e, consequentemente, os principais profissionais do mercado. Este ano o evento também trouxe um super-hiper keynote speaker: o Mikko Hypponen, rockstar da F-Secure;
    • A gigantesca expansão do Roadsec, alcançando 9 cidades em 2014 e com uma edição de encerramento em São Paulo sensacional, com palestras e oficinas em um espaço excelente (e diferente do usual), finalizando com um show muito bom do Ira!
  • Ignorado pela comunidade de segurança, mas muito bom
    • Tosconf - Evento pequeno, organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace de lá. A Tosconf tem a pretensão de ser uma "conferência tosca", mas na verdade é um evento excelente, com ótimas palestras e oficinas sobre hacking em geral, incluindo assuntos diversos tais como "como fazer um machado". Isto sem falar que o evento foi realizado na nova sede do LHC, uma casa espaçosa perto da rodoviária da cidade;
  • Continua na mesma
    • GTS - Continua sendo um bom evento. Ocorre sempre duas vezes por ano, no 1o e no 2o semestre. É um evento gratuito, com um conjunto de palestras técnicas de boa qualidade, embora claramente eles tiveram dificuldade de conseguir palestrantes este ano. Além de fornecer um ambiente confortável para o público presente, as palestras também são transmitidas online e disponibilizadas posteriormente;
  • Não cheirou nem fedeu
    • CNASI São Paulo - embora seja um evento tradicional, já atingindo sua 21a edição, o Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) tem um bom público, embora atraia muito pouco os profissionais da área. Possui uma grade grande de palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança, com pouco ou quase nada de conteúdo técnico. Em alguns aspectos, parece que o evento parou no tempo;
  • Não vale nem a visita
    • Security Leaders: É um evento que eu não vejo a menor graça: é formado por debates bem fracos e superficiais, aonde os participantes são escolhidos entre os patrocinadores, e não entre especialistas no assunto. Além do mais, o palco do debate fica lotado de debatedores, e assim cada participante tem muito pouco tempo para falar qualquer coisa (o que as vezes é um alívio...). Tem uma área de exposição mas que é pouco frequentada, pois o evento atrai pouco público presencial - exceto no momento da premiação, que nada mais é do que uma seqüência de babarão de ovo para os executivos de segurança que trabalham em grandes empresas (basta ter cargo de CSO em uma grande empresa para ter grande chance de ganhar o prêmio);
  • Micos e roubadas
    • Black Hat Regional Summit São Paulo - Em seu segundo ano no Brasil, a Black Hat já começou a campengar, infelizmente. De cara, repetiu alguns dos problemas do ano passado: os conhecidos preços extorsivos, e quem não pagou pelo ingresso do congresso se deparou novamente com a "pegadinha" dos "Convites VIP" enviados pelos patrocinadores: assim como aconteceu no ano passado, eram credenciais de "Convidados Exclusivos Vip" que não davam direito a nada. A área de exposição pareceu ser bem menor e mais apertada do que no ano passado. E a opinião geral foi de que teve muito menos gente do que em 2013 - embora, ainda assim, o evento me pareceu bem movimentado. As salas de palestras foram surreais: como não havia isolamento acústico entre elas, apenas um pequeno biombo, todo mundo tinha que usar fones de ouvido para ouvir o palestrante. Assim, quem parasse em frente a um dos auditórios iria ver um palestrante falando com a platéia bem baixinho, quase inaudível. A cena parecia de um congresso de surdo-mudos. Se continuar nesse ritmo, daqui a 2 ou 3 anos o evento desaparece :(
    • Roadsec - Nem mesmo um evento tão bom e tão bem organizado como o Roadsec escapou de algumas poucas roubadas - que não comprometeram a qualidade do evento, mas que merecem ser ditas aqui só para ninguém dizer que eu babei demais neles... Eu ouvi uma crítica, de uma fonte confiável, de que o evento regional teve várias palestras com jabá (ou seja, palestras de produtos). Acredito que isto não desmerece a iniciativa e a qualidade geral do evento, pois afinal os eventos dependem dos patrocinadores para ocorrer - e os patrocinadores patrocinam em troca de ter exposição. Na mega-edição de São Paulo, a roubada ficou por conta do longo intervalo de 3 horas entre o final das palestras e o show do Ira! - Foi um tédio sem fim! Poderiam ter extendido as atividades em outro palco, ou ter organizado algo para o pessoal fazer. Foi legal para botar o papo com os amigos em dia, mas eu não sou sociável o suficiente para aguentar 3 horas de bate-papo, mesmo cercado de tantos amigos excelentes e sensacionais. Mas, mico mesmo foi colocar o Jovem Nerd para comentar sei-lá-o-quê no intervalo das palestras. Os caras não são jovens, não tem nada de nerds (só isso já seria suficiente para um processo por propaganda enganosa) e, o que é pior: não são nem um pouco divertidos;
  • Não vi e não vou opinar, mas mesmo assim acho que merecem destaque
    • Hackers to Hackers Conference (H2HC) - A H2HC é o mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa, vulnerabilidades e novos ataques. De alguns anos para cá a H2HC começou a investir pesado em trazer palestrantes gringos de alta qualidade. Mas, como pouca gente consegue entender estes palestrantes, o público acaba migrando para as palestras de conteúdo menos complexo. Foi assim em 2013 com a Co0L BSidesSP e neste ano com a H2HC University, pelo que me contaram. Na minha opinião, pecou em duas coisas: pelo tema cafona ("H2HC na selva" - wtf?) e, novamente, pelo local: o Novotel Morumbi é longe de tudo, de difícil acesso, e com poucas opções de lugares para comer em volta;
    • Sacicon - Pequeno evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês, pegando carona na vinda dos palestrantes extrangeiros da H2HC. O mais interessante é que o evento tem uma agenda diferenciada: começa a noite com uma pequena festa e continua no dia seguinte com palestras após um "hangover brunch";
  • Senti saudades em 2014
  • Sumiu? Será que alguém sentiu falta?
    • Silver Bullet.

