fevereiro 28, 2017

[Segurança] O que passou pela rede da RSA Conference

O pessoal que gerenciou o SOC da RSA Conference, uma atividade conjunta da RSA e da CISCO, lançou alguns posts em blog e um vídeo curtinho contando como foi esta experiência. O tráfego de rede, durante o evento, estava na faixa de 500 a 700Mbps.


Durante o evento, eles tiveram oportunidade de ver alguns tipos de tráfico interessantes passando pela rede do evento, tais como:
  • Senhas passando em aberto;
  • Computadores dos participantes tentando se conectar com servidores ou equipamentos de suas empresas originais (o chamado "calling home"), mesmo estando em uma rede pública (como mensagens SNMP e fazendo broadcast de informações sobre os próprios computadores);
  • Cerca de 30% dos e-mails que passaram pela rede estavam em aberto;
  • Havia tráfego de Tor2Web;
  • Viram tráfego de aplicativos mobile, aonde a autenticação estava criptografada, mas o tráfego pós-autenticação estava em aberto. Isso aconteceu, por exemplo, com pessoas conectando em webcams em suas casas, imagens do Tinder, etc;
  • A propósito, eles viram muito acesso a aplicativos de relacionamento durante o evento;
  • Do ponto de vista de malware, eles viram várias coisas vindas da China, Rússia e Koréia do Norte, tráfego de máquinas infectadas tentando falar com mundo externo, acesso a servidores de Comando e Controle, etc.
Não custa lembrar que qualquer rede pública é um ambiente hostil para se conectar, e por isso, merece muito cuidado. No caso de um evento de segurança, estamos falando em cuidado redobrado, pois o público do evento é um alvo muito mais atrativo e visado.

Para saber um pouquinho mais sobre essa experiência no SOC da RSA Conference 2017, dê uma olhada nesses artigos:


fevereiro 27, 2017

[Segurança] Entrevista no Papo Binário

Foi ao ar uma entrevista que eu dei para o Fernando Mercês no Papo Binário, o seu canal no YouTube. A entrevista foi gravada durante a H2HC do ano passado, em Outubro, e o papo fluiu naturalmente. Nós acabamos conversando principalmente sobre carreira na área de segurança, aonde eu comentei algumas dicas que eu considero importante para quem está começando: para começar, foca na área que você conhece ou gosta e aplica os conceitos de segurança para o que você já conhece; participe de projetos Open Source, vá sempre em eventos e estude inglês.


Alguns amigos tiveram a impressão de que nós dois já estávamos bêbados. O fato curioso por trás do vídeo é que o Mercês se empolgou e gravou muitas entrevistas bem legais naquele dia, então quando nós conversamos ele já estava gravando - e bebendo - por várias horas. Eu mesmo assisti duas entrevistas que foram gravadas antes da minha (não vou dizer com quem para não fazer spoiler). Já era tarde da noite, o evento já tinha acabado e tinha uma galera nos esperando para um happy hour :)

Para quem não conhece, o Papo Binário, esse é um canal com vídeos muito bons sobre TI e Segurança, com entrevistas com diversos profissionais da área e diversos vídeos curtos sobre vários assuntos específicos. O trabalho do Mercês é muito bom e merece nossa audiência!

fevereiro 24, 2017

[Cyber Cultura] Você já colaborou com a Cryptorave 2017?

A Cryptorave é um evento sensacional, que fala de segurança e criptografia com um grande foco em discussões políticas, liberdade na rede e privacidade. A edição deste ano, a quarta edição da Cryptorave, irá acontecer nos dias 5 e 6 de Maio. Serão 24 horas initerruptas de atividades, incluindo palestras, debates, oficinas de criptografia, rodas de conversa, install fest, jogo de cartas e festa de verdade durante a madrugada.


A Cryptorave é um evento gratuito, 100% feito com ajuda voluntária e, o mais legal de tudo: financiado através de apoio coletivo (através do Catarse). A propósito, neste ano a meta de financiamento coletivo do evento é de R$ 60.000,00.

