Páginas

novembro 30, 2016

[Segurança] Como podemos melhorar a BSides São Paulo?

A cada edição da Security BSides São Paulo que realizamos, nós tentamos melhorar um pouco mais o evento e, na medida do possível, não repetir os erros das edições anteriores. Após 14 edições, eu acredito que estamos conseguindo ir bem, melhorando aos poucos.

Para obter o feedback do público de maneira mais fácil, desde algumas ediçõões atrás, nós incluímos no formulário de inscrição uma pergunta sobre "Como podemos melhorar o evento?". Fizemos isso no momento da inscrição, em vez de uma pesquisa após o evento (que é o mais usual), principalmente porque todo mundo que vai no evento se inscreve, e portanto é obrigado a responder esta questão, enquanto normalmente poucas pessoas, muito poucas, costumam responder pesquisas de satisfação. Muito poucas mesmo.

O meu objetivo principal, com isso, foi o de identificar alguns problemas que podemos consertar ou algumas novas idéias legais que ainda não tínhamos pensado antes. Na prática, recebemos centenas de respostas que variam desde comentários úteis, engraçados, e alguns inúteis, que não ajudam em nada.

Os dois tipos de comentários mais comuns que recebemos são de pessoas cobrando maior divulgação do evento (raramente com dicas sobre como podemos fazer isso) e daqueles que participam pela primeira vez e, por isso, acham que não tem como sugerir alguma melhoria. Por exemplo:
  • "Melhorando a divulgação."
  • "Mais informativos através de redes sociais."
  • "Divulgar em escolas como o SESI."
  • "Divulgar nas empresas como Embraer por exemplo."
  • "Com uma maior divulgação na mídia."
  • "Nunca fui ao evento, mas pelo que eu percebi não muita divulgação, seria legal mais pessoas da area terem conhecimento do evento!"
  • "Anunciando mais pela web"
  • "Realizar uma divulgação dentro das universidades levando a camiseta."

Além desses, segue uma compilação dos mais de 600 comentários que recebemos nas inscrições da BSidesSP v13, alguns deles com pequenas observações minhas destacadas em itálico. Essas observações são de cunho pessoal, e não necessariamente refletem a opinião de todos os organizadores do evento.

Obrigado pelos elogios :)
  • "Sendo gratuito ele já e incrível"
  • "Como está atualmente está muito bom"
  • "Acho que o evento está ótimo não melhoraria nada no momento."
  • "O evento já é muito bom"
  • "Tá bom assim se melhorar estraga"
  • "O evento é sempre ótimo. Parabéns aos organizadores"
  • "Continuem ele, forever!"
  • "Já é bom, não parem!"
  • "Está du caralho."
  • "Evento fodastico, difícil falar o que melhor, evento muito Top."
  • "O evento já e foda"
  • "Nunca participei, mais fiquei fascinado com a grade de palestras e oficinas tudo isso gratuitamente. Isso é um maravilha pra o conhecimento livre. Estão de parabéns!"
  • "Precisamos de mais Anchises!"
  • "É a primeira vez que participo, porém, pela qualidade dos organizadores, sei que será um grande evento."
  • "Se mantendo neste nível de excelência"
  • "continue a nadar :)"
  • "Continuando a fazer este maravilhoso evento de networking e humanizaçao"

Críticas construtivas são muito bem vindas, pois indicam coisas que precisamos melhorar:
  • "Melhorar os projetores das salas de aulas. Não dá para enxergar principalmente quando acessam cmd e Shell."
  • "Começar as palestras no horário certo e melhorar os equipamentos  de som"
  • "Colocando mais palestras hackers e menos palestras de Nerd punheteiro."
  • "Mais conforto."
  • "Talvez em um local maior e com palestras cada vez mais instrutivas, não somente show"
  • "Tendo mais churrasco"
  • "No ano passado ficou um pouco confusa a organização e localização das salas, um mapa mais bem definido ajudaria!"
  • "Maior sala para treinamentos, pois fiquei sem vaga para participar CSIRT"
  • "O site podia ser mais intuitivo e centralizado. Parece que as informações estão divididas em alguns diferentes sites (Garoa HC, Security BSides e a página principal).A página do SP do SP13 dá a entender que os palestrantes ainda não foram convocados."

Dicas legais, que vamos avaliar com bastante carinho:
  • "Café de graça" - nesta edição conseguimos um patrocinador para o café :)
  • "Organizar melhor a fila do churrasquer." - sim, a fila no almoço costuma ser muito grande mesmo, pois é difícil dar vazão para tanta gente!
  • "ter 2 mesas separadas pro almoço ao invés de uma, com o propósito de diminuir a fila." - o interessante é que já fizemos isso 3 vezes (e vamos continuar fazendo), mas tem gente que insiste em pegar a fila maior!
  • "Pão de alho no churrasco" - boa!!!
  • "Com mais opções de palestras."
  • "Better description"
  • "Poderiam divulgar o evento em mais faculdades da area"
  • "cadastro mais simples"
  • "Variar o local!"
  • "Com um espaço mais amplo"
  • "Promover mais competições"
  • "Com maratonas em CTF"
  • "Criando um campeonato de Game of Dhrones com o objetivo de se tornar um esporte"
  • "acredito que incentivando mais as meninas" - sim, estamos preocupados em como atrair mais garotas na platéia e, principalmente, nos palcos
  • "Buscando mais equidade de gênero"
  • "Colocar no twitter interação automatica com discusão entre os participantes e as palestras" - interessante!!!
  • "mais interação em horários de palestras"
  • "Compartilhar conversas sobre as apresentações via canal twitter por exemplo"
  • "VIDEO GAME STATIONS"
  • "Talvez realizando um pequeno campeonato de "League of Legends""
  • "trazer pesquisadores renomados também do exterior."
  • "Trazendo convidados internacional"
  • "convidados famosos na area"
  • "Mais fiscalização para não deixar os menores de idade sair do local sem acompanhante."
  • "Ainda não sei (pois não participei), mas acredito bastante na cultura de maratonas de programação"
  • "Está ótimo, mas gravar e disponibilizar na internet as palestras, isso ajudaria ainda mais na divulgação do evento."
  • "Levar empresas expondo seus projetos inovadores"
  • "Usando avaliações imediatas das palestras (com cartões verdes/amarelo/vermelhos) organizando um fishbow, palestras de 20 minutos e palestras relâmpago." - gostei desta idéia das avaliações imediatas :)
  • "Além da venda pelo Eventbrite, o evento poderia ser divulgado através do MeetUp, que costuma ter maior visibilidade e um algoritmo eficiente para a divulgação de eventos para as pessoas que estariam interessadas."
  • "gostaria de comprar a camiseta e fazer a doação, mas só que gostaria de pagar com boleto, como não tem fico impossibilitado de comprar."
  • "talvez valha pensar num alumini para quem ja foi a mais de 5 edições!"
  • "Como se trata de um evento que conta com um grande número de pessoas acho interessante que tenha uma central de atendimento de emergência." - estamos pensando nisso!!!
  • "Melhorem a pagina de inscrição do evento para acessar Mobile... A cada das inserir ela volta ao topo."
  • "oferecer mais treinamentos no sábado"
  • "Financiamento coletivo para ajudar novas caravanas e trazer novos palestrantes."

