julho 31, 2017

[Segurança] Criptografia do Acre

Baseado na história do jovem do Acre que sumiu e deixou vários textos escritos de forma criptografada, alguns tipógrafos criaram uma fonte em homenagem à criptografia do Manual do Escoteiro Mirim, batizada de "Tipografia aCReMisT".


Após baixar e instalar a fonte "Tipografia aCReMisT", que é grátis, qualquer um pode escrever seus próprios textos criptografados!


Quando surgiu a história do Bruno de Melo Silva Borges, que sumiu deixando inscrições criptografadas nas paredes do seu quarto e 14 livros escritos à mão, rapidamente foi especulado que os textos foram escritos no alfabeto de criptografia que foi publicado no Manual do Escoteiro Mirim, e lá batizado de "Código Secreto Marciano", que é uma cifra parecida com a Cifra Maçônica.


Lançado em 1971, o Manual do Escoteiro Mirim trazia muitos ensinamentos sobre escotismo, com técnicas e táticas nos acampamentos, mas também falava sobre códigos secretos, heráldica e até como socorrer animais feridos. Recentemente a Editora Abril decidiu lançar uma reedição do livro.

Dois pesquisadores de segurança, Igor Rincon e Renoir dos Reis, deram uma olhada nas imagens que foram disponibilizadas na imprensa com os textos do jovem do Acre e criaram um site, chamado de "Decifre o livro", para ajudar a desvendar os textos com base nas chaves deixadas por Bruno.

Para saber mais:

julho 29, 2017

[Cyber Cultura] A lingua de sinal dos nerds

Se você usa língua de sinais (Libras) para falar com seus amigos, como você vai dizer que o seu computador roda Ubuntu e que você prefere programar em Perl?



Seus problemas acabaram!!! Eu estava buscando imagens de geeks e nerds no Google Images e achei uma imagem com alguns sinais para coisinhas nerds: Ubuntu, Windows, Perl, C, C++, Raskell, Apple, etc.



Divirta-se!

A propósito, quer aprender sobre a língua de sinais? Veja esse post aqui.

julho 25, 2017

[Segurança] As Tretas na área de Segurança

O texto de Call for Papers (CFP) da Alligator Security Conference deste ano traz um resumo sarcástico das principais tretas que aconteceram recentemente na área de segurança brazuca. Esse texto ilustra bem o espírito hostil, segregatório e pouco colaborativo de algumas das comunidades do nosso mercado.

Como eu achei que o texto ficou engraçado devido ao seu alto nível de sarcasmo e trolagem, eu decidi reproduzir aqui as partes que descrevem as principais tretas que surgiram recentemente em nosso mercado, que eles batizaram de "HackTrospectiva" e deram a cada caso um nome de filme:
  • "A Queda": O drama narra os últimos dias de arrogância e empáfia de um pedante e pernóstico garçom, cuja megalomania resultou em um wipe generalizado sem precedentes na história do hacking nacional. Aclamado pela crítica blogueira, resultou em uma enxurrada de mimimis e chororôs entre os pseudo-formadores de opinião da cena. É uma verdadeira obra prima com direito a lágrimas, risos e frases memoráveis como: "Como profissional de SI e certificado CISSP, eu gostaria de deixar meus sentimentos por todos aqueles que, de certa forma, foram afetados" (eu abordei este caso neste meu post);
  • "O Homem que Ripava": Estrelando o ilustríssimo Foguinho Pernambucano. O filme também é indicado ao prêmio shame of the year 2017 e conta a estória de um menino humilde, jogador de CTF de várzea, que começou a ganhar notoriedade ripando writeups de outrem. Durante a trama, o jovem percebe o quão ridícula, incipiente e vexatória era sua ação, culminando em uma eloquente e emocionante destruição de provas, na tentativa inócua de ocultar sua majestosa e suntuosa cagada;
  • "O Golpe": Um famoso diretor de grandes produções, demonstra como conseguiu enganar centenas de idiotas durante 2 anos consecutivos, com a promessa de trazer um palestrante internacional para o seu evento. A trama, produzida em 10 camadas (segundo a interpretação do protagonista para Modelo OSI), ilustra a possibilidade de conseguir usurpar reais de alguns imbecis, de maneira simples, através de mentiras, promessas e frases megalomaníacas. Uma verdadeira aula de charlatanismo (...)
  • "Corram que taviso vem ai!": A narrativa conta a estória de um pesquisador de segurança que vem destroçando as empresas de antivírus em uma caçada implacável. O curta mostra que os produtos que deveriam proteger os indefesos cidadãos são na verdade uma grande piada. Revelando ao público o grande circo que é a indústria de segurança atual;
  • "O poderoso cagão": A estória conta a trajetória de um pesquisador de malware que, em busca de notoriedade e pressionado pela própria empresa, divulga problemas de segurança em um banco no sul, e por consequência disso, acaba pegando em merda! Um prato cheio para aqueles que adoram ações judiciais e cenas de presídio. (eu abordei este caso neste meu post)

julho 24, 2017

[Segurança] Global Cybersecurity Index (GCI)

No início de Julho foi lançada a edição 2017 do Global Cybersecurity Index (GCI), um estudo que mede o compromisso dos 193 Estados-Membros da UIT com a segurança cibernética. Ele foi criado em 2014 pela International Telecommunication Union (ITU) para ajudar os países a promoverem a cultura de ciber seguranca.

