Páginas

novembro 30, 2015

[Segurança] Bletchley Park

Bletchley Park é conhecido por ser o local aonde trabalharam os principais criptoanalistas britânicos durante a Segunda Guerra Mundial. Atualmente, a maioria de suas instalações estão abertas ao público e o local funciona como um museu.

O local, que fica a 80 kilômetros de Londres (cerca de 40 minutos de trem), foi mantido em segredo por muitos de anos e chegou a ter cerca de 9.000 pessoas trabalhando durante a Segunda Guerra, em três turnos. Como era uma instalação super secreta do governo Britânico, as pessoas que trabalhavam lá eram proibidas de comentar qualquer coisa sobre o que faziam - nem mesmo com seus familiares mais próximos.

Um dos fatos que tornaram Bletchley Park conhecido é que foi lá aonde Alan Turing, o "pai da computação", trabalhou na quebra da máquina Enigma, o que permitiu aos aliados interceptarem e lerem as mensagens dos nazistas. Além do Alan Turing ser um personagem muito popular hoje em dia, o mais importante é que especialistas estimam que o trabalho realizado pelos criptoanalistas de Bletchley Park decifrando as mensagens nazistas conseguiu antecipar o final da Segunda Guerra na Europa em cerca de 2 anos.

Mas dois outros fatos, menos conhecidos, tornam este lugar muito especial para a história da computação moderna:
  • Lá, a criptoanálise deixou de ser um processo artesanal e passou a ser um processo industrial. Antes o criptoanalista recebia uma mensagem criptografada e ele, sozinho, fazia seus cálculos malucos para desencriptar aquela mensagem estecífica, validar o texto resultante, traduzí-lo para seu idopma e eventualmente ainda tinah que selecionar que partes da mensagem eram as mais importantes e deviam ser comunicadas. Em Bletchley Park foi criada toda uma estrutura e cadeia de processos aonde diversos times eram responsável por cada etapa na quebra de uma mensagem - desde os testes para descobrir a chave (no caso, a configuração da máquina Enigma que foi utilizada), passando para outro time responsável pela validação da mensagem, outro pela tradução e outro que iria encaminhar a mensagem para os demais órgãos de inte;igência. Como curiosidade, ninguém mais sabia que as mensagens estavam sendo interceptadas e desencriptadas, e para ocultar isso, os relatórios de inteligência eram escritos de forma a indicar que as informações tinahm sido obtidas por espiões aliados;
  • Bletchley Park construiu e hospedou o primeiro computador da história, o Colossus. Embora o ENIAC, nos EUA, tenha recebido a fama, o Colossus foi construído antes, mas sua existência foi mantida em segredo por muitos anos. A cada dia as máquinas Enigma utilizavam uma configuração diferente (dependendo dos rotores que utilizava, das posições iniciais dos rotores e dos fios em seu painel frontal, que configuravam algumas permutas de letras). Assim que uma primeira mensagem era capturada, os criptoanalistas descobriam a configuração da máquina Enigma fazendo testes automatizados através de máquinas batizadas de "Bomb" ("Bomba", pois elas faziam um barulho que parecia o tic-tac de uma bomba). A partir deste momento, todas as mensagens daquelas máquinas enigmas enviadas naquele dia poderiam ser decifradas, e essa tarefa ficava a cargo do Colossus.

Os fois fatos acima deram a equipe de Bletchley Park uma capacidade de decifrar mensagens sem precedência na história. Estima-se que eles conseguiram decifrar mais da metade das 3 milhões de mensagens que receberam durante a 2a Guerra.

Atualmente, Bletchley Park é um grande museu a céu aberto, aonde várias de suas instalações podem ser vistas pelo público. Além disso, o local hospeda o "The National Museum of Computing", um museu da computação que, entre outras exibições interessantes, possui uma réplica do Colossus em funcionamento.

novembro 27, 2015

[Cyber Cultura] Patinho Feio

Na década de 1970, professores e alunos do Instituto Politécnico da USP (Poli) criaram o primeiro mini computador nacional, batizado de "Patinho Feio". Seu desenvolvimento foi crucial para o surgimento da indústria de informática brasileira.



O Patinho Feio foi desenvolvido nos anos 1971 e 1972 pelo pessoal do Laboratório de Sistemas Digitais (LSD) da Poli, e contava com:
  • Um microcomputador de 8 bits
  • Memória principal de 4 KBytes
  • Interfaces através de fita de papel perfurado, impressora, terminal de vídeo e plotter
  • Programado através da linguagem Assembly
O Patinho Feio ficou pronto em julho de 1972. Ele tinha um metro de comprimento, um metro de altura, 80 centímetros de largura, pesando mais de 100 quilos. Ele possuía 450 pastilhas de circuitos integrados, formando três mil blocos lógicos, distribuídos em 45 placas de circuito impresso.

O Patinho Feio era programado em Assembly, e o programa era carregado no hardware através de fitas de papel perfurado. Os programadores eram obrigados a usar técnicas de programação específicas para conseguir utilizar o pouco poder de processamento e memória disponíveis, e alguns softwares foram desenvolvidos para auxiliar os programadores a criar seus programas para o Patinho Feio.


