novembro 29, 2019

[Segurança] Segurança em camadas

A piadinha abaixo rodou em alguns grupos de segurança há pouco tempo atrás...


Brincadeiras a parte, uma boa prática dentro da estratégia de "segurança em camadas" é de misturar produtos similares de diferentes fabricantes, pois assim eles podem se complementar - uma deficiência de proteção em um produto pode ser compensada por outro fabricante.

Essa estratégia é muito comum para proteção contra vírus, usando uma solução de um fabricante no seu servidor de e-mail e/ou proxy, e outro fabricante nos endpoints (desktops e notebooks).

Mesmo no mundo de segurança de rede, também é relativamente comum utilizar o Firewall de um determinado fabricante na borda com a Internet, e uma solução de outro fabricante entre a DMZ e a rede interna.

novembro 28, 2019

[Cyber Cultura] Criptofesta SP

O pessoal da CryptoRave vai realizar nesse ano um evento novo, a Criptofesta! Esse é um evento de uma tarde inteira com oficinas e palestras básicas sobre segurança digital e privacidade online, a partir das 12h do sábado, 07/12.


A Criptofesta é aberta para todos os públicos e gratuito (não é necessário se inscrever para participar das atividades). O tema é vazamentos de informação e, além de fala especial sobre o tema, vai rolar diversas atividades, tais como:
  • Como armazenar dados seguramente
  • Oficina de criptografia de email com GPG
  • Securizando seu sistema
  • Tails: Sistema operacional portatil, anônimo e amnésico
  • Oficina sobre anonimato online e anti-censura
  • SecureDrop
  • Relato sobre a perseguição a Ola Bini
  • Install Fest
  • Confessionário Hacker
  • Oficina de comunicação segura com Signal
O que seria um "Confessionário Hacker"? Também fiquei curioso e gostaria de saber!

A Criptofesta São Paulo acontece no dia 7 de dezembro, a partir das 12h, na Biblioteca Mário de Andrade, perto do metrô Anhagabaú. Será um evento mais curto do que a Cryptorave, sem virar a noite.

Anota aí!!!
  • Página do evento no Facebook
  • Quando? Sábado, 07 de dezembro, a partir das 12h
  • Onde? Biblioteca Mário de Andrade, R. da Consolação, 94 - República, São Paulo - SP

novembro 27, 2019

[Segurança] Lançamento da Norma ABNT 27701 sobre gestão da privacidade

Essa é uma ótima notícia para todos interessados em proteção da privacidade e proteção aos dados pessoais, além das empresas que estão se preparando para a LGPD!

 No dia 09 de dezembro a ABNT fará um evento para comemorar o lançamento da nova norma "ABNT NBR ISO/IEC 27701 - Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e diretrizes". Recentemente esta norma foi traduzida da sua versão original em Inglês e aprovada em consulta nacional. Ela já está disponível para compra no site da ABNT.

Segundo Ariosto Farias Jr., coordenador da Comissão de Estudo CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27, essa norma enquadra-se no conceito de "Market Driven Standard (MDS)", ou seja, é uma norma que representa os anseios do mercado e da sociedade, em decorrência das recentes regulamentações sobre privacidade de dados pessoais, principalmente o Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia (GDPR) e a nossa Lei Geral de Proteção de Dados Pessoais (LGPD) - que entrará em vigor em agosto de 2020.


Essa é uma norma internacional, direcionada aos controladores e operadores de dados pessoais. Ela apresenta requisitos e diretrizes normativos específicos relacionados a controles de privacidade, adicionando novas recomendações aos requisitos já existentes na norma 27001 e as diretrizes da 27002. Os controles e medidas de prevenção sugeridos na 27701 podem ajudar as organizações a tratar as questões de privacidade, através da implementação, operação, manutenção e melhoria contínua de um Sistema de Gestão da Privacidade da Informação (SGPI). A norma está alinhada a GDPR e a LGPD, e inclusive está adequada a terminologia local, definida na LGPD.

O evento de lançamento da 27701 será nas 15h do dia 09/12, na sede da ABNT na Rua Conselheiro Nébias, 1.131 (Campos Elísios). Na ocasião, haverá algumas edições impressas da norma disponíveis para compra.

Para saber mais:

novembro 26, 2019

[Cidadania] Brasilsplaining

Durante um debate sobe racismo no programa Papo de Segunda, o Emicida deu nome bem humorado a um fenômeno muito comum hoje em dia nas redes sociais:

Brasilsplaining


Segundo Emicida, "o Brasilsplaining é quando você vai explicar para o Papa o que é Catolicismo, vai explicar para os Alemão (sic) o que é Nazismo, e vai explicar para os preto (sic) o que é racismo".

Essa fala aconteceu aos 11m51s do vídeo.


Esse fenômeno foi muito frequente durante as últimas eleições presidenciais, quando o país estava dividido em dois polos extremos, quando as discussões deixaram de seguir um padrão racional para virar uma batalha de opiniões infundadas e fake news. Virou piada, por exemplo, quando brasileiros questionaram o governo Alemão sobre o significado do nazismo - ou melhor, virou vergonha mesmo ("Fremdschämen"). Não é a toa que, segundo dados de 2017, "os brasileiros ficaram em 2º lugar no ranking de ignorância sobre a realidade". Só perdemos para sul-africanos em termos de percepção distorcida sobre a realidade.

