[Cyber Cultura] Centenário do Alan Turing

No dia 23 de Junho, próximo Sábado, Alan Turing faria 100 anos.

Alan Turing foi um matemático e criptoanalista britânico que teve grande influência no desenvolvimento da ciência da computação e até hoje é lembrado por seu papel fundamental no esforço britânico de decifrar a criptografia da máquina Enigma, utilizada amplamente pela Alemanha durante a Segunda Guerra Mundial.

Segundo a revista Wired, o papel de Alan Turing como criptoanalista foi tão importante que Winston Churchill creditou a ele a maior contribuição individual para a vitória dos Aliados contra a Alemanha nazista. Seus esforços para quebrar a criptografia da máquina Enigma e para construir um equipamento para automatizar este processo permitiu aos britânicos decifrar as mensagens alemãs e, com isso, mudar o rumo da guerra do Atlântico: até então os submatinos U-boats nazistas atacavam constantemente os comboios de suprimentos destinados a Inglaterra durante a guerra.




Alan Turing também ficou conhecido por ter proposto a Máquina de Turing e o Teste de Turing. A Máquina de Turing é um dispositivo teórico conhecido como máquina universal, que foi proposto por Turing em 1936. Ela descreve um modelo conceitual teórico do que seria um computador, que define aspectos lógicos do funcionamento de uma máquina de estados capaz de resolver problemas, incluindo o uso de memória, estados e transições - e daí se deriva também o conceito de algoritmos.





O Teste de Turing foi um desafio teórico proposto por Turing em 1950 para identificar quando estamos lidando com um computador ou com uma pessoa. A idéia deste teste permitiu uma grande evolução na área da Inteligência Artificial.

Entre outras ações realizadas para celebrar o centenário do nascimento do Alan Turing, foi criado o site Alan Turing Year e a versão britânica da revista Wired fez a "Turing Week", com uma coletânea de artigos e entrevistas sobre a vida e o trabalho de Turing. Entre os vários artigos publicados no site da Wired, todos eles interessantes, eu recomendo uma leitura dos seguintes:

• "Alan Turing: from birth to centenary": Um timeline com os principais fatos na vida de Turing
• "Turing's achievements: codebreaking, AI and the birth of computer science": Artigo descrevendo as descobertas e contribuições mais importantes de Alan Turing
• "Bletchley Park, codebreaking and the lost art of secrecy": Artigo bem interessante, que descreve a importância que os britânicos deram em manter segredo sobre o trabalho realizado em Bletchley Park
• "Building a working Turing machine out of Lego is easier than you think": Dois pesquisadores holandeses construíram uma Máquina de Turing usando Lego!
• "The Turing test, and how to pass it": Ótimo artigo descrevendo o Teste de Turing
• "No posthumous pardon for Alan Turing": Apesar do título negativo, o artigo aborda o esforço do governo britânico em redimir e homenagear Alan Turing. Em 1952, Alan Turing foi condenado pela sua homossexualidade (que, na época, era considerado um crime) e obrigado a fazer um tratamento hormonal. Acredita-se que a condenação e o tratamento o fizeram se suicidar em 1954. Em 2009, o primeiro-ministro britânico Gordon Brown fez um pedido formal de desculpas, na qual disse: "Embora Turing foi tratado sob a lei do seu tempo, e nós não podemos voltar o relógio, seu tratamento era, claro, totalmente injusto, e estou contente por ter a chance de dizer o quão profundo é o pesar que eu e todos nós temos sobre o que aconteceu com ele."

O site As Technica também publicou um artigo bem interessante, que eu recomendo a leitura, "The highly productive habits of Alan Turing", que descreve o que considera serem os hábitos de Turing que o levaram ao sucesso: paixão por aprender, evitar ideologias, praticidade, a capacidade de dividir um problema complexo em pequenos problemas, persistência, descontração e dar importância as pessoas e amizades.

[Segurança] Malware ou Goodware?

Após a recente revelação de que os governos americano e israelense foram os responsáveis pela criação do Stuxnet, o pessoal do Gartner publicou um pequeno artigo no blog deles, entitulado "On Stuxnet Revelations" questionando se deveríamos pensar em uma nova forma de chamar um código malicioso ("malware") que fosse criado pelos "mocinhos" ("good guys"), ou pessoas bem intencionadas:

What do you call “malware” working for the good guys? “Attack software”? “Sabotage-ware”? “Good malware”? We need a whole new language to describe what we are seeing now. This is  "one man’s terrorist is another man’s freedom fighter" all over again…

Não acredito que exista uma resposta para isso. Não concordo que seja tão fácil assim usar a idéia de "goodware", ou de um código malicioso que tenha sido criado pelo chamado "mocinho". Na minha opinião, o mais questionável dessa história toda é o conceito de "good guys", pois isto é totalmente relativo: alguém pode se auto-entitular o "mocinho" da história, mas certamente o outro lado vai achar o contrário. A tendência natural é que, em qualquer tipo de diferença ou conflito, cada lado vai achar que o seu ponto de vista é o correto e que o outro lado está errado. Como decidir quem está certo ("good guy") e quem está errado ("bad guy")?