Ele é formado através de 25 indicadores que formam 157 perguntas, e servem para medir o que o índice considera serem os 5 pilares de seu modelo conceitual de segurança: Legal, Técnico, Organizacional, Capacidade e Cooperação.


A edição de 2017 do GCI foi elaborada com base nas respostas de 134 países e de dados obtidos dos países que não responderam, de forma que o relatório aborda todos os 193 países membros do ITU. O mapa abaixo sumariza os resultados em termos de nível de compromisso com ciber segurança, do verde (mais alto) ao vermelho (menor).


Em geral, a Europa foi a região aonde a pontuação média nos scores foi alta em todos os 5 pilares. Os 10 países mais comprometidos com segurança, segundo a ITU, são:

  • Singapura
  • Estados Unidos
  • Malasia
  • Oman
  • Estônia
  • Ilhas Mauricio
  • Austrália
  • Georgia
  • França
  • Canadá

O Brasil está posicionado em 38o lugar, em um grupo de países que o relatório considera que ainda estão amadurecendo. Singapura é o país melhor classificado no estudo. Ees tem uma longa história de iniciativas de segurança cibernética, sendo que lançou seu primeiro plano diretor de segurança cibernética em 2005. A Agência de Segurança Cibernética de Singapura foi criada em 2015 como uma entidade dedicada para supervisionar a segurança cibernética e o país emitiu uma estratégia abrangente em 2016.

Um dos indicadores mais fortes do estudo representa se o país possui uma estratégia de segurança cibernética descrevendo como ele irá se preparar e responder a ciber ataques contra suas redes, alo que só um pouco mais de 1/3 dos países possuem. Vehja algumas estatísticas do estudo:
  • Apenas 38% dos países possuem uma estratégia pública de segurança cibernética, enquanto metade dos Estados membros não tem uma estratégia de segurança
  • 61% dos países têm uma equipe de resposta de emergência com responsabilidade nacional (por exemplo, CIRT, CSRIT e CERT);
  • Pouco mais de um quinto (21%) dos países publica métricas de incidentes de segurança;
  • 32% dos países pussuem uma indústria de cibersegurança local



julho 21, 2017

[Segurança] Hacking: uma História

Recentemente o Anderson Ramos foi convidado a palestrar no TEDxMauá, aonde ele aproveitou para contar a sua visão da história da cultura hacker, desde os anos 60 até os dias atuais. Assim, ele resumiu décadas de história em pouco mais  de 20 minutos, com várias informações interessantes na palestra "Hacking: uma História".


A palestra ficou bem interessante, cobrindo desde o surgimento da cultura hacker no "Tech Model Railway Club" do MIT. Pelo curto espaço de tempo, o Anderson foi obrigado a resumir e simplificar muita coisa, ainda mais porque é impossível contar a evolução da cultura hacker sem falar também da evolução da tecnologia pessoal e das telecomunicações desde os anos 60. Mas isso não desmerece a sua palestra :)

julho 20, 2017

[Cyber Cultura] Hacker Camps

Nesta segunda metade de 2017 temos um belo calendário de Hacker Camps pela frente:
  • 04 a 08/08: SHA2017 na Holanda - Evento que acontece a cada 4 anos, intercalado com o CCCamp. Será em uma cidade a 55 kilômetros a leste de Amsterdã;
  • 05 e 06/08: Dumont Hacker Camp em Paranapiacaba (SP) - Pela primeira vez iremos realizar um encontro de hackerspaces durante a V SteamCon, um encontro bem legal sobre a cultura cyber punk;
  • 29/09 a 01/10: Garoa Hacker Camp (Santana de Parnaíba, SP) - Este já é o terceiro Hacker Camp organizado pelo Garoa e o segundo neste ano. Será em um sítio perto de São Paulo.
Os "Hacker Camps" são eventos de tecnolgia e cultura hacker que acontecem em um ambiente externo, de camping ao ar livre, aonde os participantes ficam em um ambiente totalmente descontraído. Por serem feitos em um local externo, eles favorecem a integração dos participantes.

Normalmente com a maioria dos participantes acampam em barracas. Mas, dependendo do evento, quem não curte dormir dentro de uma barrada pode se alojar em pousadas, chalés, barco ou trailer ("motor home"), dependendo da infra-estrutura do local.


    

Outros hacker camps famosos são o Chaos Communication Camp, que acontece na Alemanha a cada 4 anos (a edição passada foi em 2015), o ToorCamp nos EUA e o Hacking at Random.


julho 18, 2017

[Cyber Cultura] Steampunks e Cyberpunks

Os Steampunks e Cyberpunks são manifestações culturais que encontram inspiração na literatura de ficção científica com uma mistura de tecnologia com o passado e o futuro.

Aproveitando o verbete da Wikipedia, o Cyberpunk é um subgênero de ficção científica focado em um cenário de alta tecnologia e baixa qualidade de vida ("High tech, Low life"), que combina a ciência avançada, como as tecnologias de informação e a cibernética, junto com algum grau de desintegração ou mudança radical na ordem social. São cenários futurísticos aonde a vida é impactada pela rápida mudança tecnológica.