O nome "Patinho Feio" foi escolhido como uma sátira a um projeto similar, batizado de "Cisne Branco", que estava sendo desenvolvido pela Unicamp a pedido da Marinha, que queria criar um computador nacional. Ao contrário do Patinho Feio, o projeto da Unicamp não foi concluído.



Atualização (07/12)

O Felipe "Juca" Sanches, do Garoa, desenvolveu um emulador para o Patinho Feio utilizando o MAME, após visitar a Poli e conversar com alguns professores que participaram do projeto. Ele, inclusive, já conseguiu recuperar um pequeno peograma que estava gravado em fita de papel e o executou no emulador. Ele disponibilizou alguns materiais sobre o projeto:

novembro 25, 2015

[Segurança] Privacidade em aplicativos de mensagens instantâneas

Os recentes atentados em Paris trouxeram a tona, novamente, a discussão sobre o direito a privacidade na comunicação online versus a necessidade dos governos em monitorarem as comunicações de grupos criminosos e terroristas.

Embora esse debate provavelmente não tenha fim, o fato é que os recursos de criptografia e privacidade em aplicativos de e-mail e de comunicação instantânea (tanto em computadores e celulares) são benéficos para os cidadãos de bem e para os ativistas que, em algum momento, possam ser ameaçados por governos e organizações.

Mas há muito tempo especula-se que organizações criminosas e terroristas também usam diversas técnicas e ferramentas para esconder suas comunicações, desde ferramentas de criptografia até mesmo o eventual uso de comunicação através de meios não muito convencionais, como a PSN (algo que, no caso dos atentados de Paris, não foi comprovado). Especula-se que o Estado Islâmico (ISIS), em particular, tem orientado seus membros a utilizarem ferramentas mais seguras para comunicação - além de utilizar Bitcoin para esconder suas movimentações financeiras.

Do ponto de vista da privacidade dos aplicativos de mensagens instantâneas que utilizamos em nossos celulares e Smartphones, a Electronic Frontier Foundation (EFF) fez um trabalho muito interessante criando um levantamento dos principais recursos de privacidade dos aplicativos mais utilizados, que foi resumido em um "score card".



Segundo o jornal americano The Wall Street Journal (WSJ), o Estado Islâmico também se preocupa com a criptografia nos aplicativos de comunicação instantânea e fizeram o seu próprio levantamento de quais aplicativos são mais ou menos seguros contra a vigilância de governos.



novembro 23, 2015

[Segurança] Fraudes e Riscos na Black Friday

A Black Friday já representa o dia em que o comércio Brasileiro (e o e-commerce) realiza mais vendas em todo o ano. Segundo a WebShoppers, as compras de Natal em 2014 (no período de 40 dias entre 15 de novembro e 24 de dezembro) renderam ao comércio eletrônico R$ 5,9 bilhões, enquanto a Black Friday teve faturamento, em um único dia, de R$ 1,16 bilhão.

Mas isso não acontece só aqui. Na Inglaterra, por exemplo, o comércio espera faturar mais de 1 bilhão de libras na Black Friday deste ano, contra £810 milhões em 2014.

A Black Friday acontece na sexta-feira logo após o feriado de Ação de Graças (um dos mais importantes feriados para os Americanos), que é a 4° quinta-feira do mês de Novembro. Ela surgiu nos EUA em 1961 como uma forma do comércio americano desovar os estoques e se preparar para o período de compras natalinas. E, nos EUA, os decontos durante a Black Friday são, realmente, muito agressivos, atraindo milhares de clientes.


No Brasil, o comércio começou a utilizar esta data em 2010, como uma forma de promover descontos para atrair clientes e aumentar as vendas. Infelizmente, algumas lojas começaram a "maquiar os preços" e fazer falsas promoções (o chamado "tudo pela metade do dobro do preço" - ou seja, algumas lojas aumentavam artificialmente o preço antes da Black Friday para criar um falso desconto). Por isso, logo nos primeiros anos em que a Black Friday aconteceu no Brasil, ela passou a ser apelidada de "Black Fraude". Em 2014 a Black Friday gerou pelo menos 12 mil reclamações de consumidores, segundo as queixas recebidas pelo site especial criado pelo Reclame Aqui.

O e-commerce normalmente já é alvo de muitas ameaças e fraudes online durante o ano todo, tanto para roubo de dados de clientes (Phishing e ataques a bases de dados para obter informações cadastrais e dados de pagamento, principalmente números de cartões de crédito) quanto para realizar o "cash out" (materializar uma fraude) através de compras fraudulentas com dados de pagamento de terceiros (vítimas), recebimento de mercadorias para posterior revenda. Mas, durante as datas mais importantes para o varejo (como a Black Friday), os ciber criminosos podem aplicar golpes específicos, tais como:
  • Mensagens de Phishing e sites falsos específicos para divulgar promoções com o tema da Black Friday, aproveitando que os consumidores online estão interessados e mais susceptíveis a clicar neste tipo de mensagen neste período;
  • Ataques DDoS para derrubar os sites dos logistas e causar prejuízo - ou extorsão, exigindo pagamento em troca de parar o ataque;
  • Criação de Aplicativos (Apps) falsos em nome de lojas e promoções, com o objetivo real de infectar o celular e roubar dados da vítima;
  • Ataques aos sites e lojas para obtenção de dados de clientes (aproveitando o maior volume de clientes transacionando). Não custa lembrar que o ataque a Target, em 2013, aconteceu no período da Black Friday. Podem acontecer desde ataques ao site e ao banco de dados, até mesmo o uso de malwares especalizados em roubas dados de cartão dos terminais de ponto de venda (PoS).