Comentários legais, mas de coisas que dificilmente pensaríamos em mudar:
  • "Fazendo mais vezes durante o ano.!!!" - em duas ocasiões realizamos 3 BSidesSPs em um único ano, e realmente foi muto cansativo para nós :(
  • "Palestras de mais duração" - na verdade, eu tenho vontade de fazer palestras mais curtas, tipo TED. 40 minutos já é meio que padrão de mercado, mas para assuntos mais longos temos as oficinas e mini-treinamentos 
  • "treinamentos mais pratico" - sim, seria o ideal, mas na realidade, ninguém leva o computador pronto para o treinamento. Mesmo que você indique um checklist (ex: traga notebook com tal SO, com VM, com tais softwares pré-instalados), a maioria da galera não traz nada, e aí um treinamento prático precisa ter 1 hora inicial só para que todo mundo prepare seus computadores para as atividades. Isso inviabliza uma atividade prática em pouco espaço de tempo;
  • "Agenda dos palestrantes: nem sempre todos eles podem comparecer" - quiséramos poder controlar a vida dos outros. Pelo menos, raramente os nossos palestrantes faltam, ao contrário dos inscritos: nosso no-show (gente que se inscreve, toma vaga dos outos, e não aparece) é maior do que 50%
  • "Divulgando as fotos das camisetas dessa edição no site." - as camisetas são criadas uma semana antes do evento, e a arte é realizada no momento da encomenda. Não temos condições de divulgar a arte antes disso simplesmente porque ela não existe até então. Além do mais, nós gostamos do suspense e do "efeito surpresa"
  • "Deveria haver camisetas famininas." - nós sempre fazemos uma pequena quantidade de camisetas baby look
  • "Sugiro publicar as apresentações Slide para os participantes" - isso dependende cada palestrante
  • "Cerveja trincando"
  • "Incluindo outras cidades, como Rio de Janeiro" - Já quisemos fazer isso, mas para nós fica muito difícil realizar eventos fora de São Paulo, principalmente por 2 motivos: aumento de custos e os organizadores são voluntários e, por isso, possuem pouco tempo disponível para organizar os eventos (e, fazer fora de São Paulo traz um nível extra de trabalho que não conseguimos suportar)
  • "Aumentar o número de palestras" - estamos muito perto do limite possível em termos de horário e infra-estrutura viável
  • "aumentar a quantidade de dias do evento" - isso iria aumentar em muito o trabalho da organização, e não temos pique nem interesse em fazer isso
  • "Buscar um modelo mais colaborativo de parcerias para promover/sustentar as oficinas e o evento. A Bsides faz um trabalho nobre para a comunidade, porém o valor percebido pelo patrocinio do evento é visto puramente como sendo institucional."
  • "Efetuando mais premiação para os convidados." - o foco do evento é oferecer conhecimento, e não prêmio
  • "Fazendo mais parcerias, ou até mesmo usando incentivos do governo a cultura para arrecadar mais fundos e assim conseguir criar o evento em mais areas de são paulo" - eu, particularmente, quero distância do governo
  • "Poderia ser criado um banco de curriculos para ajudar aos que estão tentando entrar na área de seginfo." - a idéia é boa, mas foge do nosso foco

Comentários sobre o conteúdo (a maioria são bem-vindos e alguns temas estão em nosso radar):
  • "Poderia montar mais treinamentos que aprofunda em segurança"
  • "Palestras informativas da area de segurança, ou game dev."
  • "mais palestras sobre iot
  • "Mais oficinas de hacking"
  • "Colocar palestras sobre deep web"
  • "Mais palestras sobre segurança da informação"
  • "Evento está show, Podem acrescentar palestras de gestão tbm, ISO 27002, gestão de risco, dicas para quem está começando na area e motivação." - nosso foco é mais em palestras técincas, mas valeu pelsa sugestão :)
  • "mais palestras voltada para informática sem ser programação"
  • "Mais oficinas de eletronica."
  • "Mais Palestra sobre a Area de Servidores e Redes"
  • "I think u could improve it doing more workshops, like lock-picking, mobile hacking, social engineering etc"
  • "Explicando como funciona CTF como descobre melhor as flags, quais ferramentas colocar coisas refeintes a matemática"
  • "incluir palestras sobre CTF 101 por exemplo"
  • "Abrindo mais para a área de Design" - hum, acho que aí começa a fugir muito do foco do evento
  • "Eventos de empreendedorismo;Eventos com incubadoras de startups;" - hum, acho que aí começa a fugir do foco do evento (2)
  • "Inserir oficina de pentes,programação"
  • "Inclusão de palestras e conhecimentos relacionados aos sistemas na web"
  • "que as palestras trouxessem cases práticos do dia-a-dia, ou compartilhando conhecimentos que gerem insights no público (algumas são assim, a maioria não sai com essa percepção). Ex.: houve uma palestra de análise de malware via dump de memória que segue isso que falei. Ao sair da palestra vc tem vontade de estudar e sai com um conhecimento básico dos passos para se analisar malware via dump de memória e as ferramentas utilizadas."
  • "Oferendo cursos voltados para iniciantes da area de Segurança da Informação"

