dezembro 31, 2015

Boas Festas

Mais um ano chega ao fim. Independente da religião e crenças de cada um, esta é uma época de união e de amor entre familiares e amigos. Também é um momento para reflexão sobre o quanto evoluímos a cada ano. É uma época para repensarmos nossos valores, objetivos e o quanto já caminhamos na jornada de vida.

Como sempre acontece, todos tivemos muitas conquistas e algumas derrotas durante o ano. Pois assim é a vida: os pequenos sucessos se revezam com as pequenas derrotas no dia-a-dia. Como disse o personagem de Silverster Stallone no filme Rock Balboa, de 2006: "Você, eu, nem ninguém vai bater tão duro como a vida. Mas não se trata de bater duro. Se trata de quanto você aguenta apanhar e seguir em frente (...). É assim que se consegue vencer."


Por isso, vamos celebrar as conquistas e usar as derrotas como lição do que precisamos melhorar a cada ano. Cada dia é uma nova oportunidade para nos levantarmos e fazermos dele um dia melhor do que foi a véspera.

Entre as minhas pequenas conquistas de 2015, o blog completou 10 anos de vida e também atingiu a marca de 1.000 posts. Mas isso não significaria nada se, em algumas ocasiões durante este ano, não tivesse acontecido de eu ter sido abordado por pessoas que me elogiaram pelo Blog, por tê-las ajudado a seguir na área. Isso não tem preço !!!

Que venha 2016 com muitos desafios e grandes vitórias. Vamos tornar nossa vida cada dia melhor para nós mesmos, para os próximos e para o nosso mundo. Porque tudo o que fazemos importa e podemos fazer a diferença!!!!

dezembro 30, 2015

[Segurança] Estatísticas sobre Phishing

Segundo a empresa PhishX, "mais de 90% das ameaças virtuais (malwares, vírus, APTs e outros) se iniciam por um Phishing". Interessante, né? De fato, o uso de Ohishing é a forma mais eficaz de invadir uma empresa, muito mais fácil do que tentar descobrir uma vulnerabilidade nos seus sistemas ou uma brecha na infra-estrutura.

A empresa criou um pequeno "Infográfico Global sobre Phishing, suas variações e o Comportamento das Pessoas" com mais alguns dados estatísticos sobre os ataques de Phishing, tais como:
  • Cerca de 40% dos usuários sào vítimas de Phishing (os dados variam muito pouco entre usuários de Smartphones ou computadores);
  • Demora 27 segundos em média para o Phishing fazer asua primeira vítima.



dezembro 29, 2015

[Segurança] Roubando Hotéis

A notícia recente do roubo de dados de cartões de crédito e débito da rede de hotéis Hyatt mostra uma nova tendência do crime cibernético: roubar dados de grandes redes hoteleiras. Esse tipo de crime tem abusado do uso de malwares de PoS, especializados em invadir computadores conectados a terminais de ponto de venda, aonde os clientes dos hotéis pagam suas hospedagens com cartões de crédito e débito.

Além da rede Hyatt, alguns outros grupos hoteleiros foram vítimas recentes desse tipo de ciber crime:
  • A cadeia Trump Hotels anunciou, em 29 de Setembro, que seus sistemas PoS de sete hotéis foram infectados por malware durante mais de um ano (entre Maio de 2014 e Junho de 2015);
  • A rede Starwood Hotels and Resorts anunciou em 20 de Novembro que um malware infectou alguns de seus restaurantes, lojas e outros sistemas PoS localizados nos EUA;
  • A cadeia de hotéis Hilton advertiu em 24 de novembro que sofreu diversas  invasões frequentes de malwares para PoS em 2014 e 2015;
  • Outras vítimas incluem também o Hard Rock Las Vegas Hotel and Casino e o Las Vegas Sands casino.
Em comum, nenhum dos casos acima informou qual foi o malware utilizado nem a quantidade de clientes afetados :(

O uso de malwares de PoS permite aos ciber criminosos roubar centenas ou milhares de dados de clientes (incluindo número do cartão, nome do cliente e o código verificador), que posteriormente serão utilizados para fraudes.

dezembro 25, 2015

[História] Trégua de Natal

A trégua de natal foi um episódio curioso que ocorreu durante a Primeira Guerra Mundial eque mostra a força do espírito de união e amor do Natal, que pode estar presente até mesmo nos piores momentos.

Durante os últimos dias de dezembro de 1914 na região de Ypres, Bélgica, soldados alemães decoraram suas trincheiras com velas e enfeitaram algumas árvores o Natal. Começaram, então, a cantar canções natalinas alemãs. Observando o que se passava nas trincheiras inimigas, os soldados ingleses começaram a cantar suas próprias canções. Nesse momento, ambos os lados passaram a saudar um ao outro; era véspera de Natal e, por 6 dias, a guerra cessou e a paz reinou.

De forma não oficial, soldados inimigos fizeram uma trégua em meio às batalhas e promoveram o cessar fogo para celebrarem juntos aquela data festiva, trocando presentes, cantando canções natalinas e até jogando partidas de futebol na “terra de ninguém” (o espaço que separava as trincheiras inimigas, assim chamado pois poucos sobreviviam ao tiroteio).

Quando os líderes souberam do ocorrido, mais que rapidamente proibiram qualquer forma de trégua com os exércitos inimigos. O episódio da Trégua de Natal nunca mais se repetiu após aquele dezembro de 1914, tornando-se quase um mito e, de fato, um marco histórico.


OBS: Post atualizado em 27/12 para incluir uma imagem da época.

dezembro 23, 2015

[Geek] Guia rápido para entender Star Wars

Com o lançamento do novo filme da franquia Star Wars, o Despertar da Força, eu descobri que tenho alguns amigos que nunca assistiram os filmes e, por isso, ficam totalmente a margem de qualquer conversa sobre o assunto.

Para ajudar este pessoal, resolvi criar um pequeno guia rápido e bem didático para entender os filmes Star Wars. Cuidado que algumas informações podem ser consideradas "spoiler":
  • A história completa são "3 trilogias", ou seja, 3 grupos de filmes, lançados nas décadas de 70/80 (a trilogia do meio - episódios IV a VI), 2000 (episódios iniciais da história, de I a III) e agora, segunda metade da década de 2010 (o final de história, nos episódios de VII a IX);
  • A história gira em torno de dois eixos principais, que se referem a eterna luta do bem contra o mal: a transformação da república em império, confrontada pelos rebeldes e pelos cavaleiros Jedi, e a vida de Anakin Skywalker (Darth Vader), desde a sua infância (Episódio I), seu treinamento como Jedi (Episódio II), sua conversão para o mal (o 'lado negro", no Episódio III), seus anos como o principal vilão da galáxia (em toda a trilogia original), e agora, a sua sucessão, através do seu neto que também vai para o lado negro e torna-se o novo vilão da história;
  • Se usa sabre de luz vermelho (aquela mistura de espada com laser), é vilão;
  • Se usa sabre de luz azul ou verde, é mocinho;
  • Se está vestido de preto, é vilão (exceto o Luke Skywalker, ele pode);
  • Se está vestido de preto e usa sabre de luz vermelho, é o principal vilão malvado da história;
  • Se está vestido com um hobby marrom (não perguntem porquê!?), é um mestre Jedi fodástico do bem;
  • Se está vestido com um hobby marrom, é um mestre Jedi fodástico do bem e provavelmente vai morrer ainda neste filme que você está assistindo;
  • Os soldadinhos vestidos de branco (chamados de Stormtroopers) são do bem no início da história (episódios I a III) e do mal na metade da história em diante (episódios IV a VII). Ou seja: eles são soldados e simplesmente fazem o que o chefe manda fazer;
  • Aquela nave em formato de Pizza é a Millenium Falcon;
  • Os rebeldes só sabem fazer uma nave legal: o X-Wing. Os vilões do Império tem um monte de naves legais: caças Tie-Fighter com vários modelos, os cruzadores espaciais, os AT-AT, etc;
  • Os vilões adoram construir naves gigantescas, em formato de lua ou de planeta, capaz de destruir outros planetas com um tipo de raio super poderoso. Mas não conseguem esconder os planos de construção e não conseguem tampar um buraco que sempre existe que causa a explosão da nave/estrela/planeta inteiro;
  • Star Wars não tem nada a ver com Star Trek. São histórias totalmente diferentes. Mas se quiser trollar seus amigos, diga que o Mestre Yoda é o ta-ta-ta-ta-taravô do Spock.

dezembro 21, 2015

[Segurança] A lista de preços do crime cibernético

Recentemente o pessoal da RSA publicou um infográfico com os principais preços das atividades criminosas comercializadas no mundo undergroung.

