[Segurança] Dicas de segurança da CISA no Star Wars Day

Antes tarde do que nunca, eu quero deixar registrado o quanto eu gostei das ações que o pessoal da CISA (Cybersecurity and Infrastructure Security Agency) realizaram ontem, no Star Wars Day, aproveitando a data para destacar algumas dicas de segurança relacionadas ao uso de Multi-factor authentication (MFA) e cuidados com ataques de phishing. Eles produziram algumas imagens e até mesmo um pequeno vídeo, que foram compartilhados nas redes sociais.

Eu mesmo recebi as imagens em alguns grupos no WhatsApp - ou seja, a campanha certamente viralizou entre a comunidade de segurança!

A campanha ficou bem objetiva, divertida e legal, explorando o tema Star Wars para conscientizar sobre algumas dicas básicas.

#MayTheFourth

[Carreira] Como se tornar um Jedi na área de Segurança

No Roadsec São Paulo, em novembro deste ano, eu tive a oportunidade de apresentar uma palestra na trilha sobre Carreiras. Para tentar fugir um pouco do lugar comum e apresentar uma palestra mais descontraída, com bom humor, eu decidi listar algumas dicas de carreira para que as pessoas se destaquem no mercado de trabalho. E, para fazer isso, escolhi usar a temática do Star Wars.

E, assim, nasceu a palestra "Como se tornar um Jedi na área de Segurança", ou seja, como se tornar um profissional de destaque na área.

Nessa palestra, eu apresentei 5 dicas de como ter sucesso profissional e se tornar um "mestre Jedi", "dominando a cyber força que existe dentro nós". Eu dividi as dicas em 5 grupos:

1. Goste do que você faz e faça o que gosta: há várias áreas de atuação no mercado de segurança, por isso devemos escolher algo que gostemos de fazer, de acordo com nossos interesses pessoais. Esse é o primeiro passo para garantir sua motivação para enfrentar o mercado de trabalho e nossa rotina extenuante de trabalho e estudos;
2. Estude sempre, o tempo todo, começando por aprender idiomas (o inglês é fundamental para nossa área), ter formação acadêmica (graduação e pós-graduação) e, também, estudar para obter certificações profissionais;
3. Networking: É fundamental conhecer pessoas dentro da área e fazer amigos, pois eles vão ajudar muito através da troca de conhecimentos, mentoring e da troca de dicas sobre o mercado;
4. O Marketing pessoal também é muito importante: seja conhecido pelo mercado e reconhecido como um bom profissional. Tome cuidado pois, como atuamos em uma área técnica, o conhecimento é facilmente avaliado pelos nossos pares: alguém com conhecimento fraco é facilmente percebido pelo mercado;
5. Use as buzzwords com cautela: É importante acompanhar as tendências de mercado, mas tome cuidado com a armadilha das buzzwords, muitas vezes criadas como parte de um discurso de marketing.

Veja os slides da apresentação:

Como se tornar um Jedi na área de Segurança from Anchises Moraes

[Cyber Cultura] O ataque do Darth Vader

Faltam poucos dias para a estréia do próximo filme da franquia Star Wars, "O Último Jedi", e nada melhor do que rever uma cena que, na minha opinião, é uma das mais assustadoras envolvendo o Darth Vader.

Eu gostei bastante quando achei um gif animado reproduzindo um trecho da cena da luta do Darth Vader, no final do filme Rogue One:

Para mim, esta é uma das melhores cenas de todos os filmes da série Star Wars. Quando eu assisti essa cena no cinema pela primeira vez, eu consegui sentir o desespero dos soldados da rebelião que tentaram enfrentar o Darth Vader.

Há uma curiosidade bem interessante sobre essa cena: ela foi filmada e adicionada após o término da edição do filme! Ou seja, ela não estava no roteiro original! Esta cena foi filmada em 3 dias e o Darth Vader usou um sabre de luz real. Para destacar a sua silueta no início da cena, a produção colocou uma luz de fundo quendo ele liga o light saber. Bem legal!!!



A propósito, o Giphy tem uma página só com os gifs animados sobre Star Wars!

