março 31, 2019

[Segurança] Camadas de Segurança, segundo Maslow

Perdido em um paper da ENISA sobre terminologia de ciber segurança ("ENISA overview of cybersecurity and related terminology"), achei um trecho muito interessante sobre como abordar as principais necessidades de proteção de dados, baseada na Pirâmide de Maslow.

A proposta é adequar a estratégia de segurança aos diferentes níveis de necessidade quando estamos no ciber espaço, e assim pensarmos em categorizar de forma hierárquica nossas principais necessidades.



Dessa forma, a proposta da ENISA é considerar segurança pensando nas necessidades básicas de conectividade e segurança do indivíduo, da União Européia até chegar no topo da pirâmide, que é a segurança da sociedade (direitos humanos e democracia).
  • Camada 1: Basic security protection ("Proteções básicas de segurança) - Diz respeito a segurança e os riscos dos cidadãos / usuários no espaço cibernético, uma necessidade fundamental para pensar em segurança de todo o ecossistema cibernético. Nesta camada, medidas preventivas incluem a educação, conscientização e "higiene cibernética" (boas práticas básicas de segurança, como uso de firewall, anti vírus e sempre aplicar as atualizações e patches em seus equipamentos);
  • Camada 2: Critical asset protection (Proteção de ativos críticos) - Aborda a protecção dor serviços essenciais, ou seja, a Proteção das Infraestruturas Críticas de Informações (Critical Information Infrastructure Protection - CIIP). Inclui a estruturação e cooperação dos CSIRTs, fornecendo bases para a sociedade e a economia funcionarem;
  • Camada 3: Digital single market protection (Proteção do mercado único digital) - Esta camada representa a necessidade de proteger as empresas e seus negócios online, já que cada vez mais vemos a evolução das tecnologias e novas oportunidades para o desenvolvimento de negócios online. Com isso, a nossa dependência no ciber espaço aumenta, e consumidores e empresas podem ser impactados facilmente por ataques cibernéticos, crimes cibernéticos, sabotagem cibernética ou espionagem cibernética. Devem ser implementadas medidas de cibersegurança necessárias para apoiar as PMEs e empresas em geral e as PMEs;
  • Camada 4: Global stability protection (Proteção da estabilidade global) - Devemos manter a estabilidade da Internet frente a ameaças globais como guerra cibernética e espionagem cibernética, através de iniciativas de defesa cibernética baseadas em acordos internacionais através de regulamentações e acordos diplomáticos;
  • Camada 5: Democracy and human rights protection (Democracia e proteção dos direitos humanos) Envolve a proteção dos direitos humanos on-line, além da discussão sobre os impactos e aspectos éticos de novas tecnologias, produtos e serviços online. Nessa camada, devemos proteger os direitos humanos, as liberdades e a democracia no ciber espaço.
Segundo esse modelo, a segurança do ciber espaço é vista como o resultado de proteções que devem ser aplicados em vários níveis, partindo do indivíduo, passando pelos negócios e pelos governos até chegar na sociedade. A proteção do cidadão e das infraestruturas críticas é a base fundamental para o sucesso da sociedade digital, ainda mais se pensarmos em um contexto globalizado. Esse modelo, pensado inicialmente pela Enisa do ponto de vista da União Européia, certamente se aplica a uma escala global.

Curiosamente, há alguns anos atrás o meu amigo Fernando Fonseca também pensou em como associar a Pirâmide de Maslow as necessidades de de segurança durante um processo de continuidade de negócios. O seu artigo "Aplicando a pirâmide de Maslow ao Business Continuity Plan", escrito em 2007, usa uma abordagem totalmente diferente da ENISA. Ele discute como as necessidades humanas, em um momento de crise, devem ser levadas em consideração em nosso planejamento de BCP.

março 15, 2019

[Cyber Cultura] Arduino Day

Todo ano é realizado o Arduino Day, um dia para troca de conhecimentos sobre o Arduino, a principal plataforma de hardware aberto usada hoje em dia.

Neste ano, o Arduino Day acontece neste sábado, 16 de março. O site lista 655 eventos acontecendo simultaneamente em todo o mundo, em 105 países!


Então, que tal começar pelo vídeo abaixo, do canal Manual do Mundo, que dá uma visão rápida do que é, como funciona e o que você pode fazer com o Arduino?


Procure no site do Arduino Day se tem algum evento perto de você!

março 14, 2019

[Segurança] A internet sob ataque!

Corram para as montanhas!!!

Nesta quarta-feira, 13/02, ouvimos vários relatos de que o Facebook, Instagram e Whatsapp estavam fora do ar. De fato, em vários momentos durante o dia o acesso estava lento ou difícil. Em um determinado momento, eu percebi que não conseguia postar comentários no Facebook (embora continuasse navegando da rede social) e por muito tempo eu fiquei com dificuldade para enviar fotos no Whatsapp (embora as mensagens de texto fossem enviadas normalmente).


