julho 31, 2015

[Segurança] Próximas apresentações

Recentemente eu criei uma página aqui no Blog com uma pequena lista das apresentações e palestras que já realizei até o momento, e por isso resolvi aproveitar o embalo para compartilhar quais eventos de segurança aonde deverei palestrar nos próximos meses:
  • 21/Agosto: Semana de eletrônica/computação/automação da UNIFEI - Palestra "Hacktivismo"
  • 25/Agosto: Forum de Redes da RNP (Brasília) - painel sobre o "Futuro da computação em nuvem"
  • 03/Setembro: 1º CSO Summit / Seminário Nacional de Cyber Segurança - Participação em painel
  • 11-12/Setembro:  10ª Edição do Global Risk Meeting 2015 (GRM) - Painel "Cyber Security – Formando a Defesa: Conscientização e Prevenção Cibernética" (12/09)
  • 04-07/Outubro: RSA Techfest (Orlando) - Palestra "WTD News from the Trenches II: Spotting malicious actors and bad developers"
  • 21-23/Outubro: RSA Charge (Chicago) - Palestra "WTD News from the Trenches: Detecting malicious actors and broken sites"
  • 28/Novembro: Security Day (Natal): Palestra "A Industrialização do Ciber Crime"
  • 11/Dezembro: GTS - Palestra "Novos Aspectos Legais e Regulatórios em Cloud Computing"


Acho que em breve também vou começar a oferecer serviço de animação de festas e velórios... (brincadeira!)

julho 30, 2015

[Segurança] Hackeando Rifles

A Wired publicou a história (e vídeo) de dois pesquisadores de segurança, Runa Sandvik e Michael Auger, que conseguiram hackear uma mira eletrônica e, assim, alterar a trajetória da bala disparada pelo rifle.

O dispositivo, Tracking Point TP750 (que custa 13 mil dólares), deveria ser utilizado para aumentar a precisão do tiro, de forma que até mesmo um atirador amador pudesse acertar o alvo através da mira eletrônica. Ela reconhece o alvo emuda de cor quando ele estiver na mira. Os pesquisadores conseguiram acessar o dispositivo através de sua conexão Wi-Fi e, explorando algumas vulnerabilidades do software embarcado na mira, eles conseguiram alterar algumas das variáveis utilizadas para o cálculo da trajetória - como, por exemplo, o peso da bala. Eles também conseguem evitar que a arma dispare ou, até mesmo, desabilitar o computador da mira eletrônica.



Tudo isso começou porque o sistema de pontaria eletrônica usa um sistema Linux embarcado que tem uma conexão Wi-Fi (desabilitada originalmente) que tem uma senha default. Eles também conseguiram privilégios de administrador no sistema e, assim, conseguem "fazer a festa".




Este caso serve para nos alertar dos riscos de automatizar e conectar diversos dispositivos do dia-a-dia, uma tendência muito forte atualmente e que é representada, principalmente, pela chamada "Internet das Coisas" (IoT). Assim como nos softwares tradicionais, é comum encontrarmos aplicações embarcadas em diversos dispositivos aonde os desenvolvedores não tomaram os cuidados básicos de segurança. Com estes dispositivos eletrônicos podendo ser acessados remotamente através de conexões em fio, temos o grande risco de alguém explorar uma vulnerabilidade do software e tomar controle do dispositivo - isso vale também para carros e aviões.

Nota (adicinada dia 30/07): Esta reportagem veio em uma boa hora, no momento em que vários cientistas estão se mobilizando contra a criação de robôs autônomos para uso militar. Ela mostra que não devemos apenas nos preocupar com o problema dos robôs atuarem sem limites éticos (ou seja, como em filmes de ficção científica como O Exterminador do Futuro ou Matrix), mas também com a possibilidade de outras pessoas tomarem o controle dos robôs.

julho 24, 2015

[Cyber Cultura] Inauguração do RioHC, o mais novo hackerspace Carioca

O pessoal do Rio de Janeiro vai inaugurar neste sábado (dia 25/07) o RioHC, um hackerspace localizado no bairro de Santa Teresa, no coração cultural do Rio de Janeiro. O RioHC ocupa duas salas do HUB ‪#‎AJogada‬, na Rua Gonçalves Fontes, 49.

O Rio de Janeiro merece ter o seu hackerspace, por causa da grande quantidade de profissionais de tecnologia e interessados no movimento maker. Além disso, um hackerspace também é um ponto turístico da cidade - pelo menos para nós, nerds ;)

O RioHC já é a terceira tentativa de criar um hackerspace na cidade maravilhosa. Em 2012 o pessoal quase conseguiu alugar uma bela casa para hospedar o hackerspace, mas na hora H a dona do imóvel resolveu cobrar um preço absurdo e a iniciativa foi por água abaixo. Também teve o Kernel40º HC, que funcionou por vários meses, mas acabou esvaziando.

A inauguração do RioHC será concomitante com a 25º edição do Arte de Portas Abertas em Santa Teresa e será uma excelente oportunidade para passear pelo bairro, conhecer o hackerspace e vivenciar um pouco da cultura Hacker.

