setembro 18, 2017

[Carreira] Não perca tempo com gente babaca

O canal Provocações Filosóficas tem um vídeo pequeno e interessante, chamado "Não perca tempo com gente babaca", de um trecho de uma palestra do filósofo, professor e escritor Leandro Karnal.


Segundo ele, "a vida é muito curta para que se perca tempo numa existência medíocre" e, o mais importante, conheça a si mesmo, pois "se eu me conhecer, ninguém me ofende (...) ninguém me ataca".

Muito do que ele diz nos pouco mais de 4 minutos de vídeo se aplica ao clima de ódio que vivemos frequentemente na Internet. Suas palavras nos ajudam a lidar (ou melhor, ignorar) os haters e trolls que nos cercam:
  • "As pessoas tem direito a dizerem o que querem (...), eu só me ofendo se concordo com elas";
  • "Ataque é veneno, e veneno só funciona se eu tomar";
  • "A vida é muito curta para que eu perca tempo com babacas cheios de ódio."
Como o próprio Leandro Karnal disse em uma entrevista na TV Câmara, falar mal de alguém cria uma relação de amizade e a Internet turbinou esse ato, pois a Internet nos permite fazer isso sem o ônus da presença física. Assim, fica mais fácil falar mal das pessoas sem a presença da vítima e sem o risco de receber uma resposta.

setembro 15, 2017

[Cyber Cultura] Phubbing

Tá aí uma nova buzzword que diz respeito a todos nós:


Phubbing


"Phubbing" é quando alguém ignora as pessoas ao seu redor por causa do celular. É um mau hábito comum a todos que têm smartphones (ou seja, praticamente todo mundo hoje em dia), e ficam conectaos o tempo todo, mesmo quando acompanhados por outras pessoas no trabalho, em restaurante ou encontros com amigos e familiares.

Isso acontece porque todos nós utilizamos os smartphones para ficar conectados ao trabalho e redes sociais em tempo integral. Seja para visitar seus grupos de amigos e familiares no Whatsapp, dar uma olhada no Facebook ou responder aos e-mails depois do horário de trabalho.

Segundo uma reportagem na Gazeta do Povo, o termo foi criado em 2013 por umdicionário australiano, representando a fusão das palavras “phone” (telefone) e “snubbing” (esnobar)
Aos poucos, esse hábito transmite a sensação de que interagir com as pessoas ao seu lado não é tão importante quanto a tela em frente a você. Não é raro que o interlocutor acabe falando sozinho enquanto a outra pessoa se distrai no celular.

setembro 14, 2017

[Segurança] Cuidado com sua privacidade

Uma amiga, a Yumi Ambriola, compartilhou no Facebook uma história que aconteceu com ela recentemente e que mostra a importância de tomamos cuidado com nossas informações pessoais.

A história, verídica, é um bom exemplo de como devemos ter cuidado ao conversar com estranhos, ou com o que falamos próximo a estranhos, pois hoje em dia é muito fácil rastrear as pessoas através das informações que compartilhamos na Internet.
"Hoje no táxi, o motorista estava contando de uma passageira X que brigou com o namorado Y, estudava num lugar W e morava num bairro nobre Z de SP.


Por esporte, apenas com essas informações W, X, Y e Z (só o primeiro nome do casal), consegui encontra-la através de mecanismos bestas de busca. Achei onde estudava, o e-mail, o perfil do namorado, onde ela trabalhava, a área da empresa em que ela trabalhava e através de uma foto pública com geolocalização em seu perfil, o condomínio onde ela morava.

Bonitinh@s: ao conversar com estranhos, não dê informações desnecessárias... omita/minta nomes ou troque informações para dificultar que seja encontrado.

Mandei uma mensagem para a moça, alertando-a de sua (não) segurança, com dicas de privacidade e aqui mando o recado pra vocês.

Obs: A foto do cachorro fofinho é meramente ilustrativa e serve para que as pessoas prestem atenção no post."
Exemplos como o acima mostram como atualmente está muito difícil, quase impossível, garantirmos a nossa privacidade. Intencionalmente ou não, nós deixamos muitas informações pessoais disponíveis em redes sociais e ao alcance dos mecanismos de busca mais populares. Junte a isso a falta de cuidado em lugares públicos, e estamos dando oportunidade para criminosos e stalkers.

Por isso, devemos sempre prestar muita atenção com quem conversamos (on line e presencialmente) e com o tipo de informações pessoais, profissionais e familiares que divulgamos nas redes sociais.