Só para exemplificar, esta dificuldade e relatividade de estabelecer quem tem a motivação justa, seguem alguns exemplos:

• O cara que trabalhava na usina de Natanz e teve que limpar a sugeira deixada pelas 1000 centrífugas que explodiram deve achar que os EUA são os "bad guys".
• O alto-executivo do governo Chinês que conseguiu encurtar o projeto de um novo caça em vários anos graças a informações do projeto do F-35 Lightning II roubadas de empresas americanas, certamente se considera o "goodguy" da história, pois ele está ajudando a proteger o próprio país.
• O Julian Assange é considerado o "bad guy" por vários governos e o "good guy" por várias entidades que defendem a liberdade de expressão e a transparência dos governos.
• Bradley Manning, o militar que vazou para o Wikileaks várias informações sobre os militares americanos e a guerra do Iraque, é considerado o "bad guy" pelo governo americano e o "good guy" por várias entidades que defendem a liberdade de expressão e a transparência dos governos. Inclusive foi ele quem vazou o vídeo "collateral murder", que mostra um helicoptero militar americano matando civis inocentes em Bagda, incluindo dois reporters da Reuters.
• Os usuários de Internet que compartilham filmes e música online são considerados "bad guys" por vários governos, empresas e artistas.

Pelos exemplos acima dá para perceber o quanto o conceito de "bad guy" e "good guy" pode ser relativo, por isso não é fácil estabelecer se um ataque cibernético realmente teve uma boa intenção. O mesmo se aplica a qualquer tipo de ataque. Por isto mesmo, é tão difícil para vários países conseguirem justificar uma operação militar junto a ONU e a população em geral. Isto porque, na prática, um ataque é um ataque. É o uso da força contra alguém.

O mais interessante da discussão sobre "good guy" e "bad guy" é que os serviços de inteligência estão bem no meio termo: o mesmo serviço é visto como mocinho e vilão, dependendo de quem está no comando e quem está espionando quem. No mundo da espionagem e contra-espionagem internacional, a própria espionagem, roubo de informações, invasão e sabotagem fazem parte de um campo cinzento, nebuloso e sinistro aonde não há mais mocinhos - há interesses próprios. Em alguns países a espionagem contra o governo é tratada com pena de morte, se você for do lado adversário, óbvio, mas o seu espião pode ser considerado herói nacional.

Além do mais, tentar justificar um ataque (ou ciber ataque) contra alguém baseado somente no conceito de mocinho e bandido abre um precedente terrível, pois justificaria qualquer outro tipo de ataque se for por um "bom" motivo - sendo que o conceito de "bom" foi definido arbitrariamente.

[Cyber Cultura] Como seria o mundo sem a Internet?

Para mostrar o quento estamos dependentes da Internet hoje em dia e como poderia ser difícil viver sem ela, o pessoal do Education Database Online publicou há pouco tempo um infográfico bem caprichado, com várias estatísticas sobre o uso da Internet. Dê oma olhada:



Via: OnlineEducation.net

Estas estatísticas mostram como a Internet tem nos ajudado a nos conectar com praticamente qualquer pessoa no mundo e ter acesso fácil a uma quantidade praticamente infinita de informação. Afinal, são cerca de 2.3 bilhões de pessoas conectadas e 550 milhões de websites em todo o mundo.

Uma das estatísticas que eu achei mais interessante foi que, se antes estimávamos que o grau de separação entre as pessoas era de no máximo 6 nós (ou seja, você está a 6 amigos de distância de qualquer pessoa do mundo), a Internet e as redes sociais diminuiram esta distância para pouco menos de 4 pessoas, em média (3.74 pessoas). Ou seja, a Internet está aproximando todos nós, e tornando um mundo um lugar "menor".

Além de aproximar as pessoas, e facilitado o acesso a informação, a Internet também tem ajudado a nos mobilizar politicamente. Hoje há uma demanda maior por transparência dos governos, como nunca antes. As pessoas querem ouvir e serem ouvidas, querem manifestar suas idéias e posições políticas. Além disso, como as estatíticas do infográfico mostram, ficou mais fácli nos mobilizarmos com o uso da Internet: bastou uma semana para os egípcios organizarem uma revolução, que derrubou 30 anos de ditadura em apenas 18 dias.

[Cyber Cultura] Sexting

Há um tempinho atrás o blog Crimes pela Internet publicou um artigo caprichado sobre o que cada pai deve saber sobre sexting, explicando o risco dos jovens compartilharem imagens eróticas de si mesmos e como os pais poderiam tentsr evitar isso. O artigo vale a pena ser lido, embora ele misture algumas informações específicas dos EUA (como gírias) e algumas específicas do Brasil (como o parágrafo sobre o estatuto da crianá e do adolescente).

O "sexting" é um problema dos tempos modernos... Ou melhor, é um "problema" antigo adaptado aos tempos modernos: hoje em dia os adolescentes podem facilmente compartilhar a descoberta da sexualidade com seus amigos e conhecidos através de redes sociais, mensagens telefônicas (SMS e MMS), fotos digitais, etc. A palavra "sexting" surgiu da junção de "sex" com "texting", que representa o compartilhamento de mensagens e conteúdos com tom sexual (ou mesmo pornográfico através de mensagens de celular. Este problema, com o tempo, foi migrando também para as redes sociais.