O Steampunk (que podemos traduzir como "Tecnavapor", derivado de 'Tecnologia a Vapor''), é um subgênero da ficção científica ambientada no passado, misturando tecnologias e vestimentas associadas a era Virotiana (Inglaterra do século 19) com os paradigmas tecnológicos modernos, como se eles tivessem ocorrido naquela época ou reimaginando a ciência já disponível naquela época. Este gênero ganhou fama no final dos anos 1980 e início dos anos 1990. No universo Steampunk, a tecnologia a vapor teria evoluído até níveis impossíveis, reimaginando como seriam máquinas e até mesmo robôs movidos a vapor naquela época.

Um exemplo popular no cinema é o filme "As Loucas Aventuras de James West" ("Wild Wild West​") de 1999, com o ator Will Smith. Os amantes da cultura steampunk e cyberpunk costumam usar adereços de moda futuristas.


Segundo um artigo no portal buzzfeed, "The Steampunk longs for a time where technology was romanticized rather than mass manufactured. He scoffs at the minimalism of homogenized modern devices and attempts to make them his own. Displaying an unhealthy fascination with steam, valves and gears, the Steampunk will spend hours in his workshop crafting accessories for his wardrobe. Custom timepieces, goggles and Nerf guns are often overly customized to the point that they obscure the item’s original purpose. Modern day electronic devices are modified to look like rusted antiques."

Para saber mais:


julho 17, 2017

[Segurança] Preparativos para a Defcon 2017

Falta um pouco mais de uma semana para a Defcon deste ano, que comemora a sua 25a edição. Por isso, vale a pena lembrar algumas dicas rápidas e curiosidades:


Curiosidades:
  • Em 2016, a Defcon atingiu o público record de 20.000 participantes!
  • Neste ano eles anunciaram a Voting Machine Hacking Village, um espaço para discutir segurança nas eleições e que promete ter algumas urnas eletrônicas para os participantes testarem;
  • Eu já disse que esta é a 25a edição do evento, né?
Lembretes:
  • Neste ano o ingresso do evento custará US$ 260. Esse valor deve ser pago em dinheiro vivo, pois eles não aceitam cartões;
  • Pela primeira vez o evento será no centro de convenções do cassino Caesars Palace. A Defcon começou no Alexas Park, em 1993, depois passou pelo cassino Riviera (que foi fechado no ano passado), pelo Rio e recentemente no Paris e Bally's;
  • Revise a sua agenda para a semana da Defcon:
    • Black Hat: de Sáb. a 5a (22 a 27/7) - Treinamentos de 22 a 25/7 e evento dias 26 e 27/7;
    • BSides Las Vegas:  3a e 4a (25 e 26/7) - ótima opção para quem não vai na BlackHat;
    • Defcon: 5a a Dom. (27 a 30/7) - 6a e Sábado são os dias principais. Na 5a é feito o registro e tem poucas atividades, e o Domingo a tarde é dedicado para a cerimônia de encerramento (a partir das 15h);
  • Para garantir o seu ingresso na BSides Las Vegas, você deve amanhecer na fila (25/07);
  • Chegue cedo para se registrar na Defcon, na 5a feira (27/7). A fila é enorme, mas os últimos podem ficar sem o crachá bonitão do evento;
  • Veja algumas dicas sobre a Defcon nesse meu post. Neste ano eu criei uma versão dele no Medium também;
  • Em 2015 eu escrevi uma pequena FAQ


Acompanhe as novidades pelo site do evento, pelo Twitter @defcon ou pela página deles no Facebook.

Post atualizado em 20/07/17 para incluir o novo vídeo teaser da Defcon 25.

julho 13, 2017

[Segurança] Defcon Documentary

A Defcon é a maior conferência hacker do mundo, realizada todo ano em Las Vegas, Nevada, desde 1999. Para quem deseja entender um pouco sobre o que é o evento, sua história, e como é a experiência de frequentar, em 2013 foi lançado um documentário muito bom sobre o evento, o "DEFCON: The Documentary", que é possível ser visto no YouTube.

O documentário foi gravado em 2012, ano da vigésima edição da Defcon, em que o evento foi realizado no cassino Rio.


Embora a conferência possua políticas rigorosas de não-filmagem, a organização permitiu que uma equipe de documentaristas tivesse acesso total ao evento. O filme começa contando a história da Defcon desde o surgimento da idéia e sua primeira edição, como ela cresceu e se tornou mitológica nos anos em que foi realizada no Alex Park e depois sua grandeza a obrigou a ser realizada em cassinos. A minha primeira vez na Defcon foi no cassino Riviera, e de lá ele já passou pelo Rio, Paris + Bailys e neste ano chega no Caesars Palace.

O documentário cobre os quatro dias da conferência, os diversos eventos e atividades que acontecem em paralelo, fala muito sobre os organizadores, sobre os frequentadores do evento e também o pessoal do staff. O documentário é bem interessante e consegue trazer a sensação que temos ao participar od evento.


Neste ano, a Defcon está na sua 25a edição e acontecerá nos dias 27 a 30 de Julho, no cassino Caesars Palace pela primeira vez.