[Segurança] Lições de segurança do filme "Rogue One: Uma História Star Wars"

Aproveitando a passagem do "Star Wars Day", eu dedici, antes tarde do que nunca, comentar sobre algumas falhas e lições de segurança da informação que podemos aprender com o filme "Rogue One: Uma História Star Wars" (obrigado, CryptoID e Kaspersky).

Antes de prosseguir a leitura, sou obrigado a avisar: se você ainda não assistiu o filme "Rogue One: Uma História Star Wars", este post contem "spoilers" da estória.

Em poucas palavras, este filme conta cono aconteceu o roubo dos planos de construção da primeira Estrela da Morte. Os rebeldes invadem uma base Imperial, acessam o banco de dados do Império, encontram e roubam o projeto da Estrela da Morte, que contém uma falha de projeto que será utilizada futuramente para explodir a Estrela da Morte. Ou seja, o filme fica entre o fim a trilogia recente, dos anos 2000 (que termina no episódio III) e a trilogia clássica, dos anos 70 e 80 (que começa no episódio IV, o primeiro filme que inaugurou a franquia Star Wars).

Talvez esse seja um dos grandes charmes do filme: fazer a ligação entre essas duas trilogias, a clássica e a dos anos 2000. Melhor ainda: ele traz alguns detalhes bem interessantes da história da construção e destruição da Estrela da Morte. Melhor ainda: os produtores aproveitaram algumas cenas do filme de 1977 para fazer este filme.

Indo ao que interessa, no decorrer da saga Star Wars podemos encontrar diversas falhas de segurança da informação por parte do Império Galático, que em vários momentos são exploradas pelo pessoal da Aliança Rebelde. Pense, por exemplo, em quantas vezes nós vimos o R2D2 se conectando a qualquer entrada de dados em naves do Império e, aparentemente sem autenticação nenhuma, ter acesso total aos dados e sistemas de controle das naves.

No filme Rogue One não é diferente. Vejamos alguns exemplos:

• Falta de controle dos ativos: Um dos prsonagens centrais do filme é o simpático dróide imperial K-2SO, que foi capturado pelos rebeldes e reprogramado pelo capitão da Aliança Rebelde, Cassian Andor, para que sirva aos rebeldes. O Império, pelo jeito, não possuía os dados do dróide, com suas informações e características (ex: número de série e histórico) nem tinha como rastrear o robô, e dessa forma perdeu a oportunidade de identifica-lo com facilidade. O robô, assim como um caça Tie Fighter capturado, foi utilizado pelos rebeldes para se infiltrarem na base do Império;
• Falha em controle de acesso as instalações: No  momento em que o esquadrão rebelde viaja até Scarif com uma nave imperial roubada, o sistema de controle de entrada para o planeta não valida se a autorização via código de acesso da nave é válido, e assim uma nave roubada com rebeldes a bordo consegue permissão para entrar no planeta. Se o banco de dados do Império Galático fosse atualizado com frequência, eles saberiam que a nave utilizada era roubada e seu código de acesso estaria desabilitado;
• Falhas de controle de acesso físico ao Data Center: Para roubar os planos de construção da Estrela da Morte, os personagens Jyn Erso e Cassian Andor acessam fisicamente a sala do servidor do Império Galático, aonde estão todos os dados de backup do Império. Sem controles de acesso físico rigorosos, eles não só tem acesso ao datacenter, como também tem acesso ao servidor de fitas de backup. Também faltaram controles adequados de identidade e autenticação forte, que poderiam ter impedido o acesso indevido as informações de aonde (qual fita) estavam os dados de backup. No final, eles conseguem roubar justamente a fita que contém os planos de construção da Estrela da Morte;
• Ameaça Interna: Um dos pontos mais importantes da história é descobrir que o principal responsável pela construção da Estrela da Morte, o cientista Galen Erso, desenhou propositalmente uma vulnerabilidade crítica na estrutura que permitiria o acesso ao reator e, consequentemente, a sua destruição. Ou seja, essa "vulnerabilidade" foi implentada propositalmente por um funcionário descontente do Império (no início do filme vemos o Galen Erso sendo levado a força para trabalhar para o Império). Esta falha foi documentada nos planos de construção, para que pudesse ser descoberta pela Aliança Rebelde, e foi ela que permitiu a destruição da Estrela da Morte no Episódio IV da série de filmes;