Além dos eventos nacionais acima, vale destacar que em 2014 vimos o surgimento de duas BSides na América Latina, as primeiras fora do Brasil: a BSides Colômbia e a BSides Chile.

Sem mais delongas... and the Oscar goes to...

Resumo
Melhor Evento SecureBrasil
Melhor Novidade RoadSec em várias cidades e a H2HC University
Maior Surpresa RoadSec São Paulo com show do Ira!
Maior Roubada Convite "Convidado Especial VIP" da Black Hat São Paulo
Festa estranha com gente esquisita O sistema de som da Black Hat Brasil
Maior Mico "O Cobol Acabou. Não Acabou?" (frase de palestrante no Roadsec Rio)
Maior WTF? O tema da H2HC: "na selva"
Maior Sem Noção Jovens Nerds no Roadsec SP
O Mais Caro Black Hat Regional Summit São Paulo
Os Patrocinadores Pira Babar no ovo do pessoal no Security Leaders
Alternativo Co0L BSidesSP e Tosconf
Visual Caprichado SecureBrasil
Organização mais Caprichada Flipside (SecureBrasil e Roadsec)
Melhor Local Roadsec São Paulo (Audio Clube)
Pior Local H2HC (Novotel do Morumbi)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto SecureBrasil e YSTS
Para Poucos e Bons YSTS
Para o Público Técnico H2HC
Para o Público Gerencial SecureBrasil
Para quem está começando Co0L BSidesSP e H2HC University
Para competir no CTF RoadSec
Para ver os amigos H2HC
Para Beber com os amigos YSTS, Co0L BSidesSP, Roadsec SP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP: tinha 3 níveis diferentes de VIPs
Para levar a família Co0L BSidesSP
Não fui mas queria ter ido SecureBrasil, H2HC e Ekoparty
Às Moscas Black Hat São Paulo
Tédio do Ano Ficar 3 horas sem fazer nada, entre o fim das palestras do Roadsec SP e o show do Ira!
Palestrante mais pica grossa Mikko Hypponen (SecureBrasil)
Melhor Palestrante Nacional Crash (presente em diversos eventos no Brasil e no mundo!)
Melhor Palestrante de todos os tempos Fernando Mercês
Em 2015 eu quero ir na... SecureBrasil e H2HC (muito chateado por não ter ido este ano)
Em 2015 eu quero viajar para... Defcon, CCC Camp, 8.8 (Chile), Eko e Angeles & Demonios (Argentina)
Não Pode Faltar no seu Evento The Pirates Bar
Patrocinadores "ponta firme" Conviso e Trend Micro


