janeiro 29, 2013

[Segurança] Quem tem medo dos contratos?

Recentemente muito tem se discutido sobre privacidade e a responsabilidade das empresas desenvolvedoras de software e prestadoras de serviço de TI. No dia 28/1, o pessoal nos EUA e Europa tiveram o Dia da Privacidade dos Dados. Também tivemos algumas polêmicas envolvendo alguns serviços bem populares na Internet: o Instagram e o Facebook.
  • O Instagram tentou mudar os termos de serviço do site, dando a entender que eles poderiam utilizar as fotos compartilhadas pelos usuários para venda a empresas interessadas em usá-las, lucrando sem oferecer qualquer remuneração aos reais autores.
  • Recentemente também surgiu a história de que o Facebook alterou a sua política de privacidade e removeu a opção de ocultar perfis da busca na rede social antes do anúncio da sua nova ferramenta de buscas, o Graph Search. E muita gente começou a questionar sobre o quanto isto facilitaria o acesso as nossas informações e prejudicaria nossa privacidade.

Mas a responsabilidade sobre os nossos dados e sobre a qualidade dos softwares e serviços que usamos no nosso dia-a-dia está bem definida em alguns contratos de serviço, termos de uso e termos de privacidade. Algo que damos pouca importância na prática e raramente lemos...

Este vídeo, disponibilizado pelo pessoal do filme O Hobbit, mostra muito bem o que aconteceria se nós lêssemos os contratos que recebemos no nosso dia-a-dia:



Na prática, os contratos de TI são como as bulas de remédio: todo mundo toma o remédio sem ler a bula. E, no universo de TI, a todo o momento somos convidados a aceitar um contrato, normalmente redigidos em forma de uma licença de software, um termo de uso ou uma política de privacidade. E o aceitamos goela abaixo, sem ler nem questionar: toda vez que instalamos um software, ou toda vez que nos cadastramos em um novo serviço online, nós damos de cara com uma janela nos pedindo para dar o aceite em algum tipo de contrato - e acredito que todos nós (exceto alguns advogados), aceita (clica no botão OK) o contrato sem ler.

Mas quem tem paciência de ler tudo isso?
E qual é o problema?

A verdade é que "não existe almoço grátis", como dizem os americanos. Ou seja, ninguém faz nada de graça, e muito menos vai lhe oferecer um serviço sem querer algo em troca. E nãõ~vai te dar um serviço de qualidade, com garantias, sem te cobrar por isso (e, às vezes, nem cobrando!). E estes contratos servem justamente para tirar a responsabilidade dos provedores de serviço e para fazer com que nós concedamos algumas liberdades que, conscientemente, talvez não faríamos.

No final das contas, estes termos e políticas servem para o seguinte:
  • Diminuir ou retirar a responsabilidade da empresa em casos de problemas
    • O Statement of Rights and Responsibilities do Facebook é um ótimo exemplo: ele define dezenas de responsabilidades para os usuários, anunciantes e desenvolvedores. Assim qualquer coisa que der errado, o Facebook pode dizer que a culpa é dos usuários, e não deles.
    • O Twitter faz o mesmo, usando o seu Termos do Serviço para se eximir de qualquer responsabilidade sobre o conteúdo publicado: "All Content, whether publicly posted or privately transmitted, is the sole responsibility of the person who originated such Content. We may not monitor or control the Content posted via the Services and, we cannot take responsibility for such Content."
    • Veja também o que diz os Termos e Condicões da iTunes e App Store da Apple com relação a (falta de) responsabilidade dela na proteção dos seus dados (grifo meu): "A APPLE ENVIDARÁ ESFORÇOS RAZOÁVEIS PARA PROTEGER A INFORMAÇÃO ENVIADA POR VOCÊ EM RELAÇÃO AO SERVIÇO ITUNES, MAS VOCÊ CONCORDA QUE SEU ENVIO DE TAL INFORMAÇÃO É POR SEU PRÓPRIO RISCO, E A APPLE NESTE ATO RENUNCIA A TODA E QUALQUER RESPONSABILIDADE PERANTE VOCÊ POR QUALQUER PERDA OU RESPONSABILIDADE RELACIONADA DE QUALQUER FORMA A TAL INFORMAÇÃO.
      A APPLE NÃO DECLARA OU GARANTE QUE O SERVIÇO ITUNES SERÁ LIVRES DE PERDAS, DEFEITOS, ATAQUES, VÍRUS, INTERFERÊNCIAS, ATIVIDADES DE HACKERS OU OUTRA INTRUSÃO DE SEGURANÇA, E A APPLE RENUNCIA A QUALQUER RESPONSABILIDADE COM RELAÇÃO A ISSO."
    • E a Apple vai além, nos termos da App Store: "A Apple não será responsável por quaisquer perdas decorrentes do uso não-autorizado da sua Conta". E também se exime de responsabilidade caso ela disponibilize algum conteúdo ofensivo, indecente ou questionável: "Você entende que, ao utilizar os Serviços App e Book, você poderá encontrar material que você julgue ser ofensivo, indecente ou questionável e que tal conteúdo pode ou não ser identificado como contendo um material explícito. Dessa forma, você concorda em utilizar os Serviços App e Book por sua conta e risco e a Apple não terá qualquer responsabilidade perante você por material que possa ser considerado ofensivo, indecente ou questionável. Os tipos de Produto App e Book e as descrições são fornecidos por conveniência, e você concorda que a Apple não garante sua precisão."
    • Os termos do Contrato de Licença de Usuário Final para Aplicativo Licenciado da App Store também incluem uma verdadeira pérola no quesito isenção de responsabilidade: "RENÚNCIA A GARANTIA: VOCÊ EXPRESSAMENTE RECONHECE E CONCORDA QUE O USO DO APLICATIVO LICENCIADO É A SEU RISCO EXCLUSIVO E QUE O RISCO TOTAL QUANTO À QUALIDADE, DESEMPENHO, PRECISÃO E ESFORÇO SATISFATÓRIOS FICA COM VOCÊ." Ou seja, ninguém se responsabiliza pelos bugs nos softwares, e o usuário simplesmente deve aceitar este risco. E, se houver prejuízo, azar o seu: "f. LIMITAÇÃO DE RESPONSABILIDADE. NA MEDIDA EM QUE NÃO PROIBIDO POR LEI, EM NENHUMA HIPÓTESE O LICENCIANTE SERÁ RESPONSABILIZADO POR FERIMENTOS PESSOAIS OU QUAISQUER DANOS INCIDENTAIS, ESPECIAIS, INDIRETOS OU CONSEQUENCIAIS, INCLUINDO, SEM LIMITAÇÃO, DANOS POR PERDA DE DADOS, INTERRUPÇÃO DE NEGÓCIOS, OU QUAISQUER OUTROS DANOS OU PERDAS COMERCIAIS INDIRETOS, DECORRENTES DE OU RELACIONADOS AO SEU USO OU INCAPACIDADE DE USAR O APLICATIVO LICENCIADO (...)."
  • Garantir a empresa o acesso a seus dados e o direito dela, da empresa, de usá-los para benefício próprio. Neste caso, não podemos esquecer que está acontecendo uma pequena troca: a empresa te dá algo (em alguns casos, ela oferece um serviço gratuito, e quer algo em troca).
    • O Twitter não é nem um pouco bobinho, e no seu Termos do Serviço ele diz que ganha total direito (e nenhuma responsabilidade, como já disse acima) sobre o conteúdo que os usuários publicarem: "By submitting, posting or displaying Content on or through the Services, you grant us a worldwide, non-exclusive, royalty-free license (with the right to sublicense) to use, copy, reproduce, process, adapt, modify, publish, transmit, display and distribute such Content in any and all media or distribution methods (now known or later developed)."
    • Veja, por exemplo, o que a Apple diz nos Termos e Condições da App Store: "Você concorda em fornecer informações precisas e completas, em conjunto com seu envio de qualquer material para os Serviços App e Book. Você neste ato concede à Apple uma licença global, livre de royalties, não-exclusiva para usar tais materiais como parte dos Serviços App e Book e em relação aos Produtos App e Book, sem qualquer remuneração ou obrigação com relação a você. A Apple reserva-se o direito de publicar ou não publicar quaisquer materiais e remover ou editar quaisquer materiais, a qualquer tempo, a seu exclusivo critério, sem aviso ou responsabilidade."
    • No Contrato de Licença de Usuário Final para Aplicativo Licenciado da App Store, há uma cláusula que dá o direito dos fornecedores de aplicativos da App Store da Apple coletarem e usarem os seus dados: "Consentimento para Uso de Dados: Você concorda que o Licenciante pode coletar e usar dados técnicos e informações relacionadas — incluindo, sem limitação, informações técnicas sobre seu dispositivo, software de sistema e aplicativos e periféricos — que são obtidas periodicamente para facilitar o fornecimento de atualizações de software, suporte de produto e outros serviços para você (se houver) relacionados com o Aplicativo Licenciado. O Licenciante pode usar esta informação, desde que tal informação esteja em uma forma que não o identifique pessoalmente, para melhorar seus produtos ou para prestar serviços ou fornecer tecnologias a você."