Vale a pena, periodicamente, revisar nossas configurações de privacidade nas redes sociais e serviços online, além de verificar nos mecanismos de busca que informações estão disponiveis sobre nós na Internet. Você já buscou pelo seu nome no Google?

setembro 12, 2017

[Segurança] Roadsec São Paulo 2017

Com o slogan de "o maior Festival Hacker da América Latina", foi dada a largada para o Roadsec São Paulo, a edição de encerramento da temporada 2017 do Roadsec, o evento itinerante de segurança que neste ano passou por 18 cidades brasileiras.



O evento acontecerá no dia 11/11, sábado, novamente no gigantesco espaço da Áudio Club. Neste ano o Roadsec São Paulo contará com quase 24 horas de programação (das 10:30 da manhã do sábado até 5 da manhã do domingo), formada por 5 trilhas de conteúdo com palestras, oficinas, atividades, e as finais do Hackaflag (nas categorias Individual e Grupos).

Desta vez o Roadsec vai ocupar 2 galpões do Áudio Club, para conseguir receber as comunidades, incluindo o Dumont Hackerspace, o pessoal maker do portal Embarcados, a galera de eletrônica, software livre, DIY, ativismo, etc. Neste ano eles terão novamente uma arena com batalha de robôs da Robocore, além da área de exposição de patrocinadores e a feira de food trucks.

Como destaque entre os palestrantes, vamos receber o Jonh Draper (o Captain Crunch), um lendário pioneiro na área de segurança, que ficou famoso ao descobrir, bem no início dos anos 70, que conseguia controlar centrais telefônicas usando um pequeno apito que era dado como brinde em caixas de cereais matinais.


No final do dia e a noite, após o encerramento das pelstras e oficinas, começam os hows. Neste ano o Roadsec terá shows do Matanza, Raimundos, Dual Core, YTCracker e mais 10 DJs.

Anote aí na sua agenda:
A propósito, se você tiver interesse em palestrar no Roadsec São Paulo, o Call for Papers está aberto até 06/10.

setembro 11, 2017

[Cyber Cultura] Estatísticas sobre IoT no Brasil

Uma reportagem recente da Decision Report cita algumas estatísticas relacionadas a adoção de IoT no Brasil, retiradas em um relatório da Aruba:
  • O Brasil é um dos cinco principais países do mundo para empresas que planejam adotar a IoT;
  • Hoje, mais de metade (57%) das empresas já adotaram tecnologias de IoT, e até 2019 esse número deverá atingir 85%;
  • Em todo o Brasil, o retorno do investimento (ROI) em IoT foi em média de 37% (9% maior do que a média global);
  • Mais de um quarto dos entrevistados (27%) relataram ROI em IoT acima de 40%, e 20% deles relataram ROI acima de 60%.
  • 95% viram um aumento na eficiência dos negócios desde a adoção de IoT;
  • Sobre o impacto no negócio, 91% viram o departamento de TI da organização se tornar mais eficiente; 88% relataram melhor visibilidade dos processos em toda a organização; e 83% obtiveram redução de custos;
  • Mais de metade dos entrevistados (61%) sentem que os ataques externos são a maior ameaça aos seus sistemas de IoT e 86% já sofreram um ataque relacionado à IoT;
  • As brechas de segurança mais comuns foram causadas por ataques de malware (51%) e spyware (36%).



setembro 08, 2017

[Segurança] User-Agents mais comuns

O site techblog.willshouse.com possui uma lista com os user-agents mais comuns. O user-agent é uma informação que faz parte do cabeçalho HTTP que identifica qual é o tipo e versão do browser.

Essa lista é atualizada dinamicamente desde 2012, e inclui as versões mais atuais dos browsers. É um material interessante para fazer algum estudo ou para compor alguma estratégia de detecção de acessos maliciosos ou suspeitos.

Acessando agora, podemos ver que os top 10 user agents são:

  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/603.3.8 (KHTML, like Gecko) Version/10.1.2 Safari/603.3.8
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36

Os 2 primeiros user-agents dessa lista, relacionados ao Chrome, representam aproximadamente 12% do total.

Para saber o significado da string do user-agent, uma boa opção é dar uma olhada no site http://useragentstring.com. Lá ele destrincha para você cada trecho do user-agent.

setembro 06, 2017

[Segurança] Como denunciar um phishing em seu smartphone

O pessoal de um banco brasileiro criou um serviço para denunciar facilmente, via smartphone, as mensagens de phishing tradicionais ou recebidas no celular (SMSishing), um golpe muito comum hoje em dia.


Esse novo serviço de shutdown de URLs de Phishing utiliza um robô (bot) no Telegram que funciona 24h e disseca as mensagens recebidas para identificar a URL de phishing e tomar ações de bloqueio e report (para antivirus, etc), além de solicitar o shutdown automaticamente do site, em diversas línguas.

