janeiro 27, 2016

[Segurança] Eventos de Segurança no primeiro semestre de 2016

Segue abaixo a minha lista com o que eu considero serem os principais eventos de segurança que acontecem no primeiro semestre deste ano aqui no Brasil. São eventos que, na minha opinião, trazem conteúdo de qualidade ou que, ao menos, merecem ser vistos.

Neste ano o calendário de eventos está um pouco diferente do tradicional, provavelmente por conta dos Jogos Olímpicos que acontecem em Agosto. Alguns eventos mudaram de data ou, até mesmo, mudaram de semestre. Por isso, fique atento as datas.

  • Janeiro/2016
  • Fevereiro/2016
    • 20/02: RoadSec Campo Grande (twitter @roadsec) - Campo Grande é a primeira cidade do ano a receber este excelente evento itinerante muito bem organizado pela Flipside. É uma ótima oportunidade para o público local aproveitar um dia repleto de palestras, oficinas e competições, incluindo a competição de CTF batizada de H4ckFl4g;
  • Março/2016
    • 04/03: RoadSec Pro Brasília (@roadsec) - Brasília (DF) é a segunda cidade brasileira a receber o Roadsec em 2016, e começa com a versão "pro", ou seja, com atividades direcionadas a profissionais da área;
    • 05/03: RoadSec Brasília (@roadsec) - Brasília (DF) também recebe a versão "tradicional" do Roadsec, com suas palestras, oficinas e competições;
    • 17/03: Security Leaders Forum Brasília (twitter @Security_Leader) - Versão "mini-me" do Security Leaders, com apenas um dia de duração e seguindo o tradicional formato de uma série de debates moderados pela Graça Sermoud com conteúdo fraco e um palco lotado de executivos. Inclui também uma pequena área de expositores;
    • 19/03: RoadSec Cuiabá (@roadsec) - Cuiabá (MT) é uma das cidades que vão receber o Roadsec pela primeira vez. Oficinas, competições e palestras imperdíveis;
  • Abril/2016
    • 02/04: RoadSec Belém (@roadsec) - Belém (PA) é outra capital que recebe o Roadsec pela primeira vez;
    • 06/04: CNASI Recife - Edição regional do CNASI que ocorre em Recife (PE). Possui palestras e painéis com foco em auditoria, gestão e segurança, e inclui uma pequena área com expositores;
    • 16/04: RoadSec Teresina (@roadsec) - O Roadsec começa seu tour pelo Nordeste no Piauí, que também recebe o evento pela primeira vez;
    • 29/04: RoadSec Pro Fortaleza (@roadsec) -  Novamente o Roadsec passa por Fortaleza, com uma edição extra voltada para o público corporativo;
    • 30/04: RoadSec Fortaleza (@roadsec) -  Segundo dia do Roadsec em Fortaleza com oficinas, competições e palestras;
  • Maio/2016
    • 06 e 07/05: CryptoRave (twitter @cryptoravebr) - Excelente evento gratuito focado em privacidade, criptografia e liberdade na rede, que acontece em 2 dias seguidos, varando a noite adentro;
    • 13 e 14/05: GTS e GTER, em Uberlândia (MG);
    • 14/05: RoadSec Natal (@roadsec) - Oficinas, competições e palestras imperdíveis na belíssima cidade de Natal (RN);
    • 19/04: Security Leaders Forum Rio de Janeiro - Os cariocas também recebem a versão "mini-me" do Security Leaders. Debates sem graça com uma pequena área de expositores, que faz a alegria do público corporativo;
    • 20/05: RoadSec Pro Recife (@roadsec) - Recife também é uma das poucas cidades sortudas que receberão a versão corporativa do Roadsec;
    • 21/05: RoadSec Recife (@roadsec) - Oficinas, competições e palestras novamente aportam em Pernambuco;
  • Junho/2016
    • 04/06: RoadSec Aracaju (@roadsec) - Blá blá blá em Sergipe: oficinas, competições e palestras;
    • 07 e 08/06: CNASI São Paulo - O mais antigo evento de segurança brasileiro, organizado pelo IDETI há mais de 20 anos, é direcionado ao público corporativo nas áreas de segurança, governança e compliance. O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) costuma acontecer no segundo semestre, mas neste ano foi antecipado para Junho. Possui palestras, mini-cursos e paineis de debate com foco em gestão e pouco conteúdo técnico. Também tem uma área de exposições para os patrocinadores;
    • 10/06: RoadSec Pro Salvador (@roadsec) - A maravilhosa Bahia também recebe o Roadsec com sua versão "pro" e tradicional;
    • 11/06: RoadSec Salvador (@roadsec) - Adivinhe... excelentes oficinas, competições e palestras. Aproveite para visitar o Raul Hacker Clube ;)
    • 11 e 12/06: Conferência BSides São Paulo (BSidesSP) e BSides Latam (BSidesLatam) (twitter @bsidessp) - Conferência gratuita sobre segurança da informação e cultura hacker que acontecerá no final de semana anterior ao You Sh0t the Sheriff. Nesta edição, a BSides São Paulo dará lugar a BSides Latam, recebendo palestrantes e participantes de toda a América Latina e co-organizado pelas demais BSides na região. O evento contará com diversas atividades simultâneas: 3 trilhas de palestras, oficinas, competição de CTF e de robótica amadora, Brazilian Arsenal (ferramentas open source criadas por brasileiros), Hacker Carreer Fair e os participantes ainda contam com o nosso "churrascker" e com a presença do Pirates Bar (ambos também são gratuitos);
    • 13/06: You Sh0t the Sheriff (YSTS) (twitter @ystscon) - O YSTS continua sendo um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade e um clima descontraído, principalmente por conta do open-bar após o almoço. Também contribui o aspecto de exclusividade, pois somente podem participar convidados dos patrocinadores;
    • 21 a 23/06: CIAB - O CIAB é um evento para o setor financeiro organizado pela Febraban, mas atrai os maiores fabricantes de tecnologia e também de segurança. O evento atrai fornecedores de diversas tecnologias bancárias, incluindo caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Embora tenha poucas palestras de segurança na grade, vale a visita ao menos na gigantesca área de exposição. Presença obrigatória para quem trabalha no setor financeiro ou em algum fornecedor de soluções de segurança;
    • 25 e 26/06: BHack Conference (Belo Horizonte) (twitter @bhackconference) - Quarta edição deste evento de segurança mineiro, que preza pelo excelente clima de integração e camaradagem, além de palestras técnicas sensacionais.
Se a cotação do dólar permitir, não se esqueça de juntar dinheiro e reservar a sua agenda para a RSA Conference em São Francisco (29/02 a 04/03) e para a Defcon (que acontece em Las Vegas/EUA de 04 a 07 de Agosto - Junto com a Black Hat USA e a BSidesLV).