Anote na agenda:

julho 22, 2015

[Cyber Cultura] A história dos Hackerspaces

Recentemente eu comentei sobre um artigo da revista Make sobre as diferenças entre Hackerspaces, Makerspaces e FabLabs. Este artigo tem um parágrafo aonde ele resume a história do surgimento dos hackerspaces, que é bem interessante e, por isso, resolvi adaptá-lo e reproduzir aqui.

O conceito de um hackerspace começou na Europa, como uma coleção de programadores (ou seja, o uso tradicional do termo "hacker") compartilhando um espaço físico. Um dos primeiros hackerspaces independentes a abrir suas portas foi um espaço alemão conhecido como C-Base, que foi inaugurado em 1995, que ainda está ativo até hoje e atualmente possui mais de 450 pessoas. Inicialmente este tipo de espaço se proliferou principalmente na Alemanha, em várias cidades.

Em 2006 surgiu o Metalab, em Viena (Áustria), um hackerspace bem estruturado que ajudou a estabelecer os princípios de criação e financiamento deste tipo de espaço, e isto foi fundamental para permitir uma rápida disseminação do conceito. Posteriormente surgiu a comunidade Hackerspaces.org em 2007, que até hoje serve como principal referência no assunto e mantém diversos documentos e informações sobre como iniciar e manter tais espaços.

Em agosto de 2007 (12 anos após começar a tendência européia), um grupo de hackers norte-americanos foram na Alemanha para participar do Chaos Communication Camp, em uma excursão conhecida como "Hackers on a Plane". Lá eles conheceram o conceito de hackerspaces e voltaram animados com a possibilidade de ter espaços similares nos Estados Unidos, e assim fundaram os primeiros hackerspaces americanos: o NYC Resistor (2007), HacDC (2007), e o Noisebridge (2008), para citar alguns.

Também no final de 2007 ocorreu uma palestra no A 24o CCC (Chaos Communication Congress) sobre como criar e manter um hackerspace, que deu origem ao chamado "Design Patterns", um excelente conjunto de boas práticas sobre como gerenciar um hackerspace, que é amplamente adotado até hoje e tem ajudado muita gente a criar o seu espaço.

No Brasil, os hackerspaces surgiram a partir de 2010 com a fundação do Garoa Hacker Clube, em São Paulo. O Garoa surgiu a partir do esforço coletivo de um grupo de pessoas que, através de diferentes meios, conheciam o conceito de hackerspace e se uniram em torno dessa idéia. As primeiras discussões sobre a criação do espaço começaram a tomar corpo em junho de 2009. Um pouco mais de uma ano depois, em agosto de 2010, o Garoa foi inaugurado em um espaço físico de 12m² no porão da Casa da Cultura Digital, no centro de São Paulo. Em Fevereiro de 2013 o Garoa mudou-se para uma nova sede, uma ampla casa em Pinheiros, que ocupa até o momento.

[Segurança] A ciência por trás do segredo

O Simon Singh, autor do livro "The Code Book" ("O Livro dos Códigos"), fez no ano 2000 um pequeno seriado sobre a história da criptografia, desde a época dos hieróglifos, batizado de "The Science of Secrecy".

Um destes episódios, "The Science of Secrecy: Going Public", está disponível em seu site, dividido em duas partes bem curtas, com cerca de 10 minutos cada - e que valem a pena ser vistos. Na primeira parte do episódio, ele aborda o início da criptografia de chave pública, principalmente como surgiu a idéia do algoritmo Diffie-Hellman. Eu gostei muito de como ele começa este episódio, explicando o que é criptografia: colocando um papel com uma mensagem dentro de uma caixa, e fechando-a com um cadeado. Este é um exemplo simples e bem intuitivo, que lhe permite discutir o conceito de criptografia e um de seus principais problemas, o compartilhamento da chave criptográfica.



Na segunda parte deste episódio, Simon mostra como a inteligência britânica (CGHQ) criou um algoritmo semelhante alguns anos antes, algo que que permaneceu secreto por cerca de 25 anos.


Os vídeos acima são bem didáticos e, ao mesmo tempo, bem interessantes por mostrar um momento muito importante para o surgimento dos algoritmos criptográficos.

Em 2011 o Colégio Imperial de Londres realizou um evento com o mesmo nome, "The Science of Secrecy", aonde diversos especialistas contavam uma parte da história da criptografia - incluindo o Simon Singh. O painel tem cerca de 1 hora e meia de duração, mas é bem interessante.