Do ponto de vista do consumidor final, os cuidados também são muitos:
  • Cuidado redobrado com golpes de Phishing, que chegam através de mensagens de promoções específicas para este período, normalmente anunciando enormes descontos e preços muito atraentes;
  • Dê preferência para comprar em lojas conhecidas e mais confiáveis, para evitar comprar um Smartphone e receber um tijolo em casa. Verifique a reputação da loja em sites como o Reclame Aqui;
  • Verifique a URL do site e o certificado digital para ter certeza de que está comprando no site verdadeiro;
  • Cuidado com pagamentos por boleto bancário, pois no Brasil existem malwares especializados em alterar os dados de pagamento do boleto, redirecionando o valor para a conta dos fraudadores;
  • Pesquisar previamente o preço das mercadorias que deseja comprar, para evitar cair nos descontos falsos. Decida com antecedência o que você deseja coprar na Black Friday e pesquise o preço em várias lojas nas semanas anteriores. Assim você poderá avaliar se o preço ofertado por uma loja está com desconto real ou maquiado;
  • Pesquise os preços promocionais antes de comprar, para ter certeza que estão realmente competitivos. Uma boa opção é utilizar sites de comparação de preços, como o BondFaro.

Neste ano a Black Friday cai no próximo dia 27 de Novembro. Fique atento !!!

Atualização em 04/12:
Algumas coisas que eu citei acima se tornaram realizade:

Atualização em 07/12:
  • Segundo dados da consultoria e-Bit, o faturamento do e-commerce na Black Friday atingiu a casa de R$ 1,6 bilhão (crescimento de 38% em relação a 2014). 1,64 milhão de consumidores online fizeram pelo menos uma compra nas 24 horas da sexta-feira, com 2,77 milhões de pedidos no total (24% maior que o ano passado) e ticket médio de R$ 580 (alta de 11%);
  • No que diz respeito as fraudes na Black Friday, a ClearSale informa que foram evitados quase R$ 5 milhões em perdas (R$ 4.998.990) - contra R$ 3.058.936 em 2014.

novembro 20, 2015

[Cidadania] #primeiroassédio

O pessoal da GNT publicou um vídeo curto, porém muito emocionante, com relatos de casos de assédio contra as mulheres.

O vídeo foi motivado pela campanha nas redes sociais contra o abuso de mulheres, através da hashtag #primeiroassédio. Esta campanha surgiu no final de Outubro como reação ao triste fato de que uma das competidoras do MasterChef Júnior, de apenas 12 anos, começou a ser alvo de assédio sexual e comentários machistas na Internet.





Através da hashtag #primeiroassédio, as mulheres contaram seus casos reais de abusos sexuais sofridos na infância e juventude. Como disse o Marcelo Tas, "A onda de desabafos e relatos escancarou o quanto a violência é real contra meninas".

Até mesmo a Paola Carosella, jurada do MasterChef Brasil, contou que sofreu violência sexual quando era estudante:
"Tinha 11 ou 12 anos e estava num ônibus na Argentina indo para a escola. Um homem colou em mim e começou a se masturbar. Tentei achar um espaço para fugir, mas ele bloqueava todos os meus movimentos com o corpo."

Para quem acha que isso é exagero, a idade média do primeiro assédio sexual é 9,7 anos.

Além da repercussão na mídia e nas redes sociais, os apresentadores masculinos do programa da GNT "Papo de Segunda" (Marcelo Tas, João Vicente, Leo Jaime e Xico Sá) leram alguns dos relatos de #primeiroassédio que circularam na Internet. O objetivo foi chamar a atenção de toda a sociedade, e principalmente dos homens, para a o problema do abuso contra as mulheres e contra garotas.

Mas a desgraça não para por aí: até mesmo um dos garotos que compete no MasterChef Júnior foi alvo de comentários de conotação sexual :(

novembro 18, 2015

[Segurança] Marcelo Tas e os Hackers

Em sua palestra de abertura no Roadsec São Paulo, o Marcelo Tas deu uma visão ótima e objetiva dos valores da cultura hacker.



Segundo o Marcelo Tas, as duas características mais importantes da cultura hacker são:

  • A obsessão pela busca do conhecimento, descobrindo "coisas que estão escondidas", e pelo compartilhamento da informação
  • O espírito de comunidade e de apreender junto, e neste ponto ele destacou a importância de nós, que vivemos no mundo virtual, aproveitarmos as oportunidades de interação em carne e osso, tal como participar em eventos

Ele, que participa da TV e do mundo online há muitos anos, fez um pouco de jabá pessoal e de um projeto novo dele (o Tasômetro), mas a palestra valeu por ele ter destacado sua visão e proximidade com a cultura hacker.

novembro 16, 2015

[Segurança] Phishing

Phishing é uma das técnicas de fraude mais antigas e, até hoje, mais eficientes, que atinge clientes de bancos no Brasil e em todo o mundo.