O estudo, batizado de "2016 Cybercriminal Shopping List", identificou os preços médios que os ciber criminosos cobram nos mercados da Dark Net para a comercialização de contas e informações pessoais roubadas, além de alguns serviços criminosos. São coisas como, por exemplo:
  • Conta de rede social com 500 amigos: US$ 7,50
  • Conta em site de e-commerce: de US$ 2 a US$ 10
  • Conta de Internet Banking (banco americano) com dados do cartão de débito: de US$ 150 a US$ 300
  • Documento de identidade falsa (Inglaterra): US$ 15
  • Ataque de DDoS contra um site: US$ 30 por hora
Veja um pouco mais de detalhes no infográfico abaixo.


dezembro 18, 2015

[Segurança] Não se trata de ter algo a esconder

Quando se discute o vigilantismo governamental online, como foram os casos das revelações do Edward Snowden, um dos argumentos mais utilizados pelas pessoas favoráveis aos governos é o de que "quem não tem nada a esconder não é afetado". Ou seja, se a pessoa não faz nada de errado nem tem o que esconder, não precisa ter receio dos governos terem acesso a suas informações pessoais online (tais como dados pessoais, contatos online e rede de relacionamento, etc).

O vídeo abaixo, produzido pela equipe do Ministério da Justiça que está trabalhando no Anteprojeto de Lei de Proteção de Dados Pessoais, aborda justamente esta argumentação.



Segundo a Veridiana Alimonti, do Idec (Instituto Brasileiro de Defesa do Consumidor), que fala no vídeo: "Não se trata de ter algo a esconder. Trata-se de você de fato ter a capacidade de ser o titular de suas próprias informações". Assim, poderíamos decidir o que as empresas podem fazer com nossos dados e estaríamos conscientes dos "bancos de dados" que existem sobre nós.

A Veridiana lembra que a Internet permite a coleta massiva de dados de uma infinidade de pessoas, inclusive dados nossos que nem sabemos que outras empresas podem ter acesso - não se limitando a informações que tornamos públicas intencionalmente. A existência de leis de proteção de dados pessoais permite definir condições de acesso a estas informações e, principalmente, existir mecanismos para punir as empresas que desrespeitarem o direito a privacidade dos usuários.

dezembro 16, 2015

[Geek] Star Wars

(Quase) todo mundo está na espectativa do lançamento do Episódio VII do Star Wars, "Star Wars: The Force Awakens" ("O Despertar da Força", no título em Português). Este é o sétimo filme, de um total de 9 episódios (ou 3 trilogias, sei lá...) previstos para a saga que teve origem em 1977. Desde então, os filmes são lançados em dose homeopáticas, espaçados por tantos anos entre si que causaria inveja até nas obras do metrô de São Paulo.

É incrível pensar como um pequeno conjunto de filmes conseguiu ter uma influência cultural tão grande e que perdura até hoje. Isto sem falar na grande evolução dos efeitos especiais que a primeira trilogia representou na época.

O último filme lançado, o Episódio III ("Revenge of the Sith"), saiu há 10 anos atrás, em 2005. Há quem discute qual é a melhor forma de assistir a saga toda de novo: na cronologia do lançamento dos filmes (isto é, episódios IV, V, VI, I, II e III) ou na sequência da história (do I até o IV). Acredito que, após o lançamento do Despertar da Força e dos últimos dois filmes, a melhor opção será assistir seguindo a cronologia da história. até lá, divirta-se assistindo da forma que achar melhor !!!



Para entrar no clima e, de quebra, refrescar um pouco a memória, você pode assistir a esse resumo da saga, com 3 min de duração:



Os nerds também vão se divertir com a versão "modo terminal de caracteres" (que é bem longo, não tive paciência de ver até o final).


dezembro 14, 2015

[Cyber Cultura] A evolução da Internet de Todas as Coisas

A Cisco fez alguns vídeos curtos, porém muito legais, sobre a Internet de Todas as Coisas (ou IoE, sigla da expressão em inglês "Internet of Everything"), que é um conceito ligeiramente mais "hype" e mais abrangente do que o "Internet das Coisas" (IoT).

O primeiro vídeo que eu quero destacar, de 2013, tem o título sugestivo de "Bem vindo a Internet de Todas as Coisas" e fala um pouquinho sobre o que é a IoE e traz algumas informações interessantes:
  • O fluxo de dados na Internet cresceu exponencialmente desde os anos 60, e deverá alcançar um ZettaByte até 2016;
  • Nossos dispositivos móveis são mais poderosos do que os supercomputadores de 20 anos atrás;
  • Até 2020, 50 bilhões de objetos estarão conectados à rede;
  • Em maio de 2011, as Nações Unidas declararam que a internet é um direito humano fundamental.



Outro vídeo, de 2014, fala sobre a "Evolução da Internet de Todas as Coisas" e apresenta várias estatísticas associadas a popularização do IoT:


  • Em 2015, o número de dispositivos conectados a Internet será superior a quantidade de habitantes na Terra;
  • O número de dispositivos conectados subiu de 1 mil em 1984 para 1 milhão em 1992, 1 bilhão em 2008 e 12,5 bilhões em 2010;
  • Em 2010 haviam 300 mil aplicativos mobile (app) disponíveis, com 11 bilhões de downloads, chegando a 77 bilhões de downloads em 2014;
  • 80% dos aplicativos comerciais já são disponibilizados como serviço.
Os vídeos são interessantes e servem para ilustrar a evolução que está surgindo por conta da IoT e IoE.


dezembro 11, 2015

[Segurança] ISO/IEC 27017:2015

A ISO/IEC publicou, em 30/11/2015, a ISO/IEC 27017:2015 (Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services), uma norma específica sobre segurança para ambientes de computação em nuvem.

A 27017, em suas 30 páginas, fornece diretrizes e controles de segurança específicos para provedores e clientes de Cloud Computing, baseados nas recomendações existentes na ISO/IEC 27002, uma norma bem conhecida que define os controles mínimos de segurança recomendados para todas as empresas. Ou seja, para cada seção e controle recomendado na norma 27002, esta nova norma ideitifica se o controle prévio se aplica nos ambientes de computação em nuvem (e, em geral, sempre se aplicam!), e também complementa a norma, recomendando controles adicionais que são específicos para o mundo de Cloud.

O site iso27001security dá um exemplo de como é a 27017, baseado na seção 6.1.1 (Information security roles and responsibilities):


A 27017 vem para fazer compania para a ISO/IEC 27018, a primeira norma internacional que aborda a proteção dos dados pessoais na nuvem - lançada em 2014. Apesar de recente, este padrão oferece aos usuários de computação em nuvem parâmetros para avaliar que o seu provedor de serviços em nuvem está bem posicionado para manter os dados privados e seguros.

A norma pode ser comprada e abaixada no site da ISO/IEC. A ABNT participou da elaboração da norma ISO/IEC 27017 e está trabalhando em uma versão brasileira, que deve ir para consulta nacional em breve.

dezembro 09, 2015

[Segurança] Os maiores vazamentos de dados de 2015

O ano ainda nem acabou, mas o portal CSO Online já publicou uma matéria com os maiores vazamentos de dados de 2015. Então eu aproveitei e criei a lista abaixo, com mais alguns casos que não constavam na matéria original do CSO Online:
  • Eleitores americanos: No final de Dezembro foi encontrada uma base de dados exposta na Internet, sem nenhum controle de acesso, com dados de 191 milhões de eleitores americanos;
  • Anthem: Dados pessoais de mais de 80 milhões de clientes dessa empresa do setor de saúde;
  • Ashley Madison: Em Julho deste ano, o grupo Impact Team divulgou dados e senhas de 37 milhões de usuários desse site de "relacionamentos", causando muito "bafafá" por aí...
  • Office of Personnel Management (EUA): Vazaram os dados pessoais de 22 milhões de empregados do governo Americano. Foi utilizado um malware para implantar um backdoor através de credenciais roubadas de um terceiro;
  • Experian: Foram acessados os dados pessoais de 15 milhões de clientes da T-Mobile, que estavam armazenados na Experian;
  • MacKeeper: Foram roubados dados sensíveis referentes as contas de 13 milhoões de usuários do software MacKeeper;
  • Premera: dados pessoais (nome, data de nascimento. endereço, números telefônicos, informações médicas e financeiras, etc) de 11 milhões de clientes;
  • VTech Learning Lodge: Este fabricante de brinquedos tecnológicos foi hackeada e foram roubados dados de seus clientes: 5 milhões de adultos e 200.000 crianças, que entre outras coisas tiveram suas fotos divulgadas;
  • Scottrade: Roubo de dados de 4,6 milhões de clientes;
  • TalkTalk: Um adolescente de 15 anos de idade conseguiu roubar os dados pessoais e bancários de 4 milhões de clientes;
  • Sanrio: Uma base de dados MongoDB da empresa japonesa, exposta na Internet, continha os dados de 3,3 milhões de fans da Hello Kitty, incluindo os dados de 186 mil crianças;
  • Alliance Health: Uma base de dados mal configurada da empresa expôs na Internet 1.6 milhões de registros médicos de 1.5 milhões de clientes;
  • CareFirst: Atacantes acessaram uma base de dados com registros pessoais de 1,1 milhões de clientes dessa empresa americana de plano de saúde e seguro médico;
  • Seguro Social de Costa Rica: foram roubados os dados de 530.000 usuários;
  • mSpy: Vazaram dados pessoais de 400.000 clientes desse fabricante de spyware, incluindo screenshots, dados de geolocalização, logs de bate-papo, etc;
  • IRS: Registros de 330.000 contribuintes do Imposto de Renda americano;
  • Hacking Team: Foram roubados 400 GB de dados internos, incluindo e-mails de executivos, lista de clientes, ferramentas e informações de zero days e exploits que a compania comercializava.