Eu, particularmente, sou um grande fã da Defcon. Ela é um grande zoológico, que atrai todo tipo de gente interessada na cultura hacker. As palestras costumam ser muito boas e trazer muita idéia inovadora, além do clima de festa que reina nos corredores.

julho 12, 2017

[Segurança] A Cifra Macônica

Fuçando na Amazon, eu encontrei alguns objetos bem legais usados para implemeentar cifras de cripitografia antigas, como um disco que representa a Cifra de César e um anel usado para representar a Cifra Maçõnica.



A Cifra Maçônica (conhecida em Inglês como "Pigpen cipher" ou "Freemason's cipher"), é uma cifra criptográfica de substituição aonde cada caractere do alfabeto é trocado por um símbolo, previamente definido, de acordo com a sua posição em duas matrizes 3x3 e 2 cruzes, aonde as letras são dispostas para representar como deve ser feita a substituição. A letra é representada pela imagem que ilustra a sua posição nessas matrizes ou cruzes.

Normalmente esta cifra é representada da seguinte forma:


Assim, cada letra é representada pelas arestas em sua volta, indicando a sua posição de tro da matriz 3x3 ou na cruz. Por exemplo, a letra A é representada pelo símbolo e a letra X pelo símbolo .

Aproveitando um exemplo disponível na Wikipedia, a mensagem "X marks the spot" (ou seja, "O X indica o lugar") ficaria codificada da seguinte forma:



A cifra é normalmente conhecida como "Cifra Macônica" pois era muito utilizada no século XVIII pelos membros da maçonaria. Segundo a wikipedia em Português, essa cifra foi descrita em 1533 por Heinrich Cornelius Agrippa von Nettesheim, no livro 3 capítulo 30 da obra De occulta philosophia. A tradução literal do nome da cifra é "chiqueiro" e vem do fato de que cada uma das letras (os porcos) é colocada em uma "casa" do chiqueiro.

julho 10, 2017

[Segurança] Eventos de Segurança no segundo semestre de 2017

Já está na hora de nos planejarmos para os principais eventos de segurança neste segundo semestre de 2017, ainda mais sabendo que todos os anos o segundo semestre é bem mais cheio de eventos do que o primeiro semestre. De fato, mal o segundo semestre começou e nem apagamos a fogueira das festas juninas, e já tivemos o primeiro evento do período, o Roadsec João Pessoa (PB) no dia 01 de julho.

Seguindo a tradição destes meus posts, aqui eu estou listando apenas os eventos na área de segurança que eu considero serem relevantes para o nosso mercado e que merecem a visita. Há dezenas de eventos e ninguém consegue acompanhar todos, por isso eu acredito que é importante se planejar para conseguir participar de, pelo menos, os mais relevantes, os que mais interessem ou contribuam verdadeiramente para a sua área de atuação.