Conforme explica o post do Crimes Pela Internet, ao praticar o “sexting” meninos e meninas de várias idades tiram fotos nus, seminus, ou em poses sensuais exibindo o próprio corpo (ou mesmo da namorada/namorado) usando seus celulares ou câmeras fotográficas. Posteriormente eles podem compartilhar estas fotos com seus parceiros ou colegas, correndo o risco de eventualmente estas fotos vazarem e seu compartilhamento fugir do controle, expondo a intimidade destes jovens.

Os riscos para os jovens incluem a eventual exposição indesejada da intimidade dos jovens ou exposição a pedófilos ou chantagistas, caso as fotos vazem para outras pessoas, o risco de bullying, e o risco de condenação penal, uma vez que o próprio jovem ou adolescente, quando divulga fotos íntimas de seus colegas ou de si mesmo, está praticando pornografia infantil (pode parecer estranho, mas já houve casos de jovens condenados por compartinharem fotos de si mesmos).

Um vídeo de conscientização americano chamado "Everyone - Think Before You Post" tenta ilustrar este problema. Veja avaixo uma versão com legendas em português do vídeo. Notem que este vídeo é um pouco parecido com um outro vídeo espanhol sobre sexting que eu publiquei aqui em 2009.





A melhor solução para evitar o problema do sexting nada mais é do que a conscientização dos jovens, o que envolve necessariamente a interação e conversa com os pais.

[Segurança] A Lei Carolina pode acabar com a pesquisa em segurança?

No mês passado a Câmara dos Deputados aprovou e encaminhou ao Senado o Projeto de Lei (PL) 2793/2011 do Deputado Federal Paulo Teixeira (PT/SP), que aborda "a tipificação criminal de delitos informáticos" - também chamado de "Lei Carolina" ou "Lei Dieckmann" por ter sido aprovada as pressas e nas coxas no meio do turbilhão de notícias sobre o vazamento das fotos da pobre atriz.

Várias críticas já foram feitas ao projeto, e você pode rever esta discussão ouvindo o mais novo episódio do podcast Para Sua Segurança, do Ricardo Castro). Mas um parágrafo específico tem tirado o sono dos profissionais de segurança:

Art. 154-A, "§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput."

A crítica é que este simples parágrafo do artigo 154-A pode penalizar não só os cyber criminosos que criam trojans, vírus e phishing, mas também pode criminalizar quem pesquisa vulnerabilidades e produz ferramentas de segurança, como exploits, scanners, e ferramentas de testes de invasão ("pentest", para usar a palavra da moda) - além de qualquer ferramenta que alguém mal intencionado possa utilizar para cometer uma ação criminosa. Até mesmo a criação de módulos para o famoso Metasploit pode ser considerado crime, pois segundo este texto qualquer desenvolvedor de ferramentas pode ser punido caso elas sejam utilizadas por terceiros com fins maliciosos.

Trazendo para um exemplo do dia-a-dia, isto seria como se a lei criminalizasse qualquer empresa que produz ferramentas que permitam a prática de crimes, tais como fabricantes de armas, facas, pés-de-cabra, etc. Seria o fim da indústria de armas e da indústria bélica - o que, pensando bem, não seria uma má idéia, né?

Com a redação atual do PL, tudo vai depender de como o juiz irá interpretar o texto da lei e como vai interpretar a intenção de quem criou uma ferramenta de segurança. Ou seja, o texto está mal redigido e pode levar a interpretações que criminalizem a pesquisa de vulnerabilidades e a criação de ferramentas de segurança.

Isto não é simples paranóia nem discurso vago: uma lei mal redigida criminalizou a indústria de segurança na Alemanha no ano passado, em um caso de má redação de um parágrafo similar ao caso do projeto brasileiro. O caso da Alemanha surgiu quando o legisladores lá tentaram adaptar as leis locais a Convenção de Budapeste, que estabelece no artigo 6 que os países signatários devem ter uma lei que atenda ao seguinte:

1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:

a. the production, sale, procurement for use, import, distribution or otherwise making available of:

I. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;
II. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and

b. the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.

2. This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorized testing or protection of a computer system.

Ou, em poucas palavras, a Convenção de Budapeste recomenda que os países tenham uma lei que criminalize "a produção, venda, (...) de dispositivos,incluindo programas de computador, desenhados ou adaptados essencialmente com o objetivo de cometer alguma das ofensas (...)". E o texto da Convenção de Budapeste deixa claro, no parágrafo 2, de que não deve ser criminalizado a produção, uso, etc de ferramentas quando não houver a intenção de cometer um crime.

Quando as autoridades francesas criaram uma lei que atendesse a recomendação acima em 2004, eles usaram uma redação que também deixa nas mãos da interpretação do juiz a criminalização do uso ou a criação de ferramentas. Ao colocar um "good cause" no texto, os franceses ficam dependendo de como um juíz interpreta a intenção do réu:

Article 323-3 - To, without good cause, import, hold, offer, sell or make available any equipment, instrument, computer program or data specifically designed or adapted to commit one or more offenses under Articles 321-1 to 3232-3 is severely punishable by penalties respective to the offense itself or the infraction.

Na Alemanha, a coisa foi pior ainda. O código penal foi reformado em 2007 e criminaliza qualquer programa que permita roubar senhas ou acessar dados de sistemas.

Section 202(c) - It is an offense to create, sell or distribute any computer program, the intent of which is to steal password or other security codes, or access data and systems in any other way.