Desde o início de 2014 assistimos a "era dos mega roubos de dados", com invasões a diversos varejistas (lojas, supermercados) e restaurantes amercanos. Talvez o maior destaque na lista acima é que empresas do setor de Saúde começaram a se tornar alvo neste ano, como as americanas Anthem, Premera e CareFirst. Pior ainda, suspeita-se de que os ataques a Anthem e Premera foram realizados pelo mesmo grupo, o grupo Chinês de ciber espionagem conhecido como Deep Panda.

Em tempo: o portal CSO Online também criou uma lista com os 15 piores roubos de dados do século !!!

OBS:
Post atualizado em 21/12/2015, e 29/12.

dezembro 08, 2015

[Geek] Tem um cabo de rede fora do lugar?

Quem nunca passou por isso?


Eu já tive a oportunidade de trabalhar em uma empresa aonde o data center era totalmente zoneado. Havia uma cascata de cabos de rede atrás de cada rack, e era impossível identificar quais cabos conectava o que aonde.

O resultado? Qualquer manutenção nos equipamentos era uma dor de cabeça. Quando um equipamento era desligado, a sua ponta do cabo era desconectada, mas muitas vezes a outra ponta permanecia lá, aumentando a bagunça. Diversas paradas aconteciam no ambiente e qualquer tentativa de consertar demorava horas.

Certa vez, todo um prédio do call center ficou sem trabalhar durante o dia inteiro porque alguém conectou um cabo de rede em loop e toda a rede parou. Demoramos o dia inteiro para achar o problema e identificar o maldito cabo. Imagina o prejuízo de uma empresa que fica um dia inteiro sem os sistemas do call center :(

Manter um ambiente de TI organizado e documentado é um esforço constante:

  • todos os equipamentos tem que ser identificados e documentados;
  • todos os cabos (de rede e de força) devem seguir o padrão e normas específicas, além de serem identificados e posicionados dentro das devidas canaletas;
  • o diagrama de rede tem que ser atualizado a cada mudança.

Acredite, é muito menos trabalhoso manter o ambiente organizado a cada mudança do que tentar arrumar tudo depois.

dezembro 07, 2015

[Geek] Drones

A Aeronáutica publicou recentemente novas regras para regulamentar o voo de drones no Brasil (também chamados de vants - sigla para "veículos aéreos não tripulados" e de "Aeronaves Pilotadas Remotamente"- que vira RPA, na sigla em inglês). O termo “drone” é apenas um nome genérico originado nos EUA, que vem se difundindo para caracterizar todo e qualquer objeto voador não tripulado. Ou seja, embora seja um termo aceito, não tem amparo técnico ou definição nas legislações existentes.

Estas regras aplicam-se ao uso profissional (é liberado o uso comercial dos drones), institucional e governamental, independente do tamanho do equipamento. A operação aérea de vants como lazer, hobby ou esporte se enquadra em regras voltadas ao aeromodelismo (definidas na Portaria DAC nº 207/STE). Ou seja, o governo considera o propósito do voo, independente do equipamento utilizado.

O registro do aparelho deve ser feito junto à Agência Nacional da Aviação Civil (Anac), e os pedidos para saírem do chão (decolagem) são de responsabilidade do Departamento de Controle do Espaço Aéreo (Decea), ligado ao Comando da Aeronáutica. Uma das premissas básicas das regras é que o voo de uma RPA não deve colocar em risco pessoas e/ou propriedades (no ar ou no solo), mesmo que de forma não intencional. As regras fixam altura mínima de 30 metros para que drones se manterem distantes de pessoas e edificações. A velocidade máxima pode ser de 55 km/h a 110 km/h, dependendo do peso da aeronave, sendo proibidos voos noturnos e acrobacias.

Os voos no interior de prédios e construções fechadas, mesmo que parcialmente (como ginásios, estádios e arenas a céu aberto - até o limite vertical da estrutura lateral) são de total responsabilidade do proprietário e deverão estar autorizados por estes, já que não são considerados “espaços aéreos” sob a responsabilidade do DECEA. Ainda assim, esse tipo de operação deve observar as regulamentações da ANAC e as responsabilidades civis em vigor. Não será autorizado o emprego de RPAs sobre áreas povoadas ou aglomeração de pessoas.

O site Defesanet detalhou bastante a nova regulamentação. O pessoal do G1, por sua vez, fez um infográfico resumindo as novas regras:



Enquanto isso, nos EUA, a Amazon divulgou a versão atual dos drones que ela planeja utilizar para fazer entregas, com o serviço batizado de "Amazon Prime Air".




dezembro 04, 2015

[Segurança] Fatso, o responsável por responder a incidentes

Em Abril deste ano eu comentei sobre a dificuldade que muitas empresas tem em conhecer o seu ambiente e, consequentemente, em responder a incidentes. Na época eu comparei tais empresas com o urso Fatso, do desenho do Pica-Pau.

Felizmente eu vi um gif animado dele no Facebook, e resolvi fazer este post simplesmente para compartilhar ele ;)



Devemos agradecer a recente modinha do pessoal colocar gifs animados em seus posts no Facebook.

dezembro 02, 2015

[Cyber Cultura] Vamos compartilhar nudes (dos outros)?

O Tribunal de Justiça de São Paulo (TJ/SP) decidiu que quem compartilha "nudes" (ou seja, email com fotos íntimas de outra pessoa) também deve pagar dano moral - independente de ter sido o responsável pelo vazamento original das imagens. Ou seja: a justiça entendeu que basta repassar as imagens para contribuir com a invasão de privacidade e com os danos morais causados a vítima.

Segundo a decisão do desembargador Walter Barone, “Ainda que o réu não tenha sido o criador das obscenas fotografias, como afirma, e mesmo que não tenha agido com dolo específico, a retransmissão das imagens a terceiros configura, por si só, a conduta lesiva, revelando culpa, porquanto patente no mínimo a sua imprudência ao contribuir para a difusão da ofensa”.

A decisão veio da 7ª Câmara de Direito Privado do TJ/SP como resultado de uma série de 45 ações propostas pela mesma vítima, que teve suas fotos de sexo explícito expostas ne Internet em 2009. A autora resolveu processar todo os envolvidos em uma corrente de e-mails que foram repassados entre várias pessoas. O título do email dava o nome da vítima e o banco onde trabalhava.

Segundo o Dr. Renato Opice Blum, mesmo quem apenas compartilha tais mensagens agravam o dano moral da vítima e tem responsabilidade sobre isso. O artigo 186 do Código Civil, diz claramente que...
"Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito".

Esta decisão pode abrir precedentes para a culpabilidade não apenas de quem causou a invasão de privacidade e deliberadamente divulgou imagens íntimas de outra pessoa, mas também de quem as passa adiante. Espero que isso ajude a diminuir a grande quantidade de casos de pessoas que tem sua privacidade exposta na Internet.

novembro 30, 2015

[Segurança] Bletchley Park

Bletchley Park é conhecido por ser o local aonde trabalharam os principais criptoanalistas britânicos durante a Segunda Guerra Mundial. Atualmente, a maioria de suas instalações estão abertas ao público e o local funciona como um museu.

O local, que fica a 80 kilômetros de Londres (cerca de 40 minutos de trem), foi mantido em segredo por muitos de anos e chegou a ter cerca de 9.000 pessoas trabalhando durante a Segunda Guerra, em três turnos. Como era uma instalação super secreta do governo Britânico, as pessoas que trabalhavam lá eram proibidas de comentar qualquer coisa sobre o que faziam - nem mesmo com seus familiares mais próximos.

Um dos fatos que tornaram Bletchley Park conhecido é que foi lá aonde Alan Turing, o "pai da computação", trabalhou na quebra da máquina Enigma, o que permitiu aos aliados interceptarem e lerem as mensagens dos nazistas. Além do Alan Turing ser um personagem muito popular hoje em dia, o mais importante é que especialistas estimam que o trabalho realizado pelos criptoanalistas de Bletchley Park decifrando as mensagens nazistas conseguiu antecipar o final da Segunda Guerra na Europa em cerca de 2 anos.