Para quem tem vontade de ir em eventos aqui na América Latina, teremos no primeiro semestre, a Andsec (andseccon) na Argentina (4 e 5 de Junho). Provavelmente  também teremos 6 edições da BSides na região durante o ano: a BSidesPeru (@BSidesPeru - 27 de Julho), BSidesBolivia, (Twitter @BSidesBolivia), Porto Rico (@BSidesPR), a BSides Chile (@BSidesCL), a BSides Colombia (@BSides_CO) e a BSides Mexico (@BSidesMX). Além delas, em Portugal será realizada a terceira edição da BSidesLisbon (Twitter: @BSidesLisbon).

Se você tiver a oportunidade de participar de eventos neste semestre mas só poderá ir a poucos deles, a minha recomendação é que não deixe de ir na BSidesLatam, no YSTS e na CryptoRave.

Normalmente o segundo semestre é bem lotado de eventos, e aproveitando que alguns deles já divulgaram as suas datas, segue uma pequena lista para incluir na agenda...
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo o site concise-courses.com.

Se eu esqueci de algum evento brasileiro importante, me avisem.

Notas:
  • Post atualizado em 28/01 com as datas das versões "pro" do Roadsec;
  • Atualização em 07/03 com a data do Workshop SegInfo (23 e 24/11).
  • Atualizado em 04/04 com a data da H2HC.
  • Atualizado em 14/5 com o GTS/GTER, Roadsec Pro em Maceio e Roadsec São Paulo.


janeiro 26, 2016

[Cyber Cultura] Ciber Ética

Em um artigo recente da Infosecurity Magazine sobre hacktivismo, há um trecho muito interessante para provocar a discussão sobre o que seria a ética no mundo online (ou melhor, "cyber ethics") e como isso diferencia da nossa ética no dia-a-dia, no mundo físico. Eu destaquei abaixo os trechos mais relevantes do artigo, na minha opinião:
  • Ética são as regras ou normas que regem a conduta. Como posso viver minha vida e as minhas decisões?
  • Todo mundo tem ética.
  • Uma das melhores maneiras de pensar sobre a ética é dar uma olhada rápida no que você acredita e, em seguida, pensar sobre como você reagiria quando essas crenças são desafiadas.
  • A ética é o estudo de comportamentos e de conduta e como o que eu acredito afeta o modo como eu vivo.
  • As suas ações são diferentes [no mundo] on-line do que no off-line?
  • A norma é ter padrões ou limites éticos diferentes para a vida online [e offline]. 
  • "As pessoas fazem ou dizem coisas online anonimamente que eles nunca fariam cara a cara com alguém na vida real".
  • As nossas vidas online e offline estão rapidamente se unindo como nunca antes.
  • A Internet é como o acelerador no seu carro. Se isso é verdade, então a ciber-ética são os freios.

A discussão da ética no mundo online é muito importante pode nos balisar sobre que tipos de comportamentos que vemos na Internet hoje em dia são válidos ou não. Isto inclui, por exemplo, questões como a super exposição que temos nas redes sociais, cujo lado negativo é representado pelo cyber bullyng, revenge porn e vazamento de dados.

Esta discussão também influencia o noso entendimento sobre o hacktivismo: muitas das ações existentes de protesto no mundo real (e, no cenário profissional, de greve) podem ter o seu semelhante no mundo online. Se uma passeata pode interromper uma avenida vital em uma cidade, porque um protesto online, através de ação hacktivista, não pode tirar um site do ar?

janeiro 22, 2016

[Segurança] Tabela de preços do ciber crime no Brasil

Recentemente a Trend Micro publicou um ótimo relatório sobre o crime cibernético Brasileiro chamado "Ascending the Ranks: The Brazilian Cybercriminal Underground in 2015" aonde, entre outras coisas, citou alguns preços que os criminosos cobram por serviços ou por informações roubadas.