A moral da história é que, conforme ficou claro com o recente caso da reavaliação dos termos de uso do Instagram, é importante que os usuários leiam e questionem estes contratos, e estejam conscientes do risco a que nos expomos se não tomarmos o devido cuidado com o que estamos aceitando. Uma parte da responsabilidade cabe as empresas, mas também cabe a nós, usuários, tomarmos cuidado com a privacidade dos nossos dados, preferencialmente evitando oferecer informações em demasia e evitando serviços que não se comprometam em oferecer serviços de qualidade e tomar os devidos cuidados com a nossa privacidade. Infelizmente, nem sempre é possível discutir e negociar os termos de uso, e muitas vezes não temos opção além de aceitar o serviço e suas condições goela abaixo. Mas devemos sempre estar conscientes do risco.

Em tempo: recomendo também a leitura do artigo "Termos de Uso, EULAs, Windows 8 e clareza de disposições", que discute um pouco os termos de uso e contratos de software sob um ponto de vista mais jurídico.

janeiro 28, 2013

[Segurança] Data Privacy Day

Hoje, 28 de janeiro, é o Data Privacy Day, um dia para marcar necessidade de conscientização sobre a privacidade de nossos dados. No Twitter, foi usada a hashtag #dataprivacyday para divulgar informações sobre este assunto.

O pessoal do SANS Institute compartilhou um pequeno vídeo de conscientização sobre a importância da provicidade online:



O vídeo é destinado as empresas e destaca a responsabilidade e o cuidado que elas devem ter quando manipulam informações pessoais online. O vídeo também dá algumas dicas, como por exemplo...
  • Limitar a quantidade de informações pessoais que você coleta, usa e compartilha (exemplo, em cadastro de usuários).
  • Somente compartilhe (e dê acesso) a informações pessoais para usuários que tenham real necessidade de acessá-las para executarem seu trabalho (o princípio do "need to known").
  • Somente armazene estas informações em sistemas seguros e autorizados (já vi empresas aonde o pessoal do call center colocava em uma pasta pública da rede vários screenshots das telas de atendimento com informações de clientes!).
  • Quando não precisar usar a informação, armazene em um sistema seguro ou destrua-a completamente. Além do mais, evite armazenar informações que não sejam essenciais. Uma opção, por exemplo, é armazenar apenas uma parte do dado, que pode ser usada posteriormente (por exemplo, somente os últimos 4 dígitos do cartão de crédito se houver necessidade de verificar uma transação depois que ela for executada).

janeiro 24, 2013

[Segurança] Arrombadores de Computador

"Piratas dos tempos modernos...
Arrombadores de Computador..."

A reportagem abaixo, do Fantástico em 1993, mostra que naquela época os "hackers" já podiam entrar em sistemas em qualquer lugar do mundo.