Teve um fato recente que me motivou a escrever esse post: enquanto discutia no Instagram sobre o significado do termo "hacker", quando eu citei o Jargon File e o MIT como referência, recebi como resposta de uma pessoa que, pelo jeito, conhece mais sobre o MIT do que o próprio MIT, como mostra o comentário "Por exemplo, os caras lá do mit railroad club com o lance de controlar o trem com o equipamento telefonico ... muitos dizem q ali foi a origem do termo hacking como usamos ... Na minha opinião os caras estavam apenas se divertindo". Brasilsplaining!!!

novembro 25, 2019

[Segurança] Hackers are people too

Recentemente eu fiquei maravilhado ao assistir esse documentário, "Hackers are people too":


Este documentário de 2008, gravado até mesmo de um jeito um pouco tosco, fala de uma forma bem interessante sobre o que é a comunidade hacker. O vídeo inclui depoimentos de diversos profissionais da área, incluindo alguns famosos. Também percebe-se que algumas cenas foram gravadas durante a Defcon - e, para quem curte o evento, pode ver um pouquinho as diferenças e similaridades da Defcon de hoje e de 10 anos atrás.

novembro 22, 2019

[Cidadania] O Silêncio dos Homens

O Novembro Azul é uma campanha para incentivar os cuidados de saúde na população masculina. Também é um ótimo momento para refletirmos sobre os desafios e dificuldades de assumir o papel de homem que nos é imposto pela sociedade e pela nossa cultura.

Em vista disso, o pessoal do projeto Papo de Homem fez um documentário sensacional, chamado "O silêncio dos homens".


O vídeo é longo, dura 60 minutos, mas vale muito a pena ser assistido.

O documentário é baseado em uma pesquisa com 47.002 pessoas. Eles concluem que os homens são forçados a esconder seus problemas, em troca de manter uma figura masculina importa pela sociedade. Como resultado, eles concluem que "Os homens sofrem, mas sofrem calados e sozinhos".

Esse estudo trás várias estatísticas que são apresentadas no decorrer do documentário, além de histórias emocionantes, que nos fazem pensar sobre nosso papel na sociedade e como os homens também precisam de apoio. O fechamento emocional atua como uma camisa de força para muitos homens, tornando ainda mais difícil tudo que enfrentam no dia a dia.

Veja algumas das estatísticas:

  • 6 em cada 10 homens entrevistados declaram lidar com algum tipo de distúrbio emocional, tais como ansiedade, depressão, insônia, vício em pornografia, álcool, drogas, comida, apostas e jogos eletrônicos;
  • 83% das mortes por homicídios e acidentes no Brasil são de homens;
  • Os homens se suicidam quase 4 vezes mais do que as mulheres;
  • 17% dos homens lida com algum nível de dependência alcoólica;
  • Quando sofrem um abuso sexual, os homens demoram em média 20 anos até contar isso pra alguém;
  • Cerca de 30% dos homens enfrentam ejaculação precoce ou disfunção erétil;
  • Homens são 95% da população prisional no Brasil, sendo que a maior parte dos encarcerados são jovens, periféricos e com ausência de figura paterna.

Por tudo isso, esse documentário é um convite para abrir nossos corações e termos conversas sinceras com nossos amigos, amigas, esposas, esposos, familiares, filhos, parceiros de trabalho. Esse é um movimento de coragem, coragem para assumir responsabilidade, para escutar as mulheres, para sermos vulneráveis e nos ajudarmos a construirmos vidas melhores.

Outro vídeo muito bom do programa Papo de Segunda, relacionado com esse tema, é de um debate sobre a dificuldade de se colocar no ponto de vista dos outros: "Empatia: como praticar e entender o outro no dia a dia?". Nesse programa eles debatem o filme nacional "A Vida Invisível", de 2018, e o difícil exercício de compreender e se colocar no lugar de quem você não concorda e não gosta.


novembro 21, 2019

[Cyber Cultura] Hacker, s.m+f.

Eu já escrevi sobre a amplitude do termo hacker outras vezes. Mas, devido a uma conversa recente no grupo do telegram da H2HC, resolvi reproduzir aqui meus comentários na ocasião. É comum, dentro da comunidade de segurança, que seja recusada e hostilizada qualquer definição do termo hacker que não seja relacionado ao especialista em segurança, com conhecimentos de invasão de sistemas ou pesquisa de vulnerabilidades.

O que acontece é que a comunidade de segurança tomou para si o termo “hacker” como se o seu significado estivesse restrito exclusivamente a capacidade de invasão de sistemas. Eu imagino que talvez isso tenha acontecido por causa da mídia, quando a partir dos anos 80 ela começou a chamar de hacker qualquer tipo de crime ou ataque online.

Mas a definição do termo hacker e da cultura hacker vai muito além do mundo de segurança. O Jargon File, um glossário de termos de tecnologia criado originalmente no MIT (o mesmo pessoal que criou a cultura hacker), lista 8 definições do termo hacker (além de uma zero-ésima definicão, do “termo original”):
[originally, someone who makes furniture with an axe]

1. A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary. RFC1392, the Internet Users' Glossary, usefully amplifies this as: A person who delights in having an intimate understanding of the internal workings of a system, computers and computer networks in particular.