Além de apoiar com dinheiro, todos nós podemos ajudar a CryptoRave de várias formas:

fevereiro 22, 2017

[Segurança] A RSA Conference

Na semana passada tivemos mais uma edição da RSA Conference (ou "RSAC", para os íntimos), provavelmente o maior e mais importante evento do mercado de segurança em todo o mundo.


O evento surgiu em 1991, como um fórum para criptógrafos - hoje limitado a uma das diversas trilhas do evento e ao painel de criptógrafos que acontece após a cerimônia de abertura. Apesar de levar o nome da empresa RSA, este é um evento em que participa toda a indústria de segurança, que neste ano recebeu um público estimado de 40 mil pessoas, que lotaram as palestras e as duas gigantescas áreas de exposições. A RSAC ocorre principalmente no Moscone Center, um gigantesco centro de exposições na área central de São Francisco. Neste ano, além de tomar todas as três áreas disponíveis no Moscone Center, o evento também ocupou um espaço de eventos em um hotel próximo.




Haviam tantas pessoas no evento que a festa oficial, realizada na 5a feira a noite, aconteceu simultaneamente em 4 lugares diferentes!


A RSA Conference tem um foco muito maior em marketing e negócios do que foco técnico (embora existam centenas de palestras técnicas na grade), e ela é tão importante para a indústria de segurança que a maioria dos grandes fabricantes esperam a RSAC para lançar suas novidades. Lá, no centro de exposições, também é possível conhecer dezenas de pequenas empresas e startups, alguns apresentando suas inovações na área. Há tanta coisa para fazer e visitar durante o evento que muitas pessoas preferem não comprar o passe completo (que custa cerca de 2 mil dólares) e preferem o "Expo Pass", que pode ser obtido gratuitamente de alguns patrocinadores e dá direito a visitar "apenas" o piso de exposição e assistir alguns dos keynote speakers - mas não se engane, pois "só isso" pode te manter suficientemente ocupado por 2 ou 3 dias.

Neste ano também estava lá a vista de todos o SOC montado para o evento, um esforço em conjunto da RSA com a CISCO. Haviam pequenos "tours" a cada meia hora, aonde o pessoal parava em frente ao "aquário" do SOC e um dos empregados explicava o seu funcionamento. Um fato curioso é que, por decisão dos advogados das empresas envolvidas, todos os discos contendo os dados de rede capturados pelo SOC tiveram que ser destruídos no último dia do evento.


Algumas palestras da RSAC estão disponíveis no canal do evento no YouTube, assim como entrevistas e alguns vídeos interessantes.

Quer saber quais foram os temas mais presentes na RSA Conference deste ano? Dê uma olhada neste post. Também recomendo uma leitura neste artigo com os 11 principais ensinamentos da RSA Conference.

Nota: Fiz uma pequena atualização em 23/2 para incluir o link para um pequeno vídeo sobre o tour no SOC da RSAC. Veja o vídeo abaixo:


fevereiro 21, 2017

[Segurança] Explicando o algoritmo RSA

Eu fui dar uma olhada no canal do Youtube da RSA Conference e, para a minha surpresa, o primeiro vídeo que eu vi foi um vídeo bem curtinho e simpático, de 2011, aonde os criadores do algoritmo RSA explicam o seu funcionamento:


O vídeo não é nenhum pouco educativo: Rivest, Shamir e Adleman simplesmente se revezam citando como o algoritmo RSA funciona (escolhe dois números primos, calcula a multiplicação, blá bláblá, Wiskas Sachet, etc), mas vale muito a pena assití-lo pela curiosidade e ter o prazer de ver os 3 criadores do algoritmo.

