Páginas

setembro 30, 2015

[Carreira] Conhecimento e Insegurança

Em uma discussão recente sobre um texto do Danilo Vaz sobre "cursos de hacker", o Ygor DMR comentou de "um estudo fodastico" (nas palavras dele mesmo, e que sou obrigado a concordar) chamado de efeito Dunning-Kruger que, segundo a Wikipedia, descreve o comportamento de indivíduos com pouco conhecimento sobre um assunto, mas que acreditam saber mais que outros mais bem preparados.

Essa sensação de "superioridade ilusória" faz com que tais pessoas tomem decisões erradas e cheguem a resultados indevidos, porém esta incompetência os impossibilita de reconhecer os próprios erros. Ou seja, tais pessoas acreditam que estão certas sobre seus pontos de vista, mesmo estando erradas.

Em seu estudo, publicado no Journal of Personality and Social Psychology em dezembro de 1999, Justin Kruger, David Dunning e Soullesz propuseram as seguintes hipóteses:
  • Indivíduos incompetentes tendem a superestimar seu próprio nível de habilidade;
  • Indivíduos incompetentes não reconhecem habilidade genuína em outros;
  • Indivíduos incompetentes não reconhecem o grau extremo de sua inadequação;
  • Se treinados substancialmente para melhorar seu nível de habilidade, estes indivíduos serão capazes de reconhecer e admitir sua prévia falta de habilidade.

Em poucas palavras, o efeito Dunning-Kruger mostra que a "ignorância, com mais frequência do que o conhecimento, gera confiança".

Há também o efeito contrário, de "inferioridade ilusória" - chamado também de "Síndrome do Impostor". Isto aparece quando pessoas competentes tem crise de autoconfiança e tornam-se incapazes de reconhecer e acreditar nas suas próprias competências. Consequentemente, acham que não são tão capacitados e subestimam suas próprias habilidades. Até mesmo as provas de sucesso são desmerecidas e são tratadas como resultado de simples sorte, e acreditam que seu sucesso ou competência são nada menos do que fraude.

Isso pode ser facilmente visto ao nosso redor, em diversos profissionais competentes que conhecemos, mas que não tem segurança para se expor escrevendo um artigo ou apresentando uma palestra na área que dominam.

Por um lado, eu acredito que esse comportamento de insegurança se justifica parcialmente pelo fato de que, quanto mais dominamos um determinado assunto, mais conhecemos a nossa limitação frente a complexidade de tal tema. Ou seja, o conhecimento traz, como consequência, a visão do quanto somos limitados e quanto ainda temos que aprender.

[Segurança] Crimes na Internet

A recente edição do programa Profissão Repórter, da TV Globo, abordou os diferentes tipos de crimes na Internet: os ciber crimes com objetivo financeiro, crimes de violação da intimidade, de ódio e promoção da intolerância.

O programa descreveu vários tipos de crimes, ilustrados com exemplos reais:
  • Compras fraudulentas online, com uso de cartões de crédito roubados, usando perfis falsos e laranjas para receber as mercadorias;
  • Quadrilhas especializadas em diversos tipos de crimes financeiros online: transferências fraudulentas de contas, pagamentos de boleto, compras online, clonagem de cartão, pagamento de contas de luz, de aluguel e de produtos comprados online, sempre com cartões clonados ou a partir de contas correntes invadidas;
  • Crime de ódio: comentários ofensivos realizados online por causa de etnia, raça, religião, grupo social, gênero, orientação sexual ou origem da vítima;
  • Invasão de privacidade: O crime mais comum é a exposição de fotos íntimas na Internet, normalmente direcionadas a mulheres, aonde as fotos são roubadas ou compartilhadas como forma de vingança de uma ex-namorada. A reportagem cita dois casos muito tristes:
    • Uma comunidade online, chamada "Ousadia e Putaria", foi criada por moradores da cidade de Encantado (RS) para compartilhar imagens íntimas das meninas da cidade, incluindo menores de idade. O pior é ver a criminalização das vítimas: adolescentes entrevistados pela reportagem acreditam que as garotas agiram errado - além de existir comentários online ofendendo as garotas;
    • Em Veranópolis (também no Rio Grande do Sul), a publicação de fotos íntimas de uma jovem terminou em tragédia no final de 2013: o rapaz, de 17 anos, conversava via Skype com uma garota, Giana Fabi de 16 anos, quando pediu para que ela mostrasse os seios na webcam. Em seguida, ele tirou uma foto da imagem na tela e compartilhou com os amigos. Dias depois, Giana se matou dentro de casa.
A reportagem deu bastante destaque na atuação da polícia no combate aos crimes cibernéticos, e citou também o trabalho de profissionais de segurança, entrevistando o Fernando Mercês.