No México, por exemplo, o Phishing é considerado a principal ameaça online para os bancos do país, pois a principal ação dos ciber criminosos locais é realizada através de mensagens ou sites de Phishing, que são usados para obter informações de acesso (usuário e senha) dos clientes.

O problema principal é que a grande maioria dos usuários clica em tudo o que vê, e não tem discernimento para perceber quando a mensagem é falsa, ou quando leva ele para um site falso. Veja o exemplo abaixo: não precisa ser expert para imaginar que uma mensagem de aviso do WhatsApp jamais seria enviado a partir do endereço de e-mail "gishjewellersn@rogers.com".



Além do mais, ataques de phishing são fáceis de fazer: basta ao fraudador ter criatividade para criar uma mensagem que convença o usuário a clicar num link, que serve para levar a vítima até um site falso ou que vai causar o download de um código malicioso.

Mas essa é uma visão muito simplista. Mesmo porque, hoje em dia existem quadrilhas especializadas em fazer mensagens e sites de phishing bem feitas, que parecem reais e podem, eventualmente, enganar até mesmo um especialista.



E diariamente somos bombardeados por dezenas destas mensagens.



Tudo isso existe com um único objetivo: capturar qualquer informação das vítimas que possam ser utilizadas para cometer fraude, desde as credenciais de login em sites de Internet Banking e dados de cartões de crédito, até mesmo login em serviços de e-mail ou em sites de milhagem de companias aéreas (assim, os criminosos podem vender passagens obtidas com as milhas das vítimas). Outro golpe muito conhecido que se aproveita das mensagens de phishing para espalhar são as fraudes de boleto, que fazem com que a vítima baixe e instale o malware especializado em fraudar pagamentos de boletos bancários.

Desde 2008, o pessoal do CAIS, o Centro de Atendimento a Incidentes de Segurança da RNP, mantém o Catalogo de Fraudes que lista exemplos de mensagens de phishing recebidas por eles. É uma ótima referência sobre o assunto.

novembro 12, 2015

[Cyber Cultura] Como medir a importância de um evento?

Ao ver a reportagem da TechMundo sobre "os 7 maiores eventos para hackers do mundo" (segundo a qual, quatro destes eventos são do Brasil) eu me pergunto: como medir a importância de um "evento hacker"? Ou melhor, como medir a importância de um evento qualquer...

Vejo algumas possibilidades:
  • Pela quantidade de pessoas presentes: é fácil dizer quais são os "maiores" eventos, em termos de público. Neste caso, podemos considerar a quantidade total de participantes - e não o de inscritos, pois há muitos inscritos que não vão no dia do evento. Mas este é uma medida perigosa, pois determinados mercados, lugares ou países tem um público potencial muito maior do que a quantidade de participantes - pense, por exemplo, qual é a quantidade de pessoas que poderiam ir em um evento de segurança nos EUA (a Defcon, por exemplo, atrai cerca de 10 mil pessoas), no Brasil (a H2HC teve cerca de 400 participantres e o Roadsec pretende atrair 2000 - já dá para ver a diferença até mesmo para 2 eventos na mesma cidade) e um evento em um país pequeno (como, por exemplo, o Chile ou Portugal) pode ter poucos parcicipantes (em quantidade), mesmo que eles representem, por exemplo, 90% dos profissionais daquele país;
  • Pela qualidade das palestras e palestrantes: esse é um critério muito subjetivo, exceto quando pensamos nos poucos palestrantes rockstar na área;
  • Pela qualidade do público que atende: aí também fica muito difícil medir, embora possamos analisar a qualidade do público pelo cargo e empresa/instituição em que atuam. Mesmo assim, para mim este é o critério mais difícil de avaliar, principalmente porque não podemos contar apenas com os títulos dos CSOs, pois há eventos técnicos que eles não vão. E, mesmo no caso do público técnico, possuir certificação ou atuar em uma empresa renomada não é sinal inquestionável de competência suprema.

Se pensarmos bem, cada um dos critérios acima acabam caindo em análises subjetivas (e, portanto, sujeita a cabeça de cada um que avalia), e assim pode dar margem a diversas interpretações. E, mesmo se usemos todas as métricas sugeridas, ainda assim corremos o risco de ter algumas injustiças.

Para mostrar como é difícil e polêmico medir a importância de um evento, eu fiz uma "brincadeira": fazendo as contas na tabela abaixo com alguns eventos conhecidos de todos nós, e utilizando valores 0, 1 e 2 para medir cada ítem - algo bem simples, subjetivo e apenas para testarmos o modelo. Por exemplo: 0 de quantidade de participantes significa que o evento recebe uma quantidade muito baixa se comparada com a quantidade de pessoas que poderia ir, pelo público potencial do evento. Por outro lado, 2 para a qualidade de palestras significa que o evento atrai gente foda para palestrar, enquanto 2 na qualidade de público significa que o evento atrai profissionais e pesquisadores importantes e renomados na área e para o público alvo do evento.