O resultado é que a pesquisa em segurança na Alemanha e na França foi prejudicada por estas leis, e alguns profissionais de segurança destes países já foram processados com base nelas.

Consequentemente, uma lei mal redigida pode criminalizar os pesquisadores de segurança, em especial aos que se dedicam a descobrir vulnerabilidades e criar novas ferramentas. O mercado brasileiro já é pequeno e nosso país tem pouquíssima tradição de pesquisa em praticamente todas as áreas do conhecimento. Uma lei má redigida, como é o caso do PL 2793/2011, pode significar o golpe de misericórdia para a pesquisa nacional.

[Segurança] Profissão: Desenvolvedor de Código Malicioso

Depois que o New York Times revelou que os governos americano e israelense foram os responsáveis pela criação do super-mega-vírus-destruidor-de-usina-nuclear Stuxnet, ficou definitivamente comprovado que o uso de códigos maliciosos por governos e agências de inteligência contra outros governos já é uma realidade - o que a mídia adora chamar de armas cibernética (cyber weapons).

Logo surgiu o questionamento: já que existem desenvolveres de códigos maliciosos trabalhando para os governos, como alguém colocaria isso em seu currículo?

A pergunta é interessante, principalmente se pensarmos que até o momento, desenvolver códigos maliciosos, trojans e vírus era uma tarefa restrita aos ciber criminosos - e, portanto, não constituía uma "profissão" que pudesse ser reconhecida pelo mercado. Mas, se há esta demanda em alguns órgãos de governo em algumas partes do mundo, certamente uma série de empresas que prestam serviços para estes governos também vão começar a oferecer isto (desenvolvimento de malwares) também. Afinal, se a empresa XYZ já vende mísseis nucleares ou aviões de guerra, o custo para criar uma divisão interna de ciber guerra e vender "ciber armas" seria irrisório (ainda mais se comparado ao custo e ao tempo necessários para desenvolver, por exemplo, um novo míssil ou um novo avião).

No mercado de Segurança da Informação, a única demanda que existia até agora era para analistas de códigos maliciosos, ou seja, pessoas que fazem o contrário: analisam como um malware existente funciona para descobrir como se proteger contra ele. Estes profissionais normalmente trabalham em fabricantes de anti-vírus ou mesmo em alguns bancos, que são dedicados a descobrir novos vírus e pesquisar como eles funcionam, para assim criar uma vacina, combater a infecção ou identificar o ciber criminoso responsável pelo golpe.

Há outros aspectos interessantes desta "profissão": normalmente quem trabalha com isso está envolvido em algum tipo de projeto ultra-secreto do governo, logo não poderia, sob hipótese alguma, dizer que trabalha com isso. Logo, o pessoal de RH vai ficar doido tentando achar esse tipo de profissional. E, se achar alguém, provavelmente será através de um candidato que mentiu no CV, não será qualificado e não terá a real experiência desejada. Além do mais, como este tipo de trabalho envolve espionagem e conflito entre países, eventualmente o próprio analista que se expor publicamente pode ser alvo de ameaças, como um ataque terrorista ou assassinato por algum agente de um governo inimigo. Estou sendo paranóico? Não muito, se considerarmos que dois especialistas do governo iraniano sofreram atentado quando o Stuxnet surgiu.

Ou seja, se você quer trabalhar na área ou já trabalha, pode ser perigoso (ou proibido) divulgar o que você faz. Uma mudança de emprego provavelmente só vai acontecer através de indicações e relacionamento, e não colocando o seu CV em um site por aí. Mas, se mesmo assim, você quiser colocar isto em seu CV, tente ser discreto. Que tal pensar em algo como...

Empresa XYZ: Desenvolvedor Senior de Ferramentas de Segurança - Trabalhei na divisão de pesquisa, responsável pela análise e desenvolvimento de ferramentas especializadas de segurança destinadas a garantir o acesso seguro a ambientes remotos. Criamos ferramentas que permitiram a empresa economizar milhões de dólares evitando o uso de meios tradicionais de acesso físico.

A reportagem do NYT foi baseada nas revelações do livro “Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”, lançado recentemente, que em um dos capítulos detalha como os EUA e Israel criaram o projeto "Olympic Games" na época do governo Bush, com o objetivo de retardar o desenvolvimento nuclear do Irã (e, ao mesmo tempo, deixar os israelenses distraídos com a possibilidade de um ciber ataque em vez de resolverem bombardear as instalações iranianas).

[Segurança] Eventos de Segurança no Segundo Semestre de 2012

O primeiro semestre ainda nem chegou ao fim, mas já estou começando a me programar para a sequência de eventos de segurança irão ocorrer no até o final do ano.