• Falha de auditoria de segurança durante o desenvolvimento: O império deveria ter feito uma auditoria de segurança na fase de planejamento, construção e inauguração da Estrela da Morte, o que poderia eventualmente descobrir a vulnerabilidade na estrutura que dava acesso ao reator. Talvez um Pentest poderia ter sido feito, ou deveria haver uma equipe de engenheiros designada somente para validar a segurança física e de perímetro da nova nave.

Sim, a história é hipotética, os comentários acima são engraçadinhos, mas pense quantos sistemas SCADA estão abertos na Internet (obrigado, Shodan) e quantas falhas de controle de acesso físico podemos encontrar em nossas empresas.

[Geek] Guia rápido para entender Star Wars

Com o lançamento do novo filme da franquia Star Wars, o Despertar da Força, eu descobri que tenho alguns amigos que nunca assistiram os filmes e, por isso, ficam totalmente a margem de qualquer conversa sobre o assunto.

Para ajudar este pessoal, resolvi criar um pequeno guia rápido e bem didático para entender os filmes Star Wars. Cuidado que algumas informações podem ser consideradas "spoiler":

• A história completa são "3 trilogias", ou seja, 3 grupos de filmes, lançados nas décadas de 70/80 (a trilogia do meio - episódios IV a VI), 2000 (episódios iniciais da história, de I a III) e agora, segunda metade da década de 2010 (o final de história, nos episódios de VII a IX);
• A história gira em torno de dois eixos principais, que se referem a eterna luta do bem contra o mal: a transformação da república em império, confrontada pelos rebeldes e pelos cavaleiros Jedi, e a vida de Anakin Skywalker (Darth Vader), desde a sua infância (Episódio I), seu treinamento como Jedi (Episódio II), sua conversão para o mal (o 'lado negro", no Episódio III), seus anos como o principal vilão da galáxia (em toda a trilogia original), e agora, a sua sucessão, através do seu neto que também vai para o lado negro e torna-se o novo vilão da história;
• Se usa sabre de luz vermelho (aquela mistura de espada com laser), é vilão;
• Se usa sabre de luz azul ou verde, é mocinho;
• Se está vestido de preto, é vilão (exceto o Luke Skywalker, ele pode);
• Se está vestido de preto e usa sabre de luz vermelho, é o principal vilão malvado da história;
• Se está vestido com um hobby marrom (não perguntem porquê!?), é um mestre Jedi fodástico do bem;
• Se está vestido com um hobby marrom, é um mestre Jedi fodástico do bem e provavelmente vai morrer ainda neste filme que você está assistindo;
• Os soldadinhos vestidos de branco (chamados de Stormtroopers) são do bem no início da história (episódios I a III) e do mal na metade da história em diante (episódios IV a VII). Ou seja: eles são soldados e simplesmente fazem o que o chefe manda fazer;
• Aquela nave em formato de Pizza é a Millenium Falcon;
• Os rebeldes só sabem fazer uma nave legal: o X-Wing. Os vilões do Império tem um monte de naves legais: caças Tie-Fighter com vários modelos, os cruzadores espaciais, os AT-AT, etc;
• Os vilões adoram construir naves gigantescas, em formato de lua ou de planeta, capaz de destruir outros planetas com um tipo de raio super poderoso. Mas não conseguem esconder os planos de construção e não conseguem tampar um buraco que sempre existe que causa a explosão da nave/estrela/planeta inteiro;
• Star Wars não tem nada a ver com Star Trek. São histórias totalmente diferentes. Mas se quiser trollar seus amigos, diga que o Mestre Yoda é o ta-ta-ta-ta-taravô do Spock.

[Geek] Star Wars

(Quase) todo mundo está na espectativa do lançamento do Episódio VII do Star Wars, "Star Wars: The Force Awakens" ("O Despertar da Força", no título em Português). Este é o sétimo filme, de um total de 9 episódios (ou 3 trilogias, sei lá...) previstos para a saga que teve origem em 1977. Desde então, os filmes são lançados em dose homeopáticas, espaçados por tantos anos entre si que causaria inveja até nas obras do metrô de São Paulo.

