julho 28, 2012

[Segurança] Welcome to fabulous BSides Las Vegas!


Para aqueles que não estão conhecem as conferências de segurança BSides, elas são "um padrão de organização de eventos voltada para a comunidade, organizada por e para os membros da comunidade de segurança da informação, com o objetivo de criar oportunidades para palestrantes e participantes de aproveitarem uma atmosfera que incentive a colaboração.

A BSides Las Vegas foi a primeira de todas, surgida em 2009. Neste ano ela teve 2 dias e 4 trilhas de palestras, e acontece junto com a Defcon, nos dois dias que antecedem o evento. Ela começou em 25 de julho com uma palestra do Jack Daniels, um dos BSides fundadores, sobre o atual estado das conferências BSides: em 3 anos elas se espalharam em uma velocidade espantosa em toda a comunidade global de segurança e já tivemos 53 conferências BSides até agora, espalhadas por 34 cidades em nove países - incluindo a primeira BSides São Paulo, organizada pelo Garoa Hacker Clube em Maio deste ano.

Vale destacar que no segundo dia do evento, 26 de julho, dois brasileiros apresentaram na BSides Las Vegas: o Luiz Eduardo dos Santos e o Rodrigo Montoro apresentaram uma palestra sobre como pode ser fácil mapear o perfil de um usuário de smartphone, devido ao funcionamento inseguro de alguns protocolos habilitados por default nos equipamentos quando eles acessam redes WiFI, principalmente o protocolo Multicast Domain Name (mDNS).

Na verdade, a melhor coisa sobre a BSides não foram as palestras, nem o recinto incrível no Hotel Artisan Hotel and Boutique (com uma das trilhas acontecendo no interior de uma capela para casamentos), a comida e cerveja de graça ou toneladas de brindes dos patrocinadores. A BSides tem um espírito único, totalmente direcionado para a comunidade. É tudo sobre o seu envolvimento com a comunidade local de segurança da informação e como contribuir com ela.

Um fantástico exemplo do espírito da BSides é o seu Programa de Mentoria, que pretendemos fazer aqui na BSides brasileira no futuro, e que visa prestar apoio aos palestrantes de primeira viajem. Graças ao Programa de Mentoria da BSidesLA, um jovem pesquisador de segurança chamado Christopher Campbell apresentou uma palestra super interessante sobre os riscos de segurança existentes nos appliances de redes e de segurança. Ele não tinha experiência anterior em apresentar em conferências, mas seu mentor ajudou na criação do slide e em como fazer a apresentação. Em resumo, Campbell comprou vários appliances de firewall e de redes usados e descobriu que a grande maioria deles tinham falhas de segurança que incluiam, dependendo do fornecedor, políticas fracas de senhas administrativas, guarda de logs insuficiente ou que continha informações sensíveis da empresa, falta de atualização, etc. Foi uma palestra muito interessante, útil e que nos alerta a não confiar cegamente em soluções prontas de terceiros. E ela só aconteceu por causa do espírito colaborativo da BSides :)

julho 22, 2012

[Segurança] Defcon for Dummies

A vigésima edição da Defcon, a maior conferência hacker do universo conhecido, está chegando. Mais precisamente, a Defcon 20 será em Las Vegas de 26 a 29 de Julho (quinta a domingo).
  • Nota: este post tem sido atualizado frequentemente desde que foi criado. Inclusive, foi atualizado em Julho de 2017, poucas semanas antes da 25a edição da Defcon.