A reportagem também falou sobre a atuação da ONG Safernet, que mantém um site para receber denúncias anônimas de crimes contra os direitos humanos na Internet. Em 2014 eles receberam 104 mil denúncias de crime de ódio na Internet, que ajudaram a remover da web 2.400 sites com conteúdo ofensivo.

Ainda sobre o tema da invasão de privacidade de jovens adolescentes, é fácil encontrar manifestações culpando as vítimas, como se as garotas tivessem culpa de suas imagens íntimas terem sido divulgadas por terceiros. As mulheres que fazem isso são taxadas de "safadas", e os homens são idolatrados e elevados a categoria de "garanhões" :(

O próprio site do Profissão Repórter tem um comentário que mostra esta mentalidade machista e distorcida:



Ou seja: se a garota compartilha uma foto íntima com seu namorado, ou tem sua foto roubada do celular, ela é "safada". O pio ré ver que a maioria apóia este tipo de comentário (11 "likes" contra 8 "dislikes").

Na minha opinião, o correto seria ninguém tirar foto íntima própria, e ponto final. Se nã quer que alguém veja, não fotografe - simples assim. Isso evitaria esses casos citados na reportagem e até mesmo o problema enfrentado neste exato momento pelo ator global Stenio Garcia, que "está poluindo a Internet" com o vazamento de suas fotos nu ao lado da esposa. Mas essa seria uma solução tão simples que é até ingênua. Outro aspecto importante é citado no final da reportagem, no depoimento de uma mãe: se a alguém recebe uma foto íntima de outra pessoa, ela deveria simplesmente apagar isso, e jamais compartilhar.

Infelizmente acredito que vamos continuar vivenciando essas cenas por muito tempo, pois nada me faz acreditar que as pessoas vão parar de se fotografarem e muito menos que vão começar a respeitar o próximo a ponto de não compartilhar esse tipo de conteúdo.

setembro 28, 2015

[Segurança] Estatísticas de fraude online

O site Raconteur e o estudo "True Cost of Fraud" da empresa LexisNexis trouxeram algumas estatísticas recentes sobre fraudes online:
  • A fraude representa 1,32% da receita do comércio;
  • Já a fraude no e-commerce representa 1,68% da receita;
  • Aproximadamente metade (46%) das transações suspeitas no comércio são analisadas manualmente;
  • A indústria aérea perde US$ 1 Bilhão com passagens compradas com cartões de crédito roubados;
  • 40% das fraudes são realizadas na plataforma móvel;
  • 90% de chance de qua alguém vá clicar em uma mensagem de phishing;
  • A fraude em cartão de crédito representa US$ 16 Bilhões em todo o mundo;
  • 43% dos roubos de dados aconteceram na indústria de Saúde (o mais novo alvo dos ciber criminosos em todo o mundo).


setembro 23, 2015

[Cyber Cultura] Biohackers Exportação

O portal G1 publicou uma notícia sobre um grupo de estudantes de graduação e mestrado da Universidade de São Paulo (USP) que pretende ser a primeira equipe Brasileira a participar da Biomod, uma competição de biologia sintética que acontecerá em Novembro em Boston, organizada pelo Wyss Institute da Universidade Harvard.



O grupo lançou uma campanha de financiamento coletivo no Catarse para tentar arrecadar dinheiro suficiente para comprar os equipamentos do projeto e pagar os custos (incluingo inscrição e viagem). Em cinco dias de campanha eles já ultrapassamos a meta inicial de arrecadação, de R$ 7 mil. Por isso, eles estão com esperança de atingir 10 ou 15 mil reais no total, o que cobrirá os custos da viagem.