Hoje esta reportagem pode até soar engraçada, mas ela não é melhor do que muitas das notícias que vemos até hoje quando se trata de ataques cibernéticos e segurança online. Talvez ela tenha lançado o modelo: mostrar adolescentes invadindo computadores, como se isso fosse a coisa mais fácil do mundo (e, na verdade, nem é tão difícil mesmo) e como se eles fossem causar o fim da civilização. Isso tudo sendo mostrado sem ter uma mensagem clara de conscientização, só mesmo para chamar a atenção. E desde aquela época a imprensa já propagava uma imagem negativa dos hackers.


Mas não dá para negar que há passagens que, pelo passar do tempo, ficaram engraçadas, como quando o repórter chama de "os homens do computador" o pessoal de TI de um colégio aonde estudava um "jovem hacker faltoso". Outras cenas interessantes incluem o pessoal acessando BBS, a cena do vírus que derrubava as letras da tela (o Cascade), e o repórter sendo xingado por um hacker e dizendo que a tela do micro ficou toda bagunçada pois ele "brincou com hacker".

Este vídeo caiu na boca do povo recentemente, quando o site Não Salvo publicou um post com 8 reportagens antigas sobre tecnologia. Vale a pena dar uma olhada :)

janeiro 23, 2013

[Segurança] Quero fazer um curso de Hacker

Frequentemente aparece alguém interessado em fazer um "curso de Hacker", ou algo parecido. Recentemente vi uma mensagem de uma pessoa interessada em fazer um "curso de Segurança oferecido por um ex-anonymous".

A verdade é que, se você está procurando um "curso de hacker" ou um curso oferecido por um "ex-hacker", é porque você não sabe nem o que é um hacker nem o que é segurança da informação.

Antes de mais nada, "hacker" é um estado de espírito, é uma ideologia, é um jeito de vida. Hacker é todo aquele que gosta de tecnologia e gosta de fuçar na tecnologia, inventando, testando e quebrando paradigmas, buscando novos usos e novas idéias para as tecnologias existentes. Por isso, não faz sentido falar em "ex-hacker": é alguém que não gosta mais de tecnologia? Cansou de fuçar?

Da mesma forma, ninguém aprende a ser hacker. Você aprende novas tecnologias, novas técnicas, mas o espírito hacker, o jeito de ser, você já tem naturalmente.

Provavelmente quem usa o termo "hacker" em um curso (ou se entitula um "ex-hacker") está se referindo a realizar ataques cibernéticos ou já ter feito isto no passado. Ou seja, um ex-hacker é um ex-ciber criminoso. E aí vem a questão, o que um ciber criminoso pode ensinar? Em que um ex-ladrão de bancos, um ex-fraudador ou um ex-estuprador pode te ajudar?

Não podemos nos esquecer que o acesso a tecnologia é muito fácil, e por isso, é comum vermos jovens e adolescentes que começam a usar a tecnologia e acabam se envolvendo em algumas atividades imorais ou ilegais, as vezes apenas por curiosidade ou pelo desafio que a tecnologia e a aprendizagem oferencem. E isso não necessariamente significa que aquela pessoa seja criminosa: em vários casos, ela teve o azar de começar a aprender do jeito errado. Normalmente ninguém aprende a dirigir e já sai atropelando as pessoas por puro prazer, mas um motorista novo normalmente é menos cuidadoso e consciente de seus atos do que um motorista experiente. E isto acontece com muita frequência na área de TI.

Sobre as pessoas que se intitulam "ex-Anonymous" (já que o grupo Anonymous é o maior e mais relevante grupo hacktivista da atualidade), divulgar isto já mostra que a pessoa em questão nada conhece sobre os verdadeiros Anonymous: a ideologia do grupo é baseada principalmente em dois pilares: defender a liberdade e justiça no mundo online (mas não necessariamente restrito a Internet) e o sentido de coletividade. Um verdadeiro membro do Anonymous busca ser, justamente, um membro Anônimo de uma grande coletividade, que tem a sua força justamente deste aspecto coletivo. Um "Anon" jamais busca a auto-promoção.

Discussões éticas a parte, sob o ponto de vista do conhecimento em Segurança da Informação um "ex-ciber criminoso" (note que eu me recuso a usar o rótulo "ex-hacker") é uma pessoa que na maioria das vezes conhece alguns tipos de ataques (hoje em dia ataques como DDoS e SQL Injection são os mais comuns). Mas isto não significa, de forma alguma, que ela conheça todos os tipos de ataque, muito menos todas as formas de proteção. Também não significa que a pessoa tenha um bom conhecimento de tecnologia.

A segurança da informação é muitíssimo mais complexa do que saber realizar alguns ataques. Na verdade, realizar ataques é a parte mais fácil e até mesmo divertida: basta achar um servidor vulnerável e seguir uma receitinha de bolo. Não é a tôa que facilmente encontramos centenas ou milhares de tutoriais na Internet sobre como realizar ataques.

Para trabalhar com Segurança da Informação, antes de mais nada é necessário ter um excelente conhecimento de tecnologia, incluindo sistemas operacionais, redes e seus protocolos, bancos de dados, aplicações e desenvolvimento de software. Isto é a base para conhecer os aspectos tecnológicos dos ataques e das formas de proteção. E existem diversos tipos e métodos de ataque. E muitas vezes um bom trabalho em Segurança exige conhecimentos que vão muito além do mundo técnico, pois lidamos também com pessoas, processos (procedimentos, regras e normas) e com aspectos legais.

Quer aprender segurança? Procure um curso sério, oferecido por uma instituição de ensino ou empresa conhecidos e de bom nome, com instrutores com experiência séria no mercado. Há várias faculdaes e empresas de segurança que oferecem bons cursos. Há excelentes eventos de segurança no Brasil. Há ótimos blogs e papers disponíveis na Internet. Saber fazer defacement de site ou DDoS não significa que a pessoa tem conhecimento, significa apenas que ela soube ler ou assistir um tutorial na Internet.

Por fim, recomendo uma leitura no post que o Rodrigo "Sp0oKer" Montoro fez sobre este assunto em seu blog Bozo Security: "Treinamentos com nome HACKER! OMG!" e uma olhada no vídeo abaixo, em inglês, sobre como você pode aprender mais sobre segurança da informação.



