agosto 31, 2015

[Cidadania] The Gender Unicorn

Durante o CCCamp um pessoal divulgou um infográfico que achei bem legal, que resume os diversos aspectos da sexualidade humana - e mostra que não existe apenas uma divisão simples entre homes e mulheres, entre homossexuais e heterossexuais. Entender esta diversidade de sentimentos e expressões ajudaria a aumentar o respeito entre as pessoas e diminuir o preconceito contra alguém que aparenta ser diferente da maioria.


Durante o CCCamp havia uma tenda para os "Queer Feminist Geeks", destinada justamente a abrigar discussões sobre diversidade e sexualidade. Vale a pena lembrar que a Defcon também hospeda, todo ano, uma atividade chamada de Queercon, um espaço para os hackers e nerds sem preconceito. São atividades bem interessantes, uma vez que a área de tecnologia é dominada pelo sexo masculino, e cada vez mais as mulheres tem se afastado da área de TI.


agosto 28, 2015

[Cyber Cultura] Os perigos das redes sociais e dos pais que não sabem educar seus filhos

Recentemente a Dra. Gisele Truzzi publicou um post em seu perfil no Facebook comentando sobre os aspectos negativos de um vídeo que começou a circular há pouco tempo aonde um ator se faz passar por um adolescente com o intuito de encontrar garotas de 12 a 15 anos para mostrar o potencial perigo das amizades virtuais.

Com o propósito de mostrar como é fácil para um pedófilo se aproximar de garotas inocentes através das redes sociais, ele criou um perfil falso como se gosse um garoto de 15 anos e entrou em contato com algumas garotas. Após conversas com elas pelo Facebook por alguns dias, o ator marcava um encontro, que era presenciado pelos pais - sem que as garotas soubessem.


Embora esta ação tenha como objetivo ajudar a conscientizar os adolescentes sobre os riscos de se encontrarem com pessoas que conhecem apenas pela Internet, a Dra. Gisele atentou para um lado muito triste de como o vídeo foi feito: a abordagem deles acaba colocando a culpa nas garotas - que, na verdade, são as vítimas disso tudo. Para piorar ainda mais a situação das garotas, os pais aparecem no vídeo gritando com elas, dando bronca, dizendo: "o que há de errado com você? Como você pode fazer isso?" A reação das garotas é chorar, enquanto ficam recebendo bronca - em vez de receber orientação ou apoio.

Por mais que seja importante comunicar aos jovens sobre os riscos existentes no mundo virtual, esta preocupação também é responsabilidade dos pais. São eles que devem educar, orientar e ajudar os jovens (garotas e garotos) sobre como utilizar com segurança a Internet e as redes sociais. E isso tem que ser feito com amor e carinho, e não na base do susto, do grito e do castigo.

A mensagem e as reflexões da Dra. Gisele são tão boas que eu prefiro transcrevê-las abaixo, do que tentar reescrever ou comentar ainda mais.
Está circulando por aí um vídeo em que um ator se faz passar por um adolescente, no intuito de encontrar garotas de 12 a 15 anos com as quais conversava há 3 ou 4 dias pelo Facebook, e então mostrar p/ elas e seus pais o quão perigoso esse desfecho poderia ser.

Ok, acho muito importante a mensagem do vídeo, que certamente, na base do susto, conseguiu chocar e talvez mostrar p/ essas garotas que elas estavam colocando-se em risco.

Mas faço a ressalva p/ um ponto que entendo que foi inadequado: a abordagem do vídeo, que ao meu ver, tenta colocar a culpa nas meninas.
Os pais aparecem gritando, dando bronca, dizendo: "o que VOCÊ pensa que está fazendo", e cenas nas quais a linguagem corporal me aparenta que as meninas é que são colocadas como as principais culpadas.

E eles, pais, não tem culpa pelo fato de suas filhas estarem ali?!
Por que esses pais acham que a culpa é única das filhas?...
Se eles tivessem conversado abertamente c/ suas filhas sobre isso, creio que elas não estariam ali...

Será que esses pais, ao chegarem em casa, conversam com seus filhos também sobre esse tipo de assunto? Tentam ao menos perceber se os filhos(as) estão passando por alguma fase de baixa auto-estima, depressão, bullying no colégio?...
Creio que não... Muito provavelmente, devem chegar em casa e todos permanecerem enfiados em suas telas de celulares, tablets e computadores, sem qualquer diálogo.