Comentários engraçados (ou tristes, se preferir):
  • "Liberando conhecimento para minha mente sedenta..."
  • "No formato atual o evento já está muito bom, o único problema é que nunca sou sorteado no encerramento...."
  • "sgsdgsdgsdg"
  • "Disponibilizando prostitutas para os participantes." - talvez os pais que levem seus filhos no evento possam não gostar dessa idéia. Além do mais, para ser justos com os participantes de ambos os sexos, deveríamos ter garotos de programa também. De qualquer forma, me parece que a BSides não é o tipo de evento para este tipo de coisa.
  • "Melhor que isso só se tivesse stripers, o que não é o caso , mas seria uma boa ideia... rsrs" - vale o mesmo comentário anterior.
  • "javascript:alert('Hello World');"
  • "Teste"
  • "=)"
  • "Sempre convidem o Nelson kkk"
  • "Fazer a BsidesSP mensal ou quinzenalmente \o/!"

Comentários que fica difícil saber o que fazer com eles:
  • "Preco" - Como alguém reclama de "preço" em um evento gratuito? Será que querem que comecemos a cobrar em vez de fazer de graça?
  • "Publicacao do catalogo do que nos espera no evento com duas semanas de antecedencia" - nós já fazemos bem melhor do que isso: nós publicamos a agenda no evento no site um mês antes, junto com a abertura das inscrições. Assim, todo mundo que se inscreve sabe exatamente o que vai ter no evento: palestras, oficinas, atividades, etc.
  • "Incluindo opções vegetarianas no Churrascker... :-P" - já temos salada, berinjela, batata, arroz. farofa.
  • "mais palestras de securty" - a grande maioria das palestras já são de segurança.
  • "Ter o evento duas vezes por ano" - o evento já acontece 2x por ano!
  • "Girls free ;D" - os ingressos já são free para todo mundo! Será que a sugestão aqui é começar a cobrar do público masculino? Lamento, preferimos dar ingresso gratuito para todos.
  • "Tradução do site para português brasileiro" - What!?
  • "Descrição dos minicursos nas opções, pois apenas o nome deixa muito vago sobre o que será tratado, se será prático ou teórico." - nós publicamos as descrições no site (ok, nesta última edição nós demoramos alguns dias a mais para subir as descrições das palestras, oficinas e mini-treinamnetos)
  • "Banindo alguns palestrantes que faltam e chegam demasiadamente atrasado em suas respectivas palestras." - isso raramente aconteceu
  • "áreas do conhecimento" - What!?

Coisas que já fazemos:
  • "Com música"
  • "Estandes para arrecada curriculum e fazer entrevista no local." - infelizmente sempre tivemos pouca adesão de empresas e participantes nas atividades do "Hacker Carreer Fair"
  • "Providenciar água"
  • "Mantendo o planejamento sem atrasos." - raramente atrasamos a programação das palestras
  • "Deixando água gratuita disponível para os visitantes e banheiros." - normalmente disponibilizamos água no bar e os banheiros disponíveis são os próprios banheiros da 
  • "Oferecendo mais prêmios"
  • "Divulgando a programação com maior antecedência." - já divulgamos a grade quase completa pelo menos um mês antes do evento, coisa que muitos eventos brasileiros muito maiores do que o nosso não faz

novembro 28, 2016

[Cyber Cultura] Snowden, o filme

Nesse final de semana eu assisti o filme Snowden, do diretor Oliver Stone (veja aqui informações sobre ele no IMDB). O filme não é uma produção qualquer: ele reúne um diretor fodástico, com alguns atores bem conhecidos (incluindo o Nicholas Cage, fazendo um papel coadjuvante, de um especialista da NSA), para tocar em um assunto bem sensível: as revelações deitas pelo Edward Snowden em 2013 sobre os programas de espionagem em massa da NSA, e as motivações que o levaram a isso.



Eu achei o filme bem legal, principalmente para nós nerds, e para quem acompanhou toda a história dessas revelações. Obviamente, ele traduz tudo o que aconteceu para o público leigo, e só por isso já tem o grande mérito de levar para o grande público essa discussão sobre a espionagem governamental versus os direitos individuais e nossa privacidade online.

Mas, será que o filme conseguiu isso mesmo? Eu tenho as minhas dúvidas, principalmente porque aqui no Brasil o filme estreiou em 10 de novembro e, 2 semanas depois, ele está passando em pouquíssimos cinemas, na maioria das vezes em apenas um horário específico (na rede Cinemark, ele está passando apenas em 2 cinemas de São Paulo, um em Campinas e uma sala no Rio de Janeiro, com 2 horários apenas).



Ou seja: as grandes redes de cinema decidiram que o filme não atrai o público. Além disso, eu acredito que se houvesse demanda de píblico para assistí-lo, provavelmente ele ainda estaria passando em várias salas e horários.

No final do filme, eu ainda fiz um comentário sarcástico com os meus amigos: "ele fez isso tudo para, no final, elegerem o Trump como presidente!". Na verdade, o comentário é uma piada mesmo, pois acredito que certamente nenhum presidente norte-americano iria mudar o programa de espionagem deles. O próprio filme deixa claro que o programa nasceu no governo Bush e foi mantido, isto é, expandido, na administração Obama. Certamente nem a Hillary Clinton nem o Donald Trump tem o menor interesse em diminuir a capacidade de vigilância e espionagem do governo. Mais do que uma promessa de campanha, isso é questão de política de estado e estratégia de defesa global do governo americano.