Atualização (25/01): O Gustavo Lima, do Blog Coruja de TI, fez uma excelente crítica a este post: "[Segurança] Quero fazer um curso de Hacker — meus comentários".

Nota (28/01): Eu li o post do Gustavo Lima e fiquei preocupado com uma frase em que ele disse ter recebido uma avalanche de e-mails sobre o meu post. Por isso eu receio que alguém tenha se confundido ou eu não tenha me expressado direito, mas em nenhum momento a minha crítica foi direcionada ao Hacking Day ou qualquer evento ou curso organizado por ele. Eu valorizo as iniciativas do Gustavo, e a minha crítica foi para as centenas de “Cursos de Hackers” (presenciais, vídeo-aulas ou apostilas) que existem por aí, e aos instrutores que se auto-intitulam hackers ou ex-hackers. Isto não é algo recente: estes cursos e apostilas existem há muitos anos. Minha crítica é direcionada ao pessoal que, na falta de real qualificação, usa a palavra "hacker" para se auto-promover e, na grande maioria dos casos que vemos por aí, oferecer conteúdo de péssima qualidade (e, em muitas vezes, copiado da Internet). Também critico aqueles que pensam que aprender segurança se limita a aprender a realizar um punhado de ataques – pois, como disse, segurança vai muito além de saber rodar um ou 2 scripts para invadir site.

janeiro 22, 2013

[Cyber Cultura] A Internet em 2012

A empresa Pingdom lançou o relatório chamado "Internet 2012 in numbers" que apresenta uma coletânea de estatísticas sobre a Internet em 2012.

Vejam alguns dos dados apresentados por eles, os que eu considero mais relevantes (e ligeiramente reorganizados):
  • Usuários Internet
    • 2,4 bilhões - Número de usuários de Internet em todo o mundo
    • 1,1 bilhões - Número de usuários Internet na Ásia
    • 565 milhões - Número de usuários Internet na China, mais do que em qualquer outro país do mundo
  • Web sites e Domínios
    • 634 milhões - Número de sites em dezembro/2012
    • 87,8 milhões - Número de blogs Tumblr
    • 59,4 milhões - Número de sites WordPress
    • 63% - servidores web que usam Apache
    • 246 milhões - Número de domínios registrados entre todos os Top-Level domains
    • 100 milhões - Número de domínios .com no final de 2012
  • Redes Sociais
    • 1 bilhão - Número de usuários ativos no Facebook, marca alcançada em Outubro/2012
    • 85.962 - Número de mensagens publicadas por mês pelo Facebook no Brasil, tornando-se o país mais ativo no Facebook
    • 200 milhoes - usuários ativos no Twitter, alcançado em Dezembro/2012
      • 163 bilhões - número de tweets desde que o Twitter começou, alcançado em Julho/2012
      • 175 milhões - Número médio de tweets enviados por dia ao longo de 2012
      • 307 - Número médio de tweets por usuário do Twitter
      • 51 - Número médio de seguidores dos usuários do Twitter
      • 819.000 - Número de retweets da mensagem de Barack Obama "Four more years", o tweet mais retuitado até hoje
      • 9,66 milhões - Número de tweets durante a cerimônia de abertura dos Jogos Olímpicos de Londres 2012
    • 187 milhões - Número de membros do LinkedIn (em Setembro/2012)
    • 300 milhões - Número de novas fotos adicionadas a cada dia no Facebook
    • 5 bilhões - O número total de fotos enviadas para o Instagram desde o seu início, alcançado em Setembro/2012
    • 58 - Número de fotos enviadas a cada segundo para o Instagram
  • E-Mails
    • 2,2 bilhões - Número de usuários de e-mail em todo o mundo
    • 144,000 milhões - o tráfego de e-mail total por dia em todo o mundo
    • 425 milhões - Número de usuários ativos do Gmail no mundo
    • 68,8% - Porcentagem do tráfego de e-mail que era SMAP
  • Mobile
    • 6,7 bilhões - Número de assinantes móveis
    • 5 bilhões - Número de usuários de telefones móveis
    • 5,3 bilhões - Número de telefones celulares
    • 1,3 bilhões - Número de smartphones em uso em todo o mundo até o fim de 2012
    • 66% - Percentagem de smartphones que usam Android
    • 13% - Percentagem do tráfego global da Internet através de aparelhos móveis
    • 5 bilhões - Número de assinantes de banda larga móvel

Poizé, com todos estes números, será que conseguiríamos viver sem a Internet?

janeiro 19, 2013

[Segurança] Como sobreviver a um evento de segurança?

No ano passado dois amigos tiveram suas mochilas, com respectivos notebooks, roubados em dois eventos de segurança distinos. Um deles deixou a mochila na sala VIP (de palestrantes) e o outro estava com a mochila ao seu lado, quando em uma breve distração, puff... as mochilas e tudo que estavam dentro sumiram.

Por isso mesmo, achei muito legal quando vi que o pessoal do Chaos Communication Congress, o maior evento de hacking e segurança da Europa, cuja 29a. edição aconteceu no final de Dezembro em Hamburgo (Alemanha), criou uma página com dicas de como sobreviver ao evento ("How To Survive").