Segue abaixo uma lista com os eventos  que acontecerão entre Julho e Dezembro deste ano e que eu considero como os mais importantes na área de segurança:

• Julho/2012
• 02 e 03 de julho: GRC International + DRI Day América Latina - Evento de GRC e Continuidade de Negócios, com palestras focadas em assuntos gerenciais. O GRC International + DRIDay fomenta a discussão de como criar e aplicar diretrizes de governança nos domínios de gestão de riscos (Segurança da Informação, Governança Corporativa e de TI, Continuidade de Negócios, Responsabilidade Social, Sustentabilidade e Meio Ambiente).
• Agosto/2012
• 01 e 02/08: CNASI Recife - Segunda edição do CNASI que ocorre no Nordeste, em Recife (PE). Dois dias de palestras e debates focados principalmente em temas de gestão, auditoria de TI, segurança da informação e governança.O Evento também tem uma área de expositores.
• 23/08: SecureBrasil - Esta é segunda edição brasileira da principal conferência do (ISC)². Palestras direcionadas a profissionais experientes de mercado, com uma área de exposições para os patrocinadores.
• 23 e 24/8: IV CONGRESSO DE CRIMES ELETRÔNICOS E FORMAS DE PROTEÇÃO: Evento realizado pela FECOMERCIO, em São Paulo. Evento bem organizado, com palestras e debates relacionados a área de segurança e de direito digital.
• 27/8 a 01/09: VII Workshop SegInfo - tradicional evento de segurança no Rio de Janeiro, que possui uma abordagem acadêmica, técnica e empresarial ao mesmo tempo. O Workshop SegInfo inclui palestras e debates sobre segurança da informação, além de uma competição de War Games.
• 29/08: Dia Internacional de Segurança em Informática (DISI) - evento realizado anualmente pela Rede Nacional de Ensino e Pesquisa (RNP) para educar e conscientizar usuários de Internet sobre segurança . O DISI inclui atividades de conscientização como palestras e distribuição de material de conscientização, além de fomentar iniciativas que divulguem o tema segurança em informática. As palestras são gratuitas, abertas ao público e também são transmitidas em tempo real. Neste ano, o DISI terá como tema Privacidade de Dados na Internet.


• Setembro/2012
  
  • 26 a 28/09: ICCyber - Neste ano o ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos) ocorre em Brasília. É um evento com foco bem específico em investigação e combate ao crime cibernético e forense computacional. Atrai principalmente funcionários da polícia federal e estadual (peritos e delegados especializados em crime cibernético), membros do governo e forças armadas e funcionários de bancos. Palestras técnicas e uma área de expositores relativamente grande.
  
  
• Outubro/2012
  
  • 20 e 21/10: Hackers to Hackers Conference (H2HC) - A H2HC é o maior, mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa em segurança, vulnerabilidades e novos ataques. Antigamente a H2HC era restrito ao pessoal mais relacionado a pesquisa ou ao mundo underground, mas hoje em dia o evento se tornou um dos mais importantes do mercado de segurança brasileiro
  • 21/10: Conferência O Outro Lado BSides São Paulo - A quarta edição da mini-conferência Co0L BSidesSP, organizada pelo Garoa Hacker Clube, acontecerá em paralelo com a H2HC. A conferência será gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras (com foco mais técnico), oficinas, debates e churrasco.
  • 22 a 24/10: CNASI-SP - o tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) organizado pelo IDETI. Palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança.
• Novembro/2012
  
  • 07 e 08/11: Security Leaders - Terceira edição do Security Leaders, um evento onde a programação é voltada principalmente em torno de debates que podem ser assistidos no local e são transmitidos ao vivo pela Internet. Também inclui uma grande área com expositores.
  • 10 e 11/11: Silver Bullet - Evento do pessoal que organiza o You Sh0t the Sheriff. O Silver Bullet terá duas trilhas de palestras dos mais diversos assuntos relacionados a segurança da informação. O evento também tem espaço para fornecedores e uma enorme sala lounge dedicada para o relacionamento e networking dos participantes.
  • 19 a 22/11: Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2012): , realizado anualmente desde 2001, O SBSeg é o maior, mais importante e até aonde eu sei, o único (!!!) evento acadêmico brasileiro na área de Segurança. A cada ano ocorre em um local diferente, e a edição deste ano será em Curitiba (PR).
• Dezembro/2012
  
  • 07 e 08/12: GTS-20 - No final de semana de 7 a 8 de dezembro serão realizadas a vigésima edição da Reunião do Grupo de Trabalho em Segurança de Redes (GTS) e a 34ª Reunião do Grupo de Trabalho de Engenharia e Operação de Redes (GTER-34), desta vez ocorrendo junto com a II Semana da Infraestrutura da Internet no Brasil. Os eventos GTER e GTS são dois eventos com conteúdo técnico, que são organizados pelo NIC.br e direcionados principalmente para a comunidade de operadores de Internet no Brasil.
  
  Em termos de eventos internacionais, eu conheço e sempre recomendo dois: a Defcon (que neste ano celebra a sua vigésima edição) e a Ekoparty, na Argentina. A Defcon é a maior conferência hacker do mundo, com mais de 6 mil pessoas e dezenas de palestras e atividades simultâneas, e acontece de 26 a 29 de Julho em Las Vegas (EUA), no Hotel e Cassino RIO. Neste ano também teremos a terceira edição da Hackcup, um campeonato de futebol que acontece junto com a Defcon. A Ekoparty, por sua vez, é um excelente evento de segurança que acontece de 17 a 21 de Setembro em Buenos Aires (Argentina), com foco principal em pesquisa em segurança e palestras mais técnicas. Também inclui uma competição de Capture The Flag (CTF) e uma área de expositores. A "eko" é um evento de excelente qualidade e muito próximo de nós.
  
  Para ver uma lista mais completa com todos os eventos de TI e segurança no Brasil e os principais eventos no mundo, eu recomendo que você visite o site Agenda TI e o site da LMS Treinamentos. Além disso, o IDETI, que organiza o CNASI, mantém em sua home page uma lista com todos os eventos que eles irão realizar durante o ano.
  