Evento Qt Pessoas Palestras Público Média Comentário
Defcon 2 2 2 2 Ok, nem tem como discordar da avaliação máxima para a Defcon ;)
YSTS 0 1 1 0,6 A YSTS é um evento pequeno, formada principalmente por um público convidado, o que acaba filtrando bastante a qualidade do público. Mas, exatamente por causa desse formato, ela deixa muita gente de fora. As palestras são boas, com alguns palestrantes ótimos, mas não dá para dizer que é "estelar". Por se tratar de um evento tão desejado pela comunidade de segurança, a nota de 0,6 é injusta.
H2HC 0 2 2 1,3 A H2HC estagnou na quantidade de público: há vários anos ela recebe cerca de 400 pessoas. Por outro lado, ela investe em trazer excelentes palestrantes internacionais e o público é fiel: os melhores profissionais do mercado estão lá.
RoadSec 2 0 1 1 Atrai um público enorme, ainda mais considerando o total das edições regionais. Mas é um público eclético, que varia de interessados a profissionais da área. As palestras são boas, mas nada de extraordinário. Na média, ficou na média.
BSidesSP 0 1 1 0,67 Justiça e auto-avaliação sejam feitas: embora todos os participantes elogiem a BSidesSP, nós atraímos uma quantidade pequena de público, perto do potencial.
Security Leaders 1 0 2 1 Para um evento destinado a gestores, ele cumpre o que promete: conteúdo superficial com uma platéia formado por principalmente executivos de médio escalão e alguns de alta gerência.
Ekoparty 2 2 2 2 Na minha opinião, é o melhor evento do continente. Atrai uma grande quantidade de pessoas de todo o continente, com um oúblico bem qualificado e sempre tem ótimos palestrantes.


novembro 10, 2015

[Segurança] Somos um risco à soberania nacional?

O relatório da Auditoria Especial no Sistema Eleitoral 2014 realizado pelo PSDB tem um trecho que chamou a atenção de várias pessoas. Na página 102 ele diz:
"Os analistas tiveram que ser pré-aprovados pelo TSE, tendo sido recusada a inscrição do professor Alex Halderman e do analista de segurança Rodrigo Branco, por alegado risco à soberania nacional. Um pedido de reconsideração dessa recusa não foi respondido até o final dos trabalhos da análise."
Basta acompanhar as histórias e notícias sobre todas as iniciativas de auditoria do processo eleitoral brasileiro para perceber que o TSE limita, e muito, qualquer tentativa de avaliação séria da segurança das urnas eletrônicas. Pior ainda: eles promovem uma falsa sensação de transparência, pois ao mesmo tempo que promovem iniciativas de auditoria independente, eles controlam com mão de ferro como estas auditorias devem ser feitas. Todas as pessoas participantes, ferramentas e metodologias de teste devem ser previamente avaliados e aprovados pelo TSE.

Por isso, não causa surpresa ver que um dos mais conhecidos profissionais e pesquisadores de segurança brasileiros teve a sua participação na equipe de auditoria rejeitada pelo TSE. O espantoso é o motivo alegado: "risco à soberania nacional". Parece piada, não é? E assim foi tratado por várias pessoas.

O assunto é mais interessante se analisamos o motivo para essa decisão. Segundo a transcrição da decisão do TSE o Rodrigo Rubira Branco foi apresentado como "residente nos EUA", e por isso o TSE entendeu que as informações sobre o processo eleitoral "não podem ter seu acesso franqueado a pessoas físicas ou jurídicas estrangeiras, ou vinculadas a países ou entidades internacionais". Uma explicação fraca, que pode facilmente ser questionada, pois o Rodrigo é Brasileiro, com direito a voto - apenas mora no exterior.

Voltando a questão da segurança das urnas eletrônicas, o extenso relatório do PSDB não deixa dúvidas: o sistema é falho, inseguro e impossível de ser auditado. Para exemplificar, o capítulo 4.4.2.5.8, que menciona a exclusão do Rodrigo Branco, diz respeito a "Análise do Código-fonte Disponível", aonde foi executada uma análise estática do código, o que permitiu que fossem encontradas diversas falhas, conforme podemos ver na transcrição abaixo:
"Uma parte da análise consistiu na execução do programa de verificação estática de código CppCheck, em busca de vulnerabilidades e pontos de atenção. Tal execução apontou mais de 1000 trechos identificados como erros (i.e., problemas considerados graves pelo programa de análise) e mais de 2000 alertas (i.e., sugestões relativas a técnicas de programação defensiva, que podem evitar falhas)."