Para reportar um phishing, basta enviar a imagem da mensagem ou a URL (preferencialmente digite a URL, pois é mais preciso) para o contato @SMS_Suspeito_Bot no Telegram. Ou seja, tudo isso pode ser feito do seu próprio celular!

setembro 04, 2017

[Segurança] Golpes bancários através de SMS

A prática de SMSishing não é nova, nem aqui nem no mundo. O termo surgiu há vários anos atrás por causa do golpe baseado no envio de mensagens de phishing por celular, através de mensagens de SMS.

A vítima, no caso, recebe uma mensagem em seu celular em nome de alguma empresa conhecida (normalmente um banco), convidando para acessar um site aonde ela vai baixar um código malicioso ou, o que é muito mais comum, ela vai preencher um formulário falso (em nome da empresa) aonde vai passar seus dados para o fraudador.

Por algum motivo, no último ano esse tipo de golpe se intensificou absurdamente no Brasil, usando tanto mensagens de SMS e Whatsapp. O mais provável é que os ciber criminosos brasileiros perceberam que a grande maioria dos usuários bancários já tem smartphones (e, logo, conseguem facilmente acessar sites a partir de links que recebem no celular) e que é mais fácil enganar o usuário final através de uma mensagem de SMS do que uma mensagemd e e-mail, pois afinal as mensagens de SMS não costumam ser muito sofisticadas em termos de design gráfico. Afinal, são apenas mensagens de texto, sem nenhum logo ou design que necessite ser copiado.

A vida do ciber criminoso fica facilitada: basta criar um site simples (mesmo porque a visualização via celular faz com que uma página simples -sem muitas imagens, links nem frames- possa ser facilmente criada para se passar como verdadeira), bolar uma mensagem de texto minimamente convincente e baixar uma lista de números telefônicos (que também pode ser comprada na Internet por R$ 600).

O golpe começa com uma mensagem de SMS enviada ao celular da vítima, normalmente solicitando o recadastramento do seu dispositivo de segurança ou seus dados cadastrais. Para enganar a vítima, os ciber criminosos também podem optar por outras mensagens, como avisando de uma transação que foi realizada e que o usuário tem que ir no link para confirmar ou cancelar.



Ao clicar no link que está na mensagem de SMS, o celular já abre o navegador na página do Phishing, aonde o fraudador vai solicitar os dados do usuário: identificação da conta, senha e as vezes alguns dados cadastrais.



Nesse tipo de golpe também é muito comum que o fraudador peça o cartão de senhas, caso o banco adote este tipo de solução. Nesse caso, o site de phishing já aproveita que a vítima está usando um celular e pede para que ela envie uma cópia de seu cartão de senhas,


No final da história, o ciber criminoso consegue roubar os dados de acesso da vítima (número da conta e senha de login), além de dados cadastrais e, pior ainda, da senha para realizar transações (que em muitos bancos é uma senha variável utilizando o cartão de senhas).

Para evitar cair nesse tipo de golpe, a dica é a mesmade sempre: nunca clicar em links recebidos nessas mensagens. Se você quer verificar se aconteceu algo na sua conta bancária, ligue para o banco, vá na agência ou acesse online através do site real do banco.

Para saber mais, vale a pena dar uma olhada na sessão sobre Phishing na Cartinha do CERT.br.

setembro 01, 2017

[Cyber Cultura] Ajude na Montagem do WikiLab

Deixa eu pegar carona no blog Hacker Culture para divulgar uma ação bem legal: Inscreva-se para ajudar na montagem do WikiLab!

O WikiLab do ABC é um projeto coletivo que conseguiu obter os fundos necessários para a construção de uma sede para o novo Laboratório hacker do ABC, tudo isso por meio de por meio de financiamento coletivo. O WikiLab, que estará localizado na UFABC, já está em processo de construção e todo mundo pode ajudar na montagem.

O WikiLab foi projetado pensando em estruturas modulares que devem ser encaixadas para formar a construção, semelhante a um grande quebra-cabeças. As partes do laboratório da UFABC já foram produzidas e estarão aguardando os voluntários para a montagem.


O mutirão para montagem da estrutura do WikiLab vai acontecer nos dias 12, 13, 14 e 15 de setembro (de terça a sexta).

Para subir o laboratório em uma semana eles precisam de muitos voluntários. Os pré-requisitos são apenas estar no campus de São Bernardo da UFABC no horário escolhido e ter vontade de aprender. Não precisa ter nenhum conhecimento específico, não precisa ser aluno da UFABC e nem mesmo ter ajudado na campanha.