Eu já escrevi alguns posts sobre a Defcon aqui no blog, e no ano passado eu cheguei a postar algumas dicas, mas quero aproveitar esta oportunidade para dar uma lista mais completa de dicas para quem vai na Defcon. O Willian Caprino e o Daniel Santana já escreveram ótimos posts com as suas dicas pessoais, que também merecem ser lidos.
  • Black Hat, Defcon e BSidesLV
    • A Defcon é a provavelmente o maior evento de segurança do planeta, com mais de 10mil pessoas presentes e diversas atividades acontecendo simultaneamente, em várias trilhas paralelas de palestras e dezenas de atividades extras, como as competições e as "villages" (que são áreas temáticas, como a "Lockpicking Village", "Car hacking village", vilas para SCADA, IoT, etc). Normalmente a Defcon acontece no final da primeira semana de Agosto, no hotel Paris e Baileys Caesar Palace (a partir de 2017);
    • A BlackHat (BH) é a "irmã corporativa e cara" da Defcon. É um evento gigantesco, com 9 trilhas simultâneas de palestras, no hotel Caesars Palace Mandalay Bay. Acontece nos dias que antecede a Defcon e 2 dias com treinamentos.
      • A inscrição da BH custa muito caro, por isso a grande vantagem da Defcon é que você pode assistir um evento tão bom quanto, mas com um ingresso super barato ($200). Além disso, a maioria das melhores palestras se repetem na Defcon e na Black Hat;
    • A BSidesLV é um evento gratuito, que acontece na 3a e 4a feira que antecedem a Defcon (e acontecem em paralelo a BH). Por isso, é uma ótima opção para quem quer aproveitar a viagem e não quer gastar dinheiro indo na BH. A desvantagem é que a BSidesLV costuma lotar, por isso fique de olho no site deles sobre como será feita a inscrição.
    • Eu não vou comentar detalhes sobre a BlackHat nem a BSidesLV, pois o foco deste post é mesmo falar sobre a Defcon.
  • Preparativos de Viagem
    • Compre a passagem com antecedência: Compre a passagem assim que você souber que vai, para economizar dinheiro. Comprando com antecedência, não sai muito caro: é possível comprar a ida e volta por menos de mil dólares. E, lamento, mas será necessário fazer uma conexão nos EUA, pois não tem vôo direto do Brasil para Vegas.
    • Escolha do hotel: você pode ficar próximo ao hotel do evento (Rio Paris e Ballys) ou ficar em algum hotel da Las Vegas Boulevard (também chamada de "Strip", esta é a avenida aonde ficam os principais hotéis/Cassinos da cidade). 
      • A escolha vai do gosto de cada um, mas eu prefiro ficar em um hotel na Strip, pois é lá que ficam os principais pontos de diversão. Ou seja, assim que você sair do evento, obrigatoriamente você terá que ir na Strip para se divertir, comer, comprar muamba ou fazer turismo. E é possível achar hotéis bons e mais baratos por lá. A minha outra sugestão sobre a escolha do hotel na Defcon é que devemos aproveitar para curtir Vegas, e por isso prefiro ficar nos hotéis temáticos. Hospede-se na pirâmide do Luxor, no castelo do Excalubour, ou em uma réplica de Nova York ou Paris, etc.
      • O hotel que eu mais gosto é o Stratosphere, pois é bom e barato (dá para pagar em média US$30 pela diária, em um quarto espaçoso para 2 pessoas) - mas obrigatoriamente você vai precisar alugar um carro. Outras opções boas e baratas que eu também recomendo são o Riviera (aonde era a Defcon antigamente) e (o Riviera foi demolido em 2016) o Excalibur (nele eu nunca fiquei, mas ainda pretendo me hospedar lá). O Hooters e o Circus Circus são dois hotéis bem baratos e que alguns brasileiros já ficaram - mas já ouvi muita reclamação do pessoal que ficou neles.
      • Se você pretende ir na BSides Las Vegas, uma opção é pegar o mesmo hotel deles. Normalmente as tarifas são menores do que os hotéis mais famosos e, reservando com o código de desconto do evento, você garante o ingresso para a BSidesLV;
      • O site Hotels.com é uma boa opção para pegar hotéis com descontos.
      • A maioria dos hotéis não tem frigobar nos quartos. A idéia é simples: eles querem que você saia para gastar.
      • A maioria dos hotéis cobram uma taxa extra, chamada "resort fee". Não é opicional. Veja aqui uma lista das taxas cobradas por cada hotel.
    • Alugue um carro (ou combine com os amigos para compartilharem um carro). O carro é fundamental para você poder passear a vontade pelos hotéis/cassinos, pelos pontos turísticos em volta da cidade e, principalmente, para fazer compras. E, acredite, ninguém vai para Vegas para ficar trancado no hotel. Você pode pegar taxi, mas o carro é muito mais prático.Excalubur, o
      • Durante a Defcon, geralmente as filas para pegar taxi são enormes. Nessa hora você vai se arrepender por não ter um carro.
      • Estacione nos Valets dos cassinos. Os cassinos tem estacionamentos gratuitos enormes, mas os Valets também são de graça, e você só precisa pagar uma gorjeta na hora de retirar o carro (entre $3 e $5). Assim você não precisa perder tempo procurando vaga nos estacionamentos gratuitos, além de deixar e retirar o carro bem na entrada do cassino.
      • Eu sou paranóico: alugo o carro com todos os seguros possíveis. Sai muito mais caro, mas prefiro não correr o risco de ter problemas em um país estranho.
      • Uma alternativa é usar o Uber em Las Vegas.
    • Uma boa opção é comprar um celular pré-pago nos EUA: nas principais lojas e super mercados podem ser achados alguns aparelhos simples por menos de $20.