O mais legal nem é o fato do grupo ser muito interdisciplinar, formado por 10 jovens dos cursos de Química, Física, Ciências Biomédicas, Física Biomolecular, Arquitetura, Design e Ciências Sociais. O legal mesmo é que uma parte das pessoas desse time são frequentadores assíduos do Garoa Hacker Clube, e há vários meses eles organizam um encontro semanal sobre Biohacking no Garoa, sempre as segundas-feiras. Ou seja, qualquer pessoa interessada pode chegar junto e apreender com eles, através do Garoa.

setembro 21, 2015

[Cyber Cultura] Os 12 Trabalhos do Hacker

Para criar um cartaz da décima segunda edição da Co0L BSidesSP (que será nos dias 17 e 18 de Outubro), decidimos usar coo tema "Os 12 Trabalhos do Hacker".

E quais seriam eles? Na nossa opinião...
  1. Encriptar seus e-mails
  2. Abrir um cadeado com seu kit de Lockpicking
  3. Criar um programa em Python
  4. Programar um Arduino
  5. Montar um robô seguidor de linha
  6. Ter o Wireshark, Nmap e Metasploit no seu notebook
  7. Beber uma cerveja feita por você mesmo
  8. Disputar um Capture The Flag (CTF)
  9. Frequentar um Hackerspace
  10. Colaborar com projetos Open Source
  11. Fazer engenharia reversa de um malware
  12. Participar da Co0L BSidesSP v12

As inscrições para a próxima Co0L BSidesSP já estão abertas e são gratuitas. A Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP) é uma mini-conferência sobre segurança da informação e cultura hacker organizada por profissionais de mercado com o apoio do Garoa Hacker Clube. A C0oL BSidesSP ocorrerá nos dias 17 e 18 de Outubro de 2015 (sábado e domingo do final de semana anterior a  H2HC), com diversas atividades simultâneas, incluindo duas trilhas de palestras técnicas, oficinas, e competições.


setembro 18, 2015

[Cyber Cultura] "Be excellent to each other"

O lema "Be excellent to each other" faz parte da cultura dos hackerspaces e está presente em vários espaços, eventos e atividades de diversos hackerspaces em todo o mundo. Ele pode ser encontrado na parede do Noisebridge (o hackerspace de São Francisco), na contra-capa do Passaporte Hacker e até mesmo no Manual do Associado do Garoa. Também era frequetemente ouvido durante o CCCamp, realizado há poucas semanas atrás na Alemanha.

O espírito da mensagem é que cada um de nós deve se esforçar para ser o melhor possível no relacionamento com os outros - algo extremamente importante quando vivemos em comunidade, uma vez que é o espírito de respeito, união e cooperação que mantém uma comunidade coesa.

Esse lema faz parte da cultura dos hackerspaces e é uma referência ao filme "Bill and Ted's Excellent Adventure", de 1989, que tem uma passagem aonde os personagens principais soltam esta frase.



Nas palavras do Mitch Altman, um dos fundadores do Noisebridge, este é “Um ótimo conselho em um filme ruim”.

É importante lembrar também que o princípio de "be excellent to each other" se aplica nos dois sentidos: devemos respeitar a todos e devemos ser igualmente respeitados. De nada adianta cobrar este princípio dos demais frequentadores do hackerspace se você mesmo não o segue.

Esse é o espírito central dos hackerspaces, valorizando o fato de que todos são co-responsáveis por manter um ambiente saudável, respeitando sempre o próximo. Infelizmente, nós no Garoa Hacker Clube ainda não encontramos uma tradução adequada para essa frase, que faça justiça com sua grandeza.

setembro 16, 2015

[Segurança] Segurança em tempos de crise

No final do Global Risk Meeting (GRM) eu participei de um painel aonde discutimos, entre outras coisas, o impacto da crise econômica na área de segurança. Na ocasião eu comentei pouco sobre o assunto, pois fui pego de surpresa pelo tema, mas desde então comecei a pensar melhor nos vários aspectos em que somos afetados.

Para pensar nos impactos que uma crise econômica podem causar na área de segurança, gostaria de basear a minha linha de raciocínio nos impactos que ela causa no negócio e na sociedade, a partir daí, como isto se reflete na área de segurança.

Durante períodos de crise, como a crise político e econômica que vivemos atualmente no Brasil, qual é a reação das empresas (riscos internos) e qual é o potencial impacto na sociedade (riscos externos)?