  Se eu esqueci de algum evento brasileiro importante, me avisem.
  
  Nota: No momento em que eu escrevi este post, ainda não tinha sido divulgada a data do Silver Bullet nem do GTS-20 (Reunião do Grupo de Trabalho em Segurança de Redes - GTS).
  Nota 2: Post atualizado em 19/Junho com informações do congresso da FECOMERCIO, SBSeg e Silver Bullet.
  Nota 3: Post atualizado em 02/Nov. com a data do GTS-20 (Reunião do Grupo de Trabalho em Segurança de Redes).

[Cidadania] Preconceito + Deep Web = Creepy Web

"(...) de repente desenhando um pentagrama no chão com sangue de virgem (agora com a marcha das vadias isso é artigo de luxo), usando um pincel de pelo de texugo (tem gente que usa pra fazer barba), e invocando os demônios constante no livro "Magia Sagrada de Abramelin" (se quiser empresto-lhe meu exemplar), talvez algum deles quebre a criptografia pra vc :-)"

A frase acima surgiu ingenuamente em uma lista de discussão sobre tecnologia da qual faço parte, enquanto falávamos em como recuperar informações criptografadas com o software TrueCrypt. De repente, ela gerou cerca de uns 50 e-mails (eu contei!), fomentados principalmente por algumas pessoas que consideraram a frase machista e preconceituosa. Nesse meio-tempo, a cantora Simony (sim, aquela do Balão Mágico) e sua filha de 5 anos eram ofendidas, criticadas e ameaçadas nas redes sociais. Esta notícia sobre o caso, por exemplo, é só a ponta do iceberg: a Simony foi até mesmo acusada de "zoofilia", que na cabeça dos racistas radicais é o relacionamento "interracial", de pessoas brancas com afro-descententes (veja um ótimo post sobre isso aqui).

Eu considero o preconceito um sentimento irracional e covarde. Na minha opinião, o preconceito surge da necessidade do ser humano de se sentir superior, ou de achar uma justificativa fácil para os seus problemas ou limitações. Neste momento, é muito mais fácil demonizar um sub-grupo do que reconhecer suas limitações. Se você tem dificuldade de conseguir um emprego que considere bom, ou um emprego qualquer, em tempos de crise, é muito mais fácil culpar os judeus (aconteceu na Alemanha pré-segunda guerra), culpar os extrangeiros (acontece hoje na Europa), os mexicanos (nos EUA), ou os nordestinos (acontece em São Paulo). Se você quer inflar o seu ego, um dos caminhos mais fáceis é demonizar alguém e se julgar superior a ele: seja um judeu ou um cigano (Alemanha pré- e durante a segunda guerra), ou uma mulher, um negro ou um homossexual. Coloque todos os defeitos e problemas do mundo neles e, automaticamente, você é perfeito e agora faz parte de uma raça ou de um grupo perfeito, superior, designado por Deus ou por uma herança genética. Em seguida surgem as piadas, as ofensas e as agressões físicas.

É mais fácil ver defeitos nos outros do que achá-los em si mesmo.

Sim, sou contrário a qualquer tipo de preconceito. Mas também sou contrário ao radicalismo na defesa contra o preconceito. Não acredito que reações exageradas resolvem alguma coisa. O radicalismo denegre o discurso anti-preconceito e rouba a sua credibilidade. O recente caso do anúncio do Azeite Gallo e da tentativa de censurar obras do Monteiro Lobato, na minha opinião, são exemplos do que eu considero ser um radicalismo desnecessário.

A realidade é que quem procura preconceito e discriminação acha, até mesmo aonde não existe ou aonde não existiu a intenção. A menos que você seja homem, cristão, branco, loiro, heterossexual, magro e cabeludo, você vai ouvir frases diariamente que podem parecer ofensivas - e serão ofensivas, se o seu grau de paranóia for alto. A única forma de evitar isso é ficar em casa - com a TV desligada. Basta ver os personagens afro-descendentes ou homossexuais nas novelas e filmes brasileiros: os afro-descendentes estão lá para representarem empregados de baixo escalão, enquanto os homossexuais são criaturas caricatas e ridicularizadas.

Mas na prática, se não houver um mínimo de respeito, tolerância e bom senso de ambas as partes (das minorias e das maiorias), realmente ficaria impossível convivermos em sociedade. O que não pode ser tolerado de forma alguma é o radicalismo, ou atitudes que levem ao radicalismo. E esta é a briga que todos nós devemos comprar.

Neste domingo, 10 de junho de 2012, enquanto a Simony e alguns membros do Anonymous que foram ao seu socorro discutiam via Twitter com alguns dos radicais preconceituosos que a ameaçam, alguns milhões de pessoas lotaram a Avenida Paulista, em São Paulo, na 16ª edição da Parada Gay (que só existe por causa do preconceito), e eu tirei a tarde de domingo para visitar o United States Holocaust Memorial Museum, em Washington (DC), aonde pude entrar em um vagão utilizado para levar os prisioneiros (judeus, homossexuais, religiosos, prisioneiros de guerra e prisioneiros políticos) para os campos de extermínio e pude sentir o triste cheiro de couro velho em uma sala com centenas de sapatos que foram retirados das vítimas do holocausto, um pouco antes delas serem exterminadas.