  • Sobre a Defcon
    • Os "goons" são o pessoal da organização. Normalmente vestem camiseta vermelha e são "grandes" (gordos e altos). A principal regra da Defcon é sempre fazer o que eles mandarem.
    • As inscrições começam na quinta-feira. Faça sua inscrição e pegue o seu crachá o mais cedo possível.
      • Na maioria das vezes eles fazem menos crachás do que a quantidade de pessoas, então quem fica por último pega um crachá de papelão, super sem graça.
      • A fila de inscrições é gigante. Eu e alguns amigos já ficamos mais de 2 horas na fila. Por isso, se possível vá acompanhado para ter alguém para ficar batendo papo, ou aproveite para fazer novos amigos ;)
      • A inscrição é feita na hora. Na verdade não tem inscrição; você simplesmente paga o valor da inscrição e recebe o crachá, um CD com palestras, o guia oficial do evento (cuidado para não perder ele) e alguns adesivos. Não tem que preencher nada, é só pagar. Totalmente anônimo.
      • A inscrição (US$ 220 em 2014) deve ser paga somente em dinheiro. Dinheiro vivo. Leve 220 dólares separados só para isso. Para quem precisa pedir reembolso na empresa, eles colocam um pdf com o "recibo" (algo bem tosco mesmo!) na home page do evento.
      • Depois de passar mais de duas horas na fila, fique mais meia horinha na fila dos souveniers e compre a camiseta oficial do evento e mais algumas bugigangas. As melhores acabam cedo, e as mais sem graça encalham e são vendidas com pequenos descontos no último dia.
      • Ainda sobre as bugigangas: no último dia algumas são vendidas com desconto, mas geralmente sobra pouca coisa. No caso da Black Hat, é possível comprar muita coisa legal na loja do evento, no último dia.
    • Leve bastante dinheiro vivo ("cash"). Além da inscrição só poder ser paga em dinheiro, você não vai querer usar o seu cartão de crédito na maior conferência hacker do mundo, né? Você vai precisar de dinheiro para comprar comida, água e torrar um pouco na área de lojinhas, aonde tem várias bugigangas, livros, equipamentos antigos, kits de lockpicking e wardriving, camisetas e lembrancinhas.
    • Escolha as palestras que você quer assistir com antecedência. As melhores palestras são super concorridas e, na maioria das vezes, não há espaço para todo mundo. Ou você fica na fila na porta de entrada antes de começar a palestra (as vezes a fila começa a ser formada na palestra anterior) ou você entra na sala uma ou duas palestras antes para garantir o lugar. Mesmo assim não é 100% garantido, pois as vezes os organizadores fazem todo mundo sair da sala entre uma palestra e outra :(
      • Dependendo da sala, é comum o pessoal sentar no chão ou ficar nas laterais depois que acabam os lugares disponíveis
      • Depois que as salas lotam totalmente, os "goons" não deixam ninguém entrar. Ninguém mesmo !
    • Evite ao máximo usar a rede wireless da Defcon. Se possível, não leve computador, não acesse nada pela rede de dados do seu celular e, principalmente, não use os caixas eletrônicos. Evite, principalmente, acessar algum serviço que você tenha que fornecer usuário e senha - a menos que você tenha certeza de usar SSL e verificar o certificado digital. Mesmo assim, eu sou cagão e prefiro ficar offline... Afinal, esta é a rede mais hostil do mundo.
    • Além das quatro ou cinco trilhas de palestras, existem diversos eventos paralelos dentro da Defcon, que são interessantes e valem a pena ser vistos sempre que der tempo. Isto inclui as "villages" (wireless e lockpicking são as mais famosas), concursos e as "sky talks" (mais algumas palestras). O jeito mais fácil para ver todas as opções disponíveis é dar uma olhada no site e no guia oficial recebido durante a inscrição.
      • Se você é Brazuca e sabe jogar futebol, junte-se a nós na HackCup.
    • O pessoal usa roupa bem descontraída, por isso tudo bem de ir de bermuda e camiseta na conferência. Havaianas, ok. Na Defcon vale praticamente qualquer tipo de vertimenta, mas a camiseta preta, de eventos e com motivos nerd são as mais comuns, é quase um traje obrigatório;
    • Bônus: tente achar alguns desses personagens no evento ;)
    • A conferência é em ritimo pauleira: muitas palestras e muitas atividades simultâneas que começam cedo e vão até tarde, initerruptamente, sem pausa para almoço. Beba bastante água (afinal, Las Vegas fica em um deserto!) e compre comida para se alimentar bem.
      • Nas salas de palestras costuma ter galões de água no fundo da sala.
      • Não quer perder nenhuma palestra? Então compre um sandwiche no intervalo entre uma palestra e outra e coma na sala de palestras mesmo, sem problemas. Mas seja educado e leve seu lixo para fora depois, ok?
    • As melhores baladas em Las Vegas exigem dress code: calça comprida, camisa social e sapato (se o antipático do segurança não estiver de mal humor, ele deixa entrar com camiseta polo e tênis totalmente preto) - exceto se você for em alguma festa da conferência ou se você "comprar uma garrafa" (não sai por menos de $200, mas dá direito a uma mesa enquanto a garrafa não acabar - por isso, beba a garrafa devagar !!!).
    • Há várias festas organizadas pelas empresas durante a semana. Vale a pena ficar de olho, pois algumas acontecem nas melhores baladas da cidade, com comida e bebida grátis :) A desvantagem é que a festa vai estar cheia de nerds. Acompanhe pelo site www.defconparties.com.
    • Apesar da norma geral ser de que o pessoal não gosta que tirem fotos durante o evento, é OK tirar fotos desde que você não exagere ou não fique tirando foto de alguém específico, sem pedir permissão antes. Mas tome cuidado, pois via de regra, as pessoas lá não gostam de ser fotografadas. Somente na sala do Capture the Flag é que o pessoal costuma ser muito rígido e não permitir fotos (normalmente os competidores não gostam de ser fotografados).
  • Sobre Las Vegas
    • Para os padrões americanos, Las Vegas é um inferninho. Para os nossos padrões, é apenas uma cidade cheia de diversão. 
    • Cada "cassino" lá na Strip é, na verdade, um mega-centro de diversões: é um complexo com cassino, hotel (alguns com milhares de quartos!), alguns restaurantes, alguns bares, uma ou duas baladas e, pelo menos, um ou dois teatros.
      • Os cassinos temáticos valem a visita pela decoração: Paris, Venetian, Caesar, MGM, Bellagio, Luxor, Hard Rock.
      • As opções de shows beiram ao absurdo: Em Vegas tem 7 shows diferentes do Cirque du Soleil (recomendo no mínino o "O" e o "The Beatles Love"), Blue Man Group, David Copperfield (sim, aquele mágico que passava no Fantástico nos anos 80), Fantasma da Ópera, etc.
      • Uma boa opção é comprar ingressos em algum dos stands da Tix4Tonight. É possível achar alguns shows com um belo desconto, mas vale somente para o mesmo dia.
    • Vale a pena conversar com o resto dos brasileiros e com o pessoal mais experiente para descobrir quais lugares tem comida e bebida mais barato.