O algoritmo RSA foi o primeiro algoritmo de criptografia assimétrica, aquele aonde uma mensagem é cifrado por uma chave criptográfica e decifrado por outra. Ele foi quem permitiu utilizarmos criptografia como usamos hoje.

fevereiro 20, 2017

[Carreira] O ego na TI

Neste ano, o nosso amigo Youtuber Fernando Mercês começou a gravar vídeos curtos em seu canal Papo Binário, falando sobre assuntos objetivos relacionados a carreira e tecnologia. Além das entrevistas que ele continua fazendo desde o ano passado, o Mercês começou a gravar estes vídeos curtos, de 5 a 10 minutos cada - que normalmebte valem ser vistos.

Em um destes vídeos, ele fala sobre "O ego na TI", um assunto que pode ser tratado por diversos ângulos diferentes, principalmente pela eterna briga de egos na área de TI e, especialmente, na área de segurança. Na verdade, poderíamos gastar dezenas de posts em blogs e videologs só para tratar do ego e da briga de egos na área de segurança. Como ele mesmo disse, o Ego nos faz criar rótulos sobre nós e os outros que, no final das contas, não nos permite aprender com quem sabe mais nem ensinar quem sabe menos.


Eu diria que, em seu vídeo, o Mercês deu um enfoque mais em cada um desapegar de seu ego pessoal e, inclusive, do próprio material que produz. A frase que ele disse no final é linda: "Se você tem alguma idéia fantástica e alguém roubou, você tem outra - porque você cria idéias, não rouba".

Eu mesmo já trabalhei em uma empresa em que publicávamos diversos relatórios e pesquisas constantemente, algumas tão extensas que facilmente davam de 10 a 0 em muito TCC por aí (e poderiam valer uma tese de mestrado), mas estes materiais em sua grande maioria eram publicados sem referência ao autor. Ou seja, passávamos mais de um mês para escrever um paper e não recebíamos crédito por isso. Outro exemplo do meu lado do mundinho: este blog, desde a sua origem, tem licença livre (CC-BY-NC-SA), o que significa que qualquer pessoa pode reproduzir qualquer abobrinha que eu escrevo aqui.

Mas acredito que nenhuma experiência é tão boa para se desapegar do Ego do que se envolver verdadeiramente em comunidades, em grupos aonde você compartilha espaço de igual para igual com pessoas de todos os níveis de conhecimento, aonde você trata igualmente a pessoa que está começando na área e o mega-expert-modafóca-pica-das-galáxias. Diversas comunudades nos permitem esta experiência de conviver com outras pessoas de igual para igual e trocar conhecimento pelo simples prazer do bate-papo e da aprendizagem mútua.

fevereiro 18, 2017

[Cyber Cultura] O lado bom e o ruim da Campus Party

Há poucos dias atrás tivemos a décima edição brasileira da Campus Party (CPBR), um evento que reuniu um punhado de milhares de pessoas em Sào Paulo durante quase uma semana inteira (de 31/01 a 05/02), muitas das quais acamparam lá e por muitas vezes ficaram antenadas por mais de 24 horas seguidas. a organização do evento previu receber 8.000 pessoas na Arena interna (os chamados "campuseiros") e que seria visitado por 80 mil pessoas (essa grande maioria tem acesso apenas a área pública do evento).


O que torna a CPBR especial é que este é o maior evento de tecnologia brasileiro, com foco em inovação no mundo digital. Podemos pensar em vários motivos para ir no evento, exdrúchulos ou válidos, mas o principal, sem dúvida, é que este é o principal e maior evento brasileiro sobre inovação tecnológica aberta ao usuário final, incluindo dezenas de palestras, oficinas e atividades diversas.


Quem não conhece a Campus Party ou olha ela de forma superficial, vai ver um monte de adolescentes jogando video games. Sim, isso é o mais comum e o que chama mais a atenção de todos que visitam o evento - uma área central enorme aonde os participantes (a grande maioria formada por adolescentes) levam seus computadores e seus jogos - de batalha em 1a pessoa, simuladores e, pasme, os jogos de dança fazem grande sucesso lá.