Importante: As opiniões apresentadas aqui são minhas e não refletem necessariamente a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

Neste ano o agendamento dos eventos foi afetado pela Copa do Mundo: vários eventos a anteciparam suas datas no primeiro semestre e os eventos do segundo semestre atrasaram suas datas para longe da metade do ano. Isso causou um enorme congestionamento de eventos entre o final de setembro e o começo de novembro. Foi punk! Com tantos eventos próximos, fica difícil conseguir participar deles e, para quem organiza eventos, dificulta conseguir patrocinadores e palestrantes.

Para ficar antenado e ver uma lista bem completa com os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI.

Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

janeiro 19, 2015

[Cyber Cultura] O mercado de Cloud Computing em 2015

Cloud Computing foi destaque nas previsões do IDC para 2015, junto com o mercado de mobile e IoT (Internet das Coisas). Além de ter uma previsão específica relacionada ao crescimento do mercado de Cloud, seis das 10 previsões do IDC estão relacionadas, de alguma forma, ao mercado ou a tecnologia de Cloud Computing.

Veja só...
2. Serviços de telecomunicações vão ver o wireless representar o mais rápido crescimento (13%). Operadoras vão lutar para desenvolver plataformas e APIs que agregam valor e atraem desenvolvedores para suas redes. Elas também vão buscar aproximação com os prestadores de serviços de cloud over-the-top (OTT) para estabelecer acordos inovadores de desempenho.

4. A Nuvem continuará a ser um foco em 2015 somando US$ 118 bilhões nos gastos com o serviço como um todo – O gasto com Public Clouds deve atingir US$ 70 bilhões. A adoção de infraestrutura como serviço (IaaS) vai crescer rapidamente (36%). Também devem surgir novas parcerias que podem impactar o mercado de Cloud, como Facebook com a Microsoft ou a HP fazendo pareria com a IBM ou Amazon, por exemplo

5. Big Data e analytics presenciarão desenvolvimentos importantes em 2015 com despesas em software, hardware e serviços somando US$ 125 bilhões. Analytics irá emergir como um importante motor de grandes projetos de dados. E as cadeias de fornecimento de Big Data vão crescer em importância como plataforma de nuvem e de análise para oferecer aos clientes informações de valor agregado.

7. Os Cloud Service Providers serão os novos Data Centers. Os Data Centers que conhecemos estão passando por uma transformação fundamental na era da Terceira Plataforma. Essa mudança vai desencadear uma explosão de inovações de hardware com o conceito “cloud first” e uma maior consolidação entre os fornecedores de servidores, armazenamento, software e redes. A IDC espera ver dois ou três grandes fusões, aquisições ou reestruturações entre os top fornecedores de TI em 2015.

9. Soluções de segurança otimizadas para a Terceira Plataforma vão ajudar a garantir a proteção da borda da nuvem (ou seja, segurança biométrica deve ser utilizada em 15% dos dispositivos móveis) e o núcleo da nuvem (ou seja, 20% dos dados devem ser criptografados).

10. A China terá forte influência no mercado global de TIC em 2015, sendo responsável por 43% de todo o crescimento da indústria, um terço de todas as compras de smartphones, e cerca de um terço de todos os compradores on-line. Com um enorme mercado interno, a cloud na China e líderes de comércio eletrônico, como o Alibaba, ocuparão lugar de destaque no mercado global.