      • Las Vegas é a única cidade dos EUA aonde é possível beber cerveja na rua, mas isso só vale se você estiver andando na Las Vegas Boulevard. E nunca, jamais, beba cerveja dentro do carro. Na verdade, é proibido até mesmo aos passageiros, e nem mesmo pode ter uma garrafa aberta dentro do carro (foi o que me disseram, confesso que eu nunca tentei agir ao contrário e nem vou tentar);
      • Cerveja é caro nos EUA: facilmente você vai pagar $5 ou $6 em uma latinha. Mas alguns bares podem ter cerveja barata, a $1. O jeito é ficar de olho e trocar idéia com os amigos. Normalmente, uma opção barata é o bar que tem no cassino Hooters;
      • Quer comer em um lugar legal e relativamente barato? Eu recomendo o Peppermill, perto do Riviera, o Bubba Gump, o Outback ou o Applebees (nos EUA eles são baratos, diferente do Brasil). O Denny's é uma boa opção também, principalmente no café da manhã, com comida bem típica americana. Outra opção bem legal é o Olive Gardens, um restaurante muito bom de comida italiana e com preço bem acessível.
      • Quer comer um bifão com ovo durante a madrugada por apenas 5,99 dólares? Um pouco afastado da Las Vegas Boulevard tem um cassino pequeno, chamado Terrible's Hotel Casino. Lá dentro, no segundo andar, tem o restaurante The Sterling Spoon Cafe que oferece o bifão com ovo (Steak and eggs) durante a madrugada por apenas $5,99, e inclui uma batata rosti e torradas.
    • Gorjeta ("tip"): Prepare-se: uma boa parte do seu dinheiro vai em gorjeta. Não tem jeito, isso faz parte da cultura dos americanos e eles esperam que você dê gorjeta para tudo. Em Vegas, é pior ainda.  :(
      • Refeição: Considere 20% de gorjeta em qualquer conta de restaurante. Sempre, exceto McDonnalds e fast foods. Se você pagar a conta com cartão de crédito, você deve preencher no canhoto o quanto você vai dar de caixinha e indicar qual é o total. Inclusive, há campos específicos para isso.
      • Drinks: sempre que você pedir um drink no bar (seja numa festa comum, num bar comum ou mesmo numa das festas patrocinadas durante a Defcon aonde a bebida é grátis), dê pelo menos $1 de gorjeta. Você pode chegar ao cúmulo de pagar $1 na cerveja e dar mais $1 só de caixinha, mas isso é comum. Ah, esse protocolo tem um bug: se você pegar vários drinks de uma vez (para você e os amigos), pode dar apenas $1.
      • Banheiro: sim, isso dá raiva, mas no banheiro das baladas fica um carinha que põe sabonete líquido na sua mão e entrega papel toalha... e ainda tem alguns vidros de perfume que você pode usar. Tudo isso a custa de uma gorjeta. ($1 está de bom tamanho) 
      • Valet: deixe entre $3 e $5 de caixinha.
      • Hotel: Se usar o serviços do carregador de malas, tem que dar pelo menos $1 por mala.
      • Taxi: se você realmente preferiu pegar taxi do que alugar carro, tem que dar gorjeta para o motorista de taxi: 20%. Não adianta pensar que vai pagar só o valor da corrida.
      • Pelo tanto de caixinha que temos que dar, já deu para perceber que notas de $1 valem ouro... tente acumular o máximo possível de notas de $1 na carteira, para poder dar caixinha.
  • Compras
    • É impossível ir aos EUA sem torrar dinheiro em compras. E Las Vegas não decepciona: tem Fry's (uma super-hiper-mega loja de informática e eletrônicos), Best Buy, GameStop (para os aficcionados em games), tem dois Outlets próximos (super baratos, com lojas das melhores marcas, e um deles bem ao lado do Aeroporto), e até mesmo o Wallmart vale a visita.
      • A Fry's, em particular, é imperdível: lá tem de tudo o que você pode imaginar em equipamentos de informática e eletrônicos, e a bons preços. É impossível sair de lá sem comprar nada. E você vai descobrir um monte de coisa que você sempre precisou mas nem sabia que existia. Não deixe de passar nas estantes de livros em promoção: se você tiver sorte, irá achar alguns livros bons e baratos. No ano passado, eu só não comprei mais livros porque não cabia mais na mala. 
      • Lembre-se: livro não paga imposto na alfândega, mas ocupam muito espaço na mala e são pesados :(
      • Eu recomendo ir na TJ Maxx e na Ross. Nestas lojas é possível, garimpando bastante e com sorte, comprar roupas, relógios, brinquedos e artigos para casa muito baratos, mais barato do que nos outlets. Estas lojas são praticamente "os outlets dos outlets". Inclusive, você pode comprar boné, óculos de sol (afinal, Las Vegas fica no meio do deserto) e o principal: malas extras para levar as compras.
      • Uma boa dica de lembrancinha para levar para casa é passar em uma das lojas Wallgreens e comprar baralhos usados dos cassinos. Eles custam mais barato nas lojas Wallgreens do que nas lojas dos cassinos ou lojas de souvenir. Nas Wallgreens também tem vários outros souvenirs de Vegas a bons preços, além de remédios, comida, etc.
  • Passeios
    • Um passeio muito legal perto de Vegas é visitar a Hoover Dan, que é aquela usina hidroelétrica que o Super Man salvou no primeiro filme (nos tempos do Christopher Reeve). Vale a pena fazer também o tour dentro da usina.
    • Vegas fica perto do Grand Canyon, mas não tão perto assim: é um passeio que exige um ou dois dias dedicados. A opção mais perta (ou "menos longe") é visitar o lado "west" do Grand Canyon, aonde fica o Skywalk. São 3 horas de carro para ir (mais 3 horas para voltar) e lá você paga uma taxa para entrar no parque, que tem um ônibus que te leva a três lugares: uma cidadezinha cenográfica do velho oeste, no Skywalk em si e noutro trecho do Grand Canyon, com um restaurante e um teleférico abandonado. Dizem que o lado Norte do Grand Canyon é bem mais legal, mas é um passeio aonde você gasta dois dias se for de carro: um dia para ir e outro para voltar. Outra opção para quem tem mais dinheiro e menos tempo é fazer o passeio de helicóptero (tem várias opções, e quem fez não se arrepende). Dica: use filtro solar.
    • Uma alternativa legal para quem quer ter contato com a natureza local é visitar o Red Rock Canyon, que fica pertinho de Las Vegas (cerca de 20 minutos, de carro) - é um passeio legal para uma manhã ou uma tarde. Embora seja bem pequeno, vale a pena pela visita. E o local é bem organizado, com várias trilhas bem sinalizadas. Mas, se você quer mesmo ver um canyon, este passeio é roubada.
    • Dois passeios legais, perto da Strip: visitar a lojinha de penhores do seriado Trato Feito (fica na "713 S Las Vegas Blvd", saindo da Strip em direção ao centro velho) e atirar com armas de verdade na The Gun Store.
    • O site Melhores destinos fez uma lista com 52 dicas para a primeira viagem a Las Vegas. Vale a pena dar uma lida.
    • O Anderson Ramos criou uma lista no Foursquare de lugares meio fora do circuito turístico, que ele foi garimpando ao longo dos anos.
Além do que eu disse acima, não se esqueça de ler também as dicas do O Willian Caprino e do Daniel Santana. Muitos brasileiros costumam ir na Defcon todo o ano. Os mais enturmados costumam se organizar através de uma lista de discussão (a DC17), um grupo no Facebook e um grupo no Whatsapp, aonde compartilhamos dicas, combinamos baladas, etc.