julho 20, 2015

[Cyber Cultura] É modinha ser hacker... até nos seriados da TV

De repente começarama pipocar seriados na TV americana com temática nerd e hacker:
  • CSI:Cyber: A versão do CSI aonde o FBI tem uma divisão dedicada para crimes cibernéticos. Ainda está na primeira temporada e, aqui no Brasil, os novos episódios vão ao ar nas 4as-feiras no canal pago AXN, as 22h. A cada 2 frases, eles falam pelo menos uma vez "Deep Web" e "Black Hat" (que foi traduzido literalmente para "chapéu preto");
  • Mr. Robot: O seriado do momento, produzido pelo canal USA, com um ótimo elenco de atores (alguns episódios estão disponíveis online - para IPs dos EUA). Tudo gira em torno do personagem Elliot (o ator Rami Malek), um jovem meio esquisitão que trabalha como engenheiro de segurança da informação durante o dia na empresa All Safe Cyber Security e a noite atua como "hacker vigilante", descobrindo a senha do Facebook para invadir contas de pessoas "más" (como pedófilos e o namorado da psicóloga dele, que é casado e taradão). Elliot odeia a sociedade e, segundo o trailer, pretende descobrir quem são os empresários que comandam o mundo (o "1% do 1%"). Logo no primeiro episódio ele é recrutado pelo líder de um misterioso grupo hacker chamado "fsociety" (outro ótimo ator, o Christian Slater) para ajudá-los a destruir a firma E Corp (também chamada no seriado de "Evil Corp", e que coincidentemente tem o mesmo logo da Enron) que é a maior cliente da empresa aonde ele trabalha. Já ouvi muitos comentários positivos sobre este seriado;
  • Halt and Catch Fire: Seriado menos badalado do que os outros dois, produzido pela AXN. Se passa no Texas nos anos 80, em uma história paralela ao início da revolução tecnológica causada pelo surgimento dos primeiros computadores pessoais e das primeiras empresas de tecnologia.


A TV Globo fez, recentemente, uma novela aonde alguns dos personagens centrais eram uma espécie hackers - a Geração Brasil. Alguém ainda tem dúvida de que está na moda fazer seriado de TV com os hackers? O meu medo, na verdade, e quando alguém tiver a brilhante idéia de criar o "Malhação Cyber" :(

julho 16, 2015

[Segurança] Cybersecurity Poverty Index

Recentemente a RSA Security lançou um estudo que batizou de "Cybersecurity Poverty Index" (pdf), baseado em uma consulta a mais de 400 profissionais de segurança em 61 países, para avaliar a maturidade em segurança cibernética em divesas empresas e países diferentes. Baseando-se no Cybersecurity Framework do NIST, os participantes avaliaram seus próprios programas de segurança corporativa através de 18 questões que abordaram cinco aspectos: Identificar, Proteger, Detectar, Responder e Recuperar de incidentes.

Os resultados revelaram algo que já sabemos: que a maioria das empresas não estão preparadas adequadamente:
  • Cerca de 75% dos participantes reportaram que possuem maturidade insuficiente para lidar com os riscos de segurança (abaixo de 4, em uma escala de 1 a 5);
  • 45% das empresas descreveram a incapacidade de quantificar, avaliar e minimizar os riscos de segurança, sendo que apenas 21% sinalizaram maturidade nessa área;
  • 83% das organizações com mais de 10 mil funcionários classificaram seus recursos como menos do que “desenvolvidos";
  • Somente um terço (34%) das empresas do setor financeiro e 18% das entidades de governo se classificam como bem preparadas (igual ou acima de 4, em uma escala de 1 a 5).
O relatório também indica que os gastos em segurança se concentram mais substancialmente em controles voltados à prevenção ao invés de detecção e resposta, uma vez que o recurso mais maduro revelado na pesquisa estava na área de “Proteção”.

A RSA disponibilizou um questionário online de auto-avaliação baseado no estudo, o "Cybersecurity Maturity Assessment", e um infográfico resumindo os resultados do estudo.


julho 14, 2015

[Cyber Cultura] Hackerspaces, Makerspaces e FabLabs

Há muita dúvida sobre a diferença entre Hackerspaces, Makerspaces e FabLabs - na minha opinião, em grande parte por falta de uma definição formal do que é cada uma dessas organizações.

Embora o site Hackerspaces.org tenha uma página com alguns links sobre a teoria por trás dos hackerspaces, sua definição sobre Hackerspace é bem ampla, o que só ajuda a causar confusão. Não é a tôa que facilmente podemos encontrar makerspaces, fablabs, espaços de co-working e até mesmo empresas na lista de hackerspaces que eles mantém no site.

Há algum tempo atrás (em maio/2013), a revista Make publicou um artigo aonde o autor dava a sua visão sobre quais seriam as diferenças entre Hackerspaces, Makerspaces e FabLabs. Eu gostei do texto e tenho uma opinião parecida, por isso vou reproduzir abaixo com meus comentários:
  • Hackerspaces: um espaço físico para promover o encontro de pessoas interessadas em qualquer tipo de "hacking", relacionado ou não a programação, segurança, eletrônica, etc. Apesar de alguns espaços terem várias atividades e infra-estrutura relacionadas a fabricação de coisas, tais ferramentas e espaços dedicados são muitas vezes vistos como secundários à missão do hackerspace. Além do mais, a maioria (ou quase totalidade) dos hackerspaces seguem um modelo de gestão coletivo, com tudo (equipamentos, materiais e gastos) sendo compartilhado igualmente entre os frequentadores;
  • Makerspaces: locais publicamente acessíveis com uma infra-estrutura específica para projetar e produzir coisas. A melhor definição é que os makerspaces são "oficinas comunitárias", aonde grande parte da sua infra-estrutura é dedicada as atividades de criação e de produção, como rede de energia elétrica de alta tensão e ventilação, ferramentas apropriadas e dedicadas a cada tipo de atividade ou projetos artesanal. Frequentemente do tais espaços são estruturados como linhas de negócios tradicionais (em vez de coletivos democráticos), devido à despesa significativa envolvida na manutenção dos equipamentos e da infra, além da necessidade de treinamento de novos membros para usar as ferramentas de forma responsável;
  • FabLabs: segundo o autor, os FabLabs nada mais são do que um nome comercial para os Makerspaces - uma rede de espaços iniciado em 2005 no MIT.