Juntando os dados apresentados pela Trend Micro com as informações do relatório sobre o ciber crime brasileiro publicado pela Kaspersky em novembro de 2015, podemos montar um cardápio de preços.

Vejam só alguns números:
  • Ransomware: US$ 3,000 ou 9 BTC
  • Malware do tipo "Proxy keyloggers": R$ 5,000 (US$ 1,279.02)
  • Malware do tipo "Remota keyloggers": R$ 2,000 (US$ 511.61)
  • Java applet malicioso: R$ 80 (US$ 25)
  • KL (Keylogger): R$ 900 (US$ 300)
  • Código fonte de Malware do tipo "DNS changers": R$ 5,000 (US$ 1,279.02)
  • Crypters: R$ 40 (US$ 10.23)
  • Crypter 100% indetectável: R$ 100 (US$ 30.00)
  • Sistema em PHP para envio de Spam: R$ 30 (US$ 10)
  • Hosting: R$ 50 (US$ 17)
  • VPS para envio de Spam (30.000 mensagens em 30 min): R$ 70 (US$20)
  • Sites de consulta de dados pessoais: 0.015 BTC (US$ 6.81) por consulta
  • Ataques de DDoS: 300 segundos R$ 25 (U$ 8.3); 450 segundos R$ 40 ($13); 1000 segundos R$ 85 ($28); 3600 segundos R$ 120 ($40)
  • Curso Banker and Carding: R$ 300 (US$ 76.74)
  • Acesso a painel administrativo de lojas de e-commerce: R$ 300 (US$ 76.74) por 21 dias, com 40 cartões por dia
  • 10 cartões de crédito: R$ 200 (US$ 51.16)
  • 50 cartões de crédito: R$ 700 (US$ 179.06)
  • Gerador de números de cartões de crédito (50 números): R$ 100 (US$ 25.58)
  • Testador de cartões de crédito: R$ 400 (US$ 130)
  • PoS skimmers: R$ 8,000 (US$ 2,046.43)
  • Diplomas falsos: R$ 300 (US$ 76.74)

No final do ano passado a RSA também divulgou uma lista de preços do ciber crime com dados globais.

janeiro 19, 2016

[Segurança] Como foram os eventos de Segurança em 2015

Mais um ano vai, e se passaram algumas dezenas de eventos de segurança no primeiro e segundo semestres de 2015. Dando continuidade a minha pequena "tradição" iniciada em 2011, vou deixar aqui a minha opinião sincera, sarcástica e baba-ovo (quando merecido) sobre os principais eventos do ano.
Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

Para começar este post, vou fazer comentários específicos sobre alguns dos eventos que tivemos este ano, e que eu acho que valem a pena ser comentados:
  • Os grandes destaques e novidades
    • Popularização dos eventos fora de São Paulo: É um prazer ver eventos independentes surgindo e se consolidando pelo Brasilzão afora. Incluo nessa lista a Nullbyte (em Salvador, BA), o Security Day (Natal, RN - em sua oitava edição, se não me engano), o Jampasec (João Pessoa, PB) e a terceira edição da BHack (em Belo Horizonte, MG);
    • Roadsec: O RoadSec se consolidou como, sem dúvida nenhuma, o maior evento de segurança nacional e um dos maiores do mundo. Eles foram em nada menos do que 15 cidades brasileiras neste ano, com um público estimado de 10 mil pessoas (até aonde eu sei, eles não divulgaram o número exato de participantes, apenas o arredondado). O evento conta com palestras, várias oficinas bem legais e multidisciplinares e competições aonde destaca-se o Hack4Flag, a grande competição de Capture The Flag (CTF), patrocinada novamente pela Symantec. E novamente fizeram um super-hiper-mega-evento de encerramento em São Paulo, com um show sensacional e indescritível dos Titãs. Eles estão sempre de parabéns por levar conteúdo de qualidade pelo Brasil afora e pela grande revigorada nas competições de CTF. Me arrisco a dizer que, no Brasil, as competições de CTF se dividem em "antes do Roadsec" e "depois do Roadsec": antes elas eram raras e muitas vezes com poucos competidores, e agora existem competições com sucesso em vários eventos, com muita gente começando a entrar nesse mundo e apreendendo muito sobre segurança;