  • Câmbio desfavorável e redução de investimento em TI e SI: devido a nossa grande dependência tecnológica, a grande maioria dos equipamentos e soluções de TI e de segurança são importadas. Desta forma, a desvalorização do real pode causar grande impacto na capacidade de investimento das empresas em tecnologia. Afinal, o custo de aquisição de novos equipamentos (hardware e software) tende a crescer proporcionalmente ao Câmbio. Uma empresa que fez a sua estimativa de orçamento para 2015 no ano passado, quando o dólar estava a R$ 2,35, enfrentou uma redução inesperada na sua capacidade de investimento, agora que o dólar está a R$3.81 (seria como se o budget tivesse sofrido um corte de quase 30%). Além disso, um mês que a empresa postergue uma decisão de compra pode fazer com que um projeto seja cancelado pelo aumento no valor do produtoimportado, a ponto de não caber mais no budget. Ou seja: menos investimento, projetos parados, equipamentos e infra-estrutura desatualizadas, não conseguindo acompanhar a necessidade de negócio;
  • Incertreza econômica, desaceleração nas vendas e redução de despesas: uma crise pode causar forte impacto nas vendas das empresas, obrigando a redução de custos e cortes nas empresas, o que pode causar paralisação nos investimentos e adiamento de novos projetos. Além disto, diante da incerteza as empresas tendem a tomar uma postura mais conservadora, preventiva, evitando gastos e cortando custos. Novos projetos podem ser engavetados, a espera de tempos melhores. Isso se aplica, principalmente, para as áreas não voltadas diretamente ao core business da empresa - ou seja, áreas administrativas e de infra-estrutura de TI podem ser as primeiras a sofrer cortes de orçamento. Você queria atualizar o seu Firewall? Xi, talvez só no ano que vem...
  • Redução de pessoal e aumento no risco do fator humano: demissão é uma das ações mais comuns para redução dos custos, uma vez que parte significativa das despesas de qualquer empresa vai para a folha de pagamento. Nestas horas,as empresas que tem "gordura" aproveitam para demitir os empregados que tem pior performance. Outras podem ser obrigadas a cortar bons funcionários, além de congelar qualquer processo de contratação que não seja essencial ao negócio. O impacto na redução do quadro de pessoal pode ser facilmente sentido com colaboradores mais sobrecarregados e desmotivados (o que potencializa problemas e incidentes causados por falha humana em função de fadiga e stress), ou empregados menos comprometidos com a empresa (o que, no extremo, pode estimular alguns empregados a agirem de forma desonesta, fraudando a empresa - nem que seja para compensar a redução no contra-cheque causada pelo congelamento das horas extras, por exemplo);
  • Aumento do desemprego e da criminalidade: um súbito aumento do desemprego pode forçar uma parcela desempregada a partir para o crime, como forma extrema de garantir sua subsistência - crimes de pequeno (como roubar um pacote de macarrão no mercado) ou grande porte. Além do aumento de roubos e fraudes, profissionais desempregados com formação em tecnologia podem optar por participar de esquemas de fraudes online, uma vez que esta é uma modalidade de fácil acesso para uma pessoa capacitada em TI e que pode representar grandes ganhos financeiros a curto prazo com um risco muito menor do que comparado com o crime tradicional. Crimes cibernéticos como phishing, fraude em Internet Banking e e-commerce, roubo de dados e esquemas de ciber extorsão podem aumentar;
  • Problemas econômicos e sociais causando aumento de protestos: Atualmente, um aumento de protestos contra os governos é facilmente acompanhado de ações hacktivistas. Desta forma, a insatisfação popular quanto ao governo vigente e com crise econômica pode causar um aumento de ataques de DDoS e roubo de dados contra empresas e órgãos de governo - principalmente contra empresas que podem ser associadas de alguma forma ao grupo governante (por exemplo, empresas que participaram de esquemas de financiamento de campanha ou empresas associadas a projetos governamentais, tais como a patrocinadoras dos Jogos Olímpicos). Em todo o mundo, empresas do setor financeiro são normalmente associadas aos problemas econômicos e vistos como causadores e beneficiadas pela crise, o que as tornam alvo constantes de protestos (isto aconteceu no auge da crise financeira Européia).