Eu concordo quando o autor diz, no começo de seu texto, que "muitas pessoas não fazem nenhuma distinção entre o termo 'hackerspace' e 'makerspace'. Verdade seja dita, essas pessoas geralmente associam-se com hackerspaces."

Eu já vi alguns espaços que se auto-intitularam "Makerspaces" simplesmente pelo medo de adotar a palavra "hacker" no nome do espaço e, assim, herdar a conotação negativa que a sociedade e a imprensa impõem sobre o termo "hacker". Nós tivemos essa discussão quando criamos o Garoa, e acredito que todos os hackerspaces também tiveram, mas no final a nossa conclusão foi de que, se nós não nos esforçarmos para divulgar o lado positivo da cultura hacker, ninguém mais fará isso por nós. E, desde então, nós temos orgulho de ser um HACKERspace e de nos considerarmos "hackers".

julho 13, 2015

[Cyber Cultura] Vida Real x Vida Virtual

Saiu mais um ótimo vídeo da Porta dos Fundos: quem nunca reparou que, de repente, todos os seus amigos frequentam academia, vão a praias paradisíacas, jantam em restaurantes com pratos bonitos, e somente bebem cerveja artesanal ou vinho!?

Este vídeo satiriza como as pessoas tem o hábito de mostrar uma vida idealizada nas redes sociais: uma vida aonde todo mundo é feliz, vivendo no glamour. Nem parece que a vida tem seus altos e baixos, problemas, dúvidas e tudo mais. Este é um ótimo vídeo para ser usado em campanhas de conscientização contra o vício causado pela hiperconectividade, a superexposiçào que temos atualmente e os consequentes exageros cometidos no mundo online.

julho 11, 2015

[Cyber Cultura] Inauguração do Calango Hacker Clube

Neste sábado, dia 11 de Julho, o pessoal do Calango Hacker Clube vai fazer uma pequena festa para inaugurar o seu novo espaço.


Calango é um dos mais novos hackerspaces brasileiros, localizado em Brasília - mais precisamente, na Asa Norte: CLN 310 bloco B, sala 51-S.


julho 10, 2015

[Cyber Cultura] Hackeando sites de Relacionamento

O que acontece quando uma pessoa nerd resolve procurar seu par ideal em um site de relacionamentos?

Esta palestra do TED mostra a experiência da Amy Webb, uma garota de 30 anos que vive na Filadélfia. Tudo começou quando ela fez as contas e estimou que, em uma cidade com 1,5 milhões de habitantes, somente 35 pessoas poderiam satisfazer suas exigênias na busca por um parceiro ideal.

Sua abordagem inicial não deu muito certo, de simplesmnete preencher um cadastro em um site de relacionamento de qualquer jeito (ela copiou e colou as informações do seu currículo no formulário do site). O resultado foram encontros terríveis com pessoas selecionadas pelo algoritmo do site, baseado nos dados do perfil de ambos.

As coisas melhoraram quando ela resolveu mudar sua abordagem: tratar os sites de relacionamentos como um banco de dados, que pode ser manipulado para atingir o resultado ideal - em vez de esperar a combinação de um algoritmo qualquer. Primeiro ela identificou as coisas possíveis que estava procurando em um companheiro (72 diferentes pontos relevantes, que ela priorizou e criou um sistema de notas e classificação). E só respondia aos anúncios que atendessem a um conjunto mínimo de requisitos. Não contente com isso, ela também analisou o perfil das concorrentes (usando dez perfis masculinos falsos), e assim identificou como seriam as outras mulheres que poderiam interessar ao seu prícipe encantado: perfis objetivos (ex: média de 97 palavras muito bem escritas), com linguagem otimista (ex: "divertida", "garota" e "amor") e fotos que mostravam mais no decote. Além disso, as mulheres populares esperam em média 23 horas entre cada contato, tal qual nos comportamos em um processo comum de conquista.

Após "otimizar" o seu perfil, Amy virou a pessoa mais popular online!


Amy soube entender como funcionam os sites de relacionamento e usar isso a seu favor. Sua abordagem criativa mostra como é possível "hackear" o mundo que nos cerca.

julho 09, 2015

[Segurança] Hackers Everywhere !!!

Nenhuma imagem poderia resumir melhor os primeiros dias desta semana do que este pequeno meme...



Começamos esta semana com o vazamento de aproximadamente 400 gigabytes de documentos e arquivos internos da empresa italiana Hacking Team, uma empresa conhecida há bastante tempo por comercializar serviços de ciber espionagem que beiram os limites da ética, tais como ferramentas para invadir computadores e smartphones. Os dados incluem e-mails de executivos, dados de clientes e até mesmo o código-fonte de suas ferramentas e informações sobre exploits e zero-days exclusivos da empresa. A conta de twitter da empresa ficou sob controle dos invasores, que a utilizaram para distribuir amostras de dados roubados da empresa. Além de seu relacionamento com diversos governos, o vazamento de dados mostrou que o FBI gastou 775 mil dólares em ferramentas da Hacking Team nos últimos 4 anos.