  • Os melhores eventos de 2015
    • Apesar do YSTS e da H2HC serem, tradicionalmente, os eventos mais importantes do mercado nacional, quando penso no que seria "o melhor evento do ano", há muito o que considerar. Por isso, meus votos vão para um evento novo, mas que nasceu grande (o Mind The Sec) atraindo os profissionais da área, e no outro extremo um evento pequeno, mas que atrai o público novo e velho de mercado, em pé de igualdade, com uma ótima grade de atividades e um ótimo ambiente (a BSidesSP):
    • Mind The Sec - Evento da Flipside que surgiu em substituição do SecureBrasil, o evento bombou este ano com a presença do pop-star Bruce Schneier - sem desmerecer os demais palestrante da grade caprichada, mas o Schneier é o Schneier, né !? A galera de SI fazia tietagem e fila para conseguir um autógrafo em algum de seus livros. Certamente foi um daqueles eventos para ver e ser visto;
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Evento muito bem elogiado por todos que participam. Realizamos duas edições neste ano: em 13/4 (véspera do YSYS) e em 23/11 (próxima a H2HC). Lógico que eu gosto e sempre vou falar bem do evento, pois sou um dos organizadores, mas mesmo assim acredito que merecemos destaque por ser um evento gratuito, com um leque diversificado de temas e com diversas atividades de excelente qualidade acontecendo simultaneamente: palestras, oficinas, Lightning Talks e um churrasco gratuito para os participantes. Neste ano duas das principais novidades foram a BSides 4 Kids e a campanha "Bloody Hacker";
  • As ótimas surpresas em 2015
    • A Cryptorave voltou com força total, e foi parcialmente bancada pela comunidade, através de Crowdfunding :)
    • O show dos Titãs no Roadsec São Paulo ;)
  • RIP :(
    • Tosconf - Evento pequeno, organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace de lá. Foi cancelando faltando poucos dias para o evento, pois o principal organizador cansou de ter que tocar tudo sozinho e com pouco apoio;
    • Black Hat São Paulo - Depois de duas edições em 2013 e 2014, a Black Hat resolveu pedir um tempo. Talvez volte neste ano ou em algum dia;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura sensacional. É um evento gratuito que ocorre sempre duas vezes por ano, no 1o e no 2o semestre. Todas as palestras são transmitidas online e disponibilizadas posteriormente;
  • Não valeu nem a visita
    • CSO Summit - Evento novo, realizado pela primeira vez este ano, que prometeu muito e entregou quase nada. Com uma grade de atividades confusas (os participantes foram convidados a palestrar, mas faltando poucos dias do evento descobriram que participariam de painéis) e uma infra-estrutura simples, até mesmo o tipo de público desapontou: pequeno e formado principalmente pelos estudantes do Mackenzie - não tenho nada contra estudantes irem em eventos, mas quando um evento chama-se "CSO Summit" e anuncia que vai ter executivos da área, ficamos desapontados ao ter a impressão que 99% da platéia era formada por estudantes. A única coisa que salvou foi a qualidade dos palestrantes;
    • Security Leaders: Todo ano eu repito a mesma coisa: este é um evento sem graça, formado por debates bem fracos e superficiais, com um palco lotado de participantes. O que salva é a área de exposição e o momento da premiação, que servem para babar no ovo de executivos que trabalham em grandes empresas;
  • Micos e roubadas
    • BHack Conference, em Belo Horizonte (MG) - embora bem intencionado e com um clima de camaradagem sensacional, o pessoal errou feio na organização do evento este ano, com atraso muito grande das palestras e uma grade de atividades confusa, com palestras mudando de local e horário sem ninguém saber. Mas valeu a visita assim mesmo, com ótimas palestras e excelente oportunidade de encontrar o pessoal mais influente na área de segurança;
    • Hackers to Hackers Conference (H2HC) - A H2HC é o mais importante e mais tradicional evento brasileiro de pesquisa em segurança, mas continua atraindo muito menos público do que merecia. Novamente, falha feio por insistir na escolha do local: o Novotel Morumbi é longe de tudo, de difícil acesso, com poucas opções de lugares para comer em volta e com um espaço muito pequeno para o evento. A sala principal de palestras, então, é horrível: por ser longa e retangular, metade da sala fica longe do palco e o pessoal não consegue enchergar os slides do palestrante. Outro grande mico na H2HC este ano foi o famoso episódio do ataque a competição de CTF. Embora tenha tido alguns aspectos divertidos ao presenciar o bafafá na hora, o problema é que os competidores foram desrespeitados na medida que investiram seu tempo para participar mas foram impedidos por conta do incidente;
    • Roadsec São Paulo - Até mesmo um evento sensacional e bem organizado como o Roadsec dá algumas poucas escorregadas - que em pouco comprometeram a qualidade geral do evento. O principal pecado foi montar uma área de alimentação pequena, que não dava conta de atender os participantes do evento (após enfrentar filas longas e demoradas, os Food Trucks abriram o bico e ficaram sem comida) - pior ainda porque os participantes não podiam sair do Audio Clube para comer fora. Neste ano se repetiu a confusão com as diversas pulseirinhas VIP. Ninguém, nem os seguranças, sabiam direito que pulseira dava acesso a qual área do evento. Pecaram também no final do evento, após o show dos Titãs: quem queria continuar no evento não tinha para onde ir, com informações confusas da casa sobre que espaço poderíamos ficar. Quem saía da área do show e dos camarotes era proibido de voltar, o tal show do DJ motherfoca estava deserto e a área externa de fumantes estava fechada;
  • Não vi mas vou opinar assim mesmo
    • You Shot the Sheriff (YSTS) - Um dos eventos de segurança mais importantes no Brasil, neste ano eles tentaram algumas mudanças que, aparentemente, não deram certo. Tentaram fazer o evento no meio da semana (5a feira), com a festa no mesmo dia, mas para 2016 já anunciaram a volta para o modelo dos demais anos, com o evento na segunda-feira. Pelo que eu vi no vídeo do evento, o local foi bem estranho também: parecia uma Igreja Evangélica !!!

Sem mais delongas... and the Oscar goes to...