É incrível pensar como um pequeno conjunto de filmes conseguiu ter uma influência cultural tão grande e que perdura até hoje. Isto sem falar na grande evolução dos efeitos especiais que a primeira trilogia representou na época.

O último filme lançado, o Episódio III ("Revenge of the Sith"), saiu há 10 anos atrás, em 2005. Há quem discute qual é a melhor forma de assistir a saga toda de novo: na cronologia do lançamento dos filmes (isto é, episódios IV, V, VI, I, II e III) ou na sequência da história (do I até o IV). Acredito que, após o lançamento do Despertar da Força e dos últimos dois filmes, a melhor opção será assistir seguindo a cronologia da história. até lá, divirta-se assistindo da forma que achar melhor !!!

Para entrar no clima e, de quebra, refrescar um pouco a memória, você pode assistir a esse resumo da saga, com 3 min de duração:

Os nerds também vão se divertir com a versão "modo terminal de caracteres" (que é bem longo, não tive paciência de ver até o final).

[Cultura] Star Wars faz 30 anos

Hoje toda a cultura "Guerra nas Estrelas" completa 30 anos. Em 25 de maio de 1977 George Lucas lançou o primeiro filme da série de sucesso "Guerra nas Estrelas" ("Star Wars"). A primeira trilogia começou com o filme "Guerra nas Estrelas: Episódio IV - Uma Nova Esperança", depois "O Império Contra-Ataca" (correspondente ao "episódio V" de toda a série e que foi lançado em 1980) e "O Retorno de Jedi" (Episódio VI) em 1983.

Os três últimos filmes-seqüência da saga mostram o surgimento do Império e do Darth Vader e foram lançados recentemente: "A Ameaça Fantasma" em 1999 (o episódio I), "O Ataque dos Clones" (em 2002) e "A Vingança dos Sith" em 2005. Todos os filmes foram sucesso de bilheteria.

Mais do que um sucesso cinematográfico, todos os filmes foram inovadores e criaram toda uma cultura e um mercado ao seu redor. O Darth Vader é considerado por vários críticos o pior vilão da história do cinema.

Neste blog eu já coloquei vários posts telacionados ao tema, incluindo um mostrando diversas paródias do Star Wars no YouTube e outro com as frases mais famosas da Filosofia Jedi.

O Terra colocou no ar um especial sobre os 30 anos do Star Wars, com as principais informações sobre a saga.

[Geek] Frases da Filosofia Jedi

Pesquisando na Internet achei alguns sites com as principais frases proferidas pelo Mestre Yoda, além da famosa "Let the Force be with you":

• "Try not. Do or do not, there is no try...."
• "Ohhh! Great warrior! [laughs and shakes his head] Wars not make one great!" -The Empire Strikes Back
• "You must unlearn what you have learned."
• "Once you start down the dark path, forever will it dominate your destiny, consume you it will..."
• "A Jedi uses the Force for knowledge and defense, never for attack."
• "A Jedi's strength flows from the Force."
• "Beware of the dark side. Anger...fear...aggression. The dark side of the Force are they. Easily they flow, quick to join you in a fight."
• "A Jedi must have the deepest commitment, the most serious mind."
• "Adventure. Heh! Excitement. Heh! A Jedi craves not these things."
• "Always in motion is the future."
• "If you choose the quick and easy path, you will become an agent of evil."
• "Don't give into hate. That leads to the dark side."
• "The dark side is not stronger. No. Quicker, easier, more seductive. You will know the good side from the bad when you are calm, at peace. Passive."
• "You do not believe. That is why you fail."

Estas frases foram retiradas dos sites http://www.yodajeff.com/pages/biography/ e http://www.some-guy.com/quotes/starwars.html. Há mais frases legais no site http://www.garnersclassics.com/qstar5.htm, com referência ao episódio e contexto em que foram ditas.

São coisas que nenhum geek e nenhum padawan pode deixar de ler !!!!!