Mas, de uma coisa eu garanto: quem assistiu o filme vai ficar muito tentado a tampar a webcam de seu computador!

novembro 25, 2016

[Cyber Cultura] Quando teremos um hackerspace no Rio de Janeiro?

Recentemente eu recebi a notícia de um grupo que está formando o com objetivo de ser um hackerspace no Rio de Janeiro.

É o pessoal do Área 21 Hacker Clube (Facebook), que está se juntando para criar um hackerspace voltado para as áreas de Segurança, Software Livre e Programação. Eles iniciaram suas atividades em Outubro através da Roadsec Rio e e, nas palavras de um dos organizadores, eles estão agora procurando um espaço físico em uma universidade para se consolidar. Eles estiveram presentes no Roadsec São Paulo, fizeram uma oficina improvisada na BSidesSP e aproveitaram a visita para conhecer o Garoa.

O Rio tem uma quantidade enorme de profissionais e estudantes de tecnologia, em áreas diversas como engenharia, eletrônica, computação, segurança da informação, etc. Possui também várias comunidades de Segurança, Arduino e, principalmente, Software Livre. Inclusive, foi lá que eu participei de meu primeiro Coding Dojo, uma atividade de programação coletiva bem legal e muito usada para ensinar ou aperfeiçoar nossos conhecimentos de programação. O Rio também possui várias universidades excelentes. Ou seja, a cidade tem praticamente todos os ingredientes para formar um hackerspace grande, ativo.

Mas, antes do Área21, já tivemos a iniciativa do Kernel 40° (que já fechou), do Rio Hacker Space e do Carioca Hackerspace. Além deles, ainda existe o OHMS (Our Home Makerspace) (site em construção aqui) e o Weekend Thinkers, projetos com jeito de Makerspace realizados principalmente por uma única pessoa, o Dado Sutter, um cara sensacional, por sinal.

Com tantos ingredientes, com tantas iniciativas, com tantas tentativas, já passou da hora de termos um hackerspace no Rio de Janeiro. Mas, enfim, quando conseguiremos isso?

Na minha humilde opinião, infelizmente a resposta é nunca.
:(

Me parece que falta o principal ingrediente dessa mistura: o senso de comunidade.

Digo isso porque eu conheço vários grupos no Rio de Janeiro que poderiam se juntar e fazer um hackerspace fodástico, agregando várias pessoas super capacitadas, e várias comunidades muito ativas. Também conheço várias das pessoas envolvidas nas iniciativas acima. Mas o problema é que, além dessas comunidades serem relativamente pequenas para manter o seu próprio espaço individual, cada uma delas insiste em querer montar "o seu próprio hackerspace" e esperam que as demais comunidades venham se juntar ao espaço delas.

Ou seja, infelizmente sobra individualismo e ego, e falta o verdadeiro espírito de comunidade, que é o que faz um verdadeiro hackerspace acontecer.

Um hackerspace é um espaço comunitário e, como tal, não tem dono. Peguemos o exemplo do Garoa: foram 12 membros fundadores, os principais responsáveis pela criação do espaço. Destes, 7 ainda continuam participando do Garoa, mas hoje temos mais de 40 associados ativos (participantes que contribuem financeitramente com a manutenção do espaço). E, nestes mais de 5 anos de existência, pelo menos 74 pessoas já foram associados, frequentando o espaço, organizando atividades e hackeando. Isso sem falar das centenas de pessoas que frequentam esporadicamente o nosso espaço.

novembro 23, 2016

[Cyber Cultura] Como não cair nos boatos da Internet

Eu vi no Facebook um post com um infogáfico bem simples, e bem legal, resumindo dicas para identificar - e não compartilhar - boatos distribuídos nas redes sociais.


Existem diversos sites que publicam notícias falsas ou distorcidas, para enganar o público ou influenciar a opinião de quem o lê. Mas, por outro lado, também existem sites que investigam e desmentem os boatos na medida que surgem, como é o caso do boatos.org, por exemplo.

Há pouco tempo atrás, eu escrevi um post com dicas para identificar os boatos na Internet, que complementa o infográfico acima.

novembro 22, 2016

[Segurança] Os ataques DDoS estão indo longe demais!!!

Não basta os ataques de DDoS terem passado a marca assustadora de 1 Tbps, e um único ataque a um provedor DNS ter impactado o acesso a diversos sites do nosso dia-a-dia.

Agora, parece que a nova moda vai ser tirar países inteiros do ar!

No início do mês surgiram notícias de que um ataque DDoS usando novamente a botnet Mirai tirou do ar a Liberia, um país minúsculo na quase esquecida Africa. O ataque durou duas semanas e, na verdade, afetou o provedor Lonestar MTN e causou impacto em 60% do tráfego Internet do país.


OK, por um lado não é muito difícil atacar um país Africano, uma vez que a infraestrutura de conectividade de todo o continente é bem capenga pois muitos países tem problemas sérios de infra-estrutura causados pela falta de investimento ou destruição por frequentes guerras civis. Além disso, todo o continente é servido por poucos cabos submarinos. A Liberia, por exemplo, é atendida por apenas um babo submarino, o "African Coast to Europe (ACE)", que sai da França e vai até a Africa do Sul, podendo chegar a uma capacidade de até 5,12 Tbps.

Mas, com a capacidade dos atacantes subindo rapidmente, torna-se cada vez mais fácil direcionar ataques a empresas de forma a causar grandes impactos aos usuários.

novembro 21, 2016

[Cyber Cultura] Enigma no crachá da BSidesSP

Nesta última BSidesSP, a Dani do Garoa Hacker Clube criou alguns desafios para os participantes, valendo prêmio. Em um deles, o pessoal teria que decifrar a mensagem secreta que estava codificada no crachá do evento.


