[Segurança] Tarados e pedófilos em sites de relacionamento

Recebi essa notícia através do CISSP Fórum: O artigo "MySpace Predator Caught by Code" na Wired News é interessante.

Segue um breve resumo dele:

O bom e velho Kevin Poulsen criou um script em Perl (+ de 1000 linhas) para buscar perfis de "predadores sexuais" conhecidos no MySpace. Dos 385.932 "registered sex offenders", ele localizou 744 perfis (em 1/3 dos resultados encontrados, pois teve que fazer um refinamento manual, devido aos numerosos "falso positivos"). 407 deles tem histórico de interesse por crianças ! E a maioria dos profiles encontrados aparentam ser de uma pessoa com uma vida normal (e não de um tarado/pedófilo/etc).

E, no caso, ele encontrou os "predadores sexuais" conhecidos que se cadastraram no MySpace com seu nome real. Ou seja, que foram inocentes (ou amadores) o suficiente para não se cadastrarem com um nome fictício.

Dentre alguns exemplos de perfis encontrados, um ex-treinador de basket de 34 anos usa o MySpace para manter contato com seus ex-alunos. Em seu registro criminal consta que ele fazia os garotos (de até 13 anos) tirar as roupas em frente dele. Outro cara, de 33 anos que molestou uma criança menor de 13 anos em 1994, usa o slogan "Love knows not age" em seu perfil. (argh!)

Em seu artigo ele mostra que, através de sua investigação, Kevin ajudou a polícia a encontrar "Andrew Lubrano", que usava o MySpace para fazer amizade com menores. Segundo o artigo, no perfil de Lubrano constavam 93 amigos, incluindo 6 adolescentes que ele ele encontroou através do site.

Moral da história?

• Os "predadores sexuais" estão a solta e agindo através das comunidades virtuais.
  
• As crianças estão sendo abordadas por eles ! São vítimas fáceis !
  
• A polícia e os sites de relacionamento (como o MySpace) ainda não sabem como evitar ou contra-atacar isso.
  
• Apesar de parecer inviável, é possível buscar e identificar perfis suspeitos, que após um trabalho investigativo (manual) pode levar a prisão deste tipo de criminoso. É trabalhoso, claro, e depende de uma investigação e legislação eficientes.
  

[segurança] Open Vulnerability and Assessment Language

O Open Vulnerability and Assessment Language (OVAL™) é um esforço para criar um padrão internacional para documentação e troca de informações sobre segurança, principalmente vulverabilidades.

O projeto OVAL inclui uma especificação de linguagem usada para criar arquivos XML com a codificação do detalhamento de sistemas e vulnerabilidades: isso permite documentar, para uma determinada vulnerabilidade, que sistemas são afetados e como testar se o sistema está vulnerável. Assim, foi criada uma forma de documentar os três passos de um processo de avaliação de vulnerabilidade: representação do status do sistema a ser testado, análise do sistema e a apresentação do resultado da análise.

Isto forma uma base de informações que pode ser acessada e compartilhada pela comunidade. O principal repositório é chamado de "OVAL Repository" e fica hospedado no Mitre. Nesse site é possível buscar por vulnerabilidades e fazer o download da base de dados com todas as vulnerabilidades cadastradas (na página de database, é possível abaixar o repositório por sistema operacional). Essa base de dados nada mais é do que um "arquivão" .xml com a descrição, na linguagem OVAL, de todas as vulnerabilidades conhecidas.

Por exemplo, indo na página de "Latest Updates", o link "oval:org.mitre.oval:def:220" permite ir na página de descrição de uma vulnerabilidade recente no PowerPoint que permite ao atacante executar aplicativos através de arquivos mal-formados. Nessa página é possível abaixar o arquivo XML com a especificação técnica da vulnerabilidade e descrição dos sistemas afetados. Fuçando nesse arquivo, vemos que a tag "description" descreve a vulnerabilidade, a tag "tests" descreve os testes necessários para saber se o equipamento está vulnerável (se o Power Point estáinstalado e qual é a versão vulnerável). Na tag "objects" é especificado como verificar estas informações (no caso, quais chaves de registry consultar).

Essas informações podem ser tratadas por aplicativos compatíveis (aí depende do fabricante da ferramenta de segurança utilizar esse padrão ou não). No site do OVAL está disponibilizado um aplicativo muito simples para exemplificar o uso destas informações, chamado "OVAL Interpreter".

A versão Windows dele roda no prompt do DOS. Após fazer o download e copiar ele para algum diretório em sua máquina, copie o XML de definições para a plataforma Windows para a pasta e o renomeie este arquivo para "definitions.xml". Ao executar o comando "ovaldi -m", ele irá verificar se seus sistema possui alguma das vulnerabilidades cadastradas e vai gerar um XML com o resultado (e, aí, se vire para entender... heheheheh).