Esta quarta-feira, 08 de julho, foi marcada por alguns problemas tecnológicos bem sérios nos EUA:
  • A Bolsa de Nova York ficou fechada por aproximadamente 4 horas devido a um "problema interno nos computadores", causado por um update em um software que causou problemas de comunicação entre os gateways e seus computadores;
  • A compania aérea United teve problemas em um roteador, fazendo seus sistemas de reserva ficarem offline por cerca de 2 horas;
  • O site do jornal The Wall Street Journal também ficou fora do ar.

Até o momento não há nada que indique que os problemas acima foram causados por ciber ataques, apesar de existirem especulações nesse sentido - ainda mais porque o grupo Anonymous publicou um tweet na véspera dizendo que "nos perguntamos se amanhã (o dia do ataque) será um dia ruim para a Wall Street".


Provavelmente nunca saberemos a verdade, se estes problemas foram uma simples coincidência ou se foram resultado de algum ciber ataque previamente planejado. Mas, não podemos negar que no mundo corporativo pode acontecer as situações abaixo:

  • Quando a área de TI não sabe identificar a causa de um problema em sua infra-estrutura, a solução mais fácil é dizer que "sofreu um ciber ataque". É muito mais fácil culpar hackers e endereços IPs chineses do que identificar e corrigir um problema real na rede, nos servidores ou aplicações;
  • Quando a empresa não quer assumir que sofreu um ciber ataque, a solução mais simples é dizer que "sofreu um problema técnico na rede ou na aplicação". Pode ser melhor acusar um roteador ou um software de ter problemas do que assumir que sua infra-estrutura tecnológica não resistiu a um ciber ataque.

Cada desculpa pode ser usada conforme for mais conveniente, e o público externo raramente conhecerá a verdade.

Atualização (10/07): Vamos colocar mais lenha na discussão sobre as teorias da conspiração? Neste mesmo dia o sistema anti-misseis Patriot instalado na Turquia foi hackeado e controlado remotamente. Além disso, o site Gawker (?) diz que, além dos incidentes que eu citei acima, também ocorreram outros incidentes no mesmo dia: problemas no metrô de Nova York, algumas casas em Washington ficaram sem luz e um site chamado The Dissolve fechou.

julho 07, 2015

[Cyber Cultura] Whatsapp sem noção

A revista Veja em São Paulo publicou recentemente uma reportagem de capa sobre casos em que paulistanos se envolveram em brigas ou receberam ofensas pelo Whatsapp. Isso nada mais é do que uma extensão dos problemas que já sofremos nas redes sociais da Internet (desde o tempo do Orkut, e muito comuns atualmente no Facebook). O Whatsapp é só mais um canal aonde as pessoas expressam o ódio, o bulling, a intolerânca e o preconceito.

Ao final da reportagem, são apresentadas algumas dicas de como se comportar adequadamente online e evitar saias-justas no celular:

  1. Nos grupos, aposte em conteúdos relevantes. Ninguém aguenta correntes, fotos em excesso e respostas a um “bom-dia” todas as manhãs.
  2. Para evitar desentendimentos, avise antes de sair de um grupo e diga que estará disponível para conversas privadas. Também é possível optar por silenciar as mensagens.
  3. Fique de olho no relógio ao contatar pessoas de fora de seu círculo de amizades. Atenha-se ao horário comercial.
  4. Tenha cuidado ao ouvir recados de voz em público. Você não sabe o que vem por aí.
  5. Não espere respostas imediatas, mesmo após saber que a mensagem foi lida. Cobrar um retorno também pega mal.
  6. Pense muito bem antes de enviar qualquer conteúdo particular. Ele pode ser compartilhado rapidamente, sem que você saiba.

Também destaco algumas dicas publicadas pelo pessoal do Ministério Público Federal:



Ainda temos um longo caminho pela frente até educar a população a usar as redes sociais e os meios de comunicação digitais com responsabilidade e com respeito. Infelizmente parece que as pessoas pensam que podem expressar livremente qualquer tipo de opinião, sem sofrer as consequências por isso.

julho 03, 2015

[Segurança] A Era das Trevas da Segurança

O presidente da RSA, Amit Yoran, deu uma palestra na RSA Conference, em abril deste ano, aonde ele disse que nós vivemos na "Era das Trevas" da Segurança da Informação, em referência ao fato que nossas estrategias de proteção são praticamente as mesmas há vários anos e não conseguimos proteger as empresas contra os ciber ataques. ele também propôs que busquemos novas abordagens para conseguir vencer as ameaças cibernéticas que nos cercam atualmente.

Na palestra batizada de Escaping Security’s Dark Ages (veja o vídeo aqui), Amit afirma que estamos vivendo na "Idade das Trevas" da segurança. Isso porque nós, profissionais da área, ainda nos apegamos a idéias desatualisadas e contamos com ferramentas e táticas que funcioanvam bem no passado. E, mesmo assim, ficamos surpresos ao nos ver em uma era de caos e violência online, aonde ciber ataques e grandes roubos de dados acontecem quase diariamente.