Resumindo, eles detalharam várias dicas sobre cuidados que todos devem ter e que se aplicam a qualquer evento ou local externo, e por isso resolvi resumir aqui as principais dicas, que eu considero muito válidas e importante. Para mais detalhes sobre cada um destes itens, visitem a página do CCC.
  • Antes de mais nada, tenha backup de tudo e use senhas fortes.
  • Proteja o seu sistema: desabilite em seu computador todos os serviços e aplicativos desnecessários e inseguros. Há vários sites, listas e ferramentas que te ajudam a identificar quais serviços estão rodando em seu micro e quais são inseguros.
  • Em seguida, garanta a Segurança Física do seu equipamento, o que envolve algumas medidas que ajudam a prevenir o roubo e minimizar os danos caso o equipamento seja perdido ou roubado.
    • O roubo significa a perda do equipamento e de todos os dados que você tinha nele (arquivos pessoais, fotos, arquivos de trabalho, projetos, e-mails, etc). Por isso, é importantissimo garantir que ninguém mais terá acesso aos seus dados (usando senhas de BIOS, por exemplo, e criptografia de disco) e que você consiga recuperá-los através de um backup atualizado, guardado em um local seguro. Não adianta ter o backup em um HD externo dentro da mochila com o Notebook. Se roubarem a mochila, voce perdeu tudo: os dados e o backup.
    • Identifique o seu hardware: Coloque uma etiqueta com o seu nome e número de celular nele, para que qualquer pessoa possa verificar quem é o dono. Também vale a pena colocar adesivos nele, para torná-lo personalizado e de fácil identificação, mesmo se visto de longe.
    • Se você precisar deixar seu computador em alguma mesa, coloque uma trava com cadeado nele (e não deixe perto da Lockpicking Village). Só peça para um amigo vigiar se você tiver certeza que ele é tão ou mais paranóico do que você.
    • Mantenha sempre o seu computador com você, a sua vista. Não desgrude os olhos. Precisa ir no banheiro? Leve ele consigo. Se você estiver sentado e sua mochila no chão, enrosque a perna na alça da mochila. Você não tem pernas? Enrosque a mochila no braço.
  • Nunca deixe seu computador sozinho com a tela aberta e acessível. Muito menos com uma console de root aberta. Proteja o acesso ao equipamento com senha (e use um screensaver com senha). E não use uma conta com permissão de administrador.
  • Ao navegar na Internet, use um browser seguro e, sempre que possível, use conexão encriptada (via SSL ou VPN). Se precisar acessar um site sem criptografia, nunca digite seus dados pessoais nem senhas. Por via das dúvidas, nunca faça Internet Banking (e não use um caixa eletrônico localizado perto do evento). Também pode ser uma boa idéia apagar todos os seus cookies antes do congresso. Vai ler e-mails? Precisa mesmo? Tenha certeza de acessá-los usando criptografia.
  • Outras dicas interessantes incluem:
    • Tenha sempre um cabo de rede na mochila.
    • Se você estiver em um evento em outro país, não se esqueça de levar um adaptador de tomada.
    • Desabilite o Bluetooth e qualquer outro serviço de rede que você não esteja utilizando (inclusive o infra-vermelho).
    • Os mesmos cuidados valem para seus celulares e tablets: tenha backup, apague todos os dados pessoais e que não sejam essenciais, tenha sempre eles ao seu lado e evite navegar na Internet com eles. E desabilite a p* do Bluetooth.
  • E não se esqueça: tenha backup de tudo e use senhas fortes.
Para os super-hiper paranóicos, uma dica bem legal é fazer um backup de seu tablet, resetar ele e usar o tablet zerado durante o evento. Depois do evento, resete ele de novo e recupere o backup.

E, a propósito, se durante o evento acontecer um apocalipse zumbi, vale a pena dar uma olhada nas dicas do vídeo abaixo ;)

janeiro 18, 2013

[Segurança] Coisas que Gostaríamos de Dizer para o Anti-Vírus

Aproveitando que recentemente houve um discussão sobre a necessidade dos anti-vírus, este vídeo vem bem a calhar :)



Pena que eu não tinha visto o vídeo quando escrevi um post sobre este assunto...

janeiro 17, 2013

[Segurança] Eventos de Segurança no primeiro semestre de 2013

Segue abaixo uma pequena lista com os eventos de segurança que eu considero serem os principais e mais importantes, e que acontecerão no primeiro semestre deste ano:
  • Janeiro/2013
    • 28/01 a 03/02: Campus Party - Alguns (ou quase todos) vão dizer "Peraí, a Campus Party?". Eu sei que, a primeira vista, uma manada de adolescentes jogando games e abaixando vídeos nada tem a ver com Segurança, mas a CP tem diversas trilhas temáticas, com palestras o tempo todo, e uma destas trilhas é justamente sobre Segurança e Redes - que, diga-se de passagem, foi ganhando visibilidade no evento com o decorrer dos anos. A trilha de Segurança é organizada pelo pessoal do CERT.br e conta com palestras ótimas, de excelentes profissionais.
  • Março/2013
    • 25 e 26/03: CNASI Rio de Janeiro- Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorre no Rio de Janeiro. Assim como as demais edições regionais do CNASI, o evento possui duas trilhas com palestras e debates, além de uma pequena área de expositores. O foco das atividades é principalmente gerencial, e não técnico.
  • Abril/2013
    • 13/04: Hacking Day SP- Sempre polêmico, o Coruja de TI organizará a terceira edicão de seu Hacking Day SP, um evento que pretende oferecer palestras técnicas e atividades práticas direcionadas principalmente para o público que está iniciando na área de segurança.
  • Maio/2013
    • 19/05: Conferência O Outro Lado Security BSides São Paulo - A quinta edição da mini-conferência sobre segurança da informação organizada pelo Garoa Hacker Clube acontecerá na véspera do You Sh0t the Sheriff. A conferência será gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras, oficinas, debates e churrasco. Também teremos uma Hacker Job Fair.
    • 20/05: You Shot the Sheriff (YSTS) - Um dos eventos de segurança mais importantes no Brasil, o YSTS é um evento que preza pela excelente qualidade das palestras e pelo clima descontraído. A maioria dos convites são distribuídos para um público seleto, indicado pelos patrocinadores - mas os organizadores também colocam a venda uma pequena quantidade de ingressos. Certamente é o evento para ver e ser visto ;)
    • 23 a 25/5: GTS - A 21ª reunião do GTS (Grupo de Trabalho em Segurança de Redes) é um evento tradicional organizado pelo Nic.br e acontecerá desta vez em Foz do Iguaçu (PR), em conjunto com a 35ª reunião do Grupo de Trabalho de Engenharia e Operação de Redes (GTER). O GTS será no dia 24/5, e conta com diversas palestras com um conteúdo mais técnico. Para quem não pode ir até Foz do Iguaçu, a boa notícia é que o GTS e o GTER sempre são transmitidos online. O evento ocorre duas vezes por ano (normalmente uma delas é em São Paulo e a outra edição em outra cidade) e costuma ter palestras de boa qualidade. E é gratuito ;)
    • 27 e 28/05: CNASI Brasília - Edição regional do CNASI que ocorre em Brasília (DF). Possui duas trilhas de palestras com foco em auditoria, gestão e segurança, e inclui uma área com expositores.
  • Junho/2013
    • 22 e 23/06: BHack Conference - Segunda edição do evento de segurança que será realizado em Belo Horizonte (MG), com um mix de palestras técnicas e gerenciais.
    • 24 e 25/06: CNASI Sul Edição do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI) que ocorre em Porto Alegre. Dois dias de palestras e debates.
  • Julho/2013
    • 01 e 02 de julho: GRC International + DRI Day América Latina - Evento de GRC e Continuidade de Negócios, com palestras focadas em assuntos gerenciais. O GRC International + DRIDay foca em temas como Governança Corporativa e de TI, Riscos, Conformidade e Continuidade de Negócios.