Resumo
Melhor Evento Brasileiro Roadsec e Mind The Sec
Melhor Evento do Universo CCCamp
Melhor Novidade Bloody Hacker e BSides 4 Kids (BSidesSP)
Maior Surpresa Show do Titãs no RoadSec São Paulo
Maior Roubada CSO Summit
Festa estranha com gente esquisita O local do YSTS. Pelas fotos e vídeos, parece que o pessoal estava numa igreja evangélica.
Maior Mico Derrubar os competidores no Capture The Flag da H2HC
Maior WTF? Passar fome no Roadsec São Paulo
Maior Sem Noção Discutir com o segurança do Roadsec se a sua pulseira VIP dá direito a entrar no camarote patrocinado pela sua empresa
Os Patrocinadores Pira Babar no ovo do pessoal no Security Leaders
Alternativo BSidesSP e Criptorave
Visual e infra Caprichados GTS
Organização mais Caprichada Flipside (MindTheSec e Roadsec)
Melhor Local Audio Clube (Roadsec São Paulo)
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS, sempre!!!
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC e BHack
Para o Público Gerencial MindTheSec
Para quem está começando Co0L BSidesSP, Roadsec e H2HC University
Para competir no CTF RoadSec
Para não competir no CTF H2HC
Para ver os amigos Roadsec SP, H2HC e BHack
Para Beber com os amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP: tinha 3 (ou mais?) níveis diferentes de VIPs. Melhor ainda se você conseguisse pegar várias pulseiras, cada uma de uma cor, quase dava para fechar o braço
Para levar as crianças BSidesSP
Para ver palestrante gringo e não entender nada do que ele fala H2HC
Não fui mas queria ter ido Ekoparty
Às Moscas BHack :(
Palestrante mais pica grossa Bruce Schneier, sem dúvida! (MindTheSec)
Melhor Palestrante Nacional Alexos, Flavio Shiga (ambos da iBliss) e Diego Aranha
Melhor Palestrante de todos os tempos Fernando Mercês continua imbatível
Em 2016 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty
Em 2016 eu quero ir na... YSTS
Em 2016 eu quero viajar para... Defcon, 8.8 (Chile), Eko e as BSides na América Latina - além da BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp
Não Pode Faltar no seu Evento The Pirates Bar e uma competição de CTF organizada pelo CTF-BR
Patrocinadores "ponta firme" Conviso e Trend Micro


Importante: As opiniões apresentadas aqui são minhas somente e não refletem a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci (pouco provavel) ou porque considero que nem vale a pena escrever sobre ele.

OBS: Post atualizado em 21/01 para incluir uma pequena nota sobre a Black Hat São Paulo e referência a BSides Lisboa.

janeiro 18, 2016

[Segurança] Internet of Threats

Recentemente eu vi a sigla IoT (Internet das Coisas, do inglês "Internet of Things") ser referenciado como "Internet of Threats" (Internet das Ameaças).

Esta é uma abordagem interessante para destacar o potencial problema de segurança com essa nova onda de "Internet das Coisas". Ou seja, muito tem se falado e feito para criar os mais diversos tipos de dispositivos e equipamentos conectados na Internet (como aparelhos domésticos, carros, brinquedos, roupas e vestuário, etc), mas pouco tem se investido em segurança no desenvolvimento destas novas tecnologias.

Um exemplo recente desse tipo de problemas foi o vazamento de dados pessoais e fotos dos clientes dos brinquedos produzidos pela empresa americana VTech, incluindo fotos de crianças - o que assustou ainda mais os usuários e a imprensa em geral.

As boas práticas de desenvolvimento de sistemas, já existentes, deveriam se aplicar também ao mundo de IoT. O problema, pelo que eu vejo, é que o principal pessoal por trás do desenvolvimento destas novas tecnologias são os times de engenharia e hardware, que trabalham em embarcar novas tecnologias de conectividade a novos componentes de hardware ou equipamentos. Mas, na prática, esse pessoal da área de engenharia e de hardware tem relativamente pouca experiência com desenvolvimento e, muito menos ainda, com desenvolvimento para projetos em ambiente web. Logo, lhes falta a experiência dos desenvolvedores tradicionais e, pior ainda, falta a experiência de desenvolvimento seguro - algo que a área tradicional de desenvolvimento penou para apreender nas últimas décadas, e o pessoal de hardware está caindo de cabeça agora.

janeiro 14, 2016

[Segurança] Ataques DDoS para o Infinito e Além

Frequentemente vemos notícias sobre "o maior ataque DDoS" da história, e neste começo de ano não seria diferente:


Ou seja, na noite de ano novo a rede de TV britânica BBC sofreu um ataque DDoS de assustadores 602 Gbps de tráfego - segundo notificado pelos atacantes, o grupo hacktivista New World Hackers. Os atacantes alegam que utilizaram uma ferramenta chamada Bangstresser para realizar o ataque.



Segundo a imprensa, isto representa quase que o dobro do maior ataque reportado até o momento pela Arbor Networks em 2015, que foi um ataque de 334 Gbps. A Akamai, por outro lado, estima que o maior ataque DDoS até metade de 2015 foi de 240 Gbps (contra "apenas" 149 Gbps registrado no 3o trimestre de 2015). E vale a pena lembrar que, em Fereveiro de 2014 (ou seja, há quase 2 anos atrás), a Cloudfare foi vítima de um ataque DDoS que chegou a atingir 400 Gbps de tráfego. Pior ainda: há 5 anos atrás, o maior ataque de 2011 tinha sido de míseros 45 Gbps.

O que esses números mostram? O óbvio: a capacidade de ataque aumenta dia-a-dia. E sempre vai continuar aumentando.