2. One who programs enthusiastically (even obsessively) or who enjoys programming rather than just theorizing about programming.

3. A person capable of appreciating hack value.

4. A person who is good at programming quickly.

5. An expert at a particular program, or one who frequently does work using it or on it; as in ‘a Unix hacker’. (Definitions 1 through 5 are correlated, and people who fit them congregate.)

6. An expert or enthusiast of any kind. One might be an astronomy hacker, for example.

7. One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations.

8. [deprecated] A malicious meddler who tries to discover sensitive information by poking around. Hence password hacker, network hacker. The correct term for this sense is cracker.
Para entender a diversidade de significados, basta ver a história do surgimento da cultura hacker e do termo hacker: ele surgiu no final dos anos 1950 e início da década de 60 no Tech Model Railroad Club (TMRC) do MIT - um grupo de ferromodelismo interessado em automação eletrônica, muito antes dos computadores, da Internet.


Olha o que eles dizem sobre o significado de "hacker":
"We at TMRC use the term "hacker" only in its original meaning, someone who applies ingenuity to create a clever result, called a "hack". The essence of a "hack" is that it is done quickly, and is usually inelegant. It accomplishes the desired goal without changing the design of the system it is embedded in. Despite often being at odds with the design of the larger system, a hack is generally quite clever and effective."
Na minha opinião, pensar em qualquer definição de hacker associada somente ao mundo de segurança limita a nossa capacidade de enxergar, compreender, viver e expandir ainda mais a cultura hacker. Além do mais, o termo hacker é genérico o suficiente para abraçar vários tipos de hackings, como os hackerspaces, o Hacktivismo, que foi moda nos anos 2010 - 2012 e o Biohacking, por exemplo, que quase ninguém falava há poucos anos atrás.

Não é a toa que eu sou fã da frase do Filipe Balestra, dita em Fevereiro de 2018 durante uma discussão no extinto grupo do Roadsec no Telegram: "Hacker Hackeia" (que, a propósito, virou uma linda camiseta da H2HC). Na minha opinião essa frase é simples e genérica o suficiente para traduzir o espírito da cultura hacker, de "hackear" tudo e qualquer coisa a nossa volta.

Enfim, o termo hacker foi criado lá no final dos anos 50. Daqui a 70 anos provavelmente ainda estaremos discutindo o seu significado.

PS: A propósito, gostei da definição do dicionário Michaelis, que inclusive caracteriza a palavra Hacker como um "substantivo masculino e feminino" (conforme coloquei no título desse post): "Indivíduo que se dedica a entender o funcionamento interno de dispositivos, programas e redes de informática com o fim, entre outras coisas, de encontrar falhas em sua segurança ou conseguir um atalho inteligente que possa vir a resultar em um novo recurso ou ferramenta".

novembro 20, 2019

[Cidadania] Machado de Assis era negro

Como hoje (20/11) é o feriado da consciência negra, me chamou a atenção uma matéria no site Catraca Livre de Julho desse ano sobre uma ação para destacar que Machado de Assis, um dos maiores escritores  brasileiros, era um homem negro.

A Faculdade Zumbi dos Palmares e a agência Grey criaram o movimento “Machado de Assis Real”, divulgando fotos do escritor com sua cor de pele original, da forma que ele deveria ser retratado nos livros de história. Mas, em algum momento, Machado de Assis foi empalidecido pela sociedade - e essa ação vem no sentido de “corrigir o racismo na literatura brasileira”. O site disponibiliza para download imagens em vários formatos do Machado de Assis negro.


"Machado de Assis.

O maior nome da história
da literatura brasileira.

Jornalista, contista, cronista,
romancista, poeta, teatrólogo.

E o que poucos sabem: negro.

O racismo no Brasil escondeu
quem ele era por séculos.

Sua foto oficial, reproduzida
até hoje, muda a cor da sua pele,
distorce seus traços e rejeita sua
verdadeira origem.

Machado de Assis foi embranquecido
para ser reconhecido. Infelizmente.

Um absurdo que mancha
a história do país.

Uma injustiça que fere
a comunidade negra."
(fonte: MachadodeAssisReal)

O interessante é ver que, há poucos dias atrás, o mesmo Catraca Livre publicou uma notícia sobre uma exposição no Farol Santander em homenagem ao Machado de Assis, e na imagem utilizada na matéria, estava a reprodução de um quadro aonde ele aparece branquinho, confirmando que existem ilustrações que escondem a real cor de pele do escritor!



Em poucas palavras, Machado de Assis (ou melhor, Joaquim Maria Machado de Assis) foi um escritor brasileiro, nascido no Rio de Janeiro em 21 de junho de 1839, falecido em 29 de setembro de 1908. É considerado um dos maiores nomes da nossa literatura, com dez romances (incluindo Memórias Póstumas de Brás Cubas, Quincas Borba e Dom Casmurro, entre outros), duzentos contos, dez peças teatrais, cinco coletâneas de poemas e sonetos, e mais de seiscentas crônicas. Além disso, ele fundou e foi o primeiro presidente unânime da Academia Brasileira de Letras. (fonte: Wikipedia)

A cor de pele é mais importante do que suas obras? Não deveria ser! Mas, o fato do Machado de Assis ter sido "esbranquiçado" nos livros de história, mostra que sua origem negra incomodou muita gente :(

novembro 19, 2019

[Carreira] Como tornar as reuniões mais produtivas

Reuniões sempre foram um grande drama corporativo. Em todas as organizações, boa parte do tempo dos funcionários é despendido em reuniões - e é comum ouvir reclamações sobre isso.