Também no site do projeto OVAL é possível ver quais são os programas e produtos compatíveis (na página "OVAL Compatibility").

[Cybercultura] Lindas fotos do Rio de Janeiro

Achei um "fotolog" muito bonito hospedado no Flickr, do Claudio Lara.

Neste fotolog há fotos lindas, de tirar o fôlego. A maioria delas são do Rio de Janeiro, mostrando locais turísticos, construções e paisagens em ângulos incríveis.

Depois de visitá-lo, fiquei com vontade de ver, ao vivo, a abóbada central da Igreja da Candelária !!!

[Segurança] Dia Internacional de Segurança em Informática 2006

Pelo segundo ano consecutivo, a RNP estará promovendo, no dia 30 de novembro, o Dia Internacional de Segurança em Informática.

O DISI 2006 (Dia Internacional de Segurança em Informática) tem como objetivo promover a segurança da informação para toda a sociedade, principalmente os usuários e os profissionais relacionados a Internet. Neste dia haverá um ciclo de palestras online (que, no ano passado, foi de excelente conteúdo) e o site do evento irá disponibilizar, em breve, alguns materiais de apoio para a discussão e divulgação da segurança.

É imperdível !!!!

Todos os profissionais de segurança devem divulgar, colaborar e comparecer no evento.

Site do evento: www.rnp.br/eventos/disi/2006/

[Cidadania] O Astronauta Brasileiro

Ontem, na Futurecom, tive a oportunidade de assistir uma palestra do astronauta e cosmonauta Marcos Pontes, o primeiro brasileiro a ir para o espaço. A palestra foi patrocinada pela Venturus.



A propósito, há uma piada correndo na Internet segundo a qual "foi só um brasileiro is para o espaço que sumiu um planeta" (Plutão).

Como (quase) todos nós já sonhamos um dia em ser astronauta, não foi surpresa ver a quantidade de pessoas que se amontoavam para assistir a apresentação e, depois, tirar fotos com ele.

A palestra dele foi excelente. Ele, em si, é uma pessoa cativante: simpático, simples e de origem humilde - chegou ao que é hoje através de muito esforço, estudo e dedicação. Ele falou sobre como foi sua formação, como foi sua escolha para ser o astronauta brasileiro e como foi todo o treinamento e preparativos para o vôo. Além de contar como foi o vôo em si e vários detalhes engraçados e/ou curiosos que ocorreram. Hoje ele ainda atua na Agência Espacial Brasileira.

Ele terminou sua apresentação com uma frase de Gandhi, que mostra muito bem a importância de pensarmos como comunidade, como um grupo, e não individualmente:

“Tudo que fizermos individualmente será insignificante, mas é muito importante que cada um de nós faça a sua parte!”

Essa foi, na minha opninão, a principal mensagem dele. Ao ver a Terra do espaço, pode-se ver o quanto somos pequenos, individualmente. Porém, somos especiais graças a soma de todos nós, e a nossa evolução através das gerações (daí a importância da educação, da preocupação com a formação das crianças e jovens - pois eles ditarão nosso futuro).

Ele tem um site em www.marcospontes.net.

[Cultura] Coexistência

Acabou recentemente uma exposição no Parque do Ibirapuera sobre o tema Coexistência.

Há mais informações sobre a exposição e este assunto no portal www.coexistencia.org.br

A palavra "Coexist", grafada com os símbolos do Islã, Judaísmo e Cristianismo, foi muito divulgada no show da bada U2 em sua última turnê, quando passou pelo Brasil. Possui um significado muito direto e simples: devemos coexistir, conviver e nos respeitar, indiferente da crença religiosa, da raça e qualquer outro tipo de diferença. Creio que este é o único caminho para um mundo melhor.

A exposição foi idealizada pelo Centro da Cultura Judaica, com o apoio da Secretaria do Verde e do Meio Ambiente da Prefeitura de São Paulo.

A imagem acima foi retirada de um pôster a venda no site do "Museum on The Seam".

[Internet] Mais de 100 milhões de domínios !!!

Vi essa notícia quando estava passeando no Blog sobre segurança "Tim Callan's SSL Blog".

A cada trimestre, a VeriSign (empresa responsável por operar od servidores de domínios .com e .net) publica um relatório entitulado "The Domain Name Industry Brief", que apresenta as estatísticas, a evolução e tendências no mercado de domínios da Internet. No último relatório publicado, recentemente em Agosto, consta que no final do segundo trimestre de 2006, haviam mais de 105 milhões de domínios registrados. Esta foi a primeira vez que o mundo passou a barreira dos 100 milhões !!!