No caso de um ataque DDoS, isso significa que a cada dia surgem novas técnicas de ataque na mesma velocidade que crescem os links de comunicação. Com o aumento da capacidade de tráfego dos links Internet em escala global, as empresas investem no crescimento de seus links para atender a demanda dos usuários e também minimizar a chance picos de tráfego (que podem acontecer por ataques ou mesmo por motivos válidos - como o aumento espontâno de acesso ao site em um determinado momento). Os atacantes, por outro lado, tem links maiores para realizar seus ataques - ou seja, um dos limitantes da capacidade de ataque é o link de comunicação da máquina (ou "das máquinas") que está realizando o ataque. Atacantes com mais banda a sua disposição podem representar um ataque final com maior volume de tráfego (falando genericamente, pois obviamente isso depende do tipo de ataque DDoS utilizado).

janeiro 12, 2016

[Cyber Cultura] Dumont Hackerspace na Campus Party 2016

Pelo segundo ano consecutivo, os hackerspaces brasileiros estarão representados na próxima Campus Party Brasil através do Dumont Hackerspace.


O Dumont Hackerspace surgiu em Maio de 2014 para ser um espaço autônomo e itinerante, idealizado pela comunidade brasileira de hackerspaces, existindo como um meta-hackerspace temporário dentro de alguns eventos de grande porte. O Dumont Hackerspace serve como ponto de encontro para receber os representantes de diversos hackerspaces, makerspaces e coletivos brasileiros, que aproveitam aquele evento para realizar atividades típicas de um hackerspace, tais como palestras, oficinas, debates, conversas ou simples socialização. Assim, levamos conosco o espírito de comunidade que é típico dos hackerspaces.

Durante a Campus Party em 2016 teremos um espaço de livre acesso na área de Campuseiros, aonde vamos oferecer a mesma experiência de um autêntico hackerspace. Veja quais são alguns dos Hackerspaces e Makerspaces que já confirmaram a sua presença:

A 9ª edição da Campus Party Brasil será realizada no Centro de Convenções do Anhembi em São Paulo entre os dias 26 e 31 de Janeiro de 2016. A Campus Party é o maior acontecimento tecnológico do mundo nas áreas de inovação, ciência, cultura e entretenimento digital, reunindo milhares de pessoas - os campuseiros -  para debater os principais temas de cada um destes universos. Os participantes mudam-se com seus computadores, malas e barracas para dentro de uma arena, onde se conectam a uma rede super veloz e convivem em torno de oficinas, palestras, conferências, competições e atividades de lazer.

Para saber mais



janeiro 11, 2016

[Segurança] Botnet das Coisas

Há um ano atrás, em janeiro de 2015, a Bluecoat publicou um artigo sobre uma botnet capaz de invadir e utilizar mini-PCs, e assim controlar dispositivos relacionados a "Internet das coisas".

O artigo, batizado de "The Botnet of the Internet of Things", descreve um framework para desenvolvimento de malware chamado Inception, que possui executáveis para processadores ARM, SuperH e PowerPC. Os ataques incluem, mas não estão limitados, a roteadores domésticos e webcams, por exemplo.

Utilizando um honeypot, eles conseguiram identificar alguns malwares direcionado a processadores ARM rodando Linux, dois dos quais foram o Powbot e o Linux.Backdoor.Fgt. Eles são capazes de realizar ataques de DDoS, tais como DDoS explorando o protocolo DNS, ou DDoS baseado em UDP e TCP, além da capacidade de jogar dados aleatórios (lixo) em portas específicas de servidores (indicados pelo seu IP e porta).

O artigo mostra que há mais de um ano ciber crimonosos estudam como explorar e invadir qualquer tipo de dispositivo conectado a Internet, não se limitando aos tradicionais PCs e SmartPhones.

Nas suas previsões para o mercado de segurança em 2016, a Imperva destacou justamente ela, a "Botnet das Coisas", como uma das tendências de ataques que devem amadurecer neste ano.

janeiro 08, 2016

[Segurança] The Hacker Manifesto

Há exatos 30 anos atrás, alguém utilizando o codinome The Mentor (na verdade, Loyd Blankenship) publicou na revista eletrôniza Phack o texto "The Conscience of a Hacker", que ficou conhecido como "The Hacker Manifesto".

O ano era 1986, antes do início da Internet, mas ainda dentro do caldeirão de novas tecnologias e idéias que deram origem a cultura hacker que temos hoje. Era uma época logo após o filme War Games, que expôs ao mundo como um jovem podia invadir sistemas e, eventualmente, causar a terceira guerra mundial (ou melhor ainda, uma "Global Thermonuclear War") e estava surgindo o movimento software livre.

Na época, hacking era principalmente sobre busca de conhecimento e de novos desafios, da criação de novas tecnologias, e praticamente inexistia o crime cibernético, ainda mais na ferocidade e no impacto que temos hoje.

Rapidamente este texto se tornou antológico dentro da cultura hacker e fomentou a discussão sobre ética hacker, graças a frases marcantes como as abaixo:

"I am a hacker, enter my world..."

"This is our world now... the world of the electron and the switch, the beauty of the baud."

"We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals."

"Yes, I am a criminal. My crime is that of curiosity My crime is that of judging people by what they say and think, not what they look like."

"You may stop this individual, but you can't stop us all... after all, we're all alike."

janeiro 07, 2016

[Segurança] O que esperar em 2016?

Como sempre, no final do ano pipocaram previsões e discussões sobre tendências para o mercado de segurança em 2016.