Veja abaixo uma apresentação que eu fiz em 2010 junto com o Thiago Bordini e o Willian Caprino sobre a Black Hat e a Defcon daquele ano.



Para saber mais:

OBS: Dicas atualizadas em 8/Agosto/2012, 28/7/2014 e 21/08/14 (com informações sobre o Skywalk e algumas informações atualizadas - por exemplo, o steak & egg baratinho que existia no cassino ao lado do Flamingo's foi fechado; por isso coloquei a opção no cassino Terrible's). Atualizado em 17/06/15. Atualizado em 05/07/16. Atualizado em 02/08/16. Em 08/2/17 incluí as 2 primeiras referências no "Para saber mais". Atualizado em 03/07/2017 (entre outras coisas, coloquei o link para o Documentário da Defcon).

julho 18, 2012

[Cyber Cultura] Um ano de Ônibus Hacker

Hoje, 18 de Julho, o pessoal responsável pelo Ônibus Hacker está comemorando um ano do projeto.

Com a colaboração de voluntários, o grupo conseguiu juntar mais de 55 mil reais através do Catarse e comprar um ônibus antigo, de 1989, que foi transformado no Ônibus Hacker. O Ônibus Hacker é um laboratório sobre quatro rodas no qual hackers de toda sorte embarcam por um desejo comum: ocupar cidades brasileiras com ações práticas de engajamento político, social e online através de qualquer apropriação tecnológica, gambiarra, questionamento e exercício de direitos.

O grupo já realizou 12 "invasões": no Festival CulturaDigital.Br, no Churrascão de Gente Diferenciada na Cracolândia, Fórum Social Temático em Porto Alegre, Restinga (uma das maiores periferias de Porto Alegre), no BaixoCentro, Hackeria Ribeirão Preto, Open Government Partnership, Casa Fora do Eixo Minas, na Virada Cultural em São Paulo (quando eles fizeram também parte da Virada Hacker do Garoa), na Virada Digital de Paraty, e no Pimp my Carroça durante a Rio+20 no Complexo do Alemão e na Cidade de Deus.

Vale a pena lembrar que o busão esteve presente prestigiando com muito sucesso a Virada Hacker organizada pelo Garoa Gacker Clube, quando eu tive a sensacional oportunidade de palestrar dentro do ônibus.

O vídeo abaixo foi feito durante a "invasão" na Virada Digital de Paraty.




Invasão Hacker Paraty - Ônibus Hacker from Filmes para Bailar on Vimeo.


Até aonde eu sei, a próxima parada do ônibus Hacker será no Fórum Internacional de Software Livre (FISL), em Porto Alegre.

Vida longa ao Ônibus Hacker !!!

[Segurança] A Presidenta assina a Lei de Crimes Cibernéticos...

... na Costa Rica.

No dia 10 de Julho, a Presidenta da Costa Rica, Laura Chinchilla Miranda, sancionou uma lei de combate aos crimes cibernéticos (Ley 9048 de Delitos Informáticos).


Esta no es una ley que sea un producto de la improvisación; fue discutida por mucho tiempo, estuvo en la corriente legislativa varios años. De ella participaron personas conocedoras en el ámbito nacional, de este tipo de fenómenos, y además contó con una amplia anuencia de distintos sectores de la población.



A lei, que foi criada visando adequar a legislação da Costa Rica a Convenção de Budapeste, prevê diversas modalidades de crimes cibernéticos, incluindo os seguintes:
  • Violação de correspondência ou de comunicações: Pune com pena de prisão de 3 a 6 anos quem, com o perigo ou dano à vida privada ou privacidade de terceiros sem sua permissão, tomar posse, acessar, modificar, alterar, excluir, intervir, interceptar, usar, abrir, transmitir ou desviar de seu destino documentos ou uma comunicação para outra pessoa.
  • Violação de dados pessoais: Pune com pena de 3 a 6 anos de prisão quem, com o perigo ou dano à intimidade ou à privacidade e sem autorização do titular dos dados, tome posse, modifique, interfira, acesse, copie, transmita, publique, divulgue, recolha, desative, intercepte, venda, compre, desvie para outros fins que não para que foram recolhidos ou dê um uso não autorizado a imagens ou dados de uma pessoa física ou jurídica armazenadas em sistemas ou redes de computador ou telemáticas, ou em meios eletrônicos, óticos ou magnéticos.
  • Fraude informática: Estabelece pena de prisão de 3 a 6 anos quem, à custa de prejudicar uma pessoa física ou jurídica, manipule ou influencie na entrada, no processamento ou no resultado dos dados de um sistema informatizado, seja usando dados falsos ou incompletos, o uso indevido de dados, programação, valendo-se de alguma operação informática ou artifício tecnológico, ou qualquer outra ação que afete o sistema de processamento de dados ou que forneça como resultado uma informação falsa, incompleta ou fraudulenta, com a qual procure ou obtenha um benefício patromonial ou indevido para si ou para outrem.
  • Dano informático: Pena de prisão de 1 a 3 anos para quem, sem o consentimento do proprietário ou excedento (a autorização) a qual teria sido concedida, e em detrimento de um terceiro, apagar, alterar ou destruir a informação contida em um sistema ou rede informática ou telemática, ou em meios eletrônicos, óticos ou magnéticos.
  • Espionagem: Estabelece punição com pena de reclusão de 5 a 10 anos para quem use meios relacionados a manipulação informática, softwares maliciosos ou uso de tecnologia da informação e comunicação para procurar ou obter indevidamente informações secretas políticas ou das forças policiais nacionais ou relativa à segurança referente aos meios de defesa ou de Relações Exteriores da nação, ou afetar a luta contra o tráfico de drogas ou crime organizado.
    • Este parágrafo causou grande repercussão nas associações locais de imprensa, que teme ter seu trabalho investigtivo criminalizado.
  • Sabotagem de computadores: Pena de prisão de 3 a 6 anos para quem, em benefício próprio ou de um terceiro, destruir, alterar, obstruir ou prejudicar as informações em um banco de dados, ou impedir, alterar, obstruir ou alterar sem autorização o funcionamento de um sistema de processamento de informação, seus componentes físicos ou lógicos, ou um sistema de computador.
  • Roubo de Identidade: É punido com pena de prisão de 3 a 6 anos quem assumir a indentidade uma pessoa em qualquer rede social, site, meio eletrônico ou tecnológico de informação.
  • Espionagem informática: Pena de prisão de 3 a 6 anos para quem, sem autorização do proprietário ou responsável, e utilizando qualquer computador ou manipulação tecnológica, seqüestrar, transmitir, copiar, modificar, destruir, usar, bloquear ou reciclar informações valiosas para transações da indústria e comércio.
  • Instalação ou propagação de software malicioso: Esta alteração no Código Penal prevê punição com pena de prisão de 1 a 6 anos para quem, sem autorização, ou por qualquer meio, instalar software malicioso em um sistema ou rede informática ou telemática, ou em meios eletrônicos, óticos ou magnéticos. Também incorre na mesma pena quem induzir uma pessoa ao erro para que instale um programa malicioso, quem convidar outras pessoas para download de arquivos ou a visitar sites com objetivo de espalhar programas maliciosos, quem distribui programas desenhados para a criação de softwares maliciosos e quem ofereça, contrate ou preste serviços de negação de serviços, envio de mensagens de comunicação de massa não solicitadas, ou quem espalhe softwares maliciosos.
    • A pena acima é aumentada para 3 a 9 anos se o programa malicioso afeta uma entidade bancária, serviços públicos, sistemas de saúde, seja utilizado para construir uma rede de computadores zumbis, obtenha um benefício patrimonial para si ou para terceiros, ou tenha capacidade de se reproduzir sem necessidade de intervenção do do usuário legítimo do sistema informático.
  • Facilitação do crime de computador: Estabelece pena de prisão de 1 a 4 anos para quem fornecer os meios para a realização de um crime feito por meio de um sistema ou rede informática ou telemática, ou em meios eletrônicos, ópticos ou magnéticos.