Desde o início a nossa indústria de segurança tem adotado estratégias similares as que tínhamos na idade média: construímos defesas de perímetro cada vez mais fortes (firewalls e ferramentas mais robustas, tais como os grandes castelos de antigamente), mas a indústria tem relutado em perceber que muros mais altos não vão resolver nossos problemas atuais. Segundo a pesquisa anual da Verizon, menos de 1% dos ataques APT foram detectados pelas ferramentas de SIEM - o que mostra nossa incapacidade de detectar, e consequentemente bloquear e reagir, aos ataques mais importantes.




Uma das frases que resumem bem a palestra dele é a seguinte:
“We need to stop thinking of taller castle walls and deeper moats… At the end of the day, even if you use next generation protective measures, focused adversaries with the resources, with the time, with the skill, and that have a defined objective of breaking into your organization are still going to get in.”

Na segunda metade da palestra, o Amit deu 5 sugestões em como o mercado poderia mudar sua abordagem, para que possamos nos livrar do passado e entrar na era do Iluminismo ("Age of Enlightenment"), conseguindo maior compreensão e proteção do nosso mundo digital:

  1. Pare de acreditar que as "ferramentas avançadas" (advanced protection) que o mercado lança vão resolver alguma coisa. Elas também vão falhar porque são baseadas nos mesmos princípios que tem falhado até então;
  2. Precisamos ter grande visibilidade de tudo o que acontece no nosos ambiente de TI. As grandes ameaças e ataques que tivemos recentemente foram criadas para ser invisíveis, para evitar a detecção por parte das ferramentas existentes. Não podemos fazer seguranca hoje em dia sem ter visibilidade de tudo o que acontece na redes, nos endpoints, nas aplicações, etc: quem fala com o que e como. Isto também inclui conhecer as técnicas que nossos adversários usam para nos atacar e comprometer nossas defesas;
  3. Identidade e autenticação são cada vez mais fundamentais. Segundo a o relatório de incidentes da Verizon, em 95% dos ataques foram utilizadas credenciais roubadas de usuários válidos. Por isso, precisamos utilizar ferramentas de autenticação forte ("strong authentication") e monitorar quem está acessando o que em nosso ambiente, principalmente quando se tratar de contas de acesso críticas (como, por exemplo, logins de altos executivos, de administradores do sistema, etc);
  4. Inteligência - Devemos identificar as ameaças que importam mais para a nossa empresa; afinal hoje em dia temosa nossa disposição várias fontes externas de inteligência, tais como servi;cos oferecidos por empresas, informações disponibilizadas livremente por organizações, grupos de usuários, sites, etc;
  5. Priorizar: Ao conhecer o que é mais importante e crítico para cada empresa, podemos investir tempo, recursos e dinheiro nos verdadeiros recursos de missão crítica para o negócio. Devemos identificar ps servidores, aplicações, dados que são mais relevantes e que devem ser protegidos a qualquer custo.

julho 01, 2015

[Segurança] Eventos de Segurança no Segundo Semestre de 2015

O segundo semestre é, normalmente, mais lotado de eventos da área. Neste ano não será diferente, com o calendário tomado pelo excelente Roadsec, que está se expandindo cada vez mais pelo Brasil e, neste ano, também lançou o Roadsec Pro, a versão do evento para profissionais da área (com dinâmica e temática um pouco diferente). Outra novidade neste ano é a ausência da Black Hat São Paulo, após dois anos de edição brasileira.