Outro destaque frequente na mídia são os casemods, ou seja, os desktops customizados. Mas outras atividades presentes neste ano incluem guerras de robôs, corrida de drones e, inclusive, lutas de "sabre de luz" (feitos de espuma) organizadas espontaneamente pelos presentes.


Assim, sob essa visão superficial, esconde-se os grandes valores da Campus Party: a formação de comunidades e a troca de conhecimento, através de centenas atividades formais e informais que acontecem quase initerruptamente, desde palestras, oficinas e até mesmo incontáveis conversas de corredor. Entre os participantes, o evento cria um sentimento de comunidade - desde uma mega-comunidade de internautas envolvendo todos os campuseiros, até as micro-comunidades que cohabitam o espaço (gamers, empreendedores, pessoal do Software Livre, desenvolvedores, pessoal de robótica, hackerspaces, comunidades makers, etc).


Empreendorismo e uso de mídias sociais sempre foram assuntos de grande destaque na CPBR. É comum ver lá webpersonalidades e Youtubers. A propósito, nos primeiros anos da CPBR a modinha era ser blogueiro. De dois anos para cá, é ser Youtuber.

Neste ano, em especial, sumiram os conteúdos de segurança e redes, mas ganhou destaque o movimento Maker, em palestras, atividades específicas e através de áreas temáticas de entidades patrocinadoras como os Fazedores e a Prefeitura de São Paulo. Nos aos anteriores, havia um palco com programação dedicada sobre segurança e redes, organizada pelo CERT.br e pelo NIC.br. Esse conteúdo sumiu. Neste ano, por outro lado, era fácil encontrar inpressoras 3D por lá. Também ganhou destaque um Hackaton promovida pelo evento. Ainda comparando com anos anteriores, me pareceu que neste ano faltou mais debates políticos e discussões sobre regulamentações e privacidade.


Ou seja, "maker" e "hackaton" foram as palavras-chave da CPBR10.

Assim como acontece em todas as edições da Campus Party, esta tinha vários problemas e as vezes dá a impressão de que a organização se esforça para piorar alguns destes problemas a cada edição. Seguranças despreparados, organização despreparada para lidar com o público do evento e, principalmente, sem respeito as comunidades, comida cara, infra-estrutura precária para quem palestra e para quem acampa (sem isolamento de som, luzes acessas 24h, chuveiros com problemas). Que tal colocar TVs minúsculas para os palestrates? O local é barulhento? É difícil assistir as palestras e conversar? Que tal colocar um palco com música ao vivo ao lado dos participantes, para aumentar o barulho?


Talvez a maior frustração, para mim (após o desapareciemnto da área de segurança), foi que esta edição da CPBR não teve nada de especial, melhor ou comemorativo por ser a sua décima edição. Nada de especial. Nada para celebrar. Nenhum capricho a mais.


fevereiro 10, 2017

[Segurança] Golpes e ciber crimes no Brasil

Recentemente a TV Record divulgou que entre 5% e 10% das transações de compras online são golpes. Esses golpes mais comuns que afetam os consumidores online são:
  • Lojas fraudulentas, de empresas fantasmas criadas pelos fraudadores;
  • Sites falsos, muito parecidos com sites reais de e-commerce;
  • Mensagens de e-mail divulgando promoções;
  • Anúncios em sites de negócios, aonde o consumidor compra um produto que nunca vai ser entregue ou paga uma quantia para garantir a "reserva" do produto.

Tais sites divulgam promoções mirabolantes para atrair os consumidores, mas depois da compra realizada, o cliente não recebe nada e fica com o prejuizo financeiro.

Uma das formas de evitar estes golpes é não acreditar em promoções com grandes descontos, com preço muito abaixo do normal de mercado, e quando se não tratar de uma grande loja conhecida, verifique se existem reclamações sobre o site. Desconfie se o site tiver muitas reclamações ou, inclisive, se não tiver nenhuma. Avalie as reclamações existentes. avalie o site procurando alguma indicação de que ele possa ser falso. Obtenha o máximo possível de informações sobre a loja e o produto. Na dúvida, não compre.