Os exemplos acima mostram como um cenário de crise pode causar diversos impactos nas empresas e podem influenciar o cenário de riscos. Não podemos negar que uma crise econômica pode influenciar negativamente a área de segurança em vários aspectos, principalmente na sua capacidade de investimento e no aumento dos riscos internos e externos.

setembro 14, 2015

[Geek] 12

Nos dias 17 e 18 de outubro teremos a décima segunda edição da Co0L BSidesSP.

Fazendo o brainstorm sobre o significado do número 12 na cultura popular, caí na página da Wikipedia sobre esse número, aonde encontrei alguns fatos curiosos:
  • Doze pessoas andaram na Lua
  • O número de teclas de função na maioria dos teclados de PC (F1 a F12)
  • Número de teclas em qualquer telefone digital padrão (de 0 a 9, * e #)
  • Número de álbuns de estúdio lançados pela banda The Beatles
  • A Távola Redonda do Rei Arthur tinha 12 cavaleiros, mais próprio Rei Arthur. Segundo a lenda, Arthur subjugou 12 príncipes rebeldes e venceu 12 grandes batalhas contra os invasores saxões
  • O corpo humano tem doze nervos cranianos
  • O zodíaco ocidental tem doze signos, assim como o zodíaco chinês
  • Na antiguidade existem inúmeros exemplos do numeral 12 na mitologia e religião:
    • Na Grácia antiga, doze eram os principais deuses do panteão e Hercules teve que realizar doze trabalhos
    • O Deus nórdico Odin teve 12 filhos
    • Na Bíblia, Jacó teve 12 filhos, que eram os progenitores das Doze Tribos de Israel
    • O Novo Testamento descreve doze apóstolos de Jesus; quando Judas Iscariotes caiu em desgraça, foi incluído São Matias para completar o número de doze.


setembro 11, 2015

[Cidadania] 11 de Setembro

Hoje é o 14o aniversário do ataque terrorista de "11 de setembro", que ficou marcado na memória de todos pela queda das Torres Gêmeas do World Trade Center (WTC), em Nova Iorque.


Pensei em destacar dois aspectos interessantes sobre esta data, para reflexão de todos:
  • É incrível como um único incidente alterou de forma tão dramática a história e a vida de tantas pessoas. O mundo pós-11 de setembro é, definitivamente, um mundo diferente, assombrado pelo medo do terrorismo internacional e dominado pelo excesso de vigilantismo e medidas de segurança ao nosso redor (muitas das quais são pouco eficientes para evitar um ataque terrorista; não passam de um "teatro da segurança");
  • Este foi um acontecimento tão marcante a ponto de ser um daqueles raros casos em que todos que vivenciaram este dia sabem dizer aonde estavam e o que estavam fazendo. Eu, particularmente, estava trabalhando, em uma reunião, e quando saímos da reunião, os colegas de trabalho estavam grudados na TV - era o momento em que as duas torres estavam em chamas, ainda de pé. Assistimos, transtornados, as imagens ao vivo das torres caindo. Sentimos a angústia de não saber o que estava acontecendo, porquê e o que poderia acontecer em seguida.

1000 posts

Com este post, eu alcanço a marca de 1000 artigos e textos escritos nesse blog.

Pouco mais de 2 meses após comemorar 10 anos de blog, alcanço mais uma marca numerologicamente comemorativa.



Nesses últimos 10 anos e 1000 posts, escrevi um pouco de tudo relacionado a área de Segurança da Informação, além de alguns palpites sobre cultura nerd/geek, carreira, e alguns outros assuntos diversos. Para mim, este blog é um hobby e uma forma de compartilhar um pouco do meu conhecimento e de minhas opiniões.

setembro 10, 2015

[Cyber Cultura] Como Os Yuppies Hackearam a Ética Hacker

O Pedro Belasco traduziu para o português o excelente artigo entitulado "The hacker hacked".

O artigo faz uma ótima análise das transformações que a Cultura Hacker sofreu desde a sua origem, quando passou a ser associada ao ciber crime nos anos 70, 80 e 90, até os dias atuais, aonde o termo hacker passou a ser associado a inovação na área tecnológica. Esse processo de renascimento da cultura hacker, de um movimento contracultural e desobediente para um conhecimento associado a novas formas de utilizar a Internet, foi motivado pela grande demanda criativa das startups de tecnologia.