Não é a toa que todo mundo odeia ser convocado uma reunião, pois é muito frequente participarmos de reuniões aonde você nada tem a ver com o assunto, ou você só é necessário em um ponto específico. Isso sem falar que é comum você ser convocado para participar em reuniões que você nem sabe o tema. O convite chega e você não tem opção a não ser aceitar e esperar para ver o que vai ser discutido. Me parece que as pessoas acham que manter o segredo sobre a pauta da reunião aumenta o interesse das pessoas, ou aumenta a expectativa... sei lá... :(

Recentemente li um artigo sobre "como tornar as reuniões de condomínio menos chatas" que traz alguns pontos muito importantes sobre como melhorar a dinâmica das reuniões, e essas dicas podem ser aplicadas para qualquer reunião:
  • Antes de mais nada: toda reunião tem que ter uma pauta e uma ata. A pauta serve para descrever, com antecedência, quais assuntos serão discutidos na reunião. Quanto mais detalhada for a pauta, melhor as pessoas podem se preparar para a reunião e, acredite, isso torna as discussões mais rápidas e objetivas;
  • Durante a reunião, faça a ata, transcrevendo o que está sendo discutido e, principalmente, as conclusões e próximas tarefas. Ao final, compartilhe a ata com todos os participantes. A ata serve para formalizar as decisões que foram tomadas, e pode ser utilizada para cobrar uma ação ou, simplesmente, dar continuidade ao assunto na próxima reunião Além do mais, a ata permite que as pessoas que não estavam presentes possam acompanhar o que foi discutido e decidido, evitando que um determinado assunto sempre volte nas reuniões seguintes;
  • Ritmo: a pauta precisa ser listada com antecedência e os assuntos devem ser organizados por prioridade e similaridade. Durante a reunião, todos devem colaborar para que os assuntos sejam debatidos e definidos sem enrolação;
  • Descontração: não é necessário falar com rigor e vocabulário formal. O bom senso deve prevalecer na hora de descontrair o ambiente. Mas cuidado, porque descontração em excesso causa distração;
  • Empatia: essencial para chegar em concordâncias, as pessoas devem tentar se colocar no lugar umas das outras para entender melhor os assuntos tratados e trabalharem por uma decisão que seja boa para ambas as partes. O consenso é melhor do que uma decisão imposta por votação;
  • Ordem: Comece a reunião pelos assuntos mais importantes e urgentes, assim você garante que eles sejam tratados e que as pessoas que estiverem sem tempo poderão participar das decisões críticas antes de saírem da reunião;
  • Cafézinho: depois que os apressados saírem, por que não fazer um coffee break? Pausas assim incentivam a harmonia entre os moradores;
  • Use a Tecnologia a seu favor: hoje em dia é muito fácil preparar e adiantar muitas pautas com a utilização de ferramentas na Internet, como enquetes, grupos de discussão ou mesmo listas de e-mail.

novembro 17, 2019

[Segurança] Eventos de segurança, códigos de conduta e exclusão

Durante o final da última edição da conferência NullByte, no sábado dia 09/11 em Salvador (BA), os organizadores realizaram um debate sobre a comunidade hacker (*), mas que infelizmente saiu do controle e deixou muitos ânimos exaltados e algumas feridas.

(*) Por "comunidade hacker" e "hacking", nesse contexto, entenda-se a comunidade de pessoas interessadas no aspecto ofensivo de segurança da informação.

Como o assunto é longo e delicado, eu resolvi dividir esse post em vários tópicos. E, como a história do ocorrido é um pouco longa, eu deixei o detalhamento dela para o final. Também não vou citar os nomes das pessoas, em respeito a privacidade dos envolvidos.


Qual foi a treta da NullByte?

No final do evento, antes do horário programado para seu encerramento, os organizadores anunciaram que realizariam um debate de encerramento, e então três pessoas subiram ao palco (todos muito bem conhecidos do mercado de segurança nacional). Logo no início me chamaram também para o palco, e eu que estava confortavelmente acomodado no fundão, acabei indo e me posicionando num dos cantos do palco.

A minha impressão pessoal foi de que a intenção era discutir os limites éticos das pesquisas em segurança e a importância dos eventos para as comunidades locais (de novo, esse é o meu "achômetro"). Mas a primeira pergunta do debate já levou para um caminho diferente...

Resumindo a treta em um pouco mais de um tweet, um dos mediadores perguntou se "os eventos de segurança deveriam ter um código de conduta", e imediatamente começou a discussão que os eventos de segurança não são inclusivos. Rapidamente a discussão escalou para temas como preconceito, machismo, e alguns participantes se exaltaram. Em poucos minutos, começou uma gritaria entre meia dúzia de pessoas, com acusações verbais, dedo na cara (aparentemente rolaram até ameaças). Assim que o caos se instalou e a conversa virou bate-boca, a organização do evento interviu, interrompeu a discussão e argumentou que, na NullByte, o que importa é o hacking, e não o tipo de pessoa, e que qualquer tipo de preconceito seria repudiado pela própria comunidade.