A lista abaixo é dos eventos na área de segurança que eu considero que merecem a visita. Salvo indicação em contrário, estes eventos acontecem em São Paulo.
  • Julho/2015
    • 04/07: RoadSec Recife (twitter @roadsec): O pessoal do Roadsec não descansa. O evento itinerante organizado caprichosamente pela Flipside inaugura o segundo semestre em Recife (PE). Promete um sábado repleto de palestras, oficinas e competições, com alguns palestrantes previamente selecionados em conjunto com palestrantes locais. Destaque também para a competição de CTF, a HackaFlag;
    • 18/07: RoadSec Vitória (twitter @roadsec): A mesma Roadsec de sempre: ótimas palestras, oficinas e competições para o público Capixaba;
    • 31/07: RoadSec Pro Belo Horizonte (twitter @roadsec): Versão "profissional" do Roadsec, com palestras direcionadas para o público corporativo, realizado em um local específico na véspera do evento tradicional;
  • Agosto/2015
    • 01/08: RoadSec Belo Horizonte (twitter @roadsec): Neste dia o Roadsec aterrisa em Belo Horizonte (MG);
    • 18 e 19/08: VII Congresso de Crimes Eletrônicos - Evento organizado pela Fecomércio/SP que reúne especialistas, advogados, empresários, autoridades, peritos e juristas envolvidos no combate ao crime eletrônico. Inclui palestras e e debates sobre soluções e tendências. Evento gratuito e de boa qualidade;
    • 26 e 27/08: Mind The Sec - Mega-evento organizado pela Flipside, que substitui o antigo SecureBrasil, que era realizado em parceria com o (ISC)². Serão 2 dias de evento e 3 trilhas de palestras (divididas em gestão, tecnologia e soluções), além da presença do mega-hiper guru Bruce Schneier como keynote speaker. Evento direcionado aos principais profissionais de segurança do mercado;
    • 28/08: Dia Internacional de Segurança em Informática (DISI) (Brasília) - evento realizado anualmente pelo pessoal da RNP para educar e conscientizar usuários finais sobre segurança na Internet. O DISI deste ano será realizado junto com o Fórum RNP (em Brasília), com atividades de conscientização gratuitas, abertas ao público e transmitidas online, em tempo real;
  • Setembro/2015
    • 02/09: Security Leaders Forum Belo Horizonte - Versão "mini-me" do Security Leaders, com apenas um dia. Segue a receita dos painéis de debates transmitidos ao vivo com palco cheio e conteúdo vazio, além de uma área de exposição para os patrocinadores;
    • 11 e 12/09: Global Risk Meeting 2014 - Evento focado principalmente em gestão de riscos. Realizado desde 2005 pela Daryus, o evento chega em sua décima edição com dois dias de atividades com foco mais gerencial;
    • 11 e 12/09: RoadSec Rio de Janeiro (twitter @roadsec): Roadsec na cidade maravilhosa !!! No dia 11/09 será realizado o RoadSec Pró, e o dia 12 está reservado para o RoadSec "tradicional";
    • 15 e 16/09: CNASI São Paulo - O mais antigo evento de segurança, organizado pelo IDETI há mais de 20 anos, é direcionado ao público corporativo nas áreas de segurança, governança e compliance. O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) possui palestras, mini-cursos e paineis de debate com foco em gestão e pouco conteúdo técnico. Será realizado no centro de exposições do shopping Frei Caneca, com uma grande área de exposições para os patrocinadores;
    • 24/09: Security Leaders Forum Porto Alegre - Mini Security Leaders, com um dia de debates lotados de painelistas, transmitidos ao vivo, e com uma área de exposição;
    • 26/09: RoadSec Florianopolis (twitter @roadsec): Roadsec em Floripa;
  • Outubro/2015
    • 03/10: RoadSec Porto Alegre (twitter @roadsec): edição gaúcha do Roadsec, em Porto Alegre (RS);
    • 08/10: Security Leaders Forum Recife - Um dia de painéis de debates em Recife (PE);
    • 17/10: RoadSec Curitiba (PR);
    • 17 e 18/10: Conferência O Outro Lado BSides São Paulo (Co0L BSidesSP) (Página no Facebook; twitter @bsidessp) - Esta será a décima segunda edição da Co0L BSidesSP, acontecendo no final de semana anterior a H2HC. A conferência é gratuita, com foco técnico em segurança e cultura hacker em geral (incluindo hardware hacking) diversas atividades simultaneas: palestras, oficinas, debates, diversas competições (CTF, competição de robótica e algumas outras), a BSides 4 Kids, Brazilian Arsenal, Hacker Job Fair e, além disso tudo, um churrasco gratuito para os participantes;
    • 19 e 20/10: CNASI Rio de Janeiro - Mini CNASI no Rio de Janeiro, com dois dias de palestras e painéis de debates sobre gestão, auditoria de TI, governança e segurança da informação. O evento também tem uma pequena área de expositores;
    • 22 e 23/10: Sacicon - Evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês. ou seja, palestrantes e visitantes extrangeiros são bem-vindos. Além do mais, o evento começa na noite de 22/10 com uma festa e continua no dia seguinte com palestras após um "hangover brunch";
    • 24 e 25/10: Hackers to Hackers Conference (H2HC) (twitter @h2hconference) - A H2HC é sem dúvida nenhuma o maior, mais importante e mais tradicional evento brasileiro sobre pesquisa em segurança, hacking, pesquisa de vulnerabilidades e novos ataques;
  • Novembro/2015
    • 09 e 10/11: CNASI Recife - Edição regional do CNASI em Recife (PE), com dois dias de palestras, painéis de debates e uma pequena área de expositores;
    • 09 a 12/11: XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) - Este é o principal evento acadêmico sobre Segurança no Brasil, promovido anualmente pela Sociedade Brasileira de Computação (SBC), a cada ano em uma cidade distinta. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais. A edição deste ano será realizada em Florianópolis (SC), organizada pela Universidade Federal de Santa Catarina (UFSC) e pela Universidade do Vale do Itajaí (UNIVALI);
    • 12/11: RoadSec São Paulo - Mega-evento de encerramento do RoadSec. Evento com duas trilhas de palestras, oficinas, fru-frus (food trucks, stands patrocinados, lojas, pinballs, fliperamas, DJs e pocket shows) e, principalmente, com a final do campeonato de CTF (Hackflag) e um super hiper mega show de encerramento com a banda Titãs;
    • 18 e 19/11: Security Leaders - Evento formado por diversos painéis de debates transmitidos ao vivo e com uma área de exposição para os patrocinadores. É um evento baba-ovo, direcionado a atrair gestores de segurança (gerentes, diretores, CSOs, etc) que só aparecem para participar do debate ou receber medalha. Os painéis tem conteúdo fraquíssimo, pois a organização coloca alguns gestores convidados e representantes de fornecedores, sem que necessariamente tenham conhecimento no assunto. Felizmente (ou não) eles lotam o painel com muita gente (sete ou mais participantes!), e assim cada um tem poucos minutos para falar (o que pode ser um alívio). Apesar da baixa qualidade dos painéis, é um evento que atrai muitos patrocinadores;
    • 21/11: Nullbyte Security Conference (Salvador/BA): Segundo ano do evento destinado a movimentar a cena do hacking na capital Baiana. Palestras de excelente qualidade técnica.
  • Dezembro/2015
    • 10 e 11/12: GTER e GTS - Eventos tradicionais, organizado pelo Nic.br, que tem um foco bem técnico. O GTS (Grupo de Trabalho em Segurança de Redes) e o GTER (Grupo de Trabalho de Engenharia e Operação de Redes) são gratuitos e vão acontecer em conjunto com a V Semana da Infraestrutura da Internet no Brasil (7 a 11 de dezembro de 2015) em São Paulo. Ambos os eventos acontecem em São Paulo e são transmitidos online.
Além dos eventos brasileiros, neste ano teremos vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro:
  • Ago/2015: Black Hat e Defcon, eventos importantíssimos e gigantes que acontecem em Las Vegas (EUA) no início de agosto. A Black Hat (01 a 06/08) é um dos mais importantes eventos de segurança do mundo e a Defcon (06 a 09/08) é a maior conferência hacker do mundo, com dezenas de palestras e atividades simultâneas e ingresso a US$ 220;
  • Ago/2015: Chaos Communication Camp (CCCamp): "Acampamento hacker" - ou seja, um evento realizado ao ar livre em formato de acampamento, que ocorre somente uma vez a cada 4 anos. A edição deste ano será nos dias 13 a 17 /10 em um parque formado a partir de uma antiga fábrica de tijolos, perto da cidade de Zehdenick - nos arredores de Berlin (Alemanha). Para quem está no pique, é uma ótima oportunidade de emendar com a viagem para a Defcon ;)
  • Ago/2015: BSides Las Vegas, dias 04 e 05/08, na véspera da Defcon. É uma ótima opção para quem quer aproveitar a viagem para a Defcon mas não quer (ou não pode) bancar a inscrição caríssima da Black Hat. Diversas palestras em um clima descontraído, com inscrições gratuitas (no estilo "os primeiros que chegarem entram"). Foi a conferência pioneira no formato Security BSides;
  • Set/2015: A BSides Colombia será nos dias 03 e 04 de setembro em Bogotá;
  • Out/2015: BSides Chile: nos dias 13 e 14 de Outubro em Santiago;
  • Out/2015: 8.8: Evento de segurança que acontece dias 22 e 23 de Outubro em Santiago, no Chile.
  • Out/2015: Ekoparty (21 a 23/10) em Buenos Aires, Argentina. A Ekoparty é um excelente evento de segurança, o melhor da América Latina. Evento com foco principal em pesquisa em segurança e excelentes palestras técnicas;
  • Dez/2015: CCC: evento gigantesco realizado na Alemanha na semana entre o Natal e o Ano-Novo, atraindo hackers de toda a Europa. Também tem foco em hacking, com palestras técnicas e uma pegada também política. É também o mais antigo evento da atualidade.