Quando não houver indicação em contrário, o evento acontecerá em São Paulo.
  • Julho/2017
    • 01/07: Roadsec João Pessoa (PB) (twitter @roadsec) - O segundo semestre já começa com um Roadsec, o último deste ano no Nordeste, em João Pessoa, Paraíba (ou "Jampa" para os íntimos). Esta é a edição tradicional (também batizada por alguns de "Roadsec Kids", em contraposição ao "Roadsec Pró" que é realizado em algumas cidades). Realizado no sábado, o evento conta com palestras, oficinas, cursos e competições, incluindo a etapa local do HackaFlag;
    • 15/07: Classificatória do Hackaflag São Paulo (twitter @roadsec) - Etapa paulista da competição de CTF do Roadsec, terá duas palestras no período da manhã e a competição após o almoço;
  • Agosto/2017
    • 08 e 09/08: Gartner Security & Risk Management Summit - Evento anual de segurança do Gartner, com uma grade formada por um mix de palestras de patrocinadores, de analistas do Gartner e de convidados. Este é um evento para os diretores e CSOs, o evento que eles realmente vão. Se você quer ver altos executivos, este é o lugar !!! Esqueça qualquer outro evento como o Security Leaders, Mind the Sec, YSTS, etc. Para não deixar dúvidas sobre "quem manda", o evento traz como Keynote o jornalista britânico Glenn Greenwald, que ajudou o Edward Snowden a trazer a tona as histórias de espionagem e vigilância global da NSA;
    • 18/08: Roadsec Pro Rio de Janeiro (RJ) (twitter @roadsec) - A cidade maravilhosa recebe o seu Roadsec, inicialmente na versão "Pró", com palestras voltadas para o público corporativo, finalizando com um Happy Hour para os presentes;
    • 19/08: Roadsec Rio de Janeiro (RJ) - A edição tradicional, no sábado, tem o evento completo, com palestras, oficinas, cursos e competições, com destaque para o HackaFlag;
  • Setembro/2017
    • 01/09: Roadsec Pro Vitória (ES) (twitter @roadsec) - Versão "profissional" do Roadsec em Vitória, voltado para o público corporativo e realizado no sábado imetiatamente anterior ao evento tradicional;
    • 02/09: Roadsec Vitória (ES) (twitter @roadsec) - Ótima oportunidade para comer uma moqueca capixaba e curtir o Roadsec com seu formato original, com diversas palestras, oficinas e competições;
    • 12/09: Global Risk Meeting (GRM) - Evento focado principalmente em gestão de riscos para o público gerencial, realizado pela Daryus desde 2005, sempre próximo a emblemática data de 11/setembro;
    • 12 e 13/09: Mind The Sec - Mega-evento organizado pela Flipside com foco em profissionais de mercado, atendendo tanto o público técnico e gerencial. É um dos principais eventos brasileiros para o público corporativo. São 2 dias de evento e 3 trilhas de palestras (divididas em gestão, tecnologia e soluções), com presença de keynote speakers internacionais. Neste ano teremos a presença do Stuart McClure, autor do bom e velho bestseller Hackers Expostos;
    • 14 e 15/09: 6º Fórum Brasileiro de CSIRTs - evento técnico para profissionais de resposta a incidentes, organizado pelo CERT.br e NIC.br;
    • 16/09: Security Day (Natal, RN): evento muito bacana que acontece (quase) todo ano em Natal, sempre com palestras muito boas. Uma ótima opção para o pessoal do Nordeste;
    • 21/09: Security Leaders Recife - Mini edição regional do Security Leaders, com um dia de debates vazios em um palco lotado de painelistas, transmitidos ao vivo. Atrai o público corporativo e patrocinadores, que se encontram em sua área de exposição;
    • 25 e 26/09: CNASI - 26ª edição do Congresso de Segurança da Informação, Auditoria e Governança de TIC (CNASI), com palestras e painéis de debates sobre gestão, auditoria de TI, governança e segurança da informação, com conteúdo mais voltado para o público gerencial. O evento também conta com uma área de expositores;
    • 29/09: Roadsec Pro Porto Alegre (RS) (twitter @roadsec) - Versão corporativa do Roadsec em terras gaúchas;
    • 30/09: Roadsec Porto Alegre (RS) (twitter @roadsec) - Roadsec de sábado para o público geral, com palestras, oficinas, drones, robôzinhos de Lego, competição de CTF, etc;
    • 30/09: Broken Wall Security Conference (BWCON) (Recife, PE) - Evento com foco bem técnico, que já está em seu segundo ano;
  • Outubro/2017
    • 07/10: Roadsec Curitiba (PR) (twitter @roadsec) - O Roadsec chega em Curitiba apenas com a edição de sábado, com palestras, oficinas, HackaFlag, etc;
    • 17 e 18/10: Fórum RNP (Brasília) - Evento organizado pela RNP para os profissionais de tecnologia das universidades, institutos federais e de pesquisa. Costuma ter palestras sobre segurança;
    • 19/10: DISI (Dia Internacional de Segurança em Informática) (Brasília) - Evento de um dia organizado pela RNP para falar sobre segurança para o público leigo. Acontece logo após o Fórum RNP e é transmitido online. O tema desse ano são os Ransomwares;
    • 18 a 20/10: Latinoware (Foz do Iguaçu) - em sua 14ª edição, o Latinoware (Congresso Latino-americano de Software Livre e Tecnologias Abertas) é um evento enorme, com cunho técnico, voltado para discussões e reflexões sobre a utilização do Software Livre e todas outras Tecnologias Abertas na América Latina. O evento será realizada no Parque Tecnológico Itaipu (PTI), localizado na Usina Hidrelétrica de Itaipu;
    • 19 e 20/10: Sacicon - Evento de segurança que antecede a H2HC. O evento começa a noite com uma festa e continua no dia seguinte com palestras após um "hangover brunch". A língua oficial do evento é o Inglês;
    • 20/10: Roadsec Pro Florianópolis (SC) (twitter @roadsec) - A bela Florianópolis recebe o Roadsec, primeiro em sua versão corporativa na sexta-feira;
    • 21/10: Roadsec Florianópolis (SC) (twitter @roadsec) - Floripa é a última cidade a receber o Roadsec de sábado em 2017. O evento é aberto para o público em geral, com suas palestras, oficinas e competições;
    • 21 e 22/10: H2HC (twitter @h2hconference) - A H2HC é o mais importante e mais tradicional evento brasileiro sobre hacking, pesquisa em segurança, vulnerabilidades e novos ataques;
    • 25/10: CNASI Brasília - Mini versão do CNASI, com palestras e painéis de debates sobre gestão, auditoria de TI, governança e segurança da informação. O evento também tem uma pequena área de expositores;
  • Novembro/2017
    • 06 a 09/11: XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) Brasília, DF) - Este é o principal evento científico e acadêmico sobre Segurança no Brasil, promovido anualmente pela Sociedade Brasileira de Computação (SBC), a cada ano em uma cidade distinta. Conta com sessões técnicas, minicursos, palestras, workshops, e tutoriais;
    • 10 e 11/11: Roadsec São Paulo - Mega-evento de encerramento do RoadSec, que neste ano acontecerá em 2 dias. O evento ocupa o espaço enorme do Audio Clube com duas trilhas de palestras, diversas oficinas, fru-frus (food trucks, stands patrocinados, lojas) e, principalmente, com a final do campeonato de CTF (Hackflag) e um super show de encerramento, que neste ano promete trazer os Raimundos;
    • 13 e 14/11: Security Leaders São Paulo - Evento formado principalmente por painéis de debates transmitidos ao vivo e com uma área de exposição. Embora atraia muitos patrocinadores e um pouco de público, eu considero este evento bem baba-ovo, direcionado a atrair gestores de segurança (gerentes, diretores, CSOs, etc) mas que na prática somente aparecem na hora de participar do debate ou para receber um prêmio no final do evento. Os painéis tem conteúdo fraco, pois a organização lota o palco com convidados e representantes de fornecedores, sem que necessariamente tenham conhecimento no assunto. Apesar da baixa qualidade do conteúdo, é um evento que atrai muitos patrocinadores;
    • 18/11: NullByte (Salvador, BA) - Excelente evento destinado a movimentar a cena do hacking na capital Baiana, com palestras de grande qualidade técnica.
    • 18 e 19/11: BHack (Belo Horizonte, MG) - Evento de segurança com foco técnico e palestras de qualidade;
  • Dezembro/2017
    • 06 e 07/12: GTS (Grupo de Trabalho em Segurança de Redes) - Esta do GTS acontece no dia 07/12, logo após o GTER (Grupo de Trabalho de Engenharia e Operação de Redes), que são eventos organizados pelo NIC.br e que acontecem 2 vezes por ano. É um evento gratuito, com conteúdo técnico e transmitido online. Vale a pena. Eles acontecem em conjunto com a VII Semana de Infra-Estrutura da Internet. Para quem costuma ir lá, preste atenção: eles saíram do Blue Tree do Morumbi e agora estão no WTC Events Center (Av. das Nações Unidas, 125510.
Além dos eventos brasileiros citados acima, existem vários eventos internacionais que valem a pena a visita, se sobrar tempo e dinheiro:
  • 23 a 30/Julho/2017: BSides Las Vegas, Black Hat e Defcon - três eventos importantíssimos e gigantes que acontecem em Las Vegas (EUA). A Black Hat (22 a 27//07) é um dos mais importantes eventos de segurança do mundo e a Defcon (27 a 30/07) é considerada a maior "conferência hacker" do mundo, com dezenas de palestras e atividades simultâneas. A BSides Las Vegas (dias 25 e 26/07, na véspera da Defcon) é uma excelente opção gratuita para quem quer aproveitar a viagem para a Defcon mas não vai na Black Hat. Eles não vendem ingresso, então você tem que chegar cedo no primeiro dia para pegar o crachá e poder entrar;
    • Para saber mais dicas sobre a Defcon, Black Hat e BSidesLV, veja este post;
  • Vale a pena visitar as edições da Security BSides aqui na América Latina e, porque não, em Portugal:
  • Ago/2017: SHA 2017 (04 a 08/08) em Zeewolde, a 55 km a leste de Amsterdam. Hackercamp que acontece uma vez a cada 4 anos na Holanda;
  • Set/2017: Ekoparty (27 a 29/09) em Buenos Aires, Argentina. A Eko é um excelente evento de segurança, certamente o melhor da América Latina. Evento com foco principal em pesquisa em segurança com excelentes palestras técnicas;
  • Out/2017: 8.8 (26 e 27/10): Principal evento de segurança no Chile, que acontece em Santiago;
  • Dez/2017: CCC, em Leipzig, Alemanha: 34a edição desse evento gigantesco realizado na Alemanha na semana entre o Natal e o Ano Novo, atraindo hackers de toda a Europa. Tem foco muito técnico em hacking, com uma pegada também política. É o mais antigo evento da atualidade, ocorrendo desde 1984.
Neste segundo semestre também teremos alguns Hacker Camps para visitar:
Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site nacional Agenda de TI e no gringo concise-courses.com. O calendário completo de eventos da Flipside (Roadsecs e MindThesecs) está disponível em http://www.flipside.com.br/calendario.