Infelizmente, a Internet reflete a nossa sociedade, nos aspectos positivos e negativos. Na web e no mundo real, a maioria de nós raramente vai dar de cara com um criminoso ou ver um crime acontecendo na nossa frente. Mas criminosos, racistas, preconceituosos e radicais existem em ambos os mundos, aos montes. Muitos destes discursos de ódio permanecem a maior parte do tempo na chamada "deep web" (ou "web profunda"), que é a gigantesca quantidade de sites que ficam de fora até mesmo da maioria dos buscadores e raramente acessamos. Mas o fato destes sites, listas de discussão, fóruns e perfis falsos não estarem na superfície e não vermos estes sites e mensagens com frequencia não significa que não existam. A Simony e a Monique Evans, para citar algumas pessoas famosas, já descobriram isso da pior forma.

[Carreira] As 10 principais mudanças no mercado de trabalho para os próximos 20 anos

O sensacional Max Gehringer mostrou, em sua coluna diária na rádio CBN, o que ele considera serem "As dez mudanças significativas do mercado de trabalho nos próximos 20 anos". É uma pena que a CBN não disponibiliza mais em seu site o link para colocarmos o áudio no blog, mas de qualquer forma, o comentário é divertido e tem um fundo de verdade, e vale a pena ser ouvido.

Como várias destas previsões também podem ser adaptadas para o mercado de TI e de segurança da informação, segue abaixo uma transcrição destas 10 previsões e em que ponto algumas delas se aplicam especificamente ao mercado de TI e SI, na minha opinião.

• 1a Mudança: Devido a velocidade em que as pessoas pulam de um emprego para outro, o prazo médio de permanência em um emprego será de 36 horas.
• 2a Mudança: A escolaridade mínima para qualquer cargo, mesmo júnior, será de 3 doutorados. Devido ao excesso de candidatos, bastará escolher quem souber soletrar "empresa". (Já na área de TI, não haverá exigência de escolaridade, pois diploma é coisa de quem não é auto-didata. Basta ao candidato dizer que já desenvolvia programinhas para iPhone desde os 5 anos de idade - e, obviamente, contar isto como experiência profissional. Logo, teremos "profissionais" com 15 anos de mercado e 20 anos de idade) (além do mais, quem prestar atenção nas mensagens enviadas em listas de discussão ou colocadas como comentários em fóruns e sites - inclusive alguns dos comentários feitos no site da CBN, verá que a quantidade de erros gramaticais é absurda, logo saber escrever corretamente e soletrar será uma arte dominada por poucos)
• 3a Mudança: Em nome do politicamente correto, os chefes terão o título de "consultores emocionais para subordinados geniais"
• 4a Mudança: O Max comeu bola e esqueceu da 4a previsão!!!
• 5a Mudança: Olhar para um subordinado por mais de 5 segundos será considerado Assédio Moral
• 6a Mudança: Os organogramas serão extintos, para que os ocupantes de cargos mais baixos não se sintam discriminados
• 7a Mudança: Um entrevistador não poderá fazer nenhum tipo de pergunta a um candidato a emprego que possa representar invasão da privacidade, como sexo, idade, estado civil, endereço, número dos documentos e qualquer menção aos empregos anteriores (tirando o exagero de não citar os empregos anteriores, isto já acontece em vários países, e em particular nos EUA: lá ninguém coloca a idade, o sexo nem o estado civil no CV)
• 8a Mudança: Todo empregado terá assegurado o direito de discordar (do chefe) na hora que quiser, sem risco de retaliação (Nota: isso também poderá ser feito via redes sociais e Twitter)
• 9a Mudança: As empresas viverão em um ambiente de cordialidade, fraternidade, liberdade e igualdade - e admiração mútua entre os felizes empregados
• 10a Mudança: Os brasileiros já terão parado de acreditar nesses tipos de previsão (hum, essa eu acredito que vai ser uma furada - mesmo daqui a 20 ou 50 anos, essas previsões continuarão a existir)

[Segurança] O dilema da guarda de logs

Uma das dúvidas mais frequentes para quem trabalha com TI e com Segurança da Informação diz respeito ao prazo que as empresas teriam que respeitar para guardar os logs de acesso aos seus sistemas e a Internet. Isto porque todo acesso ao sistema e a rede poderia gerar um registro de acesso, ou log, ou registro de auditoria, e tais registros poderiam ser guardados indefinidamente. Poderiam, mas não são, pelo simples motivo que isto pode ocupar muito espaço em disco - e espaço em disco para isto pode acabar custando caro no budget de TI, a longo prazo.

Esta pergunta surgiu recentemente na lista CISSP-BR, e por isso eu acabei decidindo colocar aqui, em meu blog, o que eu considero ser a minha opinião sobre este assunto.

O principal problema é que não existe uma resposta mágica: não há uma legislação ou um conjunto estabelecido e formal de "melhores práticas" de mercado que estabeleçam por quanto tempo uma empresa deve armazenar os seus logs. No dia que alguém descobrir a resposta para este problema da retenção de log, pode escrever um livro que vai ficar rico.