Como o artigo é muito longo, resolvi transcrever abaixo os principais trechos.
[John] Draper foi um dos primeiros phreakers, um grupo bastante variado de curiosos fanfarrões inclinados a explorar e se aproveitar de falhas no sistema para obter acesso sem custo. Aos olhos da sociedade convencional, estes phreakers não passavam de jovens galhofeiros e desocupados. Contudo, seus feitos foram incorporados ao folclore da cultura hacker contemporânea. Em 1995, durante uma entrevista, Draper disse: “Eu estava mais interessado em descobrir como o serviço de chamadas pelo telefone funcionava, por curiosidade. Não tinha nenhuma intenção de dar calote e roubar o serviço.”
(...)
Hackers acreditam que lições essenciais podem ser aprendidas sobre os sistemas – e sobre o mundo – ao separar suas partes, entender como funcionam e usar esse conhecimento para criar coisas novas e ainda mais interessantes.
Apesar de sempre alegar inocência, é evidente que a curiosidade de Draper era essencialmente subversiva. Ela representava uma ameaça às hierarquias de poder dentro do sistema. Os phreakers tentavam revelar a infraestrutura de informação, e ao fazer isso demonstravem um descaso calculado pelas autoridades que dominavam essas estruturas.
(...)
Esta dinâmica não é exclusiva da Internet. Ela está presente em vários outros aspectos da vida. Por exemplo, os pranksters (pregadores de peça, n.t.) que se metem com as empresas ferroviárias ao travar catracas, deixando-as abertas para os demais usuários. Talvez eles não se enxerguem como hackers, mas eles trazem consigo uma ética de desdém pelo sistema que normalmente permite pouca margem de liberdade ao indivíduo comum. Esses tipos de subculturas semelhantes a dos hackers não necessariamente se enxergam em termos políticos. Ainda sim, eles compartilham uma tendência em comum, no sentido de uma criatividade rebelde que almeja um crescimento do poder de ação dos menos favorecidos.
(...)
Hackear então, poderia ser considerada uma prática com raizes muito profundas – primária e originalmente humana tal qual a própria desobediência. (...)
O impulso de ação do Hacker é sempre crítico. Ele desafia, por exemplo, as ambições corporativas.
(...)
O hacker é ambíguo, especializando-se em sobrepassar os limites estabelecidos, incluídas aí as linhas de batalha ideológica. Trata-se de um espírito evasivo, subversívo, e difícil de classificar. E, sem dúvida, ao invés de apontar para algum fim específico reformista, o espírito hacker é uma “maneira de ser”, uma atitude em relação ao mundo.
(...)
Uma figura investida de poder econômico, como um industrial, por exemplo, depende de um sistema de controle sobre seu capital e seus meios de produção. A atitude de um ativista Ludista seria destruir este sistema durante um momento de revolta. O hacker, por sua vez, procura compreender e explorar os sistemas de proteção, e modificá-los para que se auto-destruam, ou reprogramá-lo para frustar as intenções dos que detém o controle sobre eles, ou ainda criar meios de acesso ao mesmo tipo de sistema para os que originalmente não detém este controle. A ética hacker é portanto uma complexa composição da curiosidade exploratória, uma atitude desviante de revolta, e inovação criativa em face aos sistemas de controle com os quais se opõe. Esta ética emerge de uma combinação destas três atitudes.
A palavra Hacker passou a ser usada na acepção corrente a partir da era da Tecnologia da Informação (TI) e da computação pessoal. O subtítulo do livro de Steven Levy – Heroes of the Computer Revolution – imediatamente situou os hackers como os cruzados da cultura geek da era dos computadores pessoais. Enquanto alguns aspectos desta subcultura eram bastante amplos – como “Desconfiança nas autoridades” e “promover descentralização” - outros eram muito centrados no universo semântico e terminlógico da tecnologia da informação. “É possível criar arte e beleza a partir de computadores”, dizia um, e “Toda informação deve ser de livre acesso”, declarava outra.
(...)
Já nas mãos da mídia sensacionalista, o ethos (forma de agir) do hacker é frequentemente reduzido ao ato de explorar brechas de segurança e ganhar acesso a sistemas fechados. De alguma forma, então, os computadores foram associados à formação da imagem do hacker, pelo menos no imaginário popular. Mas ao mesmo tempo, também foram a sua ruína. Se o imaginário popular não tivesse associado a imagem do hacker de forma tão forte ao universo da TI, seria difícil acreditar que essa imagem demoníaca tivesse sido tão facilmente criada, ou que pudesse ser, como foi também, tão facilmente destituído dessa caracteristica ameaçadora.
(...)
A construção dessa imagem do “hacker do bem” se realizou de formas inesperadas, pois em nosso mundo computadorizado vimos também a emergência de um tipo de indústria agressivamente competitiva dotada de uma busca obssessiva por inovação. Este reino das chamadas startups, ou um tipo muito específico de empresas voltadas para inovação em tecnologia, dos capitalistas afeitos a investimentos de alto-risco e altos retornos, e de reluzentes departamentos de pesquisa e desenvolvimento tecnológico de grandes companhias. E justamente ali, em meio a subculturas como a encontrada no Vale do Silício na Califórnia, que encontramos este espírito rebelde do hacker sucumbindo à única força que pode potencialmente matá-lo: a gentrificação. [processo de pacificação de ameaças nebulosas e sua transformação em dinheiro]
(...)
Estamos testemunhando o processo de gentrificação da cultura hacker. O hacker inicial, contracultural e desobediente, tem sido pressionado a colocar-se a serviço de uma classe empreendedora capitalizada. Este processo começa inocentemente, sem dúvida. A associação desta ética hacker com as startups começou a acontecer como parte de um autêntico ímpeto contracultural de nerds excluídos do sistema em inventar novas formas de utilizar a internet. (...)
(...)
Esta forma ambígua de pensar flui em direção a uma cultura corporativa predominante, com o crescente número de eventos corporativos organizados sob a foma de ‘hackatons’ (ou maratonas de hacks). (...)
(...)
Neste contexto específico, a ética hacker é resumida a um tipo de ideologia do ‘solucionismo’, (...) a visão de mundo da indústria contemporânea da tecnologia como uma série de problemas aguardando por soluções (lucrativas).
(...)
O espírito não-gentrificado do hacker deve ser um bem comum acessível a todos. Este espírito pode ser observado nas fissuras marginais da nossa sociedade em todas as partes Ele está presente nas formas emergentes de produção descentralizadas, e na cultura do faça-você-mesmo, nos hackerspaces e nas fazendas urbanas. Nós podemos observá-lo na expansão dos movimentos Open (Open Software, Open Hardware, Open Data, que traduzem para o português como Software Aberto ou numa expressão mais radical libertária como Software Livre, Hardware Livre, Dados Abertos), desde o hardware aberto, até os laboratórios abertos de biotecnologia, e os debates em torno das famigeradas impressoras 3D como uma forma de estender o conceito de código-aberto para o domínio da manufatura. Em um mundo com um crescente número de instituições econômicas grandes e sem mecanismos de controle social, precisamos como nunca deste tipo de atitude de resistência cotidiana.