Então, se vc é pai ou mãe, pense nisso.
  • Vc está dando o exemplo que gostaria que seus filhos tivessem?
  • Vc sai da internet e conversa com sua família?
  • Vc desliga do mundo virtual e propicia momentos de interação real c/ sua família?
  • Vc fala c/ seus filhos sobre os riscos da exposição excessiva na internet, e sobre encontros c/ estranhos?
Caso sua resposta seja negativa p/ alguma dessas questões, então não vá exigir comportamento diferente de seus filhos, e culpá-los exclusivamente pelo ocorrido, se vc não propicia um ambiente de diálogo aberto em casa.
Nesses assuntos, sua omissão e seu comportamento tem grande parcela na culpa pelo incidente.

agosto 27, 2015

[Segurança] CCCamp 2015

Neste ano foi realizado o Chaos Communication Camp (CCCamp), um evento que acontece a cada 4 anos na Alemanha.


Esta edição do CCCamp aconteceu na semana seguinte a Defcon, de 13 a 17 de Agosto, em uma espécie de parque (uma antiga olaria) próxima a cidade de Zehdenick, distante cerca de 50 Km ao norte de Berlin. O local conserva alguma estruturas da antiga fábrica, o que deu um toque bem legal ao clima do evento, e possui muita área livre para o pessoal acampar - além de alguns lagos próximos que o pessoal usou para se refrescar durante o dia.

Antes de mais nada, quero deixar claro que o evento é realizado em um acampamento: portanto, esqueça coisas como conforto, salas com ar condicionado, coffee-break, quarto de hotel, banho quente, etc. Os participantes realmente acamparam no local, cada um levando a sua própria barraca, usando banheiros químicos e chuveiros coletivos, com água gelada. Sem nenhum conforto.


A energia do CCCamp foi extraordiária: um clima excelente de troca de conhecimento, confraternização, inovação e amizade. A decoração do evento, realizada pelos organizadores e até mesmo pelos participantes, também garantiam uma atmosfera bem empolgante - principalmente a noite, com a iluminação e os efeitos de luz espalhados pelo local.



A programação do evento foi formada por 2 trilhas principais de palestras, realizadas em duas grandes tendas montadas para isso - mas também havia o stream ao vivo de todas as palestras, com tradução simultânea para inglês (pois quase metade das palestras foram em alemão), assim ninguém precisava ir nas tendas para assistir a programação oficial. Também tiveram algumas oficinas, mas a grande maioria do pessoal ficava em grupos, nas diversas tendas montadas pelos próprios participantes. Uma grande parte das tendas eram de hackerspaces, que tiveram uma presença massiva no evento. Vários hackerspaces europeus montaram um espaço próprio, com barracas e tendas, aonde organizavam diversas atividades como palestras, oficinas, discussões e qualquer tipo de atividade aberto a todos os interessados.

As palestras iam até altas horas da noite, cerca de 23h, e em seguida o pessoal se dirigia para as tendas aonde haviam mais oficinas, debatas, palestras - além das festas. Normalmente eu ia dormir entre 5 e 6 da manhã, para acordar as 7:30 com o sol brilhando e fritando todos que estavam dentro das barracas.

O CCCamp contou com cerca de 4 mil pessoas, pelo que fiquei sabendo, e haviam cerca de 20 brasileiros no evento, entre eles alguns poucos profissionais de segurança, alguns membros e ex-membros de hackerspaces e alguns brasileiros que moram na Europa.

agosto 17, 2015

[Segurança] Defcon, carros e coisas

Se eu fosse resumir a Defcon de 2015 em um tópico principal, eu diria que este foi o ano das pesquisas de vulnerabilidades em carros e na "Internet das Coisas" (IoT).

Assim como acontece em todos os anos, os mais diversos assuntos são abordados na Defcon, muitos dos quais são novas idéias, linhas de pesquisa inovadoras ou vulnerabilidades reais que podem virar grandes problemas nos meses ou anos seguintes - e isso é o que mais me atrai para o evento. Mas, apesar da grande variedade de palestras e temas, todo ano é possível identificar alguns tópicos mais "quentes". No ano passado, certamente foi a questão do vigilantismo da NSA. Em 2012 foi o ano de se falar em hacktivismo e começarem as preocupações com sistemas SCADA.

Neste ano, me chamou a atenção a quantidade de ativisades relacionados a Hacking a sistemas embarcados e coisas e carros, ou  hacking automotivo  ("car hacking") e a dispositivos genéricos conectados a Internet ou em rede (a "Internet das coisas").

O mais legal foi que, além de palestras sobre este assunto, também tivemos duas Villages dedicadas, aonde o pessoal podia realizar palestras, oficinas e fuçar em equipamentos reais: a Car Hacking Village e a IoT Village.


Na Car Hacking Village, haviam dois carros disponíveis para serem hackeados pelos participantes, além de uma pequena área de palestras sobre o assunto e de um carro da Tesla em exposição. Havia uma mesa da Tesla Motors, mas o carro deles não estava disponível para o pessoal hackear - o que é perdoável frente ao fato de que a Tesla possui um programa de gratificação aos pesquisadores de segurança ("bug bounty") que paga até US$ 10.000 para bugs encontrados em seus carros.