Se eu esqueci de algum evento brasileiro relevante sobre segurança da informação, me avisem.

Notas:
  • Veja quais foram os eventos no primeiro semestre de 2017;
  • Lembre-se: a lista acima contém apenas os eventos que eu considero serem os mais relevantes para o mercado e/ou que merecem a visita, baseado na minha opinião pessoal.
  • Post atualizado em 17/07 para incluir o Security Day, em Natal.
  • Atualizado em 30/08 com o Fórum RNP e DISI.
  • Atualizado em 09/11 com o GTS (06 e 07/12).

julho 07, 2017

[Cyber culture] O poder feminino nos CTFs

De repente, o Roadsec teve duas garotas vencendo nesta temporada 2017 do HackaFlag, a maratona de competições de CTF que acontecem em cada edição regional do Roadsec, e que terá a grande final no evento de encerramento, em São Paulo.

Os mineiros tiveram a oportunidade de conhecer a primeira vencedora (feminina) de uma etapa do HackaFlag no Roadsec Belo Horizonte. A Ingrid Spangler foi a campeã da competição local, com os méritos extra de ficar em 5a colocada na CriptoRace e de obter a maior pontuação do hackaflag neste ano, até então. A Ingrid foi a primeira garota a vencer um hackaflag em toda a história da competição, que teve 43 etapas até aquela data.


Para melhorar ainda mais, o Roadsec seguinte, em João Pessoa, teve uma vencedora pela segunda vez consecutiva. A Aghata Sophia de Campina Grande e com  apenas 19 anos, venceu na modalidade individual do Hackaflag. Esta competição teve 8 participantes, dos quais 3 eram garotas.