Não me levem a mal: até naquele momento eu tinha achado que, apesar de tudo, o debate tinha sido bom porque fez com que algumas pessoas começassem a se preocupar com a diversidade no mercado e a necessidade de haver mais respeito a todos.

Pouco tempo depois, em poucas horas, apareceram várias críticas no Instagram do evento (na última vez que eu vi tinham 58 comentários, mas todos foram apagados) e algumas discussões em grupos online. Alguns dias depois surgiu um post no Medium sobre o ocorrido, com título "O Hacking está morto", que também foi tirado do ar.



Existe inclusão no mercado e segurança?

Claro que não! Lamentavelmente, o mercado de segurança, assim como o mercado de tecnologia, é extremamente machista e preconceituoso. Há poucas mulheres na área, poucos negros e raramente alguém tem coragem de declarar a sua opção sexual se ela for diferente de "heterosexual". A comunidade hacker de segurança, assim como o nosso mercado, é dominado pelo macho alpha hackudo, que invade tudo e faz leak de todo mundo.

Mas a culpa não é dos profissionais de segurança em si. Muito do preconceito e do desrespeito está enraizado em nossa sociedade e nossa cultura, além disso, o mercado de tecnologia, engenharia e ciências exatas é majoritariamente masculino. Muitas vezes somos preconceituosos e desrespeitosos sem perceber: aquela piadinha sobre mulher gostosa ou sobre alguém ser gay pode, muitas vezes, soar de forma desrespeitosa para uma pessoa que testemunhe a piada.

Ou seja, a nossa sociedade machista e preconceituosa, que nos cerca e está presente no nosso dia-a-dia, molda nosso comportamento (consciente ou subconsciente) e, por sua vez, ttendem a moldar o nosso relacionamento dentro da comunidade.

Em tecnologia isso é muito claro! Infelizmente, não é a toa que vemos poucas mulheres, poucos negros e poucas pessoas LGBT no mercado, e raros são os casos que chegam a ocupar cargo de gestão ou destaque profissional.


A cultura hacker é inclusiva?

Sim, por mais estranho que pareça, eu acredito que a cultura hacker é inclusiva. Principalmente porquê a cultura hacker é fortemente baseada na meritocracia: você vale pelo seu conhecimento, o famoso "show me the code".

Em uma cultura baseada fortemente na interação virtual, online (como nos fóruns no IRC, fóruns online e redes sociais), muitas vezes interagimos com uma pessoa por vários anos sem conhecer-la pessoalmente. O seu nickname e seu conhecimento fala mais sobre você do que sua foto, seu rosto, seu nome verdadeiro, sexo ou condição social.

Mas, infelizmente, o mundo real é injusto, extremamente preconceituoso. Nossa sociedade é repleta de várias nuances de preconceito e exclusão, que acabam moldando a nossa cultura e nosso comportamento. Quando uma comunidade inclusiva no mundo virtual se relaciona no mundo real, os preconceitos enraizados em nossa sociedade começam a se manifestar. O negro vale menos do que o branco, o gay vira motivo de piadas, o sexismo impera: a mulher é considerada menos capaz e é sexualizada.


Eventos de segurança precisam de código de conduta?

Sim, precisam. Precisam para tentar garantir um ambiente respeitoso e "seguro" para seus participantes, independente de sexo, cor, religião, opção sexual ou qualquer outra coisa. O Código de Conduta é importante para que as pessoas saibam que, se acontecer algum problema de assédio, preconceito ou desrespeito, as vítimas tem a quem pedir ajuda e a organização está se comprometendo a oferecer um canal de atendimento.

Eu, particularmente, não acredito que a simples existência de um Código de Conduta consegue resolver o problema do preconceito. Principalmente porque, aqui no Brasil, temos a triste cultura de desrespeitar  as leis quando nos convém (ou, pelo menos, ignorar). Se o Brasileiro já desrespeita as leis do país, porque iria respeitar um código de conduta de um evento qualquer?

Mas, como disse, o código de conduta mostra que a organização assume a responsabilidade de tratar os casos de desrespeito - ou seja, o caso vai ser investigado e, se necessário, o agressor pode ser punido dentro dos limites estabelecidos.

Falando em termos mais chulos... Um código de conduta não vai impedir que uma pessoa escrota seja escrota ou se comporte como tal. Mas vai mostrar a todos que a organização não aceita esse tipo de comportamento e se compromete a agir caso alguém se comporte de forma escrota.

Falando em termos técnicos da comunidade de infoseg, o código de conduta é como um "plano de resposta a incidentes": se acontecer algum problema, a organização se compromete a agir, seguindo regras e um procedimento pré-determinado.


É possível ser inclusivo em tecnologia?

Claro que sim! E é muito fácil: lembra que a comunidade hacker é guiada pelo mérito, pela conhecimento e pela "façocracia"? Temos que exercitar mais o discurso de que o seu conhecimento técnico importa mais do que sua cor de pele, sexo ou opção sexual. Temos que tirar isso do papel, e realmente respeitar o colega pelo seu conhecimento.