As suspeitas podiam ser validadas pelo site Downdetector.com, que mostrava, de faro, que haviam muitos reports de que o Facebook estava fora do ar.


Preocupante? Veja então o "alerta" que recebi em um grupo no Whatsapp:
"Um mega ataque hacker ocorrendo....
Orientamos que evitem usar internet banking e coisas que envolvam uso de cartões...
Pelo menos até amanhã."
"Especialistas" confirmaram o problema:


No twitter, o pessoal usou a hashtag #facebookdown para compartilhar memes :D

Mas, falando um pouco sério, o dashboard da página do Facebook para desenvolvedores também mostrava que, de fato, havia algum problema de disponibilidade:


PS: O screenshot acima eu tirei enquanto escrevia este artigo, está "fresquinho".

A causa do problema? Não há nenhuma explicação oficial, mas durante o dia eu vi e ouvi várias versões:
  • O Facebook estava sofrendo um grande ataque DDoS;


  • Foi um ataque DDoS da China contra os EUA;
  • Foi um DDoS feito por hackers russos;
  • Recebi em vários grupos um screenshot do Digital Attack Map mostrando o ataque DDoS vindo da China.
    • Mas pelo jeito ninguém percebeu dois detalhes: a data era de 12/03, o dia anterior ao ataque, e o maior volume de tráfego estava na Europa, e muito pouco nos EUA, aonde eu suponho que fiquem os datacenters principais do Facebook;


  • Vi compartilharem um post do próprio Facebook: "More Details on Today's Outage". Por favor, note que ele é de 2010; 
  • Vi um post dizendo que o Instagram, Facebook e whatsapp estariam fora porque o Facebook "colocou um treco pra analisar as fotos pra saber se são fake" e isso causou instabilidade nos serviços dele;
  • Recebi um vídeo com uma reportagem da Globo, afirmando que o Whatsapp iria ficar suspenso por 48 horas por ordem da justiça;
  • Compartilharam fake news de que o Facebook, Instagram e WhatsApp foram bloqueados por tempo indeterminado em razão de ataque em Suzano;

  • Segundo o relato de um amigo, ele ouviu de uma senhora no terminal de ônibus contar que "o WhatsApp está assim depois da tragédia de Suzano. Ela ligou pro marido e começou a explicar que eram muitas publicações e vídeos sobre a tragédia e isso travou o WhatsApp no Brasil".
Dentro dos próximos dias devemos saber a causa desse problema. No momento em que estou escrevendo esse post, não encontrei nenhuma fonte confiável para alguma explicação razoável (nem nas páginas do Facebook). Por isso me diverti coletando as especulações acima, e vendo como as pessoas não se preocupam em checar a fonte ou o tipo de informação que espalham.


No dia seguinte o Facebook disse que o problema foi causado por um errinho de configuração em seus servidores.


Isso não impediu que algumas piadas aparecessem:




Para saber mais:



OBS: Post atualizado em 31/03. Aproveitei e incluí alguns memes ;)

março 12, 2019

[Cyber Cultura] 30 anos de WWW

Há 30 anos atrás nasceu a World Wide Web (WWW, ou W3), uma forma de estruturar um sistema distribuído de informações, em que os documentos estivessem dispostos em diferentes lugares, porém interconectados. Em um documento datado de "Março de 1989", o cientista Tim Berners-Lee descreveu uma proposta para gerenciar os documentos existentes no CERN (European Organization for Nuclear Research), de forma que eles permanecessem distribuídos entre vários sistemas, mas interligados por uma estrutura baseada em hipertexto.


Em pouco tempo, a sua visão foi além de um simples sistema para organização de artigos acadêmicos dentro de uma instituição de pesquisas, e foi a base de um sistema universal de compartilhamento de informações.

O conceito de "hipertexto" ("hypertext", em inglês) já existia, como  um termo cunhado para indicar um texto exibido numa tela de computador que possuísse links para outros textos e referências, de forma que o leitor pudesse acessá-los imediatamente. A sacada foi juntar o conceito de juntar informações no formato de hipertexto, mas usando a Internet para conectar documentos em computadores sites distintos. A Internet, na época, engatinhava como uma rede para conectar computadores e, principalmente, troca manual de arquivos ou troca de mensagens via e-mail e chat. 

A World Wide Web de Tim Berners-Lee cresceu baseado em três pilares: o conceito de URL (uniform resource locator), usado como um endereço para indicar o local do documento desejado, o protocolo HTTP (hypertext transfer protocol), para acesso aos conteúdos hospedados nos servidores (acesso aos sites e suas páginas web), e a linguagem HTML (hypertext markup language), utilizada para formatar o conteúdo das páginas Web e seus links.