E o artigo conclui, brilhantemente:
O ato de hackear, em meu ponto de vista, é uma rota para esquivar-se das algemas do fetiche do lucro, não um caminho para elas.

setembro 09, 2015

[Segurança] Guarda de documentos

Provavelmente todos os profissionais de segurança sabem descrever de cor o ciclo de vida da informação e conseguem recitar uma política de classificação e de tratamento da informação.

Mas, durante toda a minha carreira, eu vi muitos poucos profissionais da área se preocupando com o tempo de guarda dos documentos da empresa. Me parece que a maioria do pessoal de SI pensa que informação restringe apenas aos logs, aos arquivos no file server e aos bancos de dados das suas empresas. Mas, e os contratos, livros e documentos fiscais, além de outros documentos em papel, que uma empresa produz alucinadamente todo o dia? E os dados dos sistemas de produção, que muitas vezes podem ser regulados diferentemente para cada setor? As empresas de Telecomunicações, por exemplo, tem que guardar todos os registros de chamadas e dados de clientes por, no mínimo, 5 anos, segundo a Anatel (parágrafo XXII do Artigo 10 do Regulamento do Serviço Móvel Pessoal – SMP).

Certa vez, a matriz de uma empresa aonde eu trabalhei decidiu simplesmente fechar o escritório físico no Brasil, e a ordem do gringo foi de "jogar fora todos os papéis e devolver a sala". Fiquei desesperado e passei as 2 semanas seguintes batendo boca com meus chefes, pois haviam centenas de documentos na sala que não podiam ir para o lixo (tais como contratos com parceiros, documentos de ex-funcionários, etc).