Além de duas palestras sobre vulnerabilidades em carros, também teve uma palestra na Defcon sobre um pessoal que hackeou um skate elétrico e outra plaestra de dois pesquisadores que hackearam uma mira eletrônica de rifle. Uma das palestras sobre Car Hacking foi do Charlie Miller, que tomou total controle de um Jeep, conseguindo até mesmo controlar a direção, aceleração e frenagem de um carro em movimento.

Conversando com alguns amigos, nós estamos vendo que essa nova onda de embarcar sistemas conectados a Internet em qualquer coisa está trazendo graves problemas de segurança, e que mesmo hoje em dia muita coisa tem sido criada sem nenhuma ou quase nenhuma preocupação séria em segurança. O mundo dos sistemas embarcados está vivendo a mesma realidade que a Internet viveu na década de 90: pipocam dezenas de aplicações absurdamente vulneráveis, que podem ser exploradas por causa de vulnerabilidades muito básicas.

agosto 07, 2015

Páginas no Blog

Talvez o leitor mais assíduo tenha percebido que recentemente eu criei algumas páginas no meu blog - um recurso do Blogger que eu ainda não tinha usado até então.


A minha idéia é colocar lá algum tipo de conteúdo mais atemporal, e por isso já criei as seguintes páginas:
  • Quotes: Algumas frases especiais escolhidas por mim, de minha preferência. Para usar em vários momentos ;)
  • Piadas Nerd: Algumas piadas curtas que os nerds vão adorar - e algumas pessoas talvez não entendam;
  • Palestras: Uma lista parcial das palestras que já dei até hoje em eventos;
  • Sobre mim: Uma pequena mini-bio minha, para ajudar aquelas pessoas que não me conhecem;
  • English: Informações sobre a não-existência de uma versão em Inglês do meu blog.

Algumas destas páginas estão em constante atualização. Além delas, eu ainda estou preparando algumas outras páginas. Em algum momento no tempo elas serão publicadas ;)

agosto 05, 2015

[Segurança] Hotel da Defcon

Hospedar a Defcon, a maior conferência hacker de todo o mundo, não deve ser uma tarefa fácil para nenhum hotel. É o que mostra o memorando do hotel Alex Park, que circulou em 2001, e que foi resgatado pelo Anderson Ramos.


Entre outras coisas, o fax diz que os funcionários devem ficar de olho em coisas como;

  • Desaparecimento de telefones públicos ou caixas eletrônicos,
  • Surgimento de novos telefones públicos ou caixas eletrônicos na área do hotel
  • Animais de fazenda

Não sei se o memorando é real (isto é, foi escrito mesmo pela administração do hotel) ou se conseguiram hackear o fax deles e mandar essa nota. Em se tratando da Defcon, tudo é possível. Em uma das primeiras Defcons que eu fui, ainda no Hotel Riviera, lembro que sumiram com o piano que ficava no bar do hotel aonde foi a festa do evento.

agosto 04, 2015

[Segurança] Cyber Ameaça do Momento: Hackear coisas e Vender dados na Internet

Basta olhar as notícias do momento para saber quais ciber ataques mais assustam os Brasileiros e os Americanos. E, acredite, cada um tem medo de ameaças diferentes - parte do motivo é causado pelo abismo tecnológico que ainda nos separa.

No Brasil, de repente todo mundo começou a ter medo de...

Sites que vendem dados pessoais


Recentemente sairam dezenas de notícias sobre o site "tudosobretodos.se", aonde podemos buscar pelos dados pessoais de alguém baseado no nome ou CPF da pessoa. Mas o pior é que isso não deveria ser nenhuma novidade !!! As pessoas estão com medo do fim de uma privacidade que nunca tiveram !!!



Até o Ministério Público foi chamado para derrubar esse site. Há poucos meses atrás tivemos o mesmo desespero por conta do site NomesBrasil.com. No ano passado se falava muito do site fonedados.com (que ainda está ativo). Aqui no Brasil colecionamos histórias de dados pessoais sendo vendidos no mercado negro ou em locais como a Rua Santa Ifigênia, tradicional ponto em São Paulo para compra de eletrônicos, computadores feitos em casa e computadores velhos, além de lar de camelôs vendendo softwares pirata. Em 2013 o SBT já fez uma série de reportagens sobre o comércio de informações por lá - repeteco de reportagens de 2008, 2009 e 2010. Isto tudo acontece porque é muito facil roubar estes dados - seja através de bases expostas online ou pelo vazamento de dados por parte dos próprios funcionários.