Descartando as previsões óbvias (por exemplo, "aumento dos ataques a infra-estruturas críticas" ou "vai acontecer um cyber ataque em uma grande infra-estrutura crítica", "crescente necessidade de criptografia", "hacktivistas vão usar roubo de dados e ataques de DDoS contra suas vítimas"), exdrúchulas (ex: "O uso de Ad-blocking vai impactar o mercado de publicidade online e matar malvertisements") ou que já são realidades (ex. "uso de ciber extorsão, através de ramsonwares e roubo de dados", "aumento das ameaças internas"), sobraram algumas que eu acho interessante destacar:
  • Necessidade de discutir padrões de segurança para a Internet das Coisas (IoT), incluindo computação vestível (como smart watches) e smart devices. Este foi um destaque feito pela grande maioria dos fabricantes de segurança;
    • O pessoal da Fortinet fez uma previsão interessante sobre segurança em IoT: o surgimento de ataques entre os dispositivos conectados e malwares se disseminando através deles (ataques máquina-a-máquina, ou M2M);
    • A Imperva prevê o surgimento da Botnet das Coisas (Botnet of Things);
    • Haverá um aumento de pesquisa sobre hacking de carros, aviões e trens (Intel Security e Checkpoint). A Kaspersky tem uma previsão interessante sobre isso, preocupada com potenciais ataques as tecnologias de navegação autônoma;
    • Não é a tôa que os dispositivos conectados (como soluções para Internet das Coisas, vestíveis e carros inteligentes) são um dos grandes destaques da feira CES (Consumer Electronic Show) logo no início deste ano;
  • Possível conflito entre as gangs especializadas em criar ransomwares e as especializadas em malwares tradicionais (Symantec);
  • O crescimento na quantidade de ciber ataques e roubos de dados vão fomentar a necessidade de seguros específicos ("cyber insurance") (Symantec);
  • Security Gamification: O uso de gamificação como uma ferramenta de treinamento e conscientização de segurança (Symantec);
  • A introdução e popularização de sistemas de pagamentos móveis vai inspirar o interesse em ataques e roubo de informações nas novas tecnologias de processamento de pagamentos (como cartões de crédito com chip ou com RFID e carteiras de pagamento via celular como Apple Pay e Google Wallet) (Trend Micro);
  • "APT-as-a-service" e popularização de ciber mercenários, devido a grande facilidade de invasão e a popularização deste tipo de ataque (Kaspersky);
  • Manipulação criminosa de dados para causar danos as empresas, através do uso de informações erradas - não bastará roubar ou destruir dados; o risco está em dados serem alterados intencionalmente para causar tomadas erradas de decisões nas empresas (RSA);
  • Malwares vão utilizar certificados SSL que são oferecidos gratuitamente por algumas empresas (Imperva) - esse é o lado negativo da popularização da criptografia, previsto por algumas das empresas de segurança.



Aproveitando, o IDC publicou recentemente seu relatório de previsões para o mercado de segurança para os próximos anos, batizado de "Worldwide IT Security Products Forecast, 2015–2019". Veja algumas das previsões deles:
  • Em relação ao mercado total de produtos de segurança de TI, o IDC estima que o mercado atingiu 35,2 bilhões de dólares em 2015 e vai crescer em 7,4% em 2016, quando atingirá US$ 37,9 bilhões;
  • O IDC acredita que entre 2014 e 2019, o mercado vai crescer a té atingir quase US$ 46 bilhões em 2019;
  • Dos submercados em segurança de TI, o IDC estima que em 2015, a área de segurança de redes foi o maior subsetor, representando US$ 10,4 bilhões (quase um terço da receita do mercado total). Endpoint Security foi a segunda maior área, com US$ 9,2 bilhões;
  • Em termos de influências no mercado, o IDC acredita que a maior disponibilidade de ofertas de Segurança como Serviço (tal como MSS - Managed Security Services) juntamente com demandas mais exigentes de conformidade serão os fatores mais significativos para o crescimento do mercado de segurança em TI.

Eu, particularmente, acrescentaria mais algumas previsões e opiniões sobre o mercado de segurança em 2016...
  • Os ataques de hacktivismo vão continuar diminuindo, embora nunca vão sumir por completo. A onda do hacktivismo teve seu ápice entre os anos 2011 e 2013, e agora atrai poucos interessados. Além disso, cada vez exige conhecimento técnico mais e mais avançado para realizar ataques, pois os ataques de DDoS com ferramentas online utilizadas coletivamente não são mais tão efetivos quanto eram anos atrás;
    • Não podemos nos esquecer que as Olimpíadas de 2016 são um belo atrativo para hacktivistas; possivelmente teremos um pico de ataques de defacement e DDoS próximo aos jogos;
  • DDoS como forma de extorsão: embora isto exista há muitos anos, este ataque começou a ser utilizado em escala global e em vários países em 2015 (inclusive atingindo empresas Brasileiras). A tendência é piorar e tornar mais frequente;
  • Está cada vez mais fácil realizar ataques de DDoS em alta escala e está mais difícil evitá-los, por isso as empresas vão continuar sofrendo muito com esses tipos de ataques;
  • IPv6 ainda vai demorar para decolar, mas é importante aumentarmos os esforços de estudo e pesquisa em segurança para IPv6;
  • Uso de Biometria em aplicações móveis: a popularização da biometria nos Smartphones, que aconteceu com mais força em 2015, está trazendo a tona o surgimento de aplicativos móveis protegidos com biometria. Esta é uma tendência que vários bancos tem acompanhado de perto. O lado negativo disso é que pode acelerar o surgimento de roubo de dados biométricos para enganar os controles de autenticação;
  • Vazamento de Big Data: como as empresas estão investindo muito em Big Data, e os ciber criminosos estão ávidos por roubar dados, podemos em breve ver um mega-roubo de dados com acesso não autorizado a estes "data lakes". Será que podemos chamar o "vazamento de um data lake" de "cyber Mariana"? Ok, desculpem-me pela piadinha de humor negro e politicamente incorreto...
Além disso, a minha sugestão é que, se você trabalha ou tem interesse em entrar na área de segurança, e se você tem background em redes ou desenvolvimento, aproveite a oportunidade para estudar segurança em IPv6 ou segurança para IoT, respectivamente. Eu acredito que em breve teremos uma grande demanda por profissionais com esse tipo de conhecimento, e quem começar na frente vai se destacar rapidamente no mercado.