Em maio também irá acontecer o LACSEC 2013 (Oitavo Evento de Segurança em Redes para a América Latina e o Caribe), de 5 a 10 de maio de 2013 em Medellin, na Colômbia.

Para ver uma lista mais completa com todos os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI. Além disso, o IDETI, que organiza o CNASI, mantém em seu site uma lista com todos os eventos que eles irão realizar este ano.

Se eu esqueci de algum evento brasileiro importante, me avisem.

Nota: Até o momento o GTS ainda não divulgou o local e a data da próxima edição do evento. Eles estão buscando uma sede para realizar o evento fora de São Paulo e planejam divulgar o local no dia 25/02/2013. (Atualização em 21/01: Provavelmente o evento será nos dias 23 a 25 de Maio) Nota: Post atualizado em 29/04 com as informações do GTS.

janeiro 16, 2013

[Segurança] Palestras de Segurança no SERPRO

O Oscar divulgou recentemente que o pessoal do SERPRO disponibiliza uma página com os vídeos de diversas palestras técnicas sobre TI que foram realizadas por eles. As palestras são transmitidas ao vivo, online, e permanecem no site após o evento, e fazem parte de um programa interno de capacitacão e atualização profissional em tecnologias de software livre - mas felizmente elas estão disponíveis para todo mundo.

O Kembolle colocou uma lista com todas as palestras no blog dele, mas elas também podem ser vistas diretamente no site do SERPRO.

Segue abaixo uma lista com os vídeos das palestras relacionadas especificamente a segurança e, aproveitando, sobre Cloud Computing também:

Para ver a relação atualizada de palestras e vídeos, consulte o site do SERPRO.

janeiro 15, 2013

[Cyber Security] Biohacking

Excelente palestra recém-disponibilizada pelo pessoal do TED sobre Biohacking (também disponível no YouTube):


A pesquisadora Ellen Jorgensen descreve o surgimento da idéia de "DIYbio", que deu origem a uma comunidade global e vibrante de biohackerspaces. Ela é uma das fundadoras do Genspaceum laboratório comunitário de biotech no Brooklyn, Nova York.

A apresentação é informativa, empolgante e, em alguns momentos, bem engraçada. E ela solta várias frases muito interessantes, algumas das quais merecem um destaque especial:
  • "The idea is that if you open up the science and you allow diverse groups to participate, it could really stimulate innovation."
  • "Putting technology in the hands of the end user is usually a good idea because they've got the best idea of what their needs are."
  • "the power of this technology for positive was much greater than the risk for negative"
  • "The press had a tendency to consistently overestimate [biohackers'] capabilities and underestimate our ethics."
Se temos os Personal Computers (PCs), porque não podemos ter "Personal BioTech"?

[Carreira] Dúvidas sobre a Contribuição ao Sindicato

Um amigo de longa data, o Alexandre Meyer, leu o meu post sobre a carta de oposição a Contribuição Assistencial do SindPD/SP e aproveitou para consultar sua namorada, que trabalha no Ministério do Trabalho. Ela que trouxe várias informações muito interessantes sobre estas contribuições ao sindicato, com a vantagem adicional de que suas explicações são absolutamente imparciais...