Fontes:

janeiro 15, 2015

[Segurança] Previsões para 2015

O pessoal da Imperva publicou um post em seu blog com 5 previsões para o mercado de segurança em 2015:. Eu achei que, na maioria dos casos, a Imperva saiu do óbvio, e por isso eu decidi citar 4 delas aqui:
  1. O ano da revolta contra as empresas de cartão de crédito: devido a grande quantidade de vazamento de dados de cartões, tanto os lojistas quanto os clientes finais vão começar a exigir mais responsabilidades das operadoras. Atualmente, os lojistas são obrigados a assumir o custo das fraudes, e aos usuários cabe o risco de ter seus cartões fraudados e o transtorno de lidar com isso: reportar fraude e ter o seu cartão trocado. A verdade é que ninguém gostaria de pagar a conta, mas a frequencia de casos de roubo de dados e a frequencia quase constante vai demandar mudanças no mercado;
  2. A popularização dos seguros contra ciber ataques: devido a dificuldade de mitigar todos os riscos e aos altos custos de lidar com fraudes, a tendência é que empresas busquem cada vez mais contratar seguros contra ciber ataques;
  3. A "cloudificação" de TI: Empresas de todos os portes vão para a nuvem (as menores já estão e podem chegra a ter 100% de sua infra por lá). Uma motivação adicional para consolidar esta mudança é o surgimento de padrões internacionais de segurança, como os que estão sendo criados pela ISO/IEC;
  4. O primeiro roubo de Big Data: Com a popularização do Big Data, inevitavelmente em algum momento vai dar merda. A falta de controles adequados de segurança para ambientes de Big Data pode ser uam das causas de roubos ou perdas de dados;

Na minha opinião, também não podemos nos esquecer de algumas tecnologias que estão ganhando muito destaque recentemente, e vão se popularizar rapidamente nos próximos anos:

  • Códigos maliciosos atacando Caixas Eletrônicos e PoS: Os ciber criminosos já perceberam que a melhor forma de roubar dinheiro é controlando caixas eletrônicos (para roubar fisicamente o dinheiro) ou infectando terminais de cartão de crédito (PoS) para roubar os dados de cartões (a versão digital dos bons e velhos "chupa-cabras"). A tendência é esses tipos de ataques crescerem em sofisticação e frequência. 2014 pode ser considerado "o ano dos malwares para PoS", e 2015 não será diferente;
  • Segurança para redes IPv6: Ainda não deve ser em 2015, mas certamente nos próximos 3 anos vamos ver as redes IPv6 se popularizando em todo o mundo. As empresas estão adiando a migração para IPv6 o máximo que podem, mas estamos chegando no ponto aonde isso será inevitável. Certamente, p próximo passo será o surgimento de novas técnicas de ataque e defesa baseados em IPv6. As ferramentas de segurança atuais estão, aos poucos, se adaptando para o mundo IPv6, mas até o momento, tiveram pouca exposição a ataques reais neste ambiente e, portanto, não tiveram muita chance de provar sua real efetividade;
  • Internet das Coisas (IoT): Estamos rapidamente popularizando os mini-PCs e, nos próximos anos, vamos ver um número crescente de aplicações para eles, automatizando casas, escritórios, carros, infra-estrutura de cidades, etc, etc, etc. Logo logo estaremos cercados por equipamentos conectados a Internet: vamos controlar nossas casas e carros pelo smartphone ou pelo smartwatch, nosso tenis de corrida estará integrado ao Facebook e ao Foursquare. Resultado? Carros e casas hackeadas, roubos dos dados de smartwatches, ataques a bombas de insulina (ops, isso já existe há alguns anos). Até o momento, muito da tecnologia de automação (industrial ou residencial) que tínhamos eram "custom-made", ou seja, eram componentes criados especificamente para cada aplicação ou para cada uso, que ganhavam o nome genérico de "sistemas embarcados". Mas a popularização dos mini-PCs fará com que a infra-estrutura para as aplicações de IoT fiquem padronizadas, facilitando a criação de ataques direcinados a elas. Em vez do fabricante de carro preisar criar um circuito eletrônico propritário, ele vai simplesmente pegar um mini-PC de prateleira, rodando software de prateleira, e vai adaptar a sua necessidade. IoT acessível para todos, inclusive para os ciber criminosos.
Segundo previsões do IDC, divulgadas no final do ano passado, as inovações no mercado de segurança terão destaque na segurança das bordas (isto é, 15% dos dispositivos móveis vão usar controle biométrico, crescendo até cerca de 50% em 2020), na segurança do "core" (20% dos dados sujeitos a regulamentação serão armazenados criptografados) e a Inteligência de Ameaças (Threat Intelligence) terá grande destaque no mercado de Data-as-a-Service category.