Ainda neste capítulo, é discutida também a segurança do sistema operacional sobre o qual o sistema da urna eletrônica é executado. E a análise foi...
"Especificamente para as urnas eletrônicas, o TSE optou por utilizar o sistema operacional de software livre Linux com algumas adaptações. O Linux foi congelado na versão 2.6.16.62 de 2009.
Por ser esta uma versão antiga, várias atualizações e implementações de segurança, feitas pelo projeto Linux ao longo dos últimos 6 anos, ficaram de fora da versão congelada pelo TSE."
Resumindo ainda mais o resumo das conclusões do relatório da auditoria realizada pelo PSDB sobre o 2º turno da eleição presidencial de 2014, temos um quadro desastroso, mas que não causa surpresa a qualquer profissional de segurança que já tenha gasto poucos minutos analisando ou simplesmente refletindo sobre o nosso sistema eleitoral. Veja os principais pontos identificados pelo PSDB:
  • A coleta de dados para auditoria teve sua confiabilidade prejudicada porque enfrentou restrições administrativas, tendo sido negada a entrega de parte dos dados solicitados;
  • Não foi possível se determinar a confiabilidade dos resultados produzidos pelas urnas eletrônicas, pois:
    • Não é possível fazer uma auditoria contábil da apuração dos votos em um sistema de urnas eletrônicas que é essencialmente dependente de software e não produz um registro material do voto (o voto impresso) que tenha sido visto e conferido pelo eleitor e que possa ser utilizado como trilha de auditoria;
    • Não é possível fazer uma validação e certificação minimamente confiável do software embarcado nas urnas eletrônicas para verificar sua integridade devido a restrições impostas pela autoridade eleitoral;
  • o sistema eletrônico de votação do TSE não está projetado e implementado para permitir uma auditoria externa independente e efetiva dos resultados que publica.

Ou seja, só nos resta perguntar, sarcasticamente: quem será que é o verdadeiro risco à soberania nacional?

novembro 09, 2015

[Cyber Cultura] Programa de Combate à Intimidação Sistemática (Bullying)

No dia 06 de Novembro foi promulgada a Lei nº 13.185, que institui o Programa de Combate à Intimidação Sistemática (Bullying), uma iniciativa do governo para incentivar  ações do Ministério da Educação e das Secretarias Estaduais e Municipais de Educação que eduquem e evitem casos de bullying e ciber bullying. Além disso, e entre outras iniciativas, o programa prevê oferecer assistência psicológica, social e jurídica às vítimas e aos agressores, além de capacitar docentes e equipes pedagógicas para a implementação das ações de discussão, prevenção, orientação e solução do problema do bullying e ciber bullying

É difícil saber se a lei terá algum efeito prático de imediato, mas pelo menos é um primeiro passo. Merece destaque, na minha opinião, o Artigo 5o, que define que...
"É dever do estabelecimento de ensino, dos clubes e das agremiações recreativas assegurar medidas de conscientização, prevenção, diagnose e combate à violência e à intimidação sistemática (bullying)."

O bulling é um problema sério que afeta os jovens e adolescentes, e é agravado pelo uso das redes sociais para humilhar e ofender a vítima. Recentemente, uma estudante de um colégio no Rio de Janeiro, de apenas 12 anos, foi vítima de três abusos sexuais cometidos por três colegas de escola com idades de 15 a 17 anos, e teve o vídeo com imagens dela fazendo sexo com colegas divulgado no Whatsapp. Após isso, a menina começou a sofrer bullying na escola: “As meninas escreviam bilhetes xingando-a”, conta a advogada. Segundo ela, a família concordou em afastar a jovem da escola, após orientação de especialistas

novembro 08, 2015

[Cyber Cultura] Aaron Swartz Day

Neste final de semana, dias 07 e 08 de Novembro, está sendo comemorado o Aaron Swartz Day, aproveitando a sua data de aniversário (08 de Novembro).  Diversas atividades e hackatons foram organizados em vários países, em sua homenagem.

Aaron foi um programador americano que era um fervoroso ativista pela privacidade na Internet e pelos direitos de acesso a informação. Entre outras coisas, ele foi um dos criadores do RSS (aos 13 anos de idade) e um dos fundadores do Reddit aos 19 anos, uma das maiores comunidades online. Ele também contribuiu na criação da licença Creative Commons e foi um opositor ao projeto de lei antipirataria SOPA. No início de 2013, Aaron Swartz cometeu suicídio, aos 26 anos. Ele não aguentou a pressão e a tortura psicológica causadas pelo processo que sofria por ter tornado público os artigos da base acadêmica JSTOR, que conseguiu baixar utilizando um script de dentro da rede do MIT. Ele respondia por 13 acusações criminais e poderia ser condenado a até 50 anos de prisão e a US$ 4 milhões em multas, e a Procuradoria dos EUA queria colocá-lo na prisão para servir de exemplo na luta contra os ciber ativistas.

Se você ainda não viu, esta é uma ótima oportunidade para assistir ao documentário "The Internet's Own Boy: The Story of Aaron Swartz", lançado em 2014 e dirigido por Brian Knappenberger - o mesmo diretor de "We Are Legion: The Story of the Hacktivists". O documentário retrata a vida do Aaron Swartz, através de entrevistas com ele, sua família, amigos e pessoas que trabalharam com ele, para contar a história da vida de Aaron até o seu suicídio. Além disso, o documentário explora as questões de acesso à informação e das liberdades civis, que eram a principal motivação do trabalho de Aaron.

O documentário está disponível em vários sites com legenda em Português. Veja uma das versões abaixo.