Tecnicamente, a solução parece fácil. Mas temos também que exercitar o respeito ao próximo. Temos que deixar de lado o discurso vitimista e o discurso de que "isso não acontece aqui" e começar a enxergar melhor o coleguinha ao lado. Viver em harmonia significa respeitar e tolerar as diferenças. Significa, por exemplo, evitar uma piada machista, e significa também tolerar uma piada machista quando ela acontece de forma esporádica e sem objetivo consciente de ofender.


O Código de Conduta é suficiente para garantir um evento inclusivo?

Não! Ser um evento inclusivo e seguro significa existir um clima aonde todas as pessoas se sintam acolhidas e respeitadas.

O Código de Conduta é um dos passos para atingir isso. Outro passo é as pessoas agirem de forma respeitosa com seus colegas. Outro passo, é tentar enxergar o lado dos outros, em vez de impor sua visão e sua opinião. Outro passo, mais difícil, é conseguirmos ter maturidade, como pessoa, para identificar e evitar daqueles comportamentos preconceituosos e nocivos que estão enraizados em nós, fruto da influência da nossa sociedade. Sim, isso é um auto-policiamento constante.

Para construir um ambiente seguro e inclusivo, temos que, na verdade, construir um ambiente artificial, diferente do mundo real lá fora. Temos que, de forma arbitrária, reforçar comportamentos positivos e criar mecanismos que ajudem a evitar os comportamentos negativos. Temos que nos educar e nos policiar para que isso aconteça.

Porque será que é tão difícil tentar entender as dores das outras pessoas? Eu já percebi que é muito difícil, para alguém que faz parte de um grupo majoritário, perceber os momentos em que age como tal. Pior ainda se o comportamento opressor fizer parte da cultura vigente. Por exemplo... Em muitos casos é difícil para um homem, por si só, perceber quando está sendo machista ou desrespeitoso com as mulheres.


Ok, mas dê mais detalhes de como foi a treta no dia do evento!

O meu report abaixo é baseado no meu ponto de vista do ocorrido. Logo, pode haver imperfeições, principalmente porque eu estava no lado oposto do palco no momento que a treta escalou estratosfericamente. Atém do mais, a situação saiu de um debate para um bate-boca muito rápido, toda a situação durou pouco mais mais do que 15 ou 20 minutos. Quando percebemos, o estrago já estava feito!

Como disse anteriormente, no final do evento os organizadores anunciaram que fariam uma atividade extra, um debate sobre a comunidade. Para atiçar os ânimos, primeiro projetaram uma foto "engraçada" de um dos organizadores, e em seguida, um anúncio da própria NullByte, de um palestrante de uma edição anterior, que é organizador de outro evento de segurança.

No início do debate, um dos mediadores abriu a discussão perguntando se haveria necessidade de ter código de conduta em eventos de segurança. Falou-se rapidamente alguma coisa sobre a cultura hacker não ter limites e em seguida o microfone foi passado para mim. Neste momento, inconscientemente, eu dei início a discussão.

Ou seja, os mediadores levaram a caixa de pandora até o palco, destrancaram ela e eu a abri...

Na minha resposta, eu comecei dizendo que acredito que um Código de Conduta é pouco eficiente pois o brasileiro, culturalmente, não respeita as leis. Mesmo assim, acredito que ele é importante para garantir um espaço seguro para as minorias, e disse também que eu já ouvi várias vezes que as mulheres evitam ir nos eventos de segurança pois sentem-se desrespeitadas.

Nesse momento começou a discussão sobre inclusão e respeito nos eventos de segurança (ou melhor, "exclusão e desrespeito").

Inicialmente 2 garotas foram ao palco e disseram que nunca sofreram nem viram acontecer nenhuma situação de desrespeito. Logo em seguida, duas outras se levantaram da platéia e foram até o palco para dizer o contrário: que o clima é machista e preconceituoso. Uma delas relatou uma situação, em outro evento, em que ela se sentiu desrespeitada e, por isso, ficou 2 anos sem frequentar eventos.

Neste momento, já havia começado a discussão aonde vários homens, héteros, diziam que o desrespeito não acontecia e que os eventos eram inclusivos, o que era negado pelas duas garotas. Aparentemente, uma delas se referiu ao público da Nullbyte como "um bando de machos" (eu não ouvi essa frase ser dita), o que deixou um dos organizadores transtornados e que criticou ser chamado de "macho" por sua história pessoal (ele foi criado pela mãe e irmã, e por isso acredita que sempre soube respeitar as mulheres).

Para jogar mais gasolina nos ânimos exaltados, uma pessoa levantou a questão do preconceito contra a comunidade LGBT, e citou o comentário de um palestrante como exemplo de desrespeito: ele havia mostrado seu código cheio de marcas coloridas e havia dito que o código estava "gay" (eu não ouvi essa frase ser dita pelo palestrante). O palestrante ficou surpreso e imediatamente se desculpou, dizendo que sua intenção não era ofender.

Neste momento, passados poucos minutos após o início dos debates, a discussão escalou rapidamente entre um grupinho em um dos cantos do palco, oposto aonde eu estava. Estavam as duas garotas acusando o evento de ser machista, o rapaz acusando de homofobia e alguns presentes e um dos organizadores defendendo ferozmente o evento.