A World Wide Web se popularizou e virou sinônimo de "Internet", hoje alcançando mais de 1,5 milhão de web sites em todo o mundo.


Veja algumas datas importantes:
  • 1965 - Ted Nelson cria o termo "Hypertext";
  • Março de 1989 - Sir Tim Berners-Lee apresentou sua primeira proposta para o que se tornou a World Wide Web, enquanto trabalhava no CERN. Ele reenviou uma versão ligeiramente editada em maio de 1990;
  • Novembro de 1990 - Tim Berners-Lee, juntamente com o colega do CERN, Robert Cailliau, apresentou uma proposta formal de gerenciamento para a "World Wide Web";
  • Dezembro de 1990 - Surge o primeiro browser, website e servidor do mundo, funcionando no CERN. Tim Berners-Lee já havia definido os conceitos básicos da Web (o HTML, o HTTP e a URL). O primeiro servidor web do mundo (info.cern.ch) rodou em um computador NeXT no CERN, e a primeira página web do mundo fornecia informações sobre o projeto da World Wide Web;

  • Agosto de 1991 - Tim Berners-Lee anunciou seu software WWW em newsgrups e o interesse pelo projeto se espalhou para além da comunidade de físicos. O primeiro anúncio aconteceu em 6 de agosto de 1991 no grupo alt.hypertext, de entusiastas sobre hipertexto. Ele descreveu o projeto e forneceu instruções para obter o software do CERN;
  • Dezembro de 1991 - Em 12 de dezembro de 1991, o primeiro servidor Web fora da Europa foi instalado no Stanford Linear Accelerator Center (SLAC) na Califórnia. Forneceu acesso a SPIERS, um banco de dados com informações para cientistas que trabalham em HEP (High Energy Physics), incluindo a capacidade de procurar publicações;
  • Janeiro de 1992 - O software WWW no CERN havia amadurecido desde um protótipo inicial até um serviço útil e confiável, em produção. Por meio de uma newsletter do CERN, milhares de cientistas aprenderam como poderiam usar a Web para acessar um conjunto útil de informações, por exemplo, números de telefone, endereços de e-mail, grupos de notícias, bem como documentação de computação e software;
  • Setembro de 1992 | O projeto já contava com um número pequeno, mas crescente, de servidores e navegadores Web, localizados principalmente em sites acadêmicos colaborando com o CERN;
  • Janeiro de 1993 - Primeiro pré-lançamento do navegador Mosaic, do Centro Nacional de Aplicações de Supercomputação (NCSA), na Universidade de Illinois. O primeiro lançamento oficial foi em 21 de abril de 1993, e rapidamente ganhou popularidade, tornando-se o navegador preferido, com sua interface gráfica fácil de usar e fácil instalação. Inicialmente funcionando em sistemas Unix com interface X-Window, as versões do Mosaic para PC e Mac surgiram no final daquele ano;
  • Abril de 1993 - O CERN emitiu uma declaração colocando a Web no domínio público. No final de 1993, havia mais de 500 servidores da Web conhecidos, e o WWW representava 1% do tráfego da Internet;
  • Dezembro de 1994 - A Web já contava com 10.000 servidores (dos quais 2.000 eram comerciais) e 10 milhões de usuários em todo o mundo;
  • Setembro de 2014 - A Web atinge a marca de 1 bilhão de websites.

O vídeo abaixo mostra uma breve história da web:


O vídeo abaixo mostra rapidamente como foi a evolução das tecnologias que nos fizeram chegar até a Internet que temos hoje:


Para saber mais:

março 08, 2019

[Cidadania] Donas da Rua

Não há melhor forma de celebrar o dia das mulheres do que divulgar a excelente campanha "Donas da Rua" criado pelo Mauricio de Sousa Produções, responsável pela nossa Turma da Mônica.

O projeto usa personagens femininos da Turma da Mônica para empedrar as meninas através de histórias e exemplos de mulheres e meninas do Brasil e do mundo. Com isso, eles querem mostrar que as mulheres podem exercitar seu direito de ser o que quiserem e ajudam elas a entender melhor conceitos como empoderamento e igualdade de oportunidades.


Entre outras coisas legais, no site eles contam a história de várias mulheres famosas e importantes, como a Ada Lovelace, com sua versão em personagem da Turma. E também tem alguns pôsteres muito legais, inclusive para colorir.


Nas palavras deles, "O projeto Donas da Rua acredita que as meninas fortes de hoje serão as mulheres incríveis de amanhã."

Vamos torcer para que essa iniciativa ajude a contribuir para que os direitos das meninas sejam respeitados, e que elas se sintam livres e capazes de ser o que quiserem ser.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.