Pois bem, o texto dentro do trevo de quatro folhas é um código escrito em Brainfuck, uma linguagem de programação louca e bem zoeira, que foi criada justamente para ser escrita em um código praticamente incompreensível. O texto era o seguinte:



Utilizando um interpretador online, é possível descobrir a mensagem resultante da execução desse código:
"Privacy is not something that I'm merely entitled to, it's an absolute prerequisite"

[Cyber Cultura] 5 anos de BSidesSP

Neste final de semana, 19 e 20/11, tivemos a 13a edição da Security BSides São Paulo. Somada com a BSides Latam que organizamos em junho deste ano, já são 14 BSides em 5 anos, desde 15 de maio de 2011.

Ainda não fechamos a contagem de presentes, mas facilmente passamos de 500 participantes, que aproveitaram dos mini-treinamentos no sábado e das diversas atividades no Domingo. Nosso objetivo era fazer um evento com 400 pessoas, mas a comunidade não deixou. Mesmo com as inscrições enceradas mais de uma semana antes do evento, os pedidos de participação e as listas de convidados e caravanas não paravam de chegar. Tentamos fazer um evento pequeno, mas a comunidade queria mais!


Esta edição, assim como as demais, teve uma grande energia positiva, marcante, com praticamente todas as atividades lotadas e muita troca de conhecimento até o último momento. Tivemos alguns palestrantes que entraram na grade no último minuto e, mesmo no susto, deram excelentes palestras. O pessoal do Área 21, um hackerspace em formação no Rio, também estava presente e deu uma oficina surpresa na biblioteca, dividindo espaço com robôs e crianças. Tivemos uma feijoada feita na véspera no Garoa (com direito a acabar o gás no meio da madrugada), que ficou excelente, e um dos participantes que foi levado ao Corpo de Bombeiros para tirar a algema da oficina de Lockpicking.



O evento foi sensacional, e isso só foi possível graças a energia do público presente, as excelentes palestras, aos patrocinadores que acreditam na qualidade do evento (Trend Micro, e-SaferNewSpace e Conviso, além da Cipher, que bancou o café, e a Trend Micro, que novamente patrocinou também o bar do evento) e ao apoio do Garoa e da PUC-SP. Também marcaram presença a Novatec e o pessoal da Robocore, com as suas lojinhas. Sem eles, nada disso seria possível.

O evento acontece porque cinco amigos (eu, Bordini, Marcelo, Ponai e Ranieri) tem a ajuda de mais um punhadinho de voluntários, nossos "Hands of King" (Fábio, Yumi, Mônica, Subnet, Lincoln, Damião, Logan, Joel, Priscila e Victor). Além dos voluntários que nos ajudaram no dia do evento (Ygor, Slayer, Erik e mais alguns outros). Obrigado também a equipe do Bar (Brandão, Maira, Vita e Diego) e aos dois Nelsons que tiveram a louca idéia de fazer uma feijoada para a galera! Fizeram simplesmente porque acharam que ia ser divertido e que o pessoal iria gostar. E todo mundo gostou!

Uma cena, ocorrida durante o campeonato de robótica, descreve o espírito da BSidesSP: como um dos robôs seguidores de linha estava com problemas, os demais falaram para suspender as provas e dar tempo para o colega consertar o seu robozinho.

No ano que vem teremos mais uma BSidesSP na véspera do You Sh0t the Sheriff, nos dias 20 e 21 de Maio. E, em Setembro de 2017 o pessoal da BSides Colombia vai organizar uma BSides Latam em Medelín.


novembro 18, 2016

[Cyber Cultura] Internet of Toys

Recentemente eu aprendi uma nova versão para a sigla "IoT":


Internet of Toys


A Internet dos "brinquedos" surge a medida em que chegam ao mercado brinquedos eróticos que podem ser controlados a distância por controle remoto ou por um app. Imagina se conectar isso a Internet então... Alguém vai lançar (se é que já não lançou) um acessório desses para casais que vivem a distância ;)



Imagine, etnão, regular a intensidade do seu brinquedo intímo por um app no smartphone? Se nós pudermos fazer isso, os "piratas da informática" também podem tentar conseguir acesso remoto para implantar malware e realizar ataques a partir do seu brinquedo. Ou controlar a intensidade de vibração dele sem que você saiba!

Já pensou o que vem pela frente? Teremos uma "ciber doença venérea"!? E essas novas botnets baseadas em dispositivos IoT vão realmente "botar para f*". ;)

novembro 15, 2016

[Segurança] Revenge Hack

Que o nosso mercado de segurança é hostil, isso não deve ser novidade para ninguém!

As vezes essa hostilidade é velada, disfarçada como uma brincadeira ou uma trollagem. É o caso, por exemplo, de vários eventos que fazem um "Wall of Sheep" para expor as senhas capturadas em aberto na sua rede local. Na H2HC, criou-se a cultura do "leak do banheiro": de vez em quando você vai no benheiro masculino e encontra senhas ou dados pessoais de alguém em um papel, colocado no espelho ou na pia.


Mas em outras ocasiões vemos esse tipo de hostilidade atingir níveis mais sérios, com brigas e discussões em listas públicas (discussões que vão muito além de um simples "flame war"), até mesmo campanhas de ciber ataques para invadir ou humilhar colegas de profissão ou empresas da area. São exemplos, neste último caso, a "operação AntiSec" que aconteceu principalmente nos Estados Unidos no início da década, comandada pelo grupo Lulzsec. Ou, no Brasil, o Project Mayhem, uma série de ataques a profissionais e empresas brasileiras, que aconteceu na segunda metade da década de 2000.


Às vezes, essas campanhas são direcionadas a pessoas que uma parte da comunidade de segurança considera serem charlatões ou mau profissionais, ou que não mereça fazer parte da comunidade. Um exemplo recente, neste caso, foram algumas ações que aconteceram contra o Luís Vieira e o Gustavo Lima (Coruja de TI).