O relatório traz alguns outros dados que considero interessantes:

• Tirando os EUA, o Brasil é o décimo país em termos de domínios registrados: o nosso .br é o décimo ccTLD;
  
• Um pouco mais da metade dos domínios registrados (57,5%) correspondem a domínios .com e .net , associados normalmente aos EUA e empresas/sites globais.
  
• A VeriSign processou uma incrível média de 18 bilhões de consultas DNS a domínios .com e .net por dia;
  
• 86% dos domínios .com e .net registrados resolvem para um Web site (60% do total são web sites ativos).

[Segurança] Painel de Vírus, Phishing e SPAM

No site do Message Labs, é possível visualizar um painel com gráficos sobre a evolução do número de mensagens de Phishing, Vírus e SPAM na página "Threat Statistics".

São gráficos interativos que mostram a evolução destas pragas de uma forma muito simples e legal, de onde podemos retirar algumas informações interessantes:

• Os "Top 10" vírus correspondem a quase 50% dos ataques de vírus. Outros 49,1% está infectada por vírus que, sozinhos, correspondem a menos de 2% cada. Logo, há uma grande variedade de vírus espalhada pela Internet, que correspondem a uma parcela significativa das mensagens infectadas.
  
• Nos últimos 12 meses, 57,78% das mensagens de correio eletrônico foram identificadas como SPAM !!!! Neste mesmo período, 0,22% delas correspondiam a ataque de Phishing e 1,88% continham vírus (com pico de 6,56% em dezembro).
  
• Das notinhas: "Each day, MessageLabs processes more than 180 million emails worldwide, monitoring, tracking and combating email threats. Drawing on this vast knowledgebase, Threat Watch provides a range of information, analysis and data on global messaging security threats and trends. Threat Watch statistics focus on malicious content intercepted from email traffic destined to MessageLabs clients (...)"

[Cultura] Pica-Pau

Estava dando uma olhada em uma comunidade que participo no Orkut e achei um link para um site muito legal, do Walter Lantz, o criador do Pica-Pau:

"The Walter Lantz Cartune Encyclopedia!"

Me assustei em ver como os desenhos do Pica-Pau são antigos !!!

Há uma frase no final da página de FAQ que achei bem engraçada:

Any similarities between Woody and a real woodpecker is strictly coincidental!

[História] 11/9: 5 anos depois

"The images of two planes in a clear blue sky crashing into skyscrapers are as searing and incomprehensible today as they were five years ago."
CNN

Hoje fazem cinco anos que aconteceram os ataques de 11 de setembro contra os EUA, onde mais de 3000 pessoas foram mortas, principalmente no ataque às torres gêmeas do WTC.

Estava revendo um replay da cobertura da CNN naquele dia, e isso me fez relembrar os sentimentos que afloraram naquele dia, onde eu e alguns colegas acompanhamos o ocorrido ao vivo, pela Web.

Este ataque mudou o mundo. O mundo de hoje é, certamente, diferente do que naquela época imaginávamos que ele poderia ser. Algumas coisas acho importante listar:

• O terrorismo passou a ser uma ameaça constante;
  
• Nos EUA, sob desculpa de combate ao terrorismo, muitos direitos fundamentais (principalmente no tocante a privacidade) foram colocados de lado;
  
• O Mundo Árabe, em especial os muçulmanos, começaram a ser encarados e tratados como os grandes inimigos da civilização (algo absolutamente injusto e que só piora a situação);
  
• O mundo passou a viver em estado de Guerra (primeiro contra os talebans, depois contra o Saddan);
  
• Viajar de avião deixou de ser um símbolo de status e passou a ser uma "atividade suspeita". Temos que provar que não somos terroristas toda vez que vamos colocar os pés em um avião.

Arrisco dizer que houveram alguns pontos positivos após isso tudo. Principalmente, ao meu ver, o terrorismo passou a ser uma atividade absolutamente repugnante do ponto de vista de nossa civilização. Virou sinônimo de barbárie. Usar o terrorismo como arma política, como acontecia antigamente com o ETA (Espanha) e o IRA (Inglaterra), passou a ser algo absolutamente inaceitável. E, desde então, não lembro de ter visto algum caso atribuído a eles (se houveram, foi numa quantidade e impacto muito menor do que acontecia antigamente).

Do ponto de vista da Segurança da Informação, hoje muito se discute sobre o direito a privacidade dos cidadões e o poder de monitoração e investigação dos governos. É uma disputa onde os dois lados tem seus motivos.