A maioria dos crimes tipificados pela nova lei costa-riquense são punidos com penas que variam de 1 a 6 anos de prisão, mas há alguns casos em que a pena pode ser aumentada em função de alguns agravantes. Para não tornar este post muito longo, eu não mencionei acima a maioria destas tipificações que incluem agravantes e aumento da pena - como, por exemplo, se o criminoso for uma das pessoas encarregadas a dar o suporte aos equipamentos de informática atacados.

A moral da história é que, enquanto o governo brasileiro fica "batendo cabeça" tentando aprovar alguma legislação que puna os crimes cibernéticos, os demais países da América Latina, incluindo a Costa Rica, tem feito o trabalho de casa.

[Segurança] Documentário sobre os "Code Breakers" Ingleses

A BBC criou um documentário muito interessante, chamado "Code-Breakers: Bletchley Parks lost Heroes" que fala sobre o trabalho de alguns dos criptólogos a serviço do governo Inglês durante a Segunda Guerra Mundial.






Nesta época o governo britânico criou um centro super-secreto chamado Bletchley Parks, aonde foi concenrado todo o esforço de inteligência durante a guerra. O centro e o trabalho realizado lá era tão secreto que seus funcionários eram proibido de falar sobre o que faziam e aonde trabalhavam - e seguiram isso a risca. Somente nos anos recentes algumas coisas e alguns destes trabalhos foram tornados

Embora o Alan Turing tenha sido o mais famoso dos criptólogos ingleses durante a Segunda Guerra, este documentário fala sobre os trabalhos de outros dois criptólogos, o matemático Bill Tutte e o engenheiro Tommy Flowers, que foram responsáveis por quebrar uma "super máquina de criptografia alemã" (Lorenz SZ40/42) - o que torna o documentário mais interessante ainda.






O trabalho de Tutte serviu de base para que Flowers criasse uma máquina especializada em quebrar as mensagens criptografadas alemãs, o Colossus, o que representou o primeiro computador da história. O documentário também mostra que, devido ao trabalho de Tuttle e Flowers ser considerado altamente secreto, todas as suas descobertas e pesquisas permaneceram confidenciais por muito tempo, e a importância de seus trabalhos somente foi reconhecida publicamente há poucos anos atrás - quando Tuttle estava velho e Flowers já tinha falecido.

julho 14, 2012

[Segurança] Conseguiremos controlar a corrida armamentista no ciber espaço?

No final do mês passado o jornal americano New York Times publicou um artigo chamado "A Weapon We Can’t Control" que discutiu, muito bem, o impacto do surgimento do super-hiper-mega-uber vírus Stuxnet e a revelação de que ele foi produzido em conjunto pelo governo Americano e Israelense.

O ponto central do artigo é que a chamada operação "Olympic Games", responsável pela criação do Stuxnet e seu consequente ciber ataque ao programa nuclear iraniano, marcou um ponto importante e sem retorno na militarização da Internet. Como se não bastasse o lançamento do vírus Stuxnet (um verdadeiro "ciber ataque") em tempos de paz, o Stuxnet marcou pra sempre o começo de uma corrida armamentista sem igual, em que vários países se lançaram em busca de técnicas de ataque e defesa cibernética. E, o pior: isto aconteceu muito cedo, sem que o conceito de conflito cibernético entre nações fosse consolidado e sem que houvesse algum tipo de controle ou acordo internacional sobre isso.

De qualquer forma, eu não sou um especialista em história militar mas acredito que o mesmo aconteceu com provavelmente todas as outras tecnologias de guerra: da invenção da pólvora, da baioneta, do surgimento da guerra química ou no lançamento da primeira bomba atômica - o país que inventou a tecnologia e a usou pela primeira vez o fez sem nenhum controle e sem avaliar a consequência a longo prazo. Conforme os outros países entenderam o impacto daquela nova tecnologia e também desenvolveram suas armas equivalentes, surgiu naturalmente a necessidade de criar limites e restrições. O Stuxnet é, para a Internet, o que o gás mostarda deve ter sido na Primeira Guerra Mundial e o que a bomba atômica foi na Segunda Guerra: uma nova arma que, uma vez utilizada e conhecido o seu real impacto, precisamos parar e falar: "espera aí, p*!!!, vamos com calma!!!" E, assim, surgem os tratados e acordos internacionais. Afinal, por mais que alguém queira ganhar uma guerra, ninguém tem interesse em destruir toda a humanidade.