Mas dois outros fatos, menos conhecidos, tornam este lugar muito especial para a história da computação moderna:
  • Lá, a criptoanálise deixou de ser um processo artesanal e passou a ser um processo industrial. Antes o criptoanalista recebia uma mensagem criptografada e ele, sozinho, fazia seus cálculos malucos para desencriptar aquela mensagem estecífica, validar o texto resultante, traduzí-lo para seu idopma e eventualmente ainda tinah que selecionar que partes da mensagem eram as mais importantes e deviam ser comunicadas. Em Bletchley Park foi criada toda uma estrutura e cadeia de processos aonde diversos times eram responsável por cada etapa na quebra de uma mensagem - desde os testes para descobrir a chave (no caso, a configuração da máquina Enigma que foi utilizada), passando para outro time responsável pela validação da mensagem, outro pela tradução e outro que iria encaminhar a mensagem para os demais órgãos de inte;igência. Como curiosidade, ninguém mais sabia que as mensagens estavam sendo interceptadas e desencriptadas, e para ocultar isso, os relatórios de inteligência eram escritos de forma a indicar que as informações tinahm sido obtidas por espiões aliados;
  • Bletchley Park construiu e hospedou o primeiro computador da história, o Colossus. Embora o ENIAC, nos EUA, tenha recebido a fama, o Colossus foi construído antes, mas sua existência foi mantida em segredo por muitos anos. A cada dia as máquinas Enigma utilizavam uma configuração diferente (dependendo dos rotores que utilizava, das posições iniciais dos rotores e dos fios em seu painel frontal, que configuravam algumas permutas de letras). Assim que uma primeira mensagem era capturada, os criptoanalistas descobriam a configuração da máquina Enigma fazendo testes automatizados através de máquinas batizadas de "Bomb" ("Bomba", pois elas faziam um barulho que parecia o tic-tac de uma bomba). A partir deste momento, todas as mensagens daquelas máquinas enigmas enviadas naquele dia poderiam ser decifradas, e essa tarefa ficava a cargo do Colossus.

Os fois fatos acima deram a equipe de Bletchley Park uma capacidade de decifrar mensagens sem precedência na história. Estima-se que eles conseguiram decifrar mais da metade das 3 milhões de mensagens que receberam durante a 2a Guerra.

Atualmente, Bletchley Park é um grande museu a céu aberto, aonde várias de suas instalações podem ser vistas pelo público. Além disso, o local hospeda o "The National Museum of Computing", um museu da computação que, entre outras exibições interessantes, possui uma réplica do Colossus em funcionamento.

novembro 27, 2015

[Cyber Cultura] Patinho Feio

Na década de 1970, professores e alunos do Instituto Politécnico da USP (Poli) criaram o primeiro mini computador nacional, batizado de "Patinho Feio". Seu desenvolvimento foi crucial para o surgimento da indústria de informática brasileira.



O Patinho Feio foi desenvolvido nos anos 1971 e 1972 pelo pessoal do Laboratório de Sistemas Digitais (LSD) da Poli, e contava com:
  • Um microcomputador de 8 bits
  • Memória principal de 4 KBytes
  • Interfaces através de fita de papel perfurado, impressora, terminal de vídeo e plotter
  • Programado através da linguagem Assembly
O Patinho Feio ficou pronto em julho de 1972. Ele tinha um metro de comprimento, um metro de altura, 80 centímetros de largura, pesando mais de 100 quilos. Ele possuía 450 pastilhas de circuitos integrados, formando três mil blocos lógicos, distribuídos em 45 placas de circuito impresso.

O Patinho Feio era programado em Assembly, e o programa era carregado no hardware através de fitas de papel perfurado. Os programadores eram obrigados a usar técnicas de programação específicas para conseguir utilizar o pouco poder de processamento e memória disponíveis, e alguns softwares foram desenvolvidos para auxiliar os programadores a criar seus programas para o Patinho Feio.


O nome "Patinho Feio" foi escolhido como uma sátira a um projeto similar, batizado de "Cisne Branco", que estava sendo desenvolvido pela Unicamp a pedido da Marinha, que queria criar um computador nacional. Ao contrário do Patinho Feio, o projeto da Unicamp não foi concluído.



Atualização (07/12)

O Felipe "Juca" Sanches, do Garoa, desenvolveu um emulador para o Patinho Feio utilizando o MAME, após visitar a Poli e conversar com alguns professores que participaram do projeto. Ele, inclusive, já conseguiu recuperar um pequeno peograma que estava gravado em fita de papel e o executou no emulador. Ele disponibilizou alguns materiais sobre o projeto:

novembro 25, 2015

[Segurança] Privacidade em aplicativos de mensagens instantâneas

Os recentes atentados em Paris trouxeram a tona, novamente, a discussão sobre o direito a privacidade na comunicação online versus a necessidade dos governos em monitorarem as comunicações de grupos criminosos e terroristas.

Embora esse debate provavelmente não tenha fim, o fato é que os recursos de criptografia e privacidade em aplicativos de e-mail e de comunicação instantânea (tanto em computadores e celulares) são benéficos para os cidadãos de bem e para os ativistas que, em algum momento, possam ser ameaçados por governos e organizações.

Mas há muito tempo especula-se que organizações criminosas e terroristas também usam diversas técnicas e ferramentas para esconder suas comunicações, desde ferramentas de criptografia até mesmo o eventual uso de comunicação através de meios não muito convencionais, como a PSN (algo que, no caso dos atentados de Paris, não foi comprovado). Especula-se que o Estado Islâmico (ISIS), em particular, tem orientado seus membros a utilizarem ferramentas mais seguras para comunicação - além de utilizar Bitcoin para esconder suas movimentações financeiras.

Do ponto de vista da privacidade dos aplicativos de mensagens instantâneas que utilizamos em nossos celulares e Smartphones, a Electronic Frontier Foundation (EFF) fez um trabalho muito interessante criando um levantamento dos principais recursos de privacidade dos aplicativos mais utilizados, que foi resumido em um "score card".



Segundo o jornal americano The Wall Street Journal (WSJ), o Estado Islâmico também se preocupa com a criptografia nos aplicativos de comunicação instantânea e fizeram o seu próprio levantamento de quais aplicativos são mais ou menos seguros contra a vigilância de governos.



novembro 23, 2015

[Segurança] Fraudes e Riscos na Black Friday

A Black Friday já representa o dia em que o comércio Brasileiro (e o e-commerce) realiza mais vendas em todo o ano. Segundo a WebShoppers, as compras de Natal em 2014 (no período de 40 dias entre 15 de novembro e 24 de dezembro) renderam ao comércio eletrônico R$ 5,9 bilhões, enquanto a Black Friday teve faturamento, em um único dia, de R$ 1,16 bilhão.

Mas isso não acontece só aqui. Na Inglaterra, por exemplo, o comércio espera faturar mais de 1 bilhão de libras na Black Friday deste ano, contra £810 milhões em 2014.

A Black Friday acontece na sexta-feira logo após o feriado de Ação de Graças (um dos mais importantes feriados para os Americanos), que é a 4° quinta-feira do mês de Novembro. Ela surgiu nos EUA em 1961 como uma forma do comércio americano desovar os estoques e se preparar para o período de compras natalinas. E, nos EUA, os decontos durante a Black Friday são, realmente, muito agressivos, atraindo milhares de clientes.


No Brasil, o comércio começou a utilizar esta data em 2010, como uma forma de promover descontos para atrair clientes e aumentar as vendas. Infelizmente, algumas lojas começaram a "maquiar os preços" e fazer falsas promoções (o chamado "tudo pela metade do dobro do preço" - ou seja, algumas lojas aumentavam artificialmente o preço antes da Black Friday para criar um falso desconto). Por isso, logo nos primeiros anos em que a Black Friday aconteceu no Brasil, ela passou a ser apelidada de "Black Fraude". Em 2014 a Black Friday gerou pelo menos 12 mil reclamações de consumidores, segundo as queixas recebidas pelo site especial criado pelo Reclame Aqui.

O e-commerce normalmente já é alvo de muitas ameaças e fraudes online durante o ano todo, tanto para roubo de dados de clientes (Phishing e ataques a bases de dados para obter informações cadastrais e dados de pagamento, principalmente números de cartões de crédito) quanto para realizar o "cash out" (materializar uma fraude) através de compras fraudulentas com dados de pagamento de terceiros (vítimas), recebimento de mercadorias para posterior revenda. Mas, durante as datas mais importantes para o varejo (como a Black Friday), os ciber criminosos podem aplicar golpes específicos, tais como:
  • Mensagens de Phishing e sites falsos específicos para divulgar promoções com o tema da Black Friday, aproveitando que os consumidores online estão interessados e mais susceptíveis a clicar neste tipo de mensagen neste período;
  • Ataques DDoS para derrubar os sites dos logistas e causar prejuízo - ou extorsão, exigindo pagamento em troca de parar o ataque;
  • Criação de Aplicativos (Apps) falsos em nome de lojas e promoções, com o objetivo real de infectar o celular e roubar dados da vítima;
  • Ataques aos sites e lojas para obtenção de dados de clientes (aproveitando o maior volume de clientes transacionando). Não custa lembrar que o ataque a Target, em 2013, aconteceu no período da Black Friday. Podem acontecer desde ataques ao site e ao banco de dados, até mesmo o uso de malwares especalizados em roubas dados de cartão dos terminais de ponto de venda (PoS).

