março 31, 2016

[Cyber Cultura] Arduino Day

Neste sábado, 02 de Abril, será comemorado em todo o mundo o Arduino Day, através de uma série de eventos comunitários organizados por aficcionados em Arduino em várias cidades.

Um fato curioso que aconteceu neste ano é que, como existe uma batalha em curso pelo direito de uso do nome Arduino, em alguns países o evento vai se chamar "Arduino Day", e em outros, o nome adotado oficialmente foi "Genuino Day".

    Aqui no Brasil, alguns hackerspaces e algumas comunidades também estão organizando eventos neste dia. Na Grande São Paulo haverá 7 eventos simultâneos, incluindo no Garoa Hacker Clube, no CUBO (com colaboração do Garoa, entre outros), no IFSP, na RedBull Station e no Estudio LILO. São Paulo é uma das áreas metropolitanas com o maior número de Arduino Days no mundo!

    Vale destacar alguns dos eventos:


    O site oficial do Arduino Day mantém uma lista de todos os lugares que vão realizar eventos neste dia.


    março 30, 2016

    [Segurança] Um dia é do Caçador, outro da Caça

    A Verizon é uma empresa americana especialista, entre outras coisas, em prestar serviços gerenciados de segurança, aonde é reconhecida como expert em identificar ataques e invasões em seus clientes. O seu relatório anual sobre incidentes de segurança ("Verizon Data Breach Investigations report") é amplamente utilizado pelo mercado.

    E não é que o especialista em identificar invasões também foi invadido?

    A notícia da invasão surgiu no dia 24 de Março, em um post no blog do jornalista Brian Krebs (Krebs on Security). Segundo o blog, o atacante roubou informações de contato de cerca de 1,5 milhão de clientes da Verizon Enterprise e ofereceu os dados à venda em um fórum underground por 100 mil dólares. Como se isso não bastasse, também foi oferecida a oportunidade de comprar informações sobre as vulnerabilidades no site da Verizon. Segundo a Verizon, havia uma vulnerabilidades no portal de clientes corporativos.

    Até o momento, não achei nenhuma notícia que explicasse que tipo de ataque ocorreu. Todas as notícias que vi apenas se limitaram a repetir o que foi dito no Blog do Brian Krebs. Segundo ele, aparentemente ocorreum uma invasão a bases de dados de clientes do site.

    O que o caso da Verizon nos ensina é que, infelizmente, hoje em dia absolutamente ninguém está totalmente a salvo de ciber ataques. Nem mesmo as empresas mais especializadas na área.

    março 22, 2016

    [Segurança] Estatísticas do Cert.br sobre 2015

    O pessoal do Cert.br disponibilizou recentemente as estatísticas sobre os totais de incidentes e SPAM reportados ao CERT.br em 2015.

    Sobre os incidentes, o total de notificações recebidas pelo Cert.br em 2015 foi 31% menor do que no ano passado, totalizando 722.205 notificações. Estes incicentes se dividem nas categorias abaixo:
    • Ataques a servidores Web: Em 2015 houve um aumento de 128% nas notificações de ataques a servidores Web em relação a 2014, totalizando 65.647 notificações. Dentre os ataques observados, destaca-se uma grande quantidade de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla;
    • Ataques de Negação de Serviço: Houve uma redução de 89% em relação a 2014, totalizando 25.360 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). O Cert.br destacou que os ataques de DoS em 2015 continuam a envolver protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP) e SSDP (1900/UDP);
    • Tentativas de Fraude: também sofreram queda em 2015 (64%), totalizando 168.775 notificações - incluindo phishing direcionado a bancos e sites de comércio eletrônico (32% menos notificações em 2015) e a demais sites (como serviços de webmail e redes sociais, por exemplo), Cavalos de Troia utilizados para furtar informações e credenciais (queda de 59% em relação a 2014) e quebras de direitos autorais (75% menor que 2014);
    • Varreduras e propagação de códigos maliciosos: Atingiram 391.223 notificações em 2015, um aumento de 48% em comparação a 2014, com destaque para as varreduras de TELNET (23/TCP), que corresponderam a 22% do total de notificações;
    • Computadores comprometidos: O Cert.br recebeu 2.457 notificações de máquinas comprometidas - yuma queda de 62% quando comparado com 2014, sendo que a grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement);
    • Vale a pena notar também que 54% dos ataques identificados em 2015 foram originados de dentro do Brasil.