Que venha 2015 !!!
;)

janeiro 14, 2015

[Segurança] Como virar um CISO

O site Dark Reading publicou uma pequena lista de dicas sobre como se tornar um Chief Information Security Officer (CISO), ou, em português claro, um diretorzão de segurança da informação.

O artigo How To Become a CISO: Top Tips lista 9 dicas. Mas, como algumas são parecidas, eu prefiro condensar todas estas dicas na lista abaixo.

  1. Certifique-se que você quer esse trabalho: ser um diretor não é um trabalho fácil. Antes de mais nada, por ser um cargo de alta gestão, saber lidar com política corporativa e relações públicas é tão ou mais importante do que o conhecimento técnico de segurança. Para piorar, quando ocorre um incidente grave até o melhor dos CISOs pode ser escolhido para "bode expiatório" e, mesmo contendo o incidente, pode parar na rua;
  2. Você precisa ter alguma experiência em TI: a maioria dos CISOs precisa ter algum conhecimento técnico, mesmo que não tenha iniciado na área ou não seja formado em exatas. O CISO precisa conhecer tecnologia o suficiente para gerenciar sua equipe, saber analisar e entender seus riscos, e gerenciar o orçamento, que necessariamente envolve o uso e aquisição de tecnologias caras e complexas - além de conseguir navegar pelo oceano de buzzwords que existem na área;
  3. Tenha visão de negócio: Ser um CISO em qualquer empresa é ir muito além da tecnologia: o principal objetivo deve ser ajudar a sua organização, não prendê-la com regras e bloqueios até a morte. A área de segurança tem que ser uma parceira, e não uma inimiga. Tem que ajudar a empresa a ir além, conhecendo os riscos e avançando com segurança, em vez de bloquear iniciativas. Para um CISO, é mais importante compreender o risco e as necessidades de negócio do que entender a tecnologia;
  4. Aprendizagem contínua: O CISO tem que tem amplo conhecimento de segurança e dos riscos, e se manter atualizado a medida que estas tecnologias, riscos, ataques e o ambiente de negócio evoluem. Há diversas formas de se manter atualizado, tais como cursos, conferências, certificações, ou simplesmente compartilhando informação com colegas de trabalho. Ou tenha um mentor, alguém de confiança que possa orientá-lo. Principalmente, mantenha-se atualizado com as novas tendências tecnológicas e de negócio, e saiba tomar proveito disso;

janeiro 13, 2015

[Cyber Cultura] Como sobreviver aos Trolls

Eles são uma presença constante em fórums online, grupos de discussão e até mesmo projetos colaborativos.

Os "trolls", como são chamados, geralmente causam discussão gratuita, questionamentos infundados e várias ações que além de irritar, podem resultar na indisposição ou desmotivação dos outros participantes.

A regra principal e mais conhecida é "Do not feed the Trolls", ou seja, não dê pano para manga, não dê atenção e muito menos motivo para eles continuarem na discussão.



O vídeo "How Open Source Projects Survive Poisonous People (And You Can Too...)" traz algumas dicas legais sobre como tratar esse problema.