Do ponto de vista do consumidor final, os cuidados também são muitos:
  • Cuidado redobrado com golpes de Phishing, que chegam através de mensagens de promoções específicas para este período, normalmente anunciando enormes descontos e preços muito atraentes;
  • Dê preferência para comprar em lojas conhecidas e mais confiáveis, para evitar comprar um Smartphone e receber um tijolo em casa. Verifique a reputação da loja em sites como o Reclame Aqui;
  • Verifique a URL do site e o certificado digital para ter certeza de que está comprando no site verdadeiro;
  • Cuidado com pagamentos por boleto bancário, pois no Brasil existem malwares especializados em alterar os dados de pagamento do boleto, redirecionando o valor para a conta dos fraudadores;
  • Pesquisar previamente o preço das mercadorias que deseja comprar, para evitar cair nos descontos falsos. Decida com antecedência o que você deseja coprar na Black Friday e pesquise o preço em várias lojas nas semanas anteriores. Assim você poderá avaliar se o preço ofertado por uma loja está com desconto real ou maquiado;
  • Pesquise os preços promocionais antes de comprar, para ter certeza que estão realmente competitivos. Uma boa opção é utilizar sites de comparação de preços, como o BondFaro.

Neste ano a Black Friday cai no próximo dia 27 de Novembro. Fique atento !!!

Atualização em 04/12:
Algumas coisas que eu citei acima se tornaram realizade:

Atualização em 07/12:
  • Segundo dados da consultoria e-Bit, o faturamento do e-commerce na Black Friday atingiu a casa de R$ 1,6 bilhão (crescimento de 38% em relação a 2014). 1,64 milhão de consumidores online fizeram pelo menos uma compra nas 24 horas da sexta-feira, com 2,77 milhões de pedidos no total (24% maior que o ano passado) e ticket médio de R$ 580 (alta de 11%);
  • No que diz respeito as fraudes na Black Friday, a ClearSale informa que foram evitados quase R$ 5 milhões em perdas (R$ 4.998.990) - contra R$ 3.058.936 em 2014.

novembro 20, 2015

[Cidadania] #primeiroassédio

O pessoal da GNT publicou um vídeo curto, porém muito emocionante, com relatos de casos de assédio contra as mulheres.

O vídeo foi motivado pela campanha nas redes sociais contra o abuso de mulheres, através da hashtag #primeiroassédio. Esta campanha surgiu no final de Outubro como reação ao triste fato de que uma das competidoras do MasterChef Júnior, de apenas 12 anos, começou a ser alvo de assédio sexual e comentários machistas na Internet.





Através da hashtag #primeiroassédio, as mulheres contaram seus casos reais de abusos sexuais sofridos na infância e juventude. Como disse o Marcelo Tas, "A onda de desabafos e relatos escancarou o quanto a violência é real contra meninas".

Até mesmo a Paola Carosella, jurada do MasterChef Brasil, contou que sofreu violência sexual quando era estudante:
"Tinha 11 ou 12 anos e estava num ônibus na Argentina indo para a escola. Um homem colou em mim e começou a se masturbar. Tentei achar um espaço para fugir, mas ele bloqueava todos os meus movimentos com o corpo."

Para quem acha que isso é exagero, a idade média do primeiro assédio sexual é 9,7 anos.

Além da repercussão na mídia e nas redes sociais, os apresentadores masculinos do programa da GNT "Papo de Segunda" (Marcelo Tas, João Vicente, Leo Jaime e Xico Sá) leram alguns dos relatos de #primeiroassédio que circularam na Internet. O objetivo foi chamar a atenção de toda a sociedade, e principalmente dos homens, para a o problema do abuso contra as mulheres e contra garotas.

Mas a desgraça não para por aí: até mesmo um dos garotos que compete no MasterChef Júnior foi alvo de comentários de conotação sexual :(

novembro 18, 2015

[Segurança] Marcelo Tas e os Hackers

Em sua palestra de abertura no Roadsec São Paulo, o Marcelo Tas deu uma visão ótima e objetiva dos valores da cultura hacker.



Segundo o Marcelo Tas, as duas características mais importantes da cultura hacker são:

  • A obsessão pela busca do conhecimento, descobrindo "coisas que estão escondidas", e pelo compartilhamento da informação
  • O espírito de comunidade e de apreender junto, e neste ponto ele destacou a importância de nós, que vivemos no mundo virtual, aproveitarmos as oportunidades de interação em carne e osso, tal como participar em eventos

Ele, que participa da TV e do mundo online há muitos anos, fez um pouco de jabá pessoal e de um projeto novo dele (o Tasômetro), mas a palestra valeu por ele ter destacado sua visão e proximidade com a cultura hacker.

novembro 16, 2015

[Segurança] Phishing

Phishing é uma das técnicas de fraude mais antigas e, até hoje, mais eficientes, que atinge clientes de bancos no Brasil e em todo o mundo.

No México, por exemplo, o Phishing é considerado a principal ameaça online para os bancos do país, pois a principal ação dos ciber criminosos locais é realizada através de mensagens ou sites de Phishing, que são usados para obter informações de acesso (usuário e senha) dos clientes.

O problema principal é que a grande maioria dos usuários clica em tudo o que vê, e não tem discernimento para perceber quando a mensagem é falsa, ou quando leva ele para um site falso. Veja o exemplo abaixo: não precisa ser expert para imaginar que uma mensagem de aviso do WhatsApp jamais seria enviado a partir do endereço de e-mail "gishjewellersn@rogers.com".



Além do mais, ataques de phishing são fáceis de fazer: basta ao fraudador ter criatividade para criar uma mensagem que convença o usuário a clicar num link, que serve para levar a vítima até um site falso ou que vai causar o download de um código malicioso.

Mas essa é uma visão muito simplista. Mesmo porque, hoje em dia existem quadrilhas especializadas em fazer mensagens e sites de phishing bem feitas, que parecem reais e podem, eventualmente, enganar até mesmo um especialista.



E diariamente somos bombardeados por dezenas destas mensagens.



Tudo isso existe com um único objetivo: capturar qualquer informação das vítimas que possam ser utilizadas para cometer fraude, desde as credenciais de login em sites de Internet Banking e dados de cartões de crédito, até mesmo login em serviços de e-mail ou em sites de milhagem de companias aéreas (assim, os criminosos podem vender passagens obtidas com as milhas das vítimas). Outro golpe muito conhecido que se aproveita das mensagens de phishing para espalhar são as fraudes de boleto, que fazem com que a vítima baixe e instale o malware especializado em fraudar pagamentos de boletos bancários.

Desde 2008, o pessoal do CAIS, o Centro de Atendimento a Incidentes de Segurança da RNP, mantém o Catalogo de Fraudes que lista exemplos de mensagens de phishing recebidas por eles. É uma ótima referência sobre o assunto.

novembro 12, 2015

[Cyber Cultura] Como medir a importância de um evento?

Ao ver a reportagem da TechMundo sobre "os 7 maiores eventos para hackers do mundo" (segundo a qual, quatro destes eventos são do Brasil) eu me pergunto: como medir a importância de um "evento hacker"? Ou melhor, como medir a importância de um evento qualquer...

Vejo algumas possibilidades:
  • Pela quantidade de pessoas presentes: é fácil dizer quais são os "maiores" eventos, em termos de público. Neste caso, podemos considerar a quantidade total de participantes - e não o de inscritos, pois há muitos inscritos que não vão no dia do evento. Mas este é uma medida perigosa, pois determinados mercados, lugares ou países tem um público potencial muito maior do que a quantidade de participantes - pense, por exemplo, qual é a quantidade de pessoas que poderiam ir em um evento de segurança nos EUA (a Defcon, por exemplo, atrai cerca de 10 mil pessoas), no Brasil (a H2HC teve cerca de 400 participantres e o Roadsec pretende atrair 2000 - já dá para ver a diferença até mesmo para 2 eventos na mesma cidade) e um evento em um país pequeno (como, por exemplo, o Chile ou Portugal) pode ter poucos parcicipantes (em quantidade), mesmo que eles representem, por exemplo, 90% dos profissionais daquele país;
  • Pela qualidade das palestras e palestrantes: esse é um critério muito subjetivo, exceto quando pensamos nos poucos palestrantes rockstar na área;
  • Pela qualidade do público que atende: aí também fica muito difícil medir, embora possamos analisar a qualidade do público pelo cargo e empresa/instituição em que atuam. Mesmo assim, para mim este é o critério mais difícil de avaliar, principalmente porque não podemos contar apenas com os títulos dos CSOs, pois há eventos técnicos que eles não vão. E, mesmo no caso do público técnico, possuir certificação ou atuar em uma empresa renomada não é sinal inquestionável de competência suprema.