    As estatísticas referentes a reclamações de spam enviadas ao CERT.br no ano de 2015 sofreu um pequeno decréscimo, de 3.2%, se comparado com o número de notificações em 2014. Mesmo assim, isso significa que 711 mil emails de SPAM foram processados no ano passado.





    março 18, 2016

    [Segurança] Al Token

    O pessoal do Banco de Crédito do Peru (BCP) fez uma campanha de marketing (na TV e rádio) muito bem humorada para divulgar o uso de tokens de autenticação entre seus clientes de Internet e Mobile Banking. O vídeo está disponível no You Tube e tornou a expressão "al token" popular entre os peruanos:



    Eles também disponibilizaram alguns tutoriais sobre como usar o Internet Banking.

    A iniciativa é bem interessante por levar a população a necessidade de acessar seu banco online de forma segura, através de um segundo mecanismo de autenticação.

    março 17, 2016

    [Cyber Cultura] Pornografia de vingança: como proceder?

    No mês passado o pessoal da Época fez uma reportagem curta e objetiva sobre como as vítimas da "Pornografia de vingança" (em inglês, "Revenge Porn"), podem agir para tentar remover suas imagens íntimas que vazaram para a Internet.

    A reportagem contou com a ajuda da advogada Gisele Truzzi, e assim publicou dois infográficos muito bem feitos e com dicas claras sobre como agir caso você esteja sendo ameaçado(a) ou caso queria denunciar quem divulgou suas fotos íntimas indevidamente.



    A reportagem também destaca que é possível solicitar a remoção de fotos no Facebook, Google e Snapchat.

    Eu, particularmente, ainda acho que a melhor forma de evitar o "revenge porn" é, simplesmente, não tirar fotos que possam ser constrangedoras. Não importa o calor da emoção se você deseja apimentar a relação ou ter uma lembrança sexy do(a) parceiro(a). Qualquer foto digital pode ser facilmente compartilhada - seja por ciúmes, vingança ou porque um curioso sem escrúpulos teve aceso ao seu smartphone ou ao seu computador.

    março 16, 2016

    [Segurança] Roubando cartões de crédito em 3 segundos

    Circulou recentemente um pequeno vídeo que mostra como um criminoso consegue instalar rapidamente um dispositivo "skimmer" (também chamado no Brasil de chupa-cabra) em uma leitora de cartões (PoS) em menos de 3 segundos.


    O vídeo foi disponibilizado pela polícia de Miami Beach. Segundo o site The Hacker News, que disponibilizou uma versão um pouco mais longa do vídeo, dois criminosos agiram em conjunto: enquanto um deles distraia o funcionário da loja, o outro instalou rapidamente o dispositivo para cópia de dados de cartões.

    É impressionante a rapidez em que o criminoso instala o dispositivo, aparentemente sem ser percebido por ninguém em volta. Pelas imagens, dá para perceber que provavelmente este "skimmer" fica sobre o terminal de leitora de cartões, e possivelmente tem um teclado falso para capturar as senhas digitadas pelos clientes com uma entrada falsa para o cartão, cobrindo a entrada original, que deve ter uma pequena leitora da tarja magnética.

    março 14, 2016

    [Segurança] BSides Latam

    Neste ano, nós da BSides São Paulo temos uma novidade: a próxima edição do evento será Latino Americana - ou seja, organizada com o apoio das demais BSides da América Latina e aberta a participantes e palestrantes de todo o continente.

    E, assim, nasce a BSides Latam.


    Com o surgimento de várias edições da BSides em países da América Latina, tivemos a oportunidade de, pela primeira vez, criar um evento regional. Para que isso acontecesse, os organizadores destas várias BSides se juntaram para preparar o evento, e nós, de São Paulo, nos oferecemos para hospedar a primeira edição. Digo isso pois nossa intenção é que o evento ocorra anualmente de forma itinerante, variando de país a cada edição.

    Seguindo  atradição de realizar as BSides próximas a um evento importante da área, a BSides Latam irá acontecer no final de semana de 11 e 12 de Junho deste ano, na véspera do You Sh0t the Sheriff (YSTS).

    Estamos planejando realizar um evento maior do que as edições anteriores, mas seguindo o mesmo formato: sábado dedicado a mini-treinamentos no período da tarde e o evento completo no domingo (12/6). Além das oficinas e atividades tradicionais (como a oficina de Lockpicking, o CTF, a Hacker Career Fair e a BSides 4 Kids), pretendemos ter 3 trilhas de palestras, com uma trilha dedicada a palestras em Espanhol.