Para se inscrever no mutirão é só entrar em https://wikilab.blog.br/inscricao/, preencher o formulário com a sua disponibilidade de data e horário e aguardar o contato da equipe.

agosto 31, 2017

[Segurança] Como foi o SHA 2017 Hacker Camp

Durante 5 dias no início de Agosto, de 04/08 a 08/08, eu participei do SHA 2017 Hacker Camp, um evento que acontece somente a cada 4 anos na Holanda. Um Hacker Camp, em poucas palavras, é uma conferência que, em vez de acontecer em um centro de convençõres, é realizadsa ao ar livre, em uma grande área de camping. Este tipo de evento fornece uma experiência totalmente diferente dos eventos tradicionais, pois os participantes ficam ao ar livre e, principalmente, ficam imersos no evento 24 horas por dia, initerruptamente. Você assiste palestras, come, toma banho, dorme, bebe, e faz tudo no local do evento durante alguns dias seguidos.




Outro aspecto bem interessante nos hacker camps europeus é que eles fortalecem a participação das comunidades, que são livres para criar as suas "vilas" e realizar dezenas de atividades em paralelo a programação do evento (oficinas, palestras, encontros, debates, etc). Assim, um evento como o SHA 2017 consegue oferece várias centenas de atividades, somando as que constam na programação oficial e as atividades das vilas.

As estatísticas que eu ouvi sobre o SHA 2017 foram impressionantes:
  • 3.650 pessoas no 1o dia de evento
  • O evento ocupou uma área enorme, de 1 por 1 kilômetro, na maior ilha artificial do mundo
  • A programação oficial tinha 300 talks, distribuídas em 4 tendas de palestras e 2 de oficinas
  • A conexão Internet foi de 100 Gbps
Como disse Elger Jonker na palestra de abertura do evento, "Hacking push boundaries, move forward the Society".

As palestras da grade oficial de atividades foram transmitidas online e estão disponíves no canal do evento no YouTube. O temas mais abordados foram relacionados a privacidade, vigilantismo e IoT.

Infelizmente tínhamos poucos brasileiros presentes, cerca de 10, sendo que a grande maioria deles já vive na Europa. E também tivemos um brasileiro palestrando, o Bruno Oliveira, que nos contou sobre sua experiência participando de CTFs e como isso tem ajudado o seu trabalho de pentester. A pouca presença e falta de organização prévia não nos permitiu criar uma "vila brasileira" no evento, o que teria sido bem legal.


Como eu participei do CCCamp há dois anos atrás, na Alemanha, posso comparar os dois eventos: eles são bem similares, seguindo a linha de acampamento hacker: um espaço gigante, com alguns milhares de pessoas de todas as idades, várias vilas e algumas tendas com as programações principais. Os dois eventos acontecem a cada 4 anos, intercalados entre si. O CCCamp me pareceu melhor organizado, e quem viveu o primeiro dia do SHA pode confirmar isso: as lanchonetes demoraram para abrir, algumas pessoas estavam perdidas sobre onde se localizar e aonde montar sua barraca ou vila, etc. O CCCamp tinha 2 tendas enormes com as trilhas de palestras, enquanto o SHA 2017 distribuiu sua agenda oficial em 4 tentas de palestras (menores que a do CCCamp), 2 trilhas de workshops e, também, uma tenda que era o "Badge Bar", com uma pequena infra-estrutura para os participantes montarem e hackearem seus crachás. Eles também separaram uma áres para acampamento e atividades para famílias com crianças.

Depois do fiasco do crachá da Defcon, a SHA não decepcionou: eles fizeram um crachá muito legal!!!

 


Além de assistir algumas palestas e participar de algumas atividades, desta vez eu decidi também ajudar como voluntário na organização do evento. Isso, foi muito fácil: eles possuem um sistema online aonde os participantes podem se inscrever e podem visualizar as vagas que existem para ajudantes. Elas ficavam divididas em blocos de 2 ou mais horas para cada atividade específica (ex: ajudar no estacionamento, na cozinha, no bar, fazendo entregas internamente de bicicleta ou carrinho de golfe). Assim, ficava fácil adequar os horários de trabalho voluntário com as atividades do evento. Foi uma experiência bem legal, pois além de ter a chance de conhecer um pouco da infra do evento, também tive a chance de conversar e interagir com muita gente.

No meu caso, no final do dia eu verificava a programação de palestras e atividades que tinha interesse no dia seguinte e preenchia os horários vagos com o trabalho de voluntário. Assim, ajudei no balcão de informação, no balcão de registro e em 2 bares do evento.

Vale a pena citar que dois exemplos recentes me motivaram muito a querer ajudar como voluntário no SHA 2017: na semana anterior ao SHA eu fui para a Defcon e Bsides em Las Vegas, e vi dois amigos, o Fernando Amate e o Fellype, que foram voluntários na Defcon e na BSides Las Vegas, respectivamente.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.