Outras dicas bem legais e úteis podem ser retiradas do texto "37 regras de conversação para cavalheiros de 1875" (uma sugestão que apareceu há um tempão atrás na lista do Garoa):
1. Ainda que convencido de que seu oponente está errado, renda-se graciosamente, evite seguir com a discussão, ou deliberadamente mude de assunto, mas não defenda obstinadamente sua opinião até ficar irritado…
2. Mantenha, se puder, uma opinião política fixa. Não a exponha em todas as ocasiões e, acima de tudo, não se proponha a forçar os outros a concordar com você. Ouça calmamente as ideias deles e, se não puder concordar, discorde polidamente e consiga que seu oponente, porquanto considere suas opiniões erradas, se veja obrigado a reconhecer que você é um cavalheiro.
3. Nunca interrompa ninguém; é rude apontar uma data ou um nome que a pessoa esteja hesitando em dizer, a não ser que te peçam para fazer isso. Outro erro crasso de etiqueta é antecipar algum ponto da história que a pessoa está contando, ou terminar a frase para roubar o final para si. Algumas pessoas justificam isso dizendo que o orador estava estragando uma boa história, mas isso não justifica.
5. Nunca fale quando outra pessoa está falando, e nunca eleve a voz para cobrir a dos outros. Não fale de maneira ditatorial e faça com que sua conversa seja sempre amável e franca, livre de afetações.
7. Numa briga, se você não tem como reconciliar as partes, se abstenha. Você certamente faria um inimigo, talvez dois, ao tomar um lado numa discussão onde ambos os lados já perderam a calma.
9. Um homem inteligente é geralmente modesto. Ele pode sentir que é intelectualmente superior em sociedade, mas não procura fazer os outros se sentirem inferiores, nem mostrar sua vantagem em relação a eles. Ele discutirá com simplicidade os tópicos propostos pelos outros, e evitará aqueles que os outros não consigam discutir.
10. Escutar com interesse e atenção é uma conquista tão válida quanto falar bem. Ser bom ouvinte é indispensável para ser um bom orador, e é no papel de ouvinte que você você consegue detectar mais facilmente se um homem é educado para a vida social.
12. Faça que sua parte da conversa seja tão modesta e breve quanto consistente com o assunto em debate, e evite longos discursos e histórias tediosas.
13. Fale pouco de si. Seus amigos conhecerão suas virtudes sem forçá-lo a nomeá-las.
14. Se você aceita a lisonja, deve também aceitar quando inferem que você é bobo e convencido.
16. Evite, numa conversa, todo assunto que possa ferir alguém ausente.
18. Evite frases feitas, e faça citações raramente. Elas às vezes temperam uma conversa, mas quando se tornam hábito constante, são extremamente tediosas e de mau gosto.
19. Não seja pedante; é uma marca, não de inteligência, mas de estupidez.
20. Fale sua língua corretamente; ao mesmo tempo não seja maníaco em relação à formalidade e correção das frases.
25. Evite se gabar. Falar de dinheiro, boas relações ou do luxo à sua disposição é de mau gosto.
28. É extremamente rude e pedante, numa conversa geral, fazer citações em língua estrangeira.
29. Usar frases de duplo sentido não é cavalheiresco.
30. Se estiver ficando irritado com a conversa, mude de assunto ou fique em silêncio. Você pode dizer, num arroubo de paixão, palavras que nunca usaria num momento mais calmo, e as quais você lamentaria depois de dizer.

janeiro 09, 2015

[Segurança] As Senhas das nossas mães

A série em quadrinhos "Betty" publicou, em Dezembro de 2014, uma sequencia de quadrinhos sobre senhas, ou melhor, sobre como uma mãe cuida de suas senhas (que poderia muito bem ser a mãe de qualquer um de nós).

A sequência é divertida, mas as principais tirinhas estão abaixo. Ao descobrir que sua mãe usava uma senha formada por 5 zeros, o filho a questiona sobre a segurança da senha e tenta convencê-la a usar uma senha mais difícil de ser descoberta. Os contra-argumentos dela são conhecidos de todos nós: senhas complicadas são difíceis de lembrar e dá muito trabalho trocar as senhas por novas periodicamente.




Como é praticamente impossível argumentar com uma mãe, o final da sequência acaba com ela se convencendo que a senha de 5 zeros é a melhor opção...



Convenhamos... mais realista do que isso é impossível, né?

janeiro 08, 2015

[Ciber Cultura] Documentario Garagem Maker

Há pouco tempo atrás foi criado um teaser para um documentário sobre o movimento Maker, batizado de "Garagem Maker". O vídeo é curto, mas é muito bem feito e bem interessante.


Garagem Maker - Documentario - Teaser from mobCONTENT on Vimeo.


No documentário, são mostrados vários espaços no Rio de Janeiro criados para incentivar a cultura do "Do-it-Yourself" (DIY), ou melhor, do "faca você mesmo". Os Makerspaces são espaços para incentivar as pessoas a consertarem e construírem coisas, disponibilizando equipamentos, componentes e a infra-estrutura necessária. Há diversos espaços como esse no Brasil e no mundo.