Se pensarmos bem, cada um dos critérios acima acabam caindo em análises subjetivas (e, portanto, sujeita a cabeça de cada um que avalia), e assim pode dar margem a diversas interpretações. E, mesmo se usemos todas as métricas sugeridas, ainda assim corremos o risco de ter algumas injustiças.

Para mostrar como é difícil e polêmico medir a importância de um evento, eu fiz uma "brincadeira": fazendo as contas na tabela abaixo com alguns eventos conhecidos de todos nós, e utilizando valores 0, 1 e 2 para medir cada ítem - algo bem simples, subjetivo e apenas para testarmos o modelo. Por exemplo: 0 de quantidade de participantes significa que o evento recebe uma quantidade muito baixa se comparada com a quantidade de pessoas que poderia ir, pelo público potencial do evento. Por outro lado, 2 para a qualidade de palestras significa que o evento atrai gente foda para palestrar, enquanto 2 na qualidade de público significa que o evento atrai profissionais e pesquisadores importantes e renomados na área e para o público alvo do evento.


Evento Qt Pessoas Palestras Público Média Comentário
Defcon 2 2 2 2 Ok, nem tem como discordar da avaliação máxima para a Defcon ;)
YSTS 0 1 1 0,6 A YSTS é um evento pequeno, formada principalmente por um público convidado, o que acaba filtrando bastante a qualidade do público. Mas, exatamente por causa desse formato, ela deixa muita gente de fora. As palestras são boas, com alguns palestrantes ótimos, mas não dá para dizer que é "estelar". Por se tratar de um evento tão desejado pela comunidade de segurança, a nota de 0,6 é injusta.
H2HC 0 2 2 1,3 A H2HC estagnou na quantidade de público: há vários anos ela recebe cerca de 400 pessoas. Por outro lado, ela investe em trazer excelentes palestrantes internacionais e o público é fiel: os melhores profissionais do mercado estão lá.
RoadSec 2 0 1 1 Atrai um público enorme, ainda mais considerando o total das edições regionais. Mas é um público eclético, que varia de interessados a profissionais da área. As palestras são boas, mas nada de extraordinário. Na média, ficou na média.
BSidesSP 0 1 1 0,67 Justiça e auto-avaliação sejam feitas: embora todos os participantes elogiem a BSidesSP, nós atraímos uma quantidade pequena de público, perto do potencial.
Security Leaders 1 0 2 1 Para um evento destinado a gestores, ele cumpre o que promete: conteúdo superficial com uma platéia formado por principalmente executivos de médio escalão e alguns de alta gerência.
Ekoparty 2 2 2 2 Na minha opinião, é o melhor evento do continente. Atrai uma grande quantidade de pessoas de todo o continente, com um oúblico bem qualificado e sempre tem ótimos palestrantes.


novembro 10, 2015

[Segurança] Somos um risco à soberania nacional?

O relatório da Auditoria Especial no Sistema Eleitoral 2014 realizado pelo PSDB tem um trecho que chamou a atenção de várias pessoas. Na página 102 ele diz:
"Os analistas tiveram que ser pré-aprovados pelo TSE, tendo sido recusada a inscrição do professor Alex Halderman e do analista de segurança Rodrigo Branco, por alegado risco à soberania nacional. Um pedido de reconsideração dessa recusa não foi respondido até o final dos trabalhos da análise."
Basta acompanhar as histórias e notícias sobre todas as iniciativas de auditoria do processo eleitoral brasileiro para perceber que o TSE limita, e muito, qualquer tentativa de avaliação séria da segurança das urnas eletrônicas. Pior ainda: eles promovem uma falsa sensação de transparência, pois ao mesmo tempo que promovem iniciativas de auditoria independente, eles controlam com mão de ferro como estas auditorias devem ser feitas. Todas as pessoas participantes, ferramentas e metodologias de teste devem ser previamente avaliados e aprovados pelo TSE.

Por isso, não causa surpresa ver que um dos mais conhecidos profissionais e pesquisadores de segurança brasileiros teve a sua participação na equipe de auditoria rejeitada pelo TSE. O espantoso é o motivo alegado: "risco à soberania nacional". Parece piada, não é? E assim foi tratado por várias pessoas.

O assunto é mais interessante se analisamos o motivo para essa decisão. Segundo a transcrição da decisão do TSE o Rodrigo Rubira Branco foi apresentado como "residente nos EUA", e por isso o TSE entendeu que as informações sobre o processo eleitoral "não podem ter seu acesso franqueado a pessoas físicas ou jurídicas estrangeiras, ou vinculadas a países ou entidades internacionais". Uma explicação fraca, que pode facilmente ser questionada, pois o Rodrigo é Brasileiro, com direito a voto - apenas mora no exterior.

Voltando a questão da segurança das urnas eletrônicas, o extenso relatório do PSDB não deixa dúvidas: o sistema é falho, inseguro e impossível de ser auditado. Para exemplificar, o capítulo 4.4.2.5.8, que menciona a exclusão do Rodrigo Branco, diz respeito a "Análise do Código-fonte Disponível", aonde foi executada uma análise estática do código, o que permitiu que fossem encontradas diversas falhas, conforme podemos ver na transcrição abaixo:
"Uma parte da análise consistiu na execução do programa de verificação estática de código CppCheck, em busca de vulnerabilidades e pontos de atenção. Tal execução apontou mais de 1000 trechos identificados como erros (i.e., problemas considerados graves pelo programa de análise) e mais de 2000 alertas (i.e., sugestões relativas a técnicas de programação defensiva, que podem evitar falhas)."

Ainda neste capítulo, é discutida também a segurança do sistema operacional sobre o qual o sistema da urna eletrônica é executado. E a análise foi...
"Especificamente para as urnas eletrônicas, o TSE optou por utilizar o sistema operacional de software livre Linux com algumas adaptações. O Linux foi congelado na versão 2.6.16.62 de 2009.
Por ser esta uma versão antiga, várias atualizações e implementações de segurança, feitas pelo projeto Linux ao longo dos últimos 6 anos, ficaram de fora da versão congelada pelo TSE."
Resumindo ainda mais o resumo das conclusões do relatório da auditoria realizada pelo PSDB sobre o 2º turno da eleição presidencial de 2014, temos um quadro desastroso, mas que não causa surpresa a qualquer profissional de segurança que já tenha gasto poucos minutos analisando ou simplesmente refletindo sobre o nosso sistema eleitoral. Veja os principais pontos identificados pelo PSDB:
  • A coleta de dados para auditoria teve sua confiabilidade prejudicada porque enfrentou restrições administrativas, tendo sido negada a entrega de parte dos dados solicitados;
  • Não foi possível se determinar a confiabilidade dos resultados produzidos pelas urnas eletrônicas, pois:
    • Não é possível fazer uma auditoria contábil da apuração dos votos em um sistema de urnas eletrônicas que é essencialmente dependente de software e não produz um registro material do voto (o voto impresso) que tenha sido visto e conferido pelo eleitor e que possa ser utilizado como trilha de auditoria;
    • Não é possível fazer uma validação e certificação minimamente confiável do software embarcado nas urnas eletrônicas para verificar sua integridade devido a restrições impostas pela autoridade eleitoral;
  • o sistema eletrônico de votação do TSE não está projetado e implementado para permitir uma auditoria externa independente e efetiva dos resultados que publica.

Ou seja, só nos resta perguntar, sarcasticamente: quem será que é o verdadeiro risco à soberania nacional?

novembro 09, 2015

[Cyber Cultura] Programa de Combate à Intimidação Sistemática (Bullying)

No dia 06 de Novembro foi promulgada a Lei nº 13.185, que institui o Programa de Combate à Intimidação Sistemática (Bullying), uma iniciativa do governo para incentivar  ações do Ministério da Educação e das Secretarias Estaduais e Municipais de Educação que eduquem e evitem casos de bullying e ciber bullying. Além disso, e entre outras iniciativas, o programa prevê oferecer assistência psicológica, social e jurídica às vítimas e aos agressores, além de capacitar docentes e equipes pedagógicas para a implementação das ações de discussão, prevenção, orientação e solução do problema do bullying e ciber bullying

É difícil saber se a lei terá algum efeito prático de imediato, mas pelo menos é um primeiro passo. Merece destaque, na minha opinião, o Artigo 5o, que define que...
"É dever do estabelecimento de ensino, dos clubes e das agremiações recreativas assegurar medidas de conscientização, prevenção, diagnose e combate à violência e à intimidação sistemática (bullying)."