Mas, recentemente, vimos um caso que, na minha opinião, foge desses comportamentos "padrão", e que eu prefiro batizar de "Revenge Hack". Tentando resumir a história, já comentada pelo Carlos Cabral: durante a última H2HC, um colega nosso que estava responsável pelo bar do evento tratou mal vários participantes do evento que iam se servir no bar (comportamento em parte causado por conta do jeito bonachão-mal-interpretado dele, e em parte por outros agravantes que não vem ao caso). O fato é que várias pessoas se sentiram incomodadas com o desrespeito que sofreram e um pequeno grupo decidiu se vingar: conseguiram ter acesso a várias contas pessoais do responsável pelo bar e "hackearam" o seu perfil no Linkedin, seu blog, apagaram seu iPhone, entre outras coisas. Pior ainda: mandaram mensagem para o chefe dele, a partir do perfil dele no Linkedin. Nesse momento foi cruzada a linha entre a trollagem e a vingança.



Já ouvi muitos colegas falando muita coisa sobre esse incidente. Na minha opinião pessoal, os dois lados agiram errado, de forma vergonhosa: quem ofendeu e quem vingou a ofensa, pois acredito que um erro não justifica outro erro. E, no final do dia, o maior perdedor é justamente o senso de comunidade. Novamente testemunhamos atitudes desnecessariamente desrespeitosas.

Por um lado, eu acredito que este incidente recente de vingança na H2HC foi um caso isolado em nossa comunidade, um ato que não se encaixa nos comportamentos tradicionais de hostilidade latente do mercado. Não se encaixa, mas foi consequência da comunidade de segurança que todos nós criamos em todos esses anos.

Em todos estes anos, nós construímos e toleramos uma comunidade baseada principamente na trollagem, mais do que no compartilhamento de conhecimento, aonde é mais fácil criticar alguém que se destaque do que contribuir com a comunidade. Como se não bastasse trollar os colegas ao minimo deslize, os ataques desrespeitosos com o fim de humilhar podem atingir qualquer pessoa que se exponha um pouco mais na comunidade, fazendo ou não por merecer uma resposta de ódio.

Para quem não faz parte desse pequeno grupo que centraliza as conversas e as atividades existentes na área de segurança, estes incidentes reforçam a ideia de "panelinha", uma visão muito comum para quem está lado de fora ou mais a margem dos acontecimentos. Eu acredito, inclusive, que tais ações acabam intimidando e afastando pessoas interessadas em contribuir com a área, principalmente quem está começando na área. Arrisco até a dizer que esse tipo de comportamento ajuda a afastar potenciais palestrantes - não é a tôa que a maioria dos eventos de SI contam sempre com a mesma meia dúzia de palestrantes de sempre,e  temos dificuldade em renovar isso.

Devemos aproveitar e pensar se este é realmente o modelo de comunidade que queremos para nós. Viver em comunidade significa saber respeitar o próximo e as diferenças entre todos, e estar disposto a acolher e ajudar a todos. Em um ambiente saudável, tanto os mais experientes quanto os menos experientes podem se beneficiar de uma interação saudável em comunidade.

Nota (incluida em 12/12): O DMR escreveu um texto interessante, com um contraponto das opiniões minhas e do Cabral: "0 ch0r0 3h l1vr3". Vale a leitura e reflexão.

novembro 13, 2016

[Cyber Cultura] Os significados de IoT

Não basta a Internet das Coisas (IoT, "Internet of Things") ser a tecnologia da modinha. Aos poucos, vão surgindo algumas interpretações irônicas sobre o que significa IoT. Eu já ouvi algumas:
Além disso, já surgiram termos como...
OBS: Post atualizado em 11/03/18.

novembro 11, 2016

[Segurança] Como proteger o seu Smart Device

O pessoal do site The Hacker News publicou algumas dicas bem simples de cuidados mínimos de segurança com os seus dispositivos IoT. Vale a pena dar uma olhada:
  1. Altere as senhas padrão de seus dispositivos: Se você tiver qualquer dispositivo conectado à Internet em casa ou no trabalho, altere as senhas padrão qu vem de fábrica;
  2. Desativar o recurso Universal Plug-and-Play (UPnP): Verifique se há recursos de "Universal Plug and Play" em seu equipamento. Muitas vezes, o UPnP vem habilitado por padrão em dispositivos IoT;
  3. Revise as restrições de Gerenciamento Remoto: Em particular, desabilite o acesso remoto através de Telnet e por uma rede pública (permita o acesso administrativo apenas pela rede local). Isso é particularmente crítico nas configurações do roteador com a Internet e roteador WiFi;
  4. Verifique as atualizações de software e os patches: Mantenha sempre os seus dispositivos IoT e roteadores atualizados com o firmware mais recente do fornecedor;
  5. Aproveite e verifique se o dispositivo IoT está vulnerável ao malware Mirai. Já existe um site aonde é possível fazer essa verificação online, que usa dados do Shodan: http://iotscanner.bullguard.com



novembro 09, 2016

[Segurança] O Marco Civil e a Guarda de Logs - II

Dando continuidade ao meu post anterior sobre o impacto do Marco Civil nas práticas de guarda de logs das empresas, vale a pena destacar as novidades trazidas pelo Decreto nº 8.771, de 11 de Maio de 2016, que regulamentou as questões pendentes do Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014).

Para quem trabalha com Segurança da Informação, a guarda de logs foi um dos pontos centrais do Marco Civil, uma vez que ele, finalmente, trouxe algum tipo de regulamentação formal para esse assunto. Até então, as poucas práticas utilizadas pela indústria eram baseadas em o que cada empresa ou cada setor considerava útil. e havia muita polêmica sobre a necessidade de guarda de logs verus privacidade dos usuários e versus o custo que seria imposto as empresas para manter estes registros.