De certa forma, os Makerspaces são parecidos com os Hackerspaces, e tem várias similaridades: ambos são laboratórios coletivos que permitem aos seus frequentadores a realização de projetos e experimentos, e fomentam a troca de conhecimento. Mas os hackerspaces, na minha opinião, são espaços mais genéricos, que aceitam qualquer tipo de atividade relacionada a ciber cultura, incluindo palestras, jogos, oficinas de assuntos diversos. Já os Makerspaces, por sua vez, são espaços focados em "construir coisas". Nos Hackerspaces o mais importante não é construir algo, e sim socializar e compartilhar idéias.

janeiro 07, 2015

[Carreira] Contribuição Assistencial ao Sindpd - de novo!

Que recomeçe a via-crucis !!!

De 07 a 16 de Janeiro deste ano, todos os profissionais associados ao Sindpd (Sindicato dos Trabalhadores em Processamento de Dados e Empregados de Empresas de Processamento de Dados do Estado de São Paulo) devem ir até lá para se opor formalmente a Contribuição Assistencial, imposta pelo sindicato.

Todos os trabalhadores CLT devem, obrigatoriamente, pagar uma contribuição anual ao sindicato, correspondente a 1 dia de trabalho, que é descontada sempre no mês de Abril do ano corrente. Há alguns anos atrás o Sindpd/SP, muito espertinho, criou essa aberração chamada de "Contribuição Assistencial", um desconto mensal direto da folha de pagamento, correspondente a 1% do salário, com desconto máximo de R$ 30,00 por mês.

Para evitar este desconto, os profissionais que são afiliados ao Sindpd devem apresentar, presencialmente, uma carta formal de oposição, que deve ser entregue em 2 vias no Sindpd. A carta pode ser impressa, mas deve ser assinada no momento da entrega, na presença do funcionário do Sindpd. Uma via fica com eles e a outra via, carimbada pelo Sindpd, deve ser entregue ao RH da sua empresa. Para quem é da cidade de São Paulo e região, a carta deve ser entregue na Mooca, na Rua Comendador Roberto Ugolini, 152.

Mesmo que você jamais tenha se afiliado a um sindicato, a empresa aonde você trabalha está - ela escolhe um sindicato "default", no qual todos os empregados ficam associados, e para o qual ela paga aquela sua contribuição anual, exigida por lei. Ou seja, mesmo que você nunca tenha colocado o pé no Sindpd, você pode estar afiliado e ele sem saber, e ser obrigado a pagar essa contribuição assistencial.

Não se esqueça:
  • Prazo para entrega: 07/01/15 a 16/01/15, de segunda a sábado, das 9h as 17h
  • Local: R. Comendador Roberto Ugolini, 152 (Clube Atlético Juventus), Moóca, 03125-010, São Paulo, SP


Para saber mais:

Atualização (14/02): Disponibilizei no Slideshare um modelo em Word (editável) da Carta de Oposição ao Sindpd para 2015. Foi exatamente esta texto que eu entreguei este ano no Sindpd, impresso em 2 vias, assinado no momento da entrega. Ah, não se esqueça de levar um documento com foto, para eles conferirem se você é você mesmo.



Observação (04/01/2016): Para informações sobre a Contribuição Assistencial em 2016, veja este post.

janeiro 05, 2015

[Segurança] Retrospectiva 2014

O ano de 2014 foi especialmente "tenso" para os profissionais de segurança: vivemos uma sequência constante de grandes vulnerabilidades e roubos de dados. Nos últimos dias do ano, o roubo de dados da Sony dominou os noticiários.