Embora houvessem 2 microfones para conduzir as conversas, as pessoas deixaram os microfones de lado e começaram a aumentar o tom de voz, o que rapidamente se transformou numa gritaria. Nesse momento, pelos relatos que surgiram depois, alguns rapazes começaram a apontar os dedos para as mulheres. Em termos de gritaria, posso garantir que todo mundo gritou com todo mundo - o caos era generalizado.

Percebendo que a conversa tinha virado bate-boca, um dos organizadores tomou o microfone, pediu silêncio a todos e interrompeu o debate. Para se posicionar, naquele momento ele disse que essa discussão não deveria ocorrer, que a NullByte não era o lugar para que ela acontecesse pois, na visão dele, o evento era inclusivo e respeitava a todos. Segundo ele, o evento respeita todos pelo seu conhecimento técnico, independente de sexo, cor de pele, religião, etc. "Se um ET submeter uma apresentação boa no CFP, ele vai palestrar" - foi dito mais ou menos dessa forma. Al/em disso, completou, a comunidade hacker se auto-regula e qualquer pessoa que faça algo errado será expulso pela própria comunidade.

Após o fim do evento, a discussão foi para as redes sociais. No perfil da NullByte no Instagram, surgiram vários comentários exigindo que o evento se posicionasse sobre o assunto e repudiasse uma suposta agressão contra as mulheres presentes. Estes comentários foram removidos e não estão mais online. Alguns dias depois, uma das mulheres que estavam presente publicou um post no Medium, com título provocativo de que "O Hacking está morto",  criticando a postura do evento. Veja abaixo a transcrição de um trecho do texto, que no momento em que eu escrevi esse artigo, estava fora do ar (nota: em alguns momentos, o texto está um pouco confuso mesmo, mas mantive o original):
"Pois bem, o desfecho desse painel — que para mim foi a pior iniciativa possível, como disse acima ninguém estava ali para dialogar sobre o assunto ou coletar informações, eles queriam impôr seus pontos de vista como verdade para organizar o evento, afinal o painel era feito por homens e mulheres que foram chamadas a dedo, eu só me manifestei porque não aguentei ficar em silêncio diante tanta hipocrisia. (...)
Um organizador (inclusive a primeira citação é dele) se demonstrou muito exaltado diante das opiniões apresentadas como se fossem direcionadas a ele, o que em momento algum ocorreu, e diante dessa falta de controle dele, se pôs a gritar após a fala de um participante homem e botou o dedo na cara da outra colega que estava falando no momento da discussão. Deu medo, a intenção foi essa, mostrar poder e nos assediar e foi a mais pura e clara imagem da fala da organização jogada ao vento. Afinal como foi dito “Qualquer problema que acontecer a gente resolve na rua, é assim que o Underground funciona” e o que vi foi que nenhum homem da organização se pôs a controlar o organizador, segurando-o ou impedindo a ameaça física iminente, será que foi resolvido na rua depois? outro participante do evento, da plateia (com outras pessoas que claramente não compactuavam com a situação), que apartaram a briga. Me recusei a ver o desfecho, a minha colega saiu também chorando e garantindo que nunca mais participaria do evento."

Em alguns grupos do Telegram e WhatsApp, a discussão perdurou por mais vários dias. Na grande maioria das vezes as mensagens negavam o problema de inclusão e criticavam as pessoas que levantaram essa discussão.


O evento agiu certo?

Embora não estivesse preparado para hospedar uma discussão sobre inclusão, eu acredito que os organizadores agiram muito bem ao interromper o debate a partir do momento em que ele saiu do controle e começou a gritaria.

Quando as críticas passaram para as redes sociais, um dos organizadores partiu em defesa do evento, em alguns momentos simplesmente negando que tivesse ocorrido alguma agressão durante a discussão. Logo no início da semana os organizadores se posicionaram oficialmente sobre o ocorrido, publicando uma "Nota de Esclarecimento" no site:
O comitê organizador da conferência de segurança NullByte vem, por meio desta, esclarecer seu ponto de vista acerca de alguns incidentes ocorridos em sua última edição, em 9 de novembro de 2019.
Completamos seis edições nessa ocasião, em uma história que é resultado do esforço de diversas pessoas; sejam elas membros da organização, voluntários ou palestrantes. Gente que se dedica ao evento não só da Bahia, mas também de outros estados e do exterior e que busca fomentar a cena hacker brasileira, apresentar conteúdo de elevado nível técnico e incentivar o estudo e a pesquisa na área de segurança da informação ofensiva.
Após o encerramento do evento no dia 9, foi estabelecido por parte dos participantes, um debate do tipo "microfone aberto" em que se discutiu o desequilíbrio entre os gêneros na comunidade. Essa conversa escalou rapidamente para uma discussão a ponto de que a organização teve que interromper o debate. No processo, algumas pessoas se sentiram ofendidas.
Pedimos desculpas a quem tenha se ofendido com o incidente e reforçamos que a NullByte é uma conferência técnica. Ou seja, qualquer conteúdo de natureza técnica e dentro do escopo do hacking é bem-vindo. Não importa para nós o gênero ou o background identitário e político de quem o apresente.
O comitê organizador da NullByte repudia veementemente qualquer tipo de desrespeito, agressão ou assédio por qualquer motivo e se coloca à disposição para tomar as medidas necessárias durante seus eventos.
Keep hacking."