Assim, em 2014 o Marco Civil trouxe diversos artigos sobre a guarda de logs para provedores de acesso a Internet, provedores de conteúdo e de aplicações online. Já o Decreto nº 8.771 trouxe  algumas regras mais específicas, e somando as duas coisas, resumidamente ficamos com o seguinte cenário:
  • os provedores de acesso devem manter seus logs por apenas 1 ano;
    • não é permitda a terceirização da guarda dos logs;
    • não podem guardar logs dos acessos que seus clientes fazem a sites e aplicações; (uu seja, devem registrar os dados cadastrais de quem utilizou um determinado endereço IP em um determinado horário, mas não pode registrar que tipo de acesso este usuário fez)
  • os provedores de aplicação (sites, portais web) devem manter seus logs por 6 meses;
    • a não guarda dos registros de acesso a aplicações não implica em responsabilidade sobre danos por terceiros.
  • se o provedor não coletar dados cadastrais, tudo bem !!! quando questionado, ele deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados!!! OMG!!!
  • a disponibilização dos registros de log deverá ser precedida de autorização judicial;
    • os provedores somente podem fornecer os logs de acesso a Justiça mediante consentimento formal do usuário final;
  • as regras de guarda de logs se aplicam a qualquer tipo de acesso em que pelo menos uma das pontas da conexão (usuário ou site) ou uma ação (algum tipo de acesso) ocorra em território nacional. Em caso de empresa sediada no exterior, também se aplica se o serviço for ofertado ao público brasileiro ou se tiver operação ou filial no Brasil.
  • Sobre os padrões de segurança para a guarda, armazenamento e tratamento de logs:
    • deve haver controle estrito de acesso aos dados, com definição de responsabilidades e de privilégios de acesso, com mecanismos de autenticação de acesso (como, por exemplo, sistemas de autenticação dupla) e log dos acessos a estes registros. Também prevê o uso de soluções para gestão dos registros que garantam a inviolabilidade dos dados e como criptografia;
    • Os provedores de conexão e aplicações devem reter a menor quantidade possível de logs (dados pessoais, comunicações privadas e registros de conexão e acesso) e deve excluí-los tão logo atingida a finalidade de seu uso (caraca, o que é isso!?) ou assim que encerrado o prazo determinado por obrigação legal (6 meses ou um ano).
Segue abaixo uma transcrição parcial do Decreto nº 8.771/2016, contendo apenas os artigos que são relacionados a guarda de logs. Os destaques em negrito foram feitos para os artigos que considerei mais relavantes.

CAPÍTULO III
DA PROTEÇÃO AOS REGISTROS, AOS DADOS PESSOAIS E ÀS COMUNICAÇÕES PRIVADAS

Seção I
Da requisição de dados cadastrais

Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.
§ 1º O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados.
§ 2º São considerados dados cadastrais:
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
Art. 12. A autoridade máxima de cada órgão da administração pública federal publicará anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo:
I - o número de pedidos realizados;
II - a listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;
III - o número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações; e
IV - o número de usuários afetados por tais solicitações.

Seção II
Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas

Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e
IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

§ 1º Cabe ao CGIbr promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e o porte dos provedores de conexão e de aplicação.
§ 2º Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:
I - tão logo atingida a finalidade de seu uso; ou
II - se encerrado o prazo determinado por obrigação legal.

Art. 14. Para os fins do disposto neste Decreto, considera-se:
I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e
II - tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Art. 15. Os dados de que trata o art. 11 da Lei nº 12.965, de 2014, deverão ser mantidos em formato interoperável e estruturado, para facilitar o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 13 deste Decreto.
Art. 16. As informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet, respeitado o direito de confidencialidade quanto aos segredos empresariais.
Assim, juntando o Marco Civil com o decreto da sua regulamentação, temos um conjunto de leis que define alguns padrões mandatórios para a guarda de logs por empresas. Em minha opinião, alguns artigos tem caráter muito mais político de proteção exarcebada da privacidade do que utilizade técnica, como os casos que excluem os provedores de obrigação de guarda de logs ou o período de tempo muito curto em que esta guarda é obrigatória. Mas a principal aberração mesmo é obrigar a exclusão desses registros.

novembro 08, 2016

[Segurança] 11 de Novembro temos o Dia Internacional da Segurança em Informática

No dia 11 de Novembro a RNP vai realizar o Dia Internacional da Segurança em Informática (DISI 2016), evento de excelente qualidade com objetivo de promover a conscientização de usuários finais.

O tema descolhido para o evento nesse ano pega carona na febre de IoT, um problema bem atual e que em causado grandes dores de cabeça mundo afora: "Internet das Coisas e Segurança podem realmente conviver?".



Serão realizadas várias palestras bem legais, discutindo o estágio atual dos problemas e desafios de segurança associados a proliferação de dispositivos conectados. Eu vou aproveitar a oportunidade para divulgar o novo guia de segurança para IoT da Cloud Security Alliance (CSA).

O evento será em Brasília (DF), mas as palestras serão transmitidas ao vivo, a partir das 09 da manhã, com streaming em Português, Espanhol e Inglês. Após o evento, os vídeos gravados serão disponibilizados neste site.

novembro 07, 2016

[Segurança] Querem punir o Defacement!

Está tramitando na Câmara dos Deputados o Projeto de Lei (PL) 3357/2015 (veja o texto aqui)de autoria do deputado Vicentinho Júnior (PR-TO), específico para punir crimes de defacement.

Este projeto acrescenta um parágrado ao artigo 154-A do Código Penal, para incluir o tipo penal de "invasão de dispositivo informático, sem a devida autorização, modificando conteúdo de sítio da internet". Com isso, o defacement poderá ser punido com detenção de 3 meses a 1 ano, e multa.

O site Tecnoblog explica que, embora a lei Carolina Dieckmann (12.737/2012) já proiba “invadir sistemas informáticos”, o artigo 154-A do Código Penal restringe o crime apenas aos casos em que houver obtenção de “vantagem ilícita”, o que normalmente não se aplica a um defacement. A propósito, me parece que essa explicação foi copiada de duas notícias de abril e de outubro deste ano, publicada no site da Câmara dos Deputados.

novembro 04, 2016

[Cyber Cultura] Fog Computing

Em um artigo da Business Insider, vi recentemente o conceito de "Fog Computing", também chamado de "Edge Computing", que é o termo criado para designar a "nuvem de dispositivos" que faz a conexão entre o mundo IoT e o mundo de Cloud Computing. Imagine a imagem de uma nuvem, a "cloud computing", cercada por uma névoa que são os milhares de dispositivos que interagem com as aplicações hospedadas na nuvem.