O documentário é sensacional, emocionante e muito bem feito. Ela está disponível em licença Creative Commons e foi financiado através do Kickstarter, superando a meta de arrecadação: Knappenberger pediu US$ 75.000, mas recebeu quase US$ 94.000.

novembro 06, 2015

[Segurança] Estão todos prontos para o Roadsec São Paulo !?

No próximo dia 12/11 o pessoal da Flipside vai realizar o super-hiper-mega-uber-blaster Roadsec São Paulo, o evento que encerra a caravana Roadsec deste ano.

Spoiler: se você ler este post até o final, vai ver que tem um código de desconto para se inscrever no evento.

Não basta o fato do evento ser muitíssimo bem organizado e ter diversas palestras e atividades de qualidade. Eu faço questão de dar destaque ao Roadsec pois acredito que o evento tem o mesmo espírito e qualidade que mantemos na BSidesSP (com a diferença de ser organizado por uma empresa especializada e focada em eventos, enquanto a BSidesSP é organizada no nosso tempo livre): é um evento que preza pela qualidade, que atrai iniciantes e profissionais experientes e os trata em pé de igualdade, e tudo isso ao mesmo tempo que valoriza diversos aspectos da cultura hacker (isto é, não fica apenas restrito a segurança, falando também de robótica, drones, lockpicking e nerdices em geral).

O Roadsec já se tornou o maior evento de hacking, segurança e tecnologia do Brasil, reunindo profissionais e entusiastas da área, além de professores, alunos e estudiosos. Não importa se você considera apenas a edição de São Paulo (que espera receber 2 mil pessoas) ou se inclui na conta do público todas as 14 capitais que percorreu ao longo de 2015. E, na verdade, aqui está o grande mérito da Flipside: criar um evento que leva conteúdo de qualidade para diversas cidades do país, sendo que várias delas nunca tinham recebido algo parecido antes.


A edição de São Paulo, portanto, serve para coroar e encerrar esse trajeto percorrido durante o ano. A grade de palestras conta com especialistas e executivos de segurança renomados (não contem p/ ninguém, mas eu não vou palestrar porque rejeitaram a minha proposta de palestra), além de diversas oficinas, atividades práticas, sessões de autógrafos com autores de livros.

A edição deste ano também tem uma área para comunidades, aonde estará presente, entre outras comunidades, o Garoa Hacker Clube e as garotas do MariaLab, que pretende ser o primeiro hackerspace para mulheres do Brasil-sil-sil !!!

Mas não ligue agora !!! O Roadsec SP também tem alguns fru-frus, como uma área de food trucks, pinballs e fliperamas, DJs (incluindo o Bruno, o "DJ do Garoa" que tocou também na última edição da BSidesSP) e pocket shows (WTF!?).

Mas não ligue agora !!!! Outro aspecto importante do Roadsec é que o evento deu destaque e nova energia para os campeonatos de Capture The Flag (CTF). No Roadsec, o CTF foi batizado de HackFlag, com competições em todas as cidades que o Roadsec percorreu e com uma grande final ao vivo no Roadsec São Paulo, com os 15 campeões estaduais. Quem for de São Paulo ainda tem chance de competir, pois a etapa São Paulo acontece neste Sábado, dia 07 de Novembro, no Mackenzie (com entrada gratuita!).


Mas não ligue agora !!!! Como se não bastassem as palestras, oficinas, food trucks, pinballs, DJs, e o Hackflag, o evento tem um mega-show de encerramento as 21h, com os Titãs !!!!!


No ano passado, a edição de São Paulo do Roadsec foi animal, com muitas atividades e com o show do Ira. Muitas pessoas ficaram lá no final do evento, bebendo e conversando até na hora em que fomos expulsos do espaço.

Então, que tal ir no Roadsec? O pessoal da Flipside me passou um código de desconto para quem quiser se inscrever no evento: 7QPM5C5. Basta ir no site de inscrição e fornecer este código, que o valor da inscrição inteira cai de R$ 120, para R$ 73 (estudantes já tem direito a meia-entrada, de R$ 60).

Resumindo:
  • Roadsec São Paulo
  • 12 de novembro de 2015 (quinta-feira), a partir das 8h
  • Local: AUDIO CLUB SP - Av. Fco. Matarazzo, 694, Água Branca, São Paulo
  • Incrição com desconto: utilize o código 7QPM5C5
  • Veja aqui como participar gratuitamente do Hackflag São Paulo, dia 07/11



novembro 04, 2015

[Segurança] Os maiores eventos para hackers do mundo

Recentemente a TechMundo fez uma reportagem sobre "os 7 maiores eventos para hackers do mundo", segundo a qual, quatro destes eventos são do Brasil: a H2HC, a BSidesSP, o Roadsec e o YSTS.

A triste parte dessa notícia é que claramente o jornalista que a escreveu não sabe do que está falando. Não conhece os eventos nacionais nem, principalmente, os que existem no resto do mundo e sequer sabe comparar os eventos em termos de importância ou tamanho.