    Para se manter antenado nas novidades, visite nossos sites:

    março 10, 2016

    [Segurança] Hackerville

    No ano passado o pessoal da Norton (Symantec) produziu um documentário pequeno, mas bem interessante, sobre uma cidade na Romênia conhecida como "Hackerville" ou "Most Dangerous Town on the Internet" ("A cidade mais perigosa na Internet"), aonde convivem ciber criminosos especializados em códigos maliciosos, engenharia social, roubo de identidade, etc.

    A pequena cidade de Râmnicu Vâlcea tem pouco mais de 90 mil habitantes e fica um pouco ao sul da área central da Romênia - sendo habitada desde os tempos dos Romanos. Em 2011 a revista Wired publicou uma excelente matéria de capa sobre como a cidade se tornou um centro do crime cibernético mundial.

    A reportagem da Wired, assim como o documentário da Norton, destacam como vários fatores tornaram esta cidade um local perfeito para praticar o crime cibernético. Isto acontece por conta da existência de todo um ecossistema voltado para o crime, que inclui a conivência das autoridades, uma vasta quantidadede pessoas interessadas em ganhar dinheito fácil, infraestrutura tecnológica (ótima conectividade com a Internet) e diversas pessoas que atuam na própria cidade oferecendo os serviços criminosos necessários para a execução das fraudes. Além do mais, o sucesso de diversas pessoas acaba atraindo o interesse de outros habitantes, que acabam se juntando ao mundo do ciber crime. Não é a tôa que carros de luxo são facilmente vistos nessa cidade.

    Aqui no Brasil, a cidade de Parauapebas, no sudeste do Pará, é conhecida por ser a base de diversos grupos criminosos desde os primórdios do crime cibernético. Recentemente, uma quadrilha formada por quatro pessoas foi presa na cidade, suspeitas de cometer crimes de lavagem de dinheiro pela Internet: eles invadiam contas bancárias e usavam o dinheiro das vítimas para pagar boletos e despesas pessoais.

    O vídeo do documentário sobre Râmnicu Vâlcea está disponível no YouTube:



    março 07, 2016

    [Segurança] Buzzword do momento: Internet das Coisas

    Esqueça Cyber Security. Se você quer parecer cool, antenado, quer sair em reportagens de jornal, palestrar em evento top, ganhar uma coluna no Fantástico e virar capa da Capricho, então torne-se rapidamente um guru de...

    Internet das Coisas (IoT)


    A vantagem é que, como é uma onda que surgiu agora, e rapidamente virou modinha, você nem precisa manjar muito mesmo. Junte algumas estatísticas sobre uso de Internet, misture com discurso de Cloud Computing, fale um pouco sobre Arduino e micro computadores, compre uma impressora 3D, visite um FabLab, misture isso tudo com o discurso já gasto sobre Geração Y e Millenials, e a cereja do bolo é falar sobre Wereables (Computação Vestível).

    Pronto, já está traçado o seu caminho para virar pop-star.

    Mas não ligue agora... além de ser a buzzword da moda válida para toda a área de tecnologia, muito se fala também de segurança para o mundo IoT. Ou seja, até o profissional de segurança pode se dar bem nessa área :)

    Hoje, sempre que leio um clipping sobre tecnologia, uma quantidade significativa das notícias é sobre alguma coisa relacionada a IoT. Até mesmo a midia especializada e os eventos de segurança já se renderam a preocupação com IoT - e não é sem razão, claro!!!

    março 04, 2016

    [Carreira] Campo de distorção da realidade

    "Reality Distortion Field" (ou, em português, algo como "campo de distorção da realidade") é um tipo de carisma muito forte - ou melhor, "uma aura de carisma, confiança e persuasão em que é quase impossível evitar a render-se a alguém e seguir a sua vontade ao interagir face-a-face". Algumas pessoas, como o Bill Clinton e o Steve Jobs, ficaram famosos por ter um poder de persuação tão forte.