O bulling é um problema sério que afeta os jovens e adolescentes, e é agravado pelo uso das redes sociais para humilhar e ofender a vítima. Recentemente, uma estudante de um colégio no Rio de Janeiro, de apenas 12 anos, foi vítima de três abusos sexuais cometidos por três colegas de escola com idades de 15 a 17 anos, e teve o vídeo com imagens dela fazendo sexo com colegas divulgado no Whatsapp. Após isso, a menina começou a sofrer bullying na escola: “As meninas escreviam bilhetes xingando-a”, conta a advogada. Segundo ela, a família concordou em afastar a jovem da escola, após orientação de especialistas

novembro 08, 2015

[Cyber Cultura] Aaron Swartz Day

Neste final de semana, dias 07 e 08 de Novembro, está sendo comemorado o Aaron Swartz Day, aproveitando a sua data de aniversário (08 de Novembro).  Diversas atividades e hackatons foram organizados em vários países, em sua homenagem.

Aaron foi um programador americano que era um fervoroso ativista pela privacidade na Internet e pelos direitos de acesso a informação. Entre outras coisas, ele foi um dos criadores do RSS (aos 13 anos de idade) e um dos fundadores do Reddit aos 19 anos, uma das maiores comunidades online. Ele também contribuiu na criação da licença Creative Commons e foi um opositor ao projeto de lei antipirataria SOPA. No início de 2013, Aaron Swartz cometeu suicídio, aos 26 anos. Ele não aguentou a pressão e a tortura psicológica causadas pelo processo que sofria por ter tornado público os artigos da base acadêmica JSTOR, que conseguiu baixar utilizando um script de dentro da rede do MIT. Ele respondia por 13 acusações criminais e poderia ser condenado a até 50 anos de prisão e a US$ 4 milhões em multas, e a Procuradoria dos EUA queria colocá-lo na prisão para servir de exemplo na luta contra os ciber ativistas.

Se você ainda não viu, esta é uma ótima oportunidade para assistir ao documentário "The Internet's Own Boy: The Story of Aaron Swartz", lançado em 2014 e dirigido por Brian Knappenberger - o mesmo diretor de "We Are Legion: The Story of the Hacktivists". O documentário retrata a vida do Aaron Swartz, através de entrevistas com ele, sua família, amigos e pessoas que trabalharam com ele, para contar a história da vida de Aaron até o seu suicídio. Além disso, o documentário explora as questões de acesso à informação e das liberdades civis, que eram a principal motivação do trabalho de Aaron.

O documentário está disponível em vários sites com legenda em Português. Veja uma das versões abaixo.



O documentário é sensacional, emocionante e muito bem feito. Ela está disponível em licença Creative Commons e foi financiado através do Kickstarter, superando a meta de arrecadação: Knappenberger pediu US$ 75.000, mas recebeu quase US$ 94.000.

novembro 06, 2015

[Segurança] Estão todos prontos para o Roadsec São Paulo !?

No próximo dia 12/11 o pessoal da Flipside vai realizar o super-hiper-mega-uber-blaster Roadsec São Paulo, o evento que encerra a caravana Roadsec deste ano.

Spoiler: se você ler este post até o final, vai ver que tem um código de desconto para se inscrever no evento.

Não basta o fato do evento ser muitíssimo bem organizado e ter diversas palestras e atividades de qualidade. Eu faço questão de dar destaque ao Roadsec pois acredito que o evento tem o mesmo espírito e qualidade que mantemos na BSidesSP (com a diferença de ser organizado por uma empresa especializada e focada em eventos, enquanto a BSidesSP é organizada no nosso tempo livre): é um evento que preza pela qualidade, que atrai iniciantes e profissionais experientes e os trata em pé de igualdade, e tudo isso ao mesmo tempo que valoriza diversos aspectos da cultura hacker (isto é, não fica apenas restrito a segurança, falando também de robótica, drones, lockpicking e nerdices em geral).

O Roadsec já se tornou o maior evento de hacking, segurança e tecnologia do Brasil, reunindo profissionais e entusiastas da área, além de professores, alunos e estudiosos. Não importa se você considera apenas a edição de São Paulo (que espera receber 2 mil pessoas) ou se inclui na conta do público todas as 14 capitais que percorreu ao longo de 2015. E, na verdade, aqui está o grande mérito da Flipside: criar um evento que leva conteúdo de qualidade para diversas cidades do país, sendo que várias delas nunca tinham recebido algo parecido antes.


A edição de São Paulo, portanto, serve para coroar e encerrar esse trajeto percorrido durante o ano. A grade de palestras conta com especialistas e executivos de segurança renomados (não contem p/ ninguém, mas eu não vou palestrar porque rejeitaram a minha proposta de palestra), além de diversas oficinas, atividades práticas, sessões de autógrafos com autores de livros.

A edição deste ano também tem uma área para comunidades, aonde estará presente, entre outras comunidades, o Garoa Hacker Clube e as garotas do MariaLab, que pretende ser o primeiro hackerspace para mulheres do Brasil-sil-sil !!!

Mas não ligue agora !!! O Roadsec SP também tem alguns fru-frus, como uma área de food trucks, pinballs e fliperamas, DJs (incluindo o Bruno, o "DJ do Garoa" que tocou também na última edição da BSidesSP) e pocket shows (WTF!?).

Mas não ligue agora !!!! Outro aspecto importante do Roadsec é que o evento deu destaque e nova energia para os campeonatos de Capture The Flag (CTF). No Roadsec, o CTF foi batizado de HackFlag, com competições em todas as cidades que o Roadsec percorreu e com uma grande final ao vivo no Roadsec São Paulo, com os 15 campeões estaduais. Quem for de São Paulo ainda tem chance de competir, pois a etapa São Paulo acontece neste Sábado, dia 07 de Novembro, no Mackenzie (com entrada gratuita!).


Mas não ligue agora !!!! Como se não bastassem as palestras, oficinas, food trucks, pinballs, DJs, e o Hackflag, o evento tem um mega-show de encerramento as 21h, com os Titãs !!!!!


No ano passado, a edição de São Paulo do Roadsec foi animal, com muitas atividades e com o show do Ira. Muitas pessoas ficaram lá no final do evento, bebendo e conversando até na hora em que fomos expulsos do espaço.

Então, que tal ir no Roadsec? O pessoal da Flipside me passou um código de desconto para quem quiser se inscrever no evento: 7QPM5C5. Basta ir no site de inscrição e fornecer este código, que o valor da inscrição inteira cai de R$ 120, para R$ 73 (estudantes já tem direito a meia-entrada, de R$ 60).

Resumindo:
  • Roadsec São Paulo
  • 12 de novembro de 2015 (quinta-feira), a partir das 8h
  • Local: AUDIO CLUB SP - Av. Fco. Matarazzo, 694, Água Branca, São Paulo
  • Incrição com desconto: utilize o código 7QPM5C5
  • Veja aqui como participar gratuitamente do Hackflag São Paulo, dia 07/11



novembro 04, 2015

[Segurança] Os maiores eventos para hackers do mundo

Recentemente a TechMundo fez uma reportagem sobre "os 7 maiores eventos para hackers do mundo", segundo a qual, quatro destes eventos são do Brasil: a H2HC, a BSidesSP, o Roadsec e o YSTS.

A triste parte dessa notícia é que claramente o jornalista que a escreveu não sabe do que está falando. Não conhece os eventos nacionais nem, principalmente, os que existem no resto do mundo e sequer sabe comparar os eventos em termos de importância ou tamanho.

Digo isso porque, em importância, infelizmente os nossos eventos não tem destaque no mercado global. #prontofalei

Para exemplificar bem toscamente, a Wikipedia tem uma lista pequena e imprecisa de "Hacker_conventions", que não inclui nenhum evento brasileiro nem sul americano. Por outro lado, a página de "Computer security conference" lista apenas a Ekoparty e a H2HC.

Em termos de tamanho, nossos eventos são pequenos: a Co0L BSidesSP, a H2HC e o YSTS não recebem mais de 400 pessoas cada um. Para comparar, a Ekoparty, na Argentina, recebe cerca de 2.000 pessoas, ou mais. A única excessão Brasileira é o Roadsec, que conta a seu favor com a somatória de cada uma das edições locais e, no evento de encerramento em São Paulo, a organização corre atrás de participantes para chegar ao desejado número de 2 mil pessoas.

Ou seja, pensando em termos de público, eu acredito que atualmente os maiores eventos no mundo focados em hacking (em termos de quantidade de inscritos) são:
  • a Defcon (EUA, com mais de 10.000 presentes)
  • o CCCongress (Alemanha, com provavelmente mais de 5 mil pessoas)
  • o conjunto das Security BSides em todo o mundo
  • o conjunto de Roadsec (Brasil)
  • a Hack in the Box (Malasia + Amsterdan).
  • a Ekoparty
O CCCamp, que acontece na Alemanha a cada 4 anos, também recebe um número astronômico de participantes. E a China provavelmente tem alguma conferência de Hacking que atrai milhares de chineses - mas eu não conheço o suficiente para opinar. Além disso, eu não considero a Black Hat na lista acima, pois ela tem um foco maior no público corporativo do que no pessoal de pesquisa em segurança e hacking.