Digo isso porque, em importância, infelizmente os nossos eventos não tem destaque no mercado global. #prontofalei

Para exemplificar bem toscamente, a Wikipedia tem uma lista pequena e imprecisa de "Hacker_conventions", que não inclui nenhum evento brasileiro nem sul americano. Por outro lado, a página de "Computer security conference" lista apenas a Ekoparty e a H2HC.

Em termos de tamanho, nossos eventos são pequenos: a Co0L BSidesSP, a H2HC e o YSTS não recebem mais de 400 pessoas cada um. Para comparar, a Ekoparty, na Argentina, recebe cerca de 2.000 pessoas, ou mais. A única excessão Brasileira é o Roadsec, que conta a seu favor com a somatória de cada uma das edições locais e, no evento de encerramento em São Paulo, a organização corre atrás de participantes para chegar ao desejado número de 2 mil pessoas.

Ou seja, pensando em termos de público, eu acredito que atualmente os maiores eventos no mundo focados em hacking (em termos de quantidade de inscritos) são:
  • a Defcon (EUA, com mais de 10.000 presentes)
  • o CCCongress (Alemanha, com provavelmente mais de 5 mil pessoas)
  • o conjunto das Security BSides em todo o mundo
  • o conjunto de Roadsec (Brasil)
  • a Hack in the Box (Malasia + Amsterdan).
  • a Ekoparty
O CCCamp, que acontece na Alemanha a cada 4 anos, também recebe um número astronômico de participantes. E a China provavelmente tem alguma conferência de Hacking que atrai milhares de chineses - mas eu não conheço o suficiente para opinar. Além disso, eu não considero a Black Hat na lista acima, pois ela tem um foco maior no público corporativo do que no pessoal de pesquisa em segurança e hacking.

Além da lista acima, podemos pensar em quais são os eventos de segurança "para hackers" (ou seja, eventos com foco no público técnico e em pesquisa de segurança) "mais importantes" em todo o mundo. Eu diria que são os seguintes:
Não vale a pena esquecer que, há pouco tempo atrás, eu escrevi um post sobre as conferências de segurança mais relevantes ao redor do mundo. Esta lista é mais ampla pois considera eventos focados em vários públicos, como o público corporativo, governamental, acadêmico e relacionado a criptografia.

Atualização (11/01/16): O blog da Tripwire publicou um texto listando o que considerou como as 11 conferências mais importantes do mundo.

novembro 03, 2015

[Cidadania] Nos colocando no lugar das Mulheres

Alguns amigos postaram este texto no Facebook e eu achei ele tão bom que resolvi copiar aqui, para lembrar da dificuldade que as mulheres sofrem no dia-a-dia.

"Somos homens. E eu vou usar linguagem "de homem", pra tentar ficar mais claro.
Ninguém nos apalpa no caminho do banheiro, na balada, puxa nosso cabelo ou nosso braço, ou sussurra "vagabundo" no pé do nosso ouvido apenas porque queremos mijar.
Ninguém nos encoxa no metrô ou no ônibus, goza na nossa calça ou no nosso ombro, filma escondido a gola da camisa e publica em site pornô.
Ninguém fotografa nossa bunda e envia por Whatsapp. Ninguém coloca câmera escondida pra filmar por baixo de nossas bermudas na rua.
Ninguém pega foto do nosso pau ou vídeo gravado transando p'ra tirar onda com as amiguinhas de como nós somos gostosos e que vagabundos nós somos.
Ninguém se vinga de fim de relacionamento expondo nossa intimidade na Internet, pra familiares, amigos, chefes.
Nenhum taxista, por mais bêbado que estivesse, me levou pra um matagal em vez do destino que pedi.
Nunca fui seguido na rua, voltando do trabalho, e temi coisa alguma senão perder o celular ou a carteira.
Nenhuma mulher nojenta ficou se lambendo ou esfregando a mão enquanto eu atravesso a rua.
Nenhum assaltante jamais enfiou a mão na minha calça ou tentou me beijar à força.
Ninguém nunca me ameaçou a vida depois de uma bota.
Ninguém nunca ameaçou meu emprego a troco de sexo.
Nunca tive medo de circular de noite ou de dia e ser vítima de um estupro.
Meu salário é oferecido de acordo à minha qualificação e estado do mercado. Só.
Minha liberdade sexual é garantida pelos bagos que carrego, e, inclusive, quanto mais mulheres eu colecionar, mais foda eu sou.
Ninguém espera que eu largue o trabalho e dedique minha vida a filhos, quando eles nascerem.
Ninguém vai me chamar de puto se desejar tomar uma cerveja no fim do expediente.
Ninguém vai criar qualquer conceito sobre mim senão baseado nas minhas reais atitudes.
Então, fera, veja em quantos pontos supracitados você se enquadra e me conta como é bacana a vida sem essa violência indireta ou direta, como é simples viver assim.
Lembra desse papo quando nomear "vitimismo", "mimimi", "falta de rola", "louça pra lavar", enfim, os clichês que a gente conhece bem.
Não precisa pensar na desconhecida não: pensa na sua mãe, sua irmã, sua companheira, sua filha... Faz o mais forte exercício de empatia do mundo, que é se colocar no lugar delas, volta aqui e me chama de "feministo". Aguardo ansiosamente."