O que isso significa?

  • As mulheres tem as mesmas condições do que os homens de participar do mercado e, neste caso, de competições técnicas;
  • Se tivermos mulheres competindo, teremos mulheres ganhando

Na verdade, na minha opinião, isso não deveria significar nada diferente do normal. Eu gostaria que isso fosse um caso rotineiro, mas em um mercado predominantemente masculino e preconceituoso com as mulheres, essas duas vitórias são emblemáticas.

Vamos torcer para que a Ingid e a Aghata sejam exemplos que motivem as demais mulheres a participar mais do mercado. Vamos torcer para que venham mais competidoras e mais vencedoras de CTF.

julho 05, 2017

[Segurança] Dicas de Segurança em Eventos para nerds

Ao sair de nossa zona de conforto, podemos nos expor a diversos riscos – físicos e cibernéticos. Os eventos de tecnologia e de segurança, por sua vez, são um prato cheio para bandidos, ciber criminosos, ciber espiões e trolls, que podem aproveitar um momento de distração para obter acesso a equipamentos e dados dos participantes.

O problema começa pelo fato de que nós, Nerds e Geeks, temos o péssimo hábito de carregar diversos equipamentos e gadgets conosco o tempo todo: smartphones, tablets, notebooks, pen drives, HDs externos, smart watches, etc. E nos acostumamos a fazer isso o tempo todo, mesmo que não precisemos utilizar tais equipamentos. Afinal, vai que preciso levantar uma VM do Kali enquanto espero a minha água de coco no kioske da praia, né?


Sabendo que eventos de tecnologia atraem esse público, pessoas mal intencionadas acabam se infiltrando entre os participantes para aproveitar algum momento de distração e obter acesso e vantagens ilícitas. Pior ainda: o fato de estar em um evento com acesso controlado (isto é, aonde é necessário se inscrever e identificar previamente), acaba trazendo uma falsa sensação de segurança para os participantes.

Por isso, é bom prestar atenção a alguma sdicas básicas de segurança, para evitar nos expor desnecessariamente:
  • Antes de sair de casa
    • Faça Backup dos seus dados;
    • Guarde o disco de backup em casa ou no escritório. Nunca leve ele com você, pois o backup não terá adiantado de nada se o seu disco e o notebook estiverem na mesma mochila que acabou de ser roubada!
    • Faça criptografia de disco;
    • Atualize o sistema operacional e os aplicativos do seu notebook e smartphone; não queira ser invadido por uma aplicação vulnerável que todo mundo já conhece e que tem um patch;
    • Revise o conteúdo da sua mochila e retire dela tudo o que for desnecessário;
    • Revise a configuração de rede wi-fi de seu celular e desabilite todas as redes conhecidas que você não use nem pretenda usar (veja mais dicas  abaixo);
  • Como diz o mestre Masterchef Henrique Fogaça, “Menos é Mais”:
    • Pense bem se você precisa mesmo levar um notebook no evento. Será que um tablet não pode ter o mesmo uso, mas expondo menos dados? Será que apenas um smartphone não é suficiente?
    • Em alguns casos, em vez de usar o seu notebook ou smartphone do dia-a-dia, pense em carregar consigo um notebook e celular “descartáveis”, ou seja, um equipamento mais simples, mais barato, “zerado” (com o mínimo de dados pessoais e profissionais, ou com os dados que você possa precisar copiados apenas para um pendrive externo);
  • Muito cuidado com os recursos de acesso as redes de telefonia e dados
    • Jamais conecte em redes Wi-Fi públicas, por maior que seja a sua vontade de ficar conectado no Whatsapp para ver as mensagens do grupo da família e fazer checkin no Facebook;
    • Em caso de eventos, jamais conectar nas redes Wi-Fi abertas do evento (ou qualquer rede aberta);
    • Se o evento ou sua empresa disponililizar uma rede autenticada, ou se você precisar realmente se conectar em uma rede pública (e saiba que você está correndo sério risco), imediatamente utilize uma VPN para garantir um pouco de segurança ao seu acesso;
    • Revise a configuração de redes de dados em seu smartphone para limitar o acesso dos seus aplicativos "não essenciais" a rede de dados, e assim, diminuir a exposição de sua comunicação em redes hostis;
    • Desabilite o Bluetooth e não, você não vai usar o seu fone de ouvido Bluetooth!!!
  • Quando estiver em eventos que considere hostis, com risco de captura de dados pela rede Wi-Fi ou de telefonia, coloque o seu celular em modo avião;
    • Se você for extremamente paranóico, desligue o celular, retire a bateria e o chip GSM;
  • Se você realmente precisar usar seu celular para verificar os e-mails, Whatsapp ou ligar para alguém, saia do local do evento e desative o modo avião somente o tempo necessário para ler suas mensagens e fazer a sua ligação. Fazendo isso, você consegue pelo menos diminuir bastante a sua exposição.

Seguindo as dicas acima e um pouco de bom senso, podemos proteger a privacidade nossa, de nossos executivos e de nossas companias durante viagens e eventos externos.