Segue abaixo a transcrição das perguntas e respostas que ele me repassou:
  1. Estas contribuições confederativas, assistenciais etc precisam ser pagas ?
    R.:
    Não. A única coisa que deve ser paga é a "Contribuição sidical" também chamada "Imposto sindical". Todas as outras paga quem quer. Quem garante é a súmula 666 do STF e o precedente normativo 119 do TST:
    • Súmula nº 666 do Supremo Tribunal Federal: "A contribuição confederativa de que trata o art. 8º, IV, da constituição, só é exigível dos filiados ao sindicato respectivo."
    • Precedente normativo nº 119 do Tribunal Superior do Trabalho: "A Constituição da República, em seus arts. 5º, XX e 8º, V, assegura o direito de livre associação e sindicalização. É ofensiva a essa modalidade de liberdade cláusula constante de acordo, convenção coletiva ou sentença normativa estabelecendo contribuição em favor de entidade sindical a título de taxa para custeio do sistema confederativo, assistencial, revigoramento ou fortalecimento sindical e outras da mesma espécie, obrigando trabalhadores não sindicalizados. Sendo nulas as estipulações que inobservem tal restrição, tornam-se passíveis de devolução os valores irregularmente descontados."
  2. Eu preciso realmente escrever a cartinha para o sindicato ?
    R.: Não, mas... De acordo com o artigo 545 da CLT, bastaria você avisar o RH da sua empresa que não autoriza o desconto que eles não pode mais fazer. Escreva uma carta dizendo que não autoriza entregue no RH da sua empresa e peça para eles protocolarem. Pronto. Acabou. Se ainda assim a empresa descontar, parabéns, você ganhou o direito de colocar sua empregadora no pau.
    • Consolidação das Leis do Trabalho - Art. 545: "Os empregadores ficam obrigados a descontar na folha de pagamento dos seus empregados, desde que por eles devidamente autorizados, as contribuições devidas ao sindicato, quando por este notificados, salvo quanto a contribuição sindical, cujo desconto independe dessas formalidades."
  3. Se não precisa, porque a empresa pede a carta protocolada pelo sindicato ?
    R.: Prá tirar o dela da reta. Do mesmo jeito que ninguém quer processar a própria empresa por causa de uma pendenga de menos que poucas centenas de reais, a empresa também não quer o sindicato enchendo o saco dela. A cartinha protocolada serve para deixar claro para o sindicato: "Não é culpa da empresa, o funcionário é que não quis pagar".
  4. O que tem que constar na carta ?
    R.: (1) Endereçar ao sindicato. (2) Identificação do funcionário (nome e CPF é mais do que suficiente, tem gente que copia a carteira de trabalho inteira, não precisa). (3) Identificação da empresa (nome e CNPJ). (4) Dizer expressamente que você NÃO é filiado ao sindicato; (5) Dizer expressamente que você se opões às contribuições X, Y e Z. (6) Dizer expressamente que você não autoriza a empresa a fazer o desconto das tais contribuições. (7) Sua assinatura.
  5. Precisa ser escrita à mão ?
    R.: Não. Cada um escreve como quiser, eles fazem isso para evitar que a empresa imprima milhares de cartinhas e o funcionário só tenha o trabalho de assinar. Se você chega lá com uma carta impressa eles dizem que "vão te fazer o favor de receber, só dessa vez". Não é favor, está assinada pelo funcionário, eles tem que receber.
  6. Precisa ser entregue pessoalmente ?
    R.: Em termos. O sindicato pode se recusar a receber e protocolar uma carta entregue por outra pessoa, mas não pode se recusar a receber pelo correio. Este ano mudamos de sindicato, mas ano passado o dos metalúrgicos não abriu a possibilidade de entrega de cartas de oposição. Fizemos a carta mesmo assim, enviamos pelo correio com Aviso de Recebimento (AR). Na descrição do item do AR escrevemos: "documentos / carta de oposição". Quando o AR retornou vistado pelo sindicato, tiramos uma cópia, anexamos outra via da carta e entregamos no RH. Não descontaram (nem poderiam).
  7. Precisa ser nas datas e horários estabelecidos pelo sindicato ?
    R.: Não. Pode ser a qualquer momento. Só que em geral naquelas datas o sindicato prepara uma infra estrutura para receber o pessoal entregando cartinha. Você pode chegar lá qualquer dia no horário normal de funcionamento, entregar uma carta e pedir para eles protocolarem. O problema é que a maioria dos sindicatos cobra esta contribuição em poucas parcelas, muitos de uma vez só. Assim se você demorar muito, pode perder o prazo do fechamento da folha de pagamento da sua empresa e o desconto já foi feito.
  8. O que o sindicato pode fazer em retaliação ?
    R.: Não muito, se uma quantidade grande de funcionários de uma empresa manda cartinha e rola alguma encrenca ao longo do ano e o pessoal precisar do sindicato eles podem ficar de má vontade. Outra coisa que pode acontecer é o sindicato se recusar a fazer a homologação das demissões dos funcionários daquela empresa, o que não é nenhum problema, porque fazer as homologações é função do ministério do trabalho. O sindicato faz para que o funcionário não tenha que ir até o ministério (o que em geral não é ajuda nenhuma).

janeiro 14, 2013

[Carreira] Via Crucis ao SindPD

Ano novo, vida nova. Tempo de recomeçar, tempo de… encontrar os amigos na fila do Sindpd.

Isso porque todo o ano o Sindpd/SP (o Sindicato dos Trabalhadores em Processamento de Dados e Tecnologia da Informação do Estado de São Paulo) tenta ganhar uma contribuição extra dos trabalhadores de TI, como se já não bastasse a contribuição sindical obrigatória equivalente a um dia de trabalho que todo empregado contratado tem descontado em folha desde a Era Vargas, e definida na Constituição e na CLT.

E assim, há alguns anos atrás o Sindpd passou a exigir uma "Contribuição Assistencial", que corresponde a uma contribuição mensal descontada em folha referente a 1% do seu salário, limitado a R$ 30,00.

Como bem lembrou o Coruja de TI, todo ano os profissionais de TI tem que enfrentar uma "via crucis" para entregar uma Carta de Oposição à Contribuição Assistencial, que deve ser entregue na sede do Sindpd/SP, em mãos, em duas vias, e em um prazo curtíssimo, de apenas 10 dias - durante o horário comercial, claro (neste ano, o prazo é de 09/01/13 a 18/01/13, de segunda a sábado, das 9h as 17h). Com isso, surge o inevitável: quem deixa para entregar nos últimos dias do prazo enfrenta longas filas, que facilmente pode tomar algumas horas do seu tempo.

Quem está viajando não está livre desta burocracia: tem que enviar a carta de oposição via correspondênia registrada para o Sindpd.

Não há nenhuma informação na home page do site do Sinpd (até parece que eles não querem facilitar a nossa vida…), o que acaba dificultando a nossa vida, pois todo ano surgem informaçãoes desencontradas sobre como deve ser escrita e entregue a carta. Em anos anteriores eu cheguei a receber orientações de que a carta deve ser escrita em próprio punho, e neste ano me disseram que a assinatura tem que ser reconhecida em cartório. Pela minha experiência nos anos anteriores, a carta pode ser impressa e deve ser assinada no momento da sua entrega, na frente do funcionário do SindPD. Por isso, basta preencher o modelo disponível no site deles, colocando os seus dados, e levar duas cópias no dia da entrega. Por precaução, eu sempre levei duas folhas em branco e uma caneta ;)

Ao final, você recebe uma das vias protocolada (isto é, com o carimbo deles indicando que você entregou a sua carta), que deve ser entregue ao seu RH para que ele não faça o desconto mensal de seu salário.

Resumindo:
Por fim, não confunda esta "Contribuição Assistencial" com a "Contribuição Sindical". A contribuição sindical é obrigatória a todos os empregados e paga anualmente, no valor equivalente a um dia de trabalho. O pagamento da Contribuição Sindical por si só já garante ao empregado o acesso a seus direitos trabalhistas e a todos os direitos dispostos na convenção coletiva, inclusive ao dissídio coletivo.