A falta de uma resposta precisa sobre a questão da guarda de logs se deve a vários fatores:

• Como eu disse anteriormente, praticamente não existe uma regulamentação única e definitiva sobre isso. A resposta certa pode ser tanto um grande "depende" como um "não existe - e ponto final".
• A resposta também depende do ramo de negócio aonde a sua empresa atua, pois ela pode estar sujeita a diversas regulamentações específicas do seu setor - e alguma destas regulamentações podem, eventualmente, ter algum ítem que direta ou indiretamente indique quanto tempo as empresas devem armazenar seus registros de acesso ou seus controles internos. Ainda mais se sua empresa tiver operações em outros países, que também podem ter exigências legais específicas.
  • Por exemplo, O Comitê Gestor da Internet no Brasil, através do CERT.br, recomenda que os logs de conexões de usuários de provedores de acesso estejam disponíveis por pelo menos 3 anos. Também aconselha que os demais logs sejam mantidos no mínimo por 6 meses. (ítem "4.4.2. Armazenamento de Logs" do documento "Práticas de Segurança para Administradores de Redes Internet" publicado em 2003)
  • O Projeto de Lei 84/99, o famoso PL do Azeredo, que ainda está em discussão eterna no Congresso, propõe que os provedores de internet guardem os logs por três anos.
  • O PCI pede que os registros de auditoria sejam mantidos por pelo menos 1 ano e que no mínimo 3 meses de logs estejam imediatamente disponíveis para análise (requisito 10.7 do PCI Data Security Standard).
• A resposta também depende do tipo de informação e do uso que ela pode ter para a empresa. Por exemplo, um log de acesso ou de login dos funcionários pode ser usado em um processo trabalhista, e até aonde eu sei qualquer empregado tem até 5 anos depois que se desliga da empresa para abrir um processo. Já aconteceu comigo de ter que usar o log de quando o funcionário fazia o login e o logoff na rede para determinar se ele estava chegando tarde ou saindo mais cedo do emprego com frequencia. Muitos de nós, que trabalhamos com TI e Segurança, já devemos ter recebido em algum momento um pedido de um gerente para verificar os logs de acesso a Internet para saber se determinado funcionário ficava tempo demais navegando na Web, em vez de trabalhar.

Na minha humilde opinião, a melhor forma de resolver esta questão é jogar a batata quente para a área jurídica e de RH da sua empresa, e pedir um parecer deles. Ninguém entende melhor de leis e do trato com os funcionários do que eles. Ninguém melhor do que eles tem um histórico dos problemas legais pelos quais sua empresa já passou.

Mas a minha resposta mágica para a guarda de logs é "5 anos".

Isso porque, até aonde eu sei, este é o prazo para alguém dar entrada em um processo na Justiça. Pode parecer muito, mas se você consultar o jurídico e RH de sua empresa, vai descobrir que, se eles fazem o trabalho bem feito, eles já estão acostumados a guardar documentos por prazos muito maiores do que este. Por exemplo, as informações de contratação de funcionários deveriam ser guardadas pelo RH para sempre. Isso porque, se um ex-funcionário precisar comprovar o tempo de trabalho quando for se aposentar (daqui a 30 ou 40 anos, quem sabe), a empresa tem que manter estes dados. Dados de cobrança dos clientes normalmente devem ser guardados por 5 anos ou mais. Empresas do setor de Telecomunicações tem que armazenar todos os registros de chamadas telefônicas por 5 anos - sob pena da empresa ser processada e até mesmo o CEO ser preso se a empresa não responder a um pedido de quebra de sigilo telefônico com os dados históricos de um determinado cliente.

Também acredito que existe um drama exagerado sobre esta questão da guarda de logs. Isto porque eu acredito que guardar estas informações é mais fácil do que muita crítica leva a crer. O mais importante de tudo é ter um bom processo para organizar e armazenar destes dados, para que eles possam ser facilmente encontrados quando for preciso. Além do mais, eu levo em consideração o seguinte:

• Em geral os registros de log são arquivos em formato texto simples com muita informação parecida. Isto é o sonho de qualquer programa de compactação de dados: um log pode ser facilmente compactado com taxas de 90% ou mais, chegando até mesmo a 99% de compactação. Ou seja, um arquivo com 1 GB de logs vira, facilmente, um arquivo de 100 MB - ou muito menos. Ou seja, a compactação permite uma grande economia de espaço para fazermos a guarda dos logs.
• O preço das mídias caiu vertiginosamente nos últimos anos. Os registros de logs antigos podem ser armazenados em fitas ou gravados em DVDs. Além disso, o custo de discos está muito baixo ultimamente - para ficar em um exemplo simples, um disco externo de 2 TB pode custar menos de R$ 850 (ou, nos EUA, menos de US$ 120,00). Além do mais, um gravador de Blue Ray, capaz de gravar discos com 50 GB de dados, pode ser comprado por U$ 160,00.

Atualização (8/6/2012): O Daniel Checchia também aproveitou o assunto e escreveu um texto excelente em seu blog, entitulado "O Dilema da guarda de logs – O que deve ser retido". Lá ele aprofunda ainda mais a questão e discute algumas características que devem ser levadas em conta para definição de um ambiente (e ferramenta) de guarda de logs. Na minha opinião, como o artigo dele teve uma pegada mais técnica, só faltou ele mencionar a importância de ter a sincronização de horários entre todos os servidores, o que é facilmente realizado através do protocolo NTP.