Enquanto nós estamos preocupados com a venda de nossos dados online, os americanos tem outra ameaça cibernética para tirar o sono deles:

Hackear sistemas embarcados e IoT


Jé tem gente hackeando jipes, aviões e até mesmo a mira eletrônica de rifles. E, neste momento, discute-se os limites éticos para a criação de robôs autônomos de uso militar. Ou seja: Tudo que pode ser automatizado pode ser hackeado !!!

agosto 03, 2015

[Segurança] Mini FAQ: BSides Las Vegas e Defcon

Nem todo mundo tem paciência de ler a longa série de dicas sobre a Defcon que já publiquei, e recentemente ouvi alguma sperguntas repetidas. Por isso, aqui vai esse mini-FAQ...

Que tipo de roupa usar na Defcon?
O dress code da Defcon é bem simples: Camiseta de nerd, preta (tais como camisetas de eventos, frases relacionadas a área, etc), bermuda e tênis - ou mesmo chinelo. Também vale ir fantasiado, ou de sobretudo, com cabelo colorido (sempre tem uns cabelereiros fazendo moicano e pintando o cabelo da galera em troca de doação para a EFF), saia (kilt ou não), etc.
O mesmo dress code se aplica para a BSides Las Vegas.
Mas, se você for na Black Hat, eu sugiro roupa mais casual: calça comprida (jeans ou sarja) e camiseta polo.

Preciso levar camisa social e sapato?
Por conta da Defcon, não. Nem mesmo para ir nas festas da Defcon e Black Hat (que são as festas organizadas pelos patrocinadores da Black Hat). Nelas, você pode ir com a mesma roupa que estava no evento, incluindo a bermuda e o chinelo. Mas se você pretende ir nas baladas de Vegas por sua conta (ou seja, fora dos horários das festas), o dress code é mandatório e os seguranças das baladas são muito chatos com isso: calça comprida, camisa social (ou polo) e sapato (ou sapatenis - obrigatoriamente preto). Por isso, sugiro sempre ter um sapato, calça comprida e camisa no porta-malas do carro, pois você nunca sabe quando vai emendar uma festa da Defcon com uma balada.

Como é a temperatura? Faz calor?
Las Vegas fica num deserto. Logo, faz muito calor, o tempo todo. Nas poucas vezes que chove, por pouco que a água não evapora antes de tocar o solo. Por isso, traga roupas leves. Mesmo ficando a maioria do tempo no evento, dentro dos cassinos, o ambiente é climatizado mas o ar condicionado é bem ameno.

Como faço para conseguir ingresso para a BSides Las Vegas?
Se você não for um palestrante ou voluntário, a única forma é comprar online através da página de doações. ou seja, você tem que doar, dentro da categoria que estiver disponível.
Desde o ano passado (2014) o pessoal da BSidesLV não faz mais inscrição para o evento. Basta aparecer na porta do evento, pegar um crachá e entrar. Mas os crachás são limitados, então se você corre o risco de não entrar no evento se eles tiverem acabado. Por isso, você deve amanhecer na fila no primeiro dia de evento. Há três formas de garantir o seu crachá com antecedência: fazendo uma doação para o evento, se registrando como voluntário ou hospedando no hotel do evento (Tuscany), utilizando o código do evento (que também dá desconto na hospedagem), o que dá direito a 2 crachás por quarto.

É preciso ir cedo se registrar na Defcon?
Precisar não precisa. Mas quem deixa para mais tarde corre o risco de ficar sem crachá. O crachá da Defcon é sempre um ítem interessante, que em vários anos foi feito com eletrônicos e pode ser programado e hackeado (tem até um concurso para premiar quem faz o melhor hacking do crachá). Também é um item de colecionador para alguns. Mas é comum acontecer deles fazerem menos crachás do que a quantidade de participantes, por isso quem se inscreve por último corre o risco de ficar sem o crachá legal (vai ganhar um crachá de papelão, bem brochante). Por isso, a melhor sugestão é comprar online ou chegar bem cedo para se registrar na Defcon no primeiro dia (na 5a feira) e encarar a fila gigantesca.

Quais são os melhores dias da Defcon?
A Defcon vai de 5a-feira a Domingo, mas a 6a-feira e o Sábado são os dias principais e mais cheios do evento (cheios de atividades e de pessoas). Na 5a-feira é feito o registro e tem poucas atividades, pois o dia é dedicado a duas trilhas "101", com assuntos mais para iniciantes. Talvez você possa aproveitar um pouco mais se tiver algumas villages já abertas. Vale a pena aproveitar esse dia para conhecer o evento, comprar bugiganga na lojinha e assistir alguma palestra eventualmente. O Domingo também é meio morto, pois a maioria dos participantes aproveitam esse dia para viajar de volta (muito comum principalmente entre os americanos) e o período da tarde, a partir das 15h, é dedicado apenas para a cerimônia de encerramento.

Post atualizado em 15/07/2017 e 25/07/2023.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.