Por isso, decidi fazer uma pequena lista dos fatos mais relevantes:
  • No Brasil, o malware de Boletos dominou as notícias no decorrer do ano, com a publicação de diversas pesquisas realizadas por algumas empresas de segurança sobre o malware e seus variantes;
  • #OpWorldCup: Apesar das expectativas, os ciber protestos durante a copa do mundo foram poucos e irrisórios. Pelo jeito os hackers preferiram ficar na frente da TV assistindo as partidas de futebol;
  • Em Fevereiro deste ano tivemos um mega-ataque de DDoS contra a empresa CloudFlare. O ataque foi baseado na técnica de NTP Amplification e chegou a gerar 400Gbps de tráfego;
  • Roubo de dados afetando os lojistas americanos, dos grandes aos pequenos. No decorrer do ano, ciber criminosos roubaram dados pessoais dos clientes de diversas lojas físicas e lojas online nos EUA. Foram afetados os clientes de lojas grandes como Home Depot e Staples, cadeias de restaurantes como a P.F. Chang's, do correio americano ou UPS, ou até mesmo pequenos logistas. Eu diria que é praticamente impossível que algum americano não tenha sido atingido por algum estes vazamentos de dados;
  • Vulnerabilidades de alto risco, afetando milhões de servidores, e causando stress nos profissionais de segurança, que tiveram que sair correndo para atualizar seus servidores:
    • Heartbleed, o bug no OpenSSL que permitiu o vazamento de dados trafegados em conexões SSL em sistemas Unix/Linux;
    • Shellshock, afetando o shell Bash dos sistemas Unix;
    • Poodle (CVE-2014-3566): vulnerabilidade no design do SSL versão 3.0 permitindo ataque MITM;
    • Unicorn bug (CVE-2014-6332): Vulnerabilidade na biblioteca OleAut32.dll do VBScript que permite a execução de código em todas as versões do Windows desde o Windows 95;
    • Winshock (CVE-2014-6321): Vulnerabilidade no Microsoft Secure Channel (Schannel), responsável pelo SSL e TLS nas plataformas Microsoft Windows, que permite a execução de código na máquina vulnerável;
    • Bug no Kerberos (CVE-2014-6324): Apesar de não ganhar nenhum nome bonitinho, essa vulnerabilidade no Kerberos Key Distribution Center (KDC) dos servidores Microsoft Windows também foi muito grave, pois permite a um usuário remoto obter privilégio de administrador no domínio;
  • Ataques sofisticados a empresas; dentre os vários que ocorreram durante o ano, três merecem destaque:
    • Sands (dona dos cassinos Venetian e Palazzo, em Las Vegas, entre outros): Teve sua rede invadida e foi implantado um malware que destruiu centenas de computadores e servidores da empresa;
    • Code Spaces: Após uma série de ataques DDoS e uma tentativa de extorsão, ciber criminosos invadiram o painel de controle na Amazon da Code Spaces e apagou todos os dados na nuvem, incluindo o site, banco de dados e backups. E, assim, a Code Spaces foi obrigada a fechar;
    • Sony Pictures: roubo de 100 TBytes de informações, incluindo e-mails dos funcionários, dados pessoais de funcionários e contratados e segredos da empresa, incluindo as versões finais de cinco filmes.

Na Black Hat Summit São Paulo eu fiz uma palestra na área de expositores aonde, no início, eu coloquei alguns slides com um pequeno resumo dos principais ataques de 2014, conforme consta acima.


O site ThreatPost possui uma boa retrospectiva de 2014, e o portal Data Breach Today criou um infográfico com os 6 maiores vazamentos de dados. Procurando o Google por mais informações sobre problemas de segurança no ano passado, eu encontrei esse post no blog da empresa Leverage Informática, esse post da Avast, a retrospectiva da McAffee e esta apresentação muito boa do André Landim, da RNP. O Olhar digital também publicou uma retrospectiva dos principais acontecimentos na área de tecnologia, que destacou, na área de segurança, o Heartbleed, o Shellshock o ataque a Sony e o Marco Civil.

Outra referência interessante pode ser vista nos primeiros 20 minutos da palestra "Nuevas tendencias en ciberataques", que o pesquisador espanhol Chema Alonso apresentou no Security Innovation Day da Telefônica (SID2014). Ele fez um breve resumo dos principais ataques existentes até então, em Outubro de 2014.



Nota (06/01): O site DataBreachToday publicou um infográfico com os maiores roubos de dados médicos em 2014 nos EUA. No pior caso, foram roubados dados pessoais e históricos médicos de 4,5 milhões de pacientes do CHS (Community Health Systems)

Notas (14/01): O site Hackmageddon publicou um post com as estatísticas de ataques em 2014, e aproveitou para comparar com os dois anos anteriores. Além disso, a Kaspersky também publicou um post com as principais estatísticas de ataques e malwares de 2014, tanto para o mundo quanto para a América Latina.



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.