O artigo também toca em um ponto interessante: esta nova espiral ciber-armamentista pode causar uma proliferação descontrolada de códigos maliciosos e ciber ataques entre países. Isto porque, em uma ciber guerra, o poder está principalmente na capacidade de explorar (invadir, espionar e, quando quiser, destruir) os pontos fracos dos sistemas de seus adiversários. Portanto, a fim de avaliar sua própria capacidade de ataque e de se preparar para um cenário de guerra cibernética, os países tendem a invadir preventivamente os sistemas de seus potenciais inimigos, antes mesmo de surgir algum conflito formal. Assim suas "armas cibernéticas" já estarão prontas para "serem detonadas", algo mais fácil de fazer do que tentar invadir seu adversário após começarem as hostilidades, quando todos já estão de prontidão.

julho 07, 2012

[Carreira] Quero ser palestrante

Coincidentemente, na mesma semana que o blog do Gustavo Lima e o meu blog discutimos a pouca quantidade de palestrantes no nosso mercado de Segurança da Informação, o Max Gehringer também fez um comentário em sua coluna diária na rádio CBN sobre esse assunto.






Em seu comentário no dia 4 de Julho, Max deu quatro dicas ao responder para um ouvinte que pergunta: "Quero ser palestrante. O que mais preciso para ser um profissional?". Embora o comentário se aplique de uma forma genérica a quem pretende ser um palestrante profissional, eu acredito que duas das dicas apresentadas são muito válidas para quem trabalha na nossa área e deseja (ou precisa) palestrar de vez em quando, sem necessariamente virar um palestrante profissional.
  • "Não copie ninguém, desenvolva o seu próprio material": O mais importante, na minha opinião, é que a palestra siga o estilo pessoal do palestrante: se você for uma pessoa mais séria ou mais descontraída, mais formal ou mais informal. Tanto o material quanto o estilo de apresentar deve refletir a personalidade do palestrante, pois assim soará mais natural para quem assiste e para quem apresenta.
  • "Conte histórias que só você poderia contar, porque você viveu pessoalmente": Ou seja, a palestra tem que abordar um assunto que o palestrante domina, e o assunto fica mais interessante ainda quanto aborda uma experiência real, sobre algo que o palestrante passou em seu dia-a-dia. De uma forma geral, a platéia prefere ouvir cases práticos do que teóricos, e o bom palestrante sabe juntar um assunto interessante, com sua experiência sobre este assunto e passando a sua visão especial sobre o tema, trazendo alguma novidade.

Um palestrante profissional é alguém cuja ocupação principal é, justamente, dar palestras em grandes eventos. Por outro lado, a maioria de nós, profissionais comuns, temos que vez ou outra fazer algum tipo de apresentação: seja quando apresentamos um projeto para nossos colegas dentro da empresa, ou pode ser em um evento maior, quando você tem que representar a sua empresa.

julho 05, 2012

[Segurança] A difícil relação entre eventos e palestrantes

Nesta semana o Gustavo Lima escreveu um post em seu blog aonde ele fez um questionamento válido: "Porque vemos sempre os mesmos nomes nas grades de palestras dos eventos de segurança no Brasil?"

No fundo ele tem razão em questionar. Se olharmos a grade da maioria dos eventos de Segurança nos últimos anos, vários palestrantes se repetem, inclusive os que ele citou em seu post. Inclusive eu mesmo - que só fui poupado de aparecer na lista de "figurinhas carimbadas" do Gustavo porque ele tirou esta lista da próxima edição do SegInfo, e até o momento eu não recebi resposta da proposta de palestra que enviei para o CFP deles.

Mas o Gustavo também pergunta: "Mas cadê o resto do povo, não tem mais ninguém que pesquise, que trabalhe na área? Será que temos de fato uma “panela” em SI ?"



Eu escrevi uma resposta no blog dele, mas gostaria de repetir ela aqui pois acredito que esta discussão é válida. Eu concordo com as observações do Gustavo sobre a quantidade de “figurinhas carimbadas” (ou melhor: "figurinhas repetidas") nos eventos, mas no meu entender a resposta para este problema é bem complexa e é resultado de vários aspectos que influenciam este cenário simultaneamente. Por isso não considero correto nem justo culpar simplesmente a existência de uma "panelinha".

Eu vejo os seguintes problemas, que afetam a grande maioria dos eventos brasileiros:
  1. Palestras de patrocinadores: Sim, vários eventos oferecem oportunidade de palestra para os patrocinadores, e por isso vemos alguns palestrantes que só estão lá porque a empresa pagou por isso. Isso acontece porque os patrocinadores, na prática, são quem pagam a conta do evento, pois fazer um evento bom sai caro, muito caro. E nenhuma empresa faz nada de graça: os patrocinadores querem ser vistos e querem divulgar seus produtos para conseguir novos clientes - simples assim. E o benefício que os patrocinadores mais gostam é, justamente, poderem palestrar sobre si mesmos. Uma palestra de patrocinador não precisaria ser algo negativo, se ele aproveitasse a oportunidade para mostrar um novo conceito, uma nova linha de pesquisa da sua empresa, em vez de ficar vomitando material de marketing ou divulgar estatísticas de uma pesquisa sem graça que a empresa fez. Pena que nem todas as empresas sabem usar esta oportunidade para encantar a platéia. Nota: Alguns eventos condicionam a aceitação da palestra do patrocinador a um OK da comissão que analisa o CFP, para tentar forçar as empresas a trazerem conteúdo interessante.
  2. Falta bons palestrantes no Brasil. Pouca gente aqui no Brasil produz pesquisa interessante - ou melhor: simplesmente temos poucos pesquisadores no Brasil pois o nosso mercado não valoriza a pesquisa. Além disso, há outros fatores que contribuem para a falta de palestrantes: pouca gente acha que tem conhecimento que pode ser legal apresentar em um evento (e, na minha opinião, muitas vezes este pessoal está errado: ele/ela poderia falar algo interessante para muitas pessoas sobre seu trabalho ou algo que tem pesquisado), poucas empresas valorizam isto e motivam seus funcionários a apresentarem em eventos, vários profissionais precisam obter aprovação de sua empresa para palestrar (o que pode ser um processo burocrático e, as vezes, intransponível), e pouca gente tem vontade e/ou coragem de enfrentar uma platéia. Afinal das contas, é preciso uma grande dose de desenvoltura para encarar uma platéia sem gaguejar e lidar com inprevistos como enrolar a língua no meio da frase, se confundir em um determinado momento ou, eventualmente, até mesmo cair do palco e continuar a apresentação como se nada tivesse acontecido (não que nada disto nunca tenha acontecido comigo...).
  3. Panela. Sim, há um pouco de panelinha entre os eventos e palestrantes. Mas é um mal necessário, mesmo que o organizador não queira, pois a verdade aqui no Brasil é uma só: a maioria dos eventos recebem pouca resposta das chamadas de trabalho (CFP) abertas ao público e, na maioria das vezes, o evento não recebe propostas suficientes para encher a grade de palestras. Por isso os organizadores acabam convidando alguns palestrantes conhecidos para “dar uma forcinha”. Isto aconteceu com as três edições da Co0L BSides que eu já organizei: não recebemos propostas de palestras suficientes e tivemos que convidar alguns conhecidos. Será que o evento não chamou a atenção das pessoas ou não há pessoas suficientes interessadas ou em condições de palestrar nos eventos?
  4. Experiência dos palestrantes conhecidos. Há uma preferência por palestrantes já experientes, pois o organizador do evento também tem interesse em oferecer boas palestras e, ao mesmo tempo, tem receio de trazer um palestrante desconhecido que, na hora H, pode correr o risco de apresentar uma palestra com assunto que não agrade o público, ou que não tenha boa capacidade de apresentar. Por isto, os eventos convidam palestrantes experientes para garantir que terá alguns palestrantes capazes de trazer conteúdo bom e que o público goste. Além do mais, um palestrante experiente também representa alguém que tem interesse e disponibilidade de palestrar. E, para o palestrante, isto vira uma bola de neve: quanto mais você palestra, mais convites recebe.
  5. Palestrantes que atraem o público. Convidar um palestrante conhecido, respeitado, com carisma e/ou com assuntos muito interessantes (ou muito avançados) atrai público. E todo evento se preocupa em construir uma grade de palestras e de speakers que seja capaz de atrair o público, senão ninguém vai e o evento fracassa.