Além dos eventos citados acima, que na minha opinião são os mais importantes e relevantes no nosso mercado, recentemente surgiram alguns eventos menores oou focados em assuntos específicos, que estão buscando seu espaço:
  • 01 e 02/09 - Conferência it-sa Brasil;
  • 03/09 - CSO Summit: Um novo evento, também seguindo o formato de painéis com temas mais gerenciais, que será realizado na universidade Mackenzie, em São Paulo;
  • 02 e 03/10 - JampaSec 2015: Novo evento de segurança da informação com foco bem técnico e palestras com temas muito interessantes, que acontece em João Pessoa (PB). Já nasse arretado, com 2 dias de palestras, encerrando cada dia com um painel;
  • 09/11 - II Workshop de Tecnologia Eleitoral (WTE 2015) - Faz parte da programação do SBSeg, em Florianópolis (SC).

Para ver uma lista mais completa com todos os eventos de TI e de segurança no Brasil e os principais eventos no mundo, visite o site HackAgenda e a lista disponível em concise-courses.com. .

Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.

Notas:
  • Alguns eventos ainda estão sem data marcada: Sacicon, o Roadsec São Paulo e o GTS (evento que normalmente acontece em Dezembro).
  • Post atualizado em 20/10 com a data da BSides Chile.
  • Post atualizado em 02/09 com informações sobre a Co0L BSidesSP (17 e 18/10) e incluí uma pequena lista com alguns eventos novos na área de segurança, menos relevantes ou menos conhecidos.
  • Atualização em 08/09 para incluir referência ao RoadSec Pró no Rio de Janeiro.
  • Atualizado em 09/09 com a data do RoadSec São Paulo: 12/11 - data ainda não anunciada no site deles, neste exato momento. Incluí mais informações sobre o RoadSec São Paulo em 24/09.
  • Atualização em 14/10, com as informações sobre a Sacicon, que ocorrerá nos dias 22 e 23/10.
  • Post atualizado em 09/11 com informações sobre o GTS,
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.