    O tal "campo de distorção da realidade" é um grande aliado da liderança, capaz de causar uma forte empatia, além de inspirar os colegas de trabalho a seguir um sonho ou objetivo.

    algumas formas de desenvolver essa habilidade:
    • Pratique o contato visual olho-a-olho ("eye contact"): o "eye contact" é a melhor forma de estabelecer uma ligação forte quando você está conversando com alguém. Olhe diretamente nos olhos da outra pessoa, mas mantendo uma expressão facial neutra e um olhar suave, sem intimidar. Ao encerrar a conversa e se distanciar, olhe para trás para a pessoa, como se tivesse selando o acordo;
    • Esteja presente na conversa - ou seja, preste atenção na outra pessoa e evite distrações;
    • Tenha controle sobre o "espaço pessoal" do seu intelocutor, mantendo uma proximidade e transmitindo uma sensação de segurança e conforto. Isso aumenta os sentimentos de intimidade, confiança e afinidade. O "espaço pessoal" (tradução de "personal space") é a sensação incomoda que temos de ser "invadido" quando alguém chega muito perto durante uma conversa. O nosso senso de proximidade física com alguém não depende apenas da distância física entre os dois, mas também aumenta quando há contato visual direto entre as partes, encarando o outro diretamente (em oposição a ficar lado a lado olhando para a multidão), quando há toque (por exemplo, batendo nas costas, tocando no braço ou ombro), aumento sua voz ou quando a pessoa fala sobre você (em oposição a um assunto neutro). O segredo é modular esses cinco fatores diferentes, usando-os sutilmente e combinando de modo a fazer seus parceiros de conversa se sentirem seguros, confortáveis, próximos e íntimos com você. Por exemplo, quando você aumenta o contato olho-a-olho, tente inclinar-se para trás ou ir um pouco para trás para aumentar o seu conforto. Quando estiver fisicamente perto (por exemplo, em uma sala lotada), tente diminuir o volume da sua voz.
    A combinação dos três fatores acima permite criar um forte carisma, gerando o sentimento de que as duas pessoas na conversa eram as únicas duas pessoas na sala.

    O vídeo abaixo dá um ótimo exemplo de como criar um "campo de distorção da realidade" através do contato nos olhos e do uso do espaço pessoal para criar uma atmosfera de persuasão. Este exemplo é de um trecho do segundo debate Bush-Clinton-Perot, em Outubro de 1992. Este debade usou, pela primeira vez, um formato de "town-hall", que já foi repedido em debates presidenciais aqui no Brasil também. Foi um formato proposto pela equipe do Bill Clinton - e o coitado do "Bush Pai" não sabia que tinha concordado de lutar contra um mestre em seu próprio território.


    No vídeo podemos ver facilmente como o Bill Clinton usou a linguagem corporal e se dirigiu diretamente a pessoa que fez a pergunta, e fez isso de tal forma que essa pessoa, e até nós mesmos, nos sentíssemos que estivéssemos falando direto com ele. O Bush, ao contrário, agiu como qualquer um de nós faria: proferiu a sua fala no centro do palco, direcionado a todos - e a ninguém ao mesmo tempo. No final, vem a cereja do bolo: o vídeo capta uma imagem do rosto do George W Bush desorientado.

    março 03, 2016

    [Segurança] Threat Detection Effectiveness Survey

    A RSA acabou de divulgar um estudo chamado "Threat Detection Effectiveness Survey" baseado em uma pesquisa global para entender como as organizações conseguem detectar e investigar as ameaças cibernéticas.

    Os resultados mostram uma falta de adoção de tecnologias que podem automatizar e tornar detecção e investigação de ataques mais eficaz. O estudo traz alguns dados interessantes, como por exemplo:
    • Apenas 24% das organizações estão satisfeitas com a sua capacidade atual para detectar e investigar as ameaças usando seus dados e ferramentas atuais;
    • Poucas organizações são capazes de detectar (8% dos entrevistados) e investigar (11%) ataques "muito rapidamente", o que significa que um atacante pode permanecer no ambiente por um longo tempo;
    • Dentre as organizações pesquisadas, quase a metade (47%) do investimento de segurança é direcionado para tecnologias e estratégias preventivas, com investimento bem menor na detecção (25%) e resposta (28%) a ataques.
    A pesquisa pode ser baixada no site da RSA.

    março 01, 2016

    [Segurança] Museu dos Malwares

    O pessoal do Internet Archive lançou recentemente o "Malware Museum", uma coleção de programas maliciosos que foram criados nas décadas de 1980 e 1990.

    O museu disponibiliza emuladores de vários vírus, com o objetivo de mostrar a animação ou mensagens que eles mostravam quando infectavam algum computador. Os vírus são inofensivos, pois foram removidas as rotinas destrutivas dentro dos vírus.



    A iniciativa é interessante, mas o "acervo" é relativamente pequeno, com 79 vírus. Alguns vírus clássicos que ficaram famosos, como o Cascade e o Ping Pong, por exemplo, não estão lá :(
    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.