Para saber mais:


OBS: Post atualizado em 27/10/2017.

julho 03, 2017

[Segurança] Eventos de segurança são um ambiente hostil

Podemos dizer que alguns eventos de segurança oferecem um ambiente hostil para seus participantes. Isso pode ocorrer por vários motivos, mas em geral por onta de espionagem, roubo de dados, ganho financeiro, exposição e humilhaçào da vítima, ou zoeira. Os principais riscos são roubo físico dos equipamentos (notebooks, smartphones) e ciber ataques tais como infecção e invasão aos computadores e smartphones dos participantes, interceptação de tráfego de dados, invasão de contas e o vazamento de informações pessoais e corporativas.
Quanto maior o evento, maior o risco, pois há uma maior quantidade de alvos, o que tende a atrair naturalmente mais atacantes. Mas há também alguns eventos pequenos que, por sua temática mais negativa, normalmente escondida sobre o disfarce de "underground", acabam motivando o discurso de ódio e a realização de ciber ataques.

Em geral estas ações são incidentes individuais e não são apoiadas nem fomentadas pelos organizadores dos eventos, salvo raras excessões. Em vez de desmerecer tais eventos, é importante aos participantes terem consciência dos riscos para diminuir sua exposição e, assim, minimizar a chance de tornar sua experiência em um evento algo negativo ou traumático.

Basta relembrar alguns incidentes famosos para vermos os tipo de riscos que existem em eventos de tecnologia, e em especial, nos eventos de segurança:
Baseado nisso, eu criei um infográfico simples aonde listei os principais eventos nacionais e internacionais que representam risco aos seus participantes, baseado na minha percepção de risco de tas eventos.



Para fazer o gráfico acima, eu considerei os seguintes critérios:
  • Campus Party Brasil (São Paulo, Brasil): É um evento aonde frequentemente ouvimos relatos de roubo de equipamentos, embora a organização faça esforços constantes para evitar isso, como cadastramento dos notebooks, validados na revista e raio X na saída do evento. Mesmo com tais ações, os relatos de roubo são comuns. Entretanto, do ponto de vista de ciber ataque, eu considero o risco baixo;
  • Roadsec e BSides São Paulo (Brasil): são dois eventos que eu considero "paz e amor", principalmente pela postura positivista e inclusiva deles. Entretanto, mesmo nesses eventos podem acontecer roubos e ciber ataques eventualmente. Nas 15 edições da BSides São Paulo, já tivemos um caso de roubo de notebook;
  • H2HC (São Paulo, Brasil): é um evento hostil aonde podem acontecer ciber ataques contra participantes e são comuns vazamentos de dados de membros da comunidade de Segurança. Eu considero que a motivação da maioria destes ataques é o vandalismo, vingança e zoeira. Do ponto de vista de roubo de equipamentos, eu acho o risco um pouquinho alto, pela quantidade de nerds carregando equipamentos de valor, embora eu nunca tenha ouvido relatos de que isso já aconteceu;
  • RSA Conference (EUA): pelo seu tamanho gigantesco e grande público, é um ambiente propício para ataques massivos de ciber espionagem e, eventualmente, ciber crime. Acredito que roubos físicos são raros;
  • Black Hat e Defcon (EUA): pelo seu alto nível de sofisticação técnica, são eventos aonde os participantes podem ser alvos de ataques extremamente avançados, normalmente motivados por ciber espionagem (governamental e corporativa) ou eventualmente ciber crime. Acredito que nesses dois eventos os roubos físicos também são raros;
  • Alligator (Recife, Brasil): Este é um evento pequeno, só para convidados, aonde reina o interesse em criticar e, eventualmente, promover ataques a comunidade de segurança. Por estimular os participantes a fazer ataques e expor outras pessoas, eu considero este evento bem hostil. Mas, do ponto de vista de segurança física, eu imagino que o carater restrito e exclusivo do evento faça que a chance de roubo de equipamentos entre os participantes seja muito pequena;
  • Ekoparty (Buenos Aires, Argentina): Embora eu adore e recomende a Ekoparty pela altíssima qualidade técnica do evento e organização caprichada, infelizmente este é o evento que eu considero mais hostil em todo o mercado. Frequentemente ouvimos notícia de roubo de equipamentos,  eeu tenho dois colegas da área que já tiveram seu notebook roubado (um deles era palestrante naquela edição e seu computador foi roubado no palco). Além disso, a alta sofisticação técnica dos participantes também se traduz em ameaças igualmente sofisticadas. É o tipo evento aonde corremos o risco de ter nosso acesso celular interceptado por antenas GSM falsas. pior ainda: em 2016 um grupo de hackers Argentino estava ameaçando realizar ciber ataques contra os patrocinadores do evento. Ou seja, as mesmas empresas que apoiam e viabilizam o evento são hostilizadas. Conheço uma empresa que, por este motivo, decidiu não mais patrocinar o evento.


A minha intenção é que este artigo e este gráfico sirvam como alerta para as pessoas de que devemos ter cuidado ao participar de atividades ecxternas eventos. Não quero, de forma alguma, depor contra os eventos citados, pois em grande maioria são excelentes e muito importantes em nossa área. Mas, para evitar problemas desnecessários, é muito importante que os participantes avaliem os riscos previamente e se preparem para poder participar de eventos de tecnologia de forma segura, minimizando a chance de sofrer qualquer tipo de inconveniente.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.