Segundo dados da Norton, divisão da Symantec, que foram divulgados no final do ano passado, o prejuízo total relacionado a ciber crimes no Brasil foi de US$ 10,3 bilhões em 2015. Em 2015, 42,4 milhões de brasileiros foram vítimas de crimes virtuais (39% dos usuários INternet), um aumento de 10% no número de ataques comparado com o ano anterior.


fevereiro 08, 2017

[Segurança] Negócios e Segurança

Existe uma eterna batalha entre a área de Negócios e de Segurança: enquanto a empresa tem sua necessidade de crescer, lançar produtos, atrair e reter clientes, a área de segurança fica imersa em tecnologias e siglas, tentando avaliar riscos e fixar controles para evitar incidentes.

Para ilustrar essa disputa entre negócios (business) e segurança (security), a RSA preparou alguns pequenos vídeos ligeiramente divertidos que também servem de base para a sua campanha "Business-Driven Security". Com dois personagens, um representando os Negócios e outro a área de Segurança, os vídeos mostram eles discutindo a relação em um psicólogo, discutindo durante o jantar e também na hora de lavar as louças.



Os vídeos destacam a dificuldade de entendimento entre as duas áreas por não falarem a mesma língua, já que a área de negócios tem dificuldade de entender o "techiniquês" do pessoal de segurança. Além de terem interesses e opiniões distintas, esse problema de comunicação pode prejudicar as duas áreas.


fevereiro 06, 2017

[Cidadania] Vigilância Governamental

O pessoal da Pública, uma agência independente de reportagem e jornalismo investigativo, lançou uma série especial de artigos sobre Vigilância, em que eles abordam o aparelhamento do estado e o uso de técnicas vigilância e repressão, como a infiltração de agentes policiais em organizações civis e nos protestos. Tal "evolução" foi motivado pela Copa do Mundo e pelas Olimpíadas do Rio de Janeiro, que fomentaram o crescimento do uso de técnicas de vigilantismo contra manifestantes a partir de 2013.



Em parceria com a Editora Criativa e a jornalista colombiana Olga Lucía Lozano, eles estudaram o Sistema Nacional de Comando e Controle, criado para monitorar terrorismo e protestos durante os grandes eventos esportivos. Eles também estudaram o uso frequente de infiltração de policiais e descobriram que a polícia têm usado justificativas legais nos Tribunais para promover esse tipo de ação.

O especial reúne as histórias dos infiltrados da polícia e os depoimentos de suas vítimas nas manifestações, com vídeos, revela os equipamentos utilizados e algumas estatísticas sobre os gastos realizados para compra de equipamentos de vigilânciana vigilância. O site também convida a participação da sociedade, colaborando em mapeamento colaborativo das câmeras de vigilância de rua no Rio de Janeiro.

fevereiro 02, 2017

[Segurança] A pior senha de 2016

Segundo uma pesquisa divulgada por uma empresa chamada Keeper Security, a senha a mais comum utilizada pelos usuários é...

123456


Segundo o levantamento da Keeper, cerca de 17% dos usuários utilizam esta combinação para sua senha.

A empresa analisou 10 milhões de senhas de bases de dados que foram vazadas durante o ano de 2016 e, com isso, divulgou uma lista com as 25 senhas mais frequentemente encontradas. O interessante é que, segundo eles, estas 25 senhas, somadas, reprentam quase 50% das senhas analisadas na amostra que eles utilizaram !!!

Ou seja, se você utiliza alguma das senhas nessa lista, a sua conta pode ser facilmente acessada por qualquer pessoa que teste estas senhas mais óbvias. Pior: provavelmente já estão acessando a sua conta e você não sabe!

A lista das 25 piores senhas de 2016, segundo a Keeper, é a seguinte:
  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678 
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 7777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.