Atualização (03/01/14 e 07/01/14) - Seguem as informações para a entrega da carta de oposição a contribuição de 2014:

janeiro 10, 2013

[Cyber Cultura] O que é o Garoa Hacker Clube?

O Tony e o Nepo produziram um vídeo excelente apresentando o Garoa Hacker Clube:



O vídeo faz uma colagem de vários comentários dos participantes do Garoa, incluindo alguns membros fundadores e vários participantes super ativos, que sempre estão presentes nas nossas atividades. O vídeo também é a primeira iniciativa resultante da idéia de criarmos o Garoa.TV.

janeiro 04, 2013

[Segurança] 29C3

Entre os dias 27 e 30 de dezembro de 2012 a cidade alemã de Hamburgo hospedou a 29a edição do Chaos Communication Congress (29C3), que eu acredito ser a mais antiga conferência de segurança da Europa e de todo o mundo. O evento acontece desde 1984 e, neste ano, se mudou para um centro de convenções gigantesco em Hamburgo, uma cidade portuária no norte da Alemanha.

Esta foi a minha primeira vez no evento, aproveitando que estava de férias na Europa - afinal, não é sempre que temos a oportunidade de ir até a Europa justamente na semana entre o Natal e o Ano Novo, e ainda por cima enfrentando o inverno Europeu. Eu ouvi várias críticas pela mudança do local do evento, que nas edições anteriores parece ter sido um espaço relativamente pequeno em Berlin, a capital da Alemanha e uma cidade com milhares de atrações turísticas e "notúrnicas".

O CCC é um evento gigantesco, com algumas milhares de pessoas, que não deixa nada a dever para a Defcon, americana, e que portanto exige uma infra-estrutura de grande porte. E, na minha humilde opinião, o centro de convenções de Hamburgo foi um lugar excelente que atendeu muito bem a demanda do congresso: espaçoso, com um auditório enorme que recebeu a track principal, e mais quatro andares (além do térreo) que hospedaram dezenas de atividades: duas outras salas de palestras, sala de workshops, uma enorme vila de hardware hacking, e incontáveis espaços para as mais diversas atividades (incluindo, claro, uma área de lockpicking). Em uma sala de palestras teve Lightning Talks em alguns horários, aonde interessados se inscreviam durante o evento para apresentar uma palestra curta, de 5 ou 15 minutos de duração, no máximo.

As palestras são sobre os temas com os quais estamos acostumados: novas pesquisas de segurança, hacking em geral, hacktivismo, etc. Mas, ao meu ver, o CCC tem algumas características que o tornam bem diferente dos eventos americanos e brasileiros:
  • Antes de mais nada, é um congresso para quem fala alemão. Ter ao menos o domínio do inglês é fundamental para sobreviver por lá, mas a maioria das palestras são na língua de Goethe. O evento teve 3 tracks de palestras, e em vários momentos somente uma delas era em inglês, o que dificulta muito o aproveitamento de quem não fala alemão. E não há tradução simultânea. Nos corredores e oficinas, na maioria das vezes as pessoas conversam entre si em alemão. Agora eu sei na pele como os gringos se sentem quando vem em um evento no Brasil :(
  • Eu adorei o horário do evento: das 11:30 da manhã até a meia-noite. Excelente para notívagos como eu e, além do mais, pelo que eu ouvi dizer muita gente praticamente nem saia de lá.
  • O evento teve 3 trilhas de palestras, mas o foco principal do pessoal é o de se socializar, e não de assistir as palestras. No CCC há dezenas de espaços para o pessoal sentar, montar grupinhos e hackearem juntos. Também há dezenas de mesas compartilhadas, sofás e vários espaços para todos se alimentarem. E dois lounges. E um canto para a galera de Lockpicking. Para comparar, a Defcon tem 5 trilhas de palestras e a Black Hat tem 9. As palestras tiveram streamming ao vivo, então era comum ver um pessoal assistindo as palestras em seus computadores, sentados nas mesas ou sofás no espaço compartilhado. Esta foi a característica que mais me chamou a atenção: o foco principal na interação entre os participantes, e não nas palestras.
  • Também há um grande espírito de ajuda e voluntariado. Um evento deste porte demanda muito trabalho da organização, que conta com o apoio dos voluntários, chamados de "angels" (anjos), que ajudam em turnos. E qualquer pessoa pode se oferecer para ajudar durante o evento: basta ir no ponto central dos angels (batizado de "heaven" - céu) e se oferecer. Também há um NOC e um CERT, para atender qualquer tipo de emergência.
Infelizmente haviam muito poucos brasileiros presentes: eu encontrei com apenas outros três brazucas - dois dos quais vivem na Europa. Eu até entendo isto, pois o CCC é um evento pouco conhecido e comentado no Brasil, além do elevado custo para viajarmos para a Europa no período de festas de final de ano. Além disso, você provavelmente terá que abrir mão de passar o Natal e o revellión junto com seus familiares e amigos mais próximos, além de enfrentar um inverno rigoroso. Enquanto meus amigos reclamavam do calor no Brasil, eu estava com uma mala dedicada somente a roupa de frio - casacos, agasalhos, botas, etc. Mas, felizmente, neste ano o inverno europeu não foi muito rigoroso e as temperaturas raramente ficaram abaixo dos 4 graus durante o período do evento.

Resumindo, o CCC é um evento enorme e interessantíssimo, e certamente recomendo a todos irem lá pelo menos uma vez. Quem sabe neste ano (2013), em que o evento comemora sua 30a edição?



Atualização (17/01):
  • O Alexandre Teixeira me disse que o streamming das palestras tinha tradução para o inglês. Eu não sabia, mas se isso for verdade, é uma baita mão na roda para acompanhar as palestras em alemão.
  • Todo o material do evento já está disponível online em http://ftp.ccc.de/congress/2012/ (dica sensacional do Sandro Suffert)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.