Porém, eles também erraram:
  • Algumas pessoas que fazem parte da organização se exaltaram em excesso durante o debate, entraram na discussão e perderam o controle, dando um péssimo exemplo de comportamento. Nessa hora, o que conta não é a opinião pessoal de alguém, pois o que fica é a imagem de alguém da organização participando da discussão ("com grandes poderes vem grandes responsabilidades");
  • Ao interromper a discussão, foi feito um discurso que, na minha opinião, tentou simplesmente abafar o caso e ignorar o problema. Em vez de admitir que o tema merece uma discussão mais amadurecida, em um fórum apropriado, eles partiram para o velho discurso batido de que "isso não acontece aqui" - como naquela imagem do avestruz que envia a cabeça no buraco achando que está seguro.

Para saber mais...



novembro 14, 2019

[Segurança] Um fim de semana de cultura hacker em Salvador

No final de semana passado, dias 09 e 10/11, tive a feliz oportunidade de vivenciar dois dias intensos de imersão na cultura hacker, e melhor ainda, na maravilhosa Salvador.

No sábado dia 09/11 foi realizada a sexta edição da conferência NullByte, um evento de segurança pequeno (com 100 participantes), mas com palestras de excelente conteúdo técnico. Esse é um ótimo exemplo de como é importante termos eventos regionais que ajudem a fomentar e manter uma comunidade local de pesquisadores de segurança, incentivando o estudo e a pesquisa de segurança ofensiva.

A NullByte teve 7 palestras, em sua grade, mas no final contamos com uma palestra surpresa do Maycon Vitalli (excelente!), além de um pequeno debate, infelizmente desastroso (comentarei sobre isso em um próximo post, logo logo!). Todas as palestras de excelente qualidade, falando sobre temas avançados de técnicas de ataque, invasão e defesa.


A NullByte é um excelente exemplo de evento que representa a cena hacker brasileira - nesse caso, considerando o aspecto de segurança ofensiva associado ao termo "hacking". É um evento pequeno, organizado totalmente por voluntários e sem fins lucrativos. O interesse sincero dos organizadores é de, simplesmente, criar um espaço para troca de conhecimentos em segurança da informação e, assim, fomentar a comunidade de pesquisadores na área. Temos poucos eventos desse tipo no Brasil: além da Nullbyte, o Jampasec em João Pessoa, a DarkWaves em Natal, a Alligator e a BWCon em Recife - além da Hackers to Hackers Conference (H2HC)  - nosso maior evento nessa área. Esses eventos agregam as pessoas interessadas em compartilhar o conhecimento técnico e suas pesquisas sobre segurança da informação e invasão de sistemas.

No domingo, dia 10/11, a experiência foi diferente: realizamos o primeiro encontro nacional de hackerspaces, o "Dumont Fest", no Raul Hacker Club - o hackerspace de Salvador. Diferente da NullByte, que era focada em segurança da informação, o encontro no Raul foi um espaço para conversarmos sobre a cultura hacker de forma mais ampla e abrangente, em todas as suas nuances - principalmente no sentido de fomentar conhecimento tecnológico e educação colaborativa.


O Raul é um espaço extremamente inclusivo. que se preocupa em se manter assim nos mínimos detalhes. Também é um espaço de educação e experimentação, para pessoas de todas as idades e classes sociais.

Nesse dia, conseguimos juntar pessoas de 5 Hackerspaces do Brasil: Mandacaru (de Feira de Santana, na Bahia), Jerimum (Natal), Oxe (Maceió), Garoa (eu!) e do próprio Raul - além de uma pessoa interessada em montar um hackerspace em Sergipe. Foi uma excelente oportunidade para, principalmente, compartilhamos nossas experiências (sucessos e dificuldades), e aprender como hackerspace tem se adaptado a sua realidade local. Em termos de desafios, todos tem dificuldades em atrair pessoas interessadas em participar das atividades, além da dificuldade em manter financeiramente saudável. Também tivemos a oportunidade de ouvir a Ka Menezes, do Raul, contar sobre a sua tese de doutorado sobre "pedagogia hacker", ou seja, sobre como a cultura hacker pode revolucionar a educação.

Ou seja, foi um final de semana para vivenciar dois lados complementares da cultura hacker: o lado técnico, aonde o uso do termo "hacking" está focado em segurança da informação, e o lado comunitário, aonde o "hacking" esta preocupado com a educação tecnológica e o lado humano.


Vale a pena ler:

novembro 01, 2019

[Segurança] The cyber awareness wheel of pain

Eu achei uma imagem engraçadinha, que mostra o "cyber awareness wheel of pain":


Ela resume bem a realidade do nosso mercado: nós compramos cada vez mais ferramentas e serviços, mas como continuamos sendo vítimas de ciber ataques, culpamos os usuários. E, para resolver isso, compramos mais ferramentas.

Ou seja, investir apenas em ferramentas não é suficiente para garantir um nível aceitável de segurança, pois precisamos investir também no treinamento e conscientização das pessoas, incluindo os funcionários, terceiros e clientes.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.