Para saber mais detalhes sobre as previsões das principais empresas do mercado de segurança, veja o site delas:
Aproveite o embalo e dê uma lida também nas previsões do Althieres Rohr no G1.

OBS: Post atualizado em 11/01 (incluído o link para a reportagem sobre as previsões da Akamai).

[Geek] Principais tecnologias lançadas nos últimos 50 anos

Devido a realização da gigantesca feira Consumer Electronic Show (CES) em Las Vegas nesta semana, o pessoal do G1 publicou um infográfico bacana com as 10 principais tecnologias domésticas que foram lançadas neste evento desde 1970.

A feira completa 49 anos e é a maior e mais importante feira de eletrônicos dos Estados Unidos. Ela  sempre foi o palco para o lançamento de novas tecnologias que mudaram o mundo, como o videocassete, o DVD, videogames, novas tecnologias de TV, etc. Os principais destaques deste ano foram para os drones, as impressoras 3D e, principalmente, os dispositivos conectados (na onda de Internet das Coisas), como eletrodomésticos, equipamentos vestíeis, carros autônomos e tecnologias de automação residencial.



Aproveite e acompanhe a cobertura completa que o G1 fez do evento ;)

janeiro 04, 2016

[Carreira] Contribuição Assistencial ao Sindpd 2016

Que recomeçe a via-crucis ao Sindpd !!!

De 06 a 15 de Janeiro deste ano, os profissionais associados ao Sindpd (Sindicato dos Trabalhadores em Processamento de Dados e Empregados de Empresas de Processamento de Dados do Estado de São Paulo) devem ir lá para se opor formalmente a Contribuição Assistencial imposta pelo sindicato.



Há alguns anos atrás o Sindpd/SP criou e começou a cobrar essa aberração chamada de "Contribuição Assistencial", um desconto mensal direto na nossa folha de pagamento, que corresponde a 1% do salário, com teto máximo de R$ 30,00 por mês. Isto é diferente da contribuição sindical obrigatória por lei, aplicável aos trabalhadores CLT, que deve ser paga obrigatoriamente uma vez por ano e que corresponde a 1 dia de trabalho, e que é descontada sempre no mês de Abril do ano corrente.

Para evitar este desconto mensal, os profissionais que são afiliados ao Sindpd devem apresentar, presencialmente, uma carta formal de oposição, que deve ser entregue em 2 vias no Sindpd. A carta pode ser impressa e deve ser entregue assinada mas deve ser assinada no momento da entrega, na presença do funcionário do Sindpd (Atualização em 06/01: quando fui entregar a minha carta, pediram para eu assinar antes de entrar no local. No momento da entrega precisei assinar em um carimbo de protocolo, carimbado nas 2 vias da carta). Não se esqueça de levar um documento com foto. Uma via fica com eles e a outra via, carimbada pelo Sindpd, deve ser entregue ao RH da sua empresa.

Minhas recomendações:
  • Vá o mais cedo possível no Sindpd, logo nos primeiros dias. As filas para quem deixa a entrega para o final do prazo costumam ser enormes (eu já perdi alguns horas nessa fila, nos primeiros anos);
  • Quem está viajando pode enviar a carta registrada pelos correios; quem está afastado (por exemplo, férias ou auxílio doença) tem um prazo de 10 dias contados a partir do retorno ao trabalho;
  • Leve pelo menos 2 cópias extras impressas da carta de oposição - vai que dá algum problema na hora H e você não vai querer perder a viagem...
  • Leve pelo menos 2 folhas de papel em branco - vai que dá algum problema na hora H e você realmente não quer perder a viagem, né?
  • Eu recomendo escanear a carta protocolada e guardar essa cópia com você, antes de entregar o original no RH. Isso é importante se você mudar de emprego durante o ano: você pode mostrar essa cópia para o RH da nova empresa e, assim, evitar ser cobrado no novo emprego.

Eu disponibilizei no Slideshare um modelo em Word (editável) da Carta de Oposição ao Sindpd para 2016. É exatamente este texto que eu entregarei este ano no Sindpd.


Não se esqueça:
  • Prazo para entrega: 06/01/16 a 15/01/16, de segunda a sábado, das 9h as 17h
  • Local: R. Comendador Roberto Ugolini, 152 (Clube Atlético Juventus), Moóca, 03125-010, São Paulo, SP

Para saber mais:
OBS: Post atualizado em 06/01/16.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.