Pelos motivos expostos acima, acredito que poucos eventos brasileiros conseguem escapar de um ou mais destes problemas: atrair patrocinador sem prejudicar a grade de palestras, atrair novos palestrantes e temas interessantes, e encher a grade só com as respostas do CFP, não precisando chamar palestrantes conhecidos e experientes. Talvez o ideal, na minha opinião, é justamente tentar achar um meio-termo entre todos estes cenários.

Soluções? Na minha opinião o pessoal que organiza os eventos e os palestrantes mais experientes tem que assumir a responsabilidade de motivar o pessoal a começar a palestrar e atrair novos palestrantes, pois ficar sentado esperando os palestrantes aparecerem não tem funcionado, pelo menos aqui no Brasil. Um exemplo que vi recentemente e que gostei muito foi da BSides Las Vegas deste ano, que criou o que chamaram de "BSidesLV Mentorship Program": eles criaram uma trilha exclusiva somente para palestrantes novatos, que inclui uns “mentores” para ajudarem o pessoal a criar e apresentar seu material. Eu achei a idéia sensacional, mas tenho receio de que aqui no Brasil a platéia iria evitar esta trilha. De qualquer forma, a idéia me parece sensacional e merece ser tentada.

julho 01, 2012

[Cyber Cultura] Homenagem ao Alan Turing no Garoa Hacker Clube

Abaixo vou praticamente repetir um texto que acabei de colocar no Blog do Garoa Hacker Clube, sobre um pequeno evento que realizamos em homenagem ao centenário do Alan Turing neste sábado, dia 30 de Junho.

No dia 23 de Junho foi celebrado o centésimo aniversário do nascimento do Alan Turing, matemático, cientista e criptólogo britânico que faleceu aos 42 anos de idade e cuja genialidade ajudou a consolidar alguns conceitos fundamentais para o surgimento dos primeiros computadores e seu trabalho para a inteligência do governo britânico permitiu o desenvolvimento de máquinas especializadas em quebrar a criptografia utilizada pela Alemanha durante a Segunda Guerra Mundial.

Para celebrar o centenário de seu aniversário, nós do Garoa fizemos um evento especial no sábado dia 30 de junho, que chamamos de Turing 100 anos + 7 dias. Várias pessoas compareceram no evento (cerca de 15, inclusive algumas pessoas que foram no Garoa pela primeira ou segunda vez), que também teve cerveja, batatinha frita (pois pretendíamos usar as embalagens para fazer uma máquina enigma de papel) e pizza.

Em homenagem a Alan Turing, repetimos a palestra realizada na Virada Hacker sobre o funcionamento da Máquina Enigma - uma palestra criada para explicar alguns conceitos básicos de criptografia a partir do exemplo histórico da Enigma. Nesta palestra discutimos a importância histórica da Segunda Guerra Mundial e das máquinas Enigmas para a evolução da ciência da criptografia, os principais conceitos que permitiram o surgimento destas máquinas (criptografia simétrica, cifras de substituição monoalfabéticas e polialfabéticas, discos de cifragem e rotores) e, após detalhar o funcionamento das Enigmas, comentamos um pouco sobre o esforço para quebrar a criptografia utilizada - incluindo algumas fraquezas que Alan Turing soube explorar. A palestra foi bem interativa, com muitos comentários, perguntas e respostas do pessoal presente.

Após a palestra assistimos um pequeno documentário sobre Alan Turing e a quebra da Enigma e montamos um simulador da Enigma feito de papel. O interessante é que, em vez de usar as embalagens de batata frita, acabamos usando as latinhas de cerveja para montar a máquina, pois o diâmetro das latas de cerveja era mais compatível com o tamanho do modelo impresso. Além disso, o interessante é que o modelo que utilizamos foi baseado, na verdade, em uma idéia do próprio Turing, que criou algo similar para explicar o funcionamento da Enigma para seus colegas. Ah, e no final sorteamos uma camiseta (que eu comprei no National Cryptologic Museum) entre os presentes :)

Se você quiser saber um pouco mais sobre Alan Turing, visite os sites abaixo:



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.