O Jornal Nacional recentemente fez uma reportagem sobre uma empresa que presta serviços de guarda de documentos. Este tipo de serviço não deveria ser novidade para ninguém, mas vale a pena destacar o tempo mínimo de guarda de alguns documentos, segunto a reportagem:

  • Dados de ex-clientes: 5 anos
  • Recibo de pagamento: 5 anos
  • Exames médicos dos funcionários: 20 anos
  • Dados da folha de pagamento: 35 anos


Além do exposto na reportagem, ainda há muito mais coisa, que beira um número infinito de possibilidades...

  • Livros e documentos fiscais, para fins tributários: 5 anos (artigo 173 do Código Tributário Nacional)
  • Informações previdenciárias; 10 anos (Lei nº 8.212/91)
  • Dados Trabalhistas: 5 anos
  • Documentos relacionados ao FGTS: 30 anos
  • Comprovante de pagamento FINSOCIAL, PIS/PASEP e da RAIS: 10 anos
  • Livros, documentos e papéis relacionados devem a pendências judiciais ou administrativas: 20 anos para ações pessoais, 10 anos para ações reais entre os presentes e 15 (quinze) anos entre os ausentes (Código Civil Brasileiro, artigo 177 e seguintes)

Encontrei um "manual" em um site de contabilidade com Mais detalhes sobre os prazos de validade dos documentos. Vale a pena uma olhada para aumentar seu nível de desespero e paranóia ;)

setembro 03, 2015

[Carreira] A Era da Informação chegou !!!!

O fato de que vivemos na "Era da Informação" e o que isso significa não deveria ser novidade para ninguém. Não é?

Mas, segundo uma pesquisa feita pela EMC e pela a Intel com diversos líderes mundiais, apenas 10% dos CIOs se sentem preparados para enfrentar a Era da Informação. Outros 41% assumem que precisam mudar, mas, simplesmente, não sabem como.

Isso mostra que uma parte significante dos gestores de Tecnologia ainda têm dificuldade para entender o mundo de TI atual e a sua constante evolução, que traz desafios e oportunidades novas a cada dia. Muitas empresas einda vêem TI do ponto de vista em qua as aplicações vivem no mundo cliente/servidor (paradigma batizado de "segunda plataforma"), sendo que atualmente já estamos vivendo na onda seguinte, da "terceira plataforma", formada por tecnologias de cloud computing, big data e dominado pelas apps (aplicativos) e pelas redes sociais como paradigma de interação.


setembro 01, 2015

[Carreira] Graduação, pós-graduação ou certificação?

Talvez esta seja a pergunta mais frequente quando discutimos sobre carreira em tecnologia ou em segurança da informação. Eu mesmo já escrevi sobre isso em 2012.

Resolvi voltar a este assunto após ler um excelente texto do Gilberto Sudré respondendo sobre esta pergunta. Na visão dele (spoiler detected!!!) a graduação é mais importante do que a certificação por permitir uma base para a construção de uma carreira sólida e duradoura.

A minha opinião é idêntica. Quando me perguntam sobre graduação ou certificação na área de TI, eu respondo que antes de mais nada a pessoa tem que aprender a falar Inglês. Depois disso, ou melhor, em paralelo, deve fazer a graduação para ter uma base, e somente depois partir para a certificação, que vai mertitir se especializar em uma determinada área ou ferramenta, e de quebra a certificação serve para atestar o conhecimento nessa tecnologia específica.

Mas me parece que os jovens hoje são muito imediatistas: eles esperam ouvir que é melhor gastar 1 mês para conseguir uma certificação do que 3 ou 4 anos para ter um diploma de graduação. Todos querem tudo rápido. Todos querem subir na carreira rápido. Mas, fazendo assim, ganham no curto prazo e perdem ao longo prazo.

Mas, como estamos falando de carreira, e não do que você vai comer na janta de hoje a noite, devemos pensar no longo prazo: que conhecimento você adquire hoje e vai levar até o fim de sua vida? Resposta: idiomas e diplomas (graduação e pós). Certificações vencem, tem prazo de validade. Diplomas e cultura, não - duram para sempre. Isso niguém tira de você, isso não caduca com o tempo.