Além da lista acima, podemos pensar em quais são os eventos de segurança "para hackers" (ou seja, eventos com foco no público técnico e em pesquisa de segurança) "mais importantes" em todo o mundo. Eu diria que são os seguintes:
Não vale a pena esquecer que, há pouco tempo atrás, eu escrevi um post sobre as conferências de segurança mais relevantes ao redor do mundo. Esta lista é mais ampla pois considera eventos focados em vários públicos, como o público corporativo, governamental, acadêmico e relacionado a criptografia.

Atualização (11/01/16): O blog da Tripwire publicou um texto listando o que considerou como as 11 conferências mais importantes do mundo.

novembro 03, 2015

[Cidadania] Nos colocando no lugar das Mulheres

Alguns amigos postaram este texto no Facebook e eu achei ele tão bom que resolvi copiar aqui, para lembrar da dificuldade que as mulheres sofrem no dia-a-dia.

"Somos homens. E eu vou usar linguagem "de homem", pra tentar ficar mais claro.
Ninguém nos apalpa no caminho do banheiro, na balada, puxa nosso cabelo ou nosso braço, ou sussurra "vagabundo" no pé do nosso ouvido apenas porque queremos mijar.
Ninguém nos encoxa no metrô ou no ônibus, goza na nossa calça ou no nosso ombro, filma escondido a gola da camisa e publica em site pornô.
Ninguém fotografa nossa bunda e envia por Whatsapp. Ninguém coloca câmera escondida pra filmar por baixo de nossas bermudas na rua.
Ninguém pega foto do nosso pau ou vídeo gravado transando p'ra tirar onda com as amiguinhas de como nós somos gostosos e que vagabundos nós somos.
Ninguém se vinga de fim de relacionamento expondo nossa intimidade na Internet, pra familiares, amigos, chefes.
Nenhum taxista, por mais bêbado que estivesse, me levou pra um matagal em vez do destino que pedi.
Nunca fui seguido na rua, voltando do trabalho, e temi coisa alguma senão perder o celular ou a carteira.
Nenhuma mulher nojenta ficou se lambendo ou esfregando a mão enquanto eu atravesso a rua.
Nenhum assaltante jamais enfiou a mão na minha calça ou tentou me beijar à força.
Ninguém nunca me ameaçou a vida depois de uma bota.
Ninguém nunca ameaçou meu emprego a troco de sexo.
Nunca tive medo de circular de noite ou de dia e ser vítima de um estupro.
Meu salário é oferecido de acordo à minha qualificação e estado do mercado. Só.
Minha liberdade sexual é garantida pelos bagos que carrego, e, inclusive, quanto mais mulheres eu colecionar, mais foda eu sou.
Ninguém espera que eu largue o trabalho e dedique minha vida a filhos, quando eles nascerem.
Ninguém vai me chamar de puto se desejar tomar uma cerveja no fim do expediente.
Ninguém vai criar qualquer conceito sobre mim senão baseado nas minhas reais atitudes.
Então, fera, veja em quantos pontos supracitados você se enquadra e me conta como é bacana a vida sem essa violência indireta ou direta, como é simples viver assim.
Lembra desse papo quando nomear "vitimismo", "mimimi", "falta de rola", "louça pra lavar", enfim, os clichês que a gente conhece bem.
Não precisa pensar na desconhecida não: pensa na sua mãe, sua irmã, sua companheira, sua filha... Faz o mais forte exercício de empatia do mundo, que é se colocar no lugar delas, volta aqui e me chama de "feministo". Aguardo ansiosamente."



outubro 29, 2015

[Segurança] Estamos sob ataque !!!

Em seu recente artigo sobre "Como atingir a segurança perfeita em 3 passos simples", o blog da empresa Veracode fez uma descrição excelente de como é o dia-a-dia de um profissional de segurança trabalhando durante uma mega-invasão em seu ambiente.




Eu, particularmente, já vivenciei na pele e presenciei outros colegas lidando com diversos casos de ciber ataques, aonde a equipe de SI (e TI) tínha que lidar com um incidente, e por isso mesmo achei que a descrição dada pelo pessoal da Veracode é sensacional, e cômico. Veja uma transcrição parcial abaixo, com pequenas adaptações minhas - e algumas notas adicionais.
"Passe um longo tempo respondendo aos gestores como o ataque aconteceu. Sinta como se tivesse um buraco enorme e escancarado em seu peito. Sinta desamparo total. Esconda-se por um tempo em seu escritório para ningém ver você chorar. Se alguém perguntar, diga que tem alergia a poeira.

Perceba que você precisa fazer alguma coisa. Fique com raiva e largue tudo para investigar como o ataque aconteceu. Olhe para os eventos e para os logs até que sua cabeça comece a latejar. Pare tudo o que está fazendo, pela milésima vez, para responder a perguntas dos gestores sobre o ataque. Desista de investigar. Continue dizendo a todos que perguntarem que você realmente não sabe como isso aconteceu.

Nota: se você tiver a sorte de achar algum IP da China fazendo qualquer acesso em seu site (mesmo que seja um acesso válido), culpe os hackers chineses e pode parar de ler a história por aqui ;) #fato

O seu gerente pergunta se você deve contactar a polícia. Você realmente não sabe. Entra em contato com a polícia, mas eles também não sabem o que fazer. Diga ao gestores que eles devem entrar em contato com parceiros e clientes que possam ser afetados. Receba como resposta que você deve evitar os jornalistas. Os gestores te perguntam o que eles devem dizer para os demais empregados, mas você não sabe. Para não dizer nada, peça para os gestores orientar a todos que eles devem alterar suas senhas.

Concentre-se em limpar os equipamentos suspeitos de terem sido invadidos. Altere todas as senhas em todos os lugares que encontrar pela frente. Leia o que todos estão dizendo sobre sua violação nas redes sociais e sites de noticia. Sinta-se mal... Encontre um pouco de conforto em outros profissionais de segurança, seus colegas, que vão te dizer que todo mundo pode ser hackeado algum dia. Vá para casa dormir, mas passe a noite acordado e preocupando-se ao ponto de ter náuseas.

Descubra o banco de dados está corrompido. Seja feliz que você investiu em uma super solução de back-up. Mas descubra que o último back-up realmente recuperável é de um mês atrás. Chute a si mesmo por nunca testar o sistema de recuperação e se sinta um idiota. Fique com raiva e chute a máquina de back-up. Sinta-se mais idiota ainda por bater em uma máquina.

Saia do seu esconderijo o tempo suficiente para ir a gerência relatar o progresso - ou melhor: falta de progresso e falta de perspectiva em quando vai ter tudo resolvido. Diga que você ainda está investigando e limpando o ambiente. Ouça que vai receber um orçamento muito maior para comprar novas soluções e corrigir o ambiente. Não diga a eles que é tarde demais, mas você acha sabe que é e engole seco.

Nota: Durante um ataque grave, os gestores adoram fazer um tour no Data Center para ver o pessoal trabalhando desesperadamente e botar um pouco mais de pressão na galera. Eles nunca colocam o pé lá, e daí descobrem como o ambiente está zoneado. e prometem investir mundos e fundos para corrigir todo o ambiente. Passado o ataque, nenhum investimento é feito, os gestores não voltam nunca mais no data center zoneado e tudo continua bagunçado como sempre foi.

Pense sobre suas ferramentas de proteções para tudo o que entra e sai da rede. Perceba que você seu Firewall parece mais um queijo suiço. Tome uma respiração profunda e diga a si mesmo que é bom que agora você está aprendendo. Perceba que você não têm de perímetro na rede e tudo entra e sai praticamente por todos os lugares.

Descubra que você está atrasado para a reunião com a gerência. Peça para adiar, porque você está no caminho certo. Rode o Wireshark e veja o que está acontecendo na sua rede. Tente achar algum sentido da confusão. Mas tudo é uma bagunça.

(...)

Uma manhã você começa a trabalhar e encontra seus servidores web atacados pelo novo exploit para buffer overflow que foi anunciado no início daquela semana. Verifique com o seu SOC e descubra que o seu WAF e o IPS deixaram o ataque passar. Ligue para o fornecedor para reclamar e ouça de volta que você configurou as ferramentas errado. Lembre-lhes que eles configuraram o ambiente. Eles negam. Fique com raiva. Vá falar com os gestores sobre trocar os fornecedores. Descubra que você ainda tem mais dois anos de contrato com o fornecedor. Descubra também, através de alguém em sua equipe, que o fornecedor é o primo do CEO. Coma chocolate para lidar com isso.

(...)

Acorde e sinta-se terrível. Você tem toda uma inteligência de segurança para lhe dizer o que as suas defesas de segurança não podem te proteger. Sinta-se como uma fraude por ter um diploma e ter diveersos certificados em segurança da informação, mas não sabe como realmente proteger nada."
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.