Os dados são capturados pelos dispositivos localizados na "névoa" e podem, inclusive, sofrer algum tipo de pré-processamento. Nesse modelo, os sensores e outros dispositivos conectados a rede local ou a Internet enviam seus dados para os dispositivos próximos que estejam na "névoa". Estes dispositivos podem atuar como um simples gateway de comunicação entre os equipamentos IoT e a nuvem, ou equipamentos coletores que pré-processam os dados.




A Business Insider também prevê que em 2020 existirão 34 bilhões de dispositivos conectados a Internet - dos quais, 10 bilhões serão equipamentos tradicionais, como computadores, smartphones e tablets.

Ou seja, com a proliferaçao do uso de dispositivos IoT, cresce a demanda de armazenamento e processamento da gigantesca massa de dados gerada por eles. Todos esses dados serão processados e armazenados por servidores na Nuvem, e assim, surge esse grande "névoa" ao redor da "nuvem" interligando centenas ou milhares de dispositivos conectados.

Que viagem, né? Mas eu achei bem legal :)

novembro 03, 2016

[Cyber Cultura] 20 anos de Internet comercial no Brasil

Há 20 anos atrás, nascia a Internet comercial no Brasil.

O ano era 1996, ano do surgimento do Brasil Online (BOL) e do Universo Online (UOL), inaugurando a Internet comercial no Brasil oferecendo acesso discado e dois grandes portais de conteúdo.

O BOL e o UOL surgiram praticamente ao mesmo tempo, por iniciativas independentes do Grupo Abril e do Grupo Folha, respectivamente. O BOL foi lançado no dia 23 de abril de 1996. Poucos dias depois, no dia 28 de abril, o UOL também entrou no ar, Os dois portais iniciaram como provedores de acesso e de conteúdo: além de captarem assinantes para o serviço de acesso discado, cada um deles possuia um site que funcionava como portal de conteúdo, fornecendo notícias, reportagens e serviços como sala de bate-papo (um serviço oferecido primeiro pelo UOL, e que atraía grande quantidade de usuários).

 


O BOL tinha, ao seu favor, a possibilidade de fornecer online os conteúdos das revistas do Grupo Abril. Eles estreiaram com a Info Exame e a Superinteressante, mas o conteúdo de várias outras revistas já estava sendo portado para a Internet - inclusive a Playboy, que demorou um tempinho para ir ao ar. O UOL, por sua vez, tinha o conteúdo jornalístico do Grupo Folha e de algumas publicações com as quais fizeram parceria. O BOL ficava em uma sala no prédio da Editora Abril na Marginal Tietê e o UOL ficava no prédio do Grupo Folha no centro de São Paulo, na Barão de Limeira, aonde permanece até hoje.


Era uma época em que o Netscape era o principal navegador da Internet. Ainda não existiam as redes sociais nem os comunidadores, apenas o e-mail. O e-mail, por sinal, já começava o seu reinado como principal forma de comunicação online. Acesso Internet só era possível através de modem e linha discada, por isso os sites eram otimizados para serem pequenos em tamanho e, asism, serem carregados rapidamente.

No mesmo ano, cerca de 6 meses depois do lançamento do Universo Online e do Brasil Online, os dois se fundiram em nova empresa, consolidando ambas operações como o Universo Online S.A. Em outubro de 1999 o BOL foi relançado como um serviço de webmail gratuito, para concorrer ao IG e demais serviços gratuitos que começavam a surgir. Além dos serviços grátis, o BOL também é utilizado para oferecer alguns produtos de baixo custo.

Nos anos iniciais da Internet comercial no Brasil várias empresas surgiram, fecharam ou foram consolidadas para formar novas empresas. O SBT, por exemplo, lançou também seu provedor, batizado de SOL - de SBT Online - que não durou muito tmepo. Outros serviços populares na época eram o buscador Cadê?, o serviço de e-mail gratuito Zipmail, e dezenas de provedores de acesso. E nós não passamos ilesos pelo estouro da "bolha da Internet" no início do ano 2000.

novembro 01, 2016

[Segurança] Tiraram a Internet do ar!!!

Não deu tempo nem de respirar depois que um ataque distribuído de negação de serviço (DDoS) contra um provedor francês atingiu a gritante marca de 1 Tbps, há menos de um mês atrás.


Na sexta-feira 21/10, outro ataque DDoS causou impacto para usuários Internet em todo o mundo. O alvo, desta vez, foi a empresa Dyn, que provê serviços de nome de domínio (DNS) e gestão desse tipo de serviço. Além dela ficar fora do ar, os seus clientes foram afetados por tabela, assim como uma parte grande da costa leste dos EUA. Por isso, diversos sites bem conhecidos de todos nós ficaram fora do ar ou com acesso lento: Amazon, Netflix, Twitter, SoundCloud, Spotify, Reddit, Github, Zoho CRM, PayPal, Airbnb, Wired.com, Pinterest, etc.



Como disse o site Motherboard, "quando um provedor de DNS é atacado, (...) as pessoas não conseguem acessar os websites".

Segundo a empresa, ela sofreu três ondas de ataques DDoS no decorrer do dia. De acordo com dados reportados no The Guardian, o ataque foi realizado a partir de 100.000 dispositivos e atingiu um nível recorde (até agora) de 1.2 Tbps de tráfego.



O grupo hacktivista New World Hackers reivindicou a autoria do ataque DDoS e disse que foi apenas um "teste de capacidade", sem nenhum motivo político ou ideológico por trás. Enquanto isos, o grupo anonymous comemorava o ataque.



Mais uma vez, o ataque DDoS está relacionado a uma botnet formada por dispositivos IoT invadidos por um malware chamado Mirai, cujo código fonte vazou recentemente e que é um malware direcionado aos dispositivos IoT. Estima-se que existam cerca de 1,2 milhões de dispositivos infectados por este malware, e que, portanto, a qualquer momento podem ser acionados para realizar um novo ataque DDoS.



Vale a pena ler: