janeiro 31, 2014

[Segurança] Cloud computing sob o olhar de um advogado

O Dr. Walter Aranha Capanema, advogado do Rio de Janeiro especializado em direto eletrônico e membro da CSA Brasil, deu uma excelente palestra sobre os aspectos jurídicos relacionados a Computação em Nuvem.

A palestra "Cloud computing: o olhar de um advogado" foi realizada nesta semana no Palco Arquimedes da na Campus Party 2014, que é o palco relacionado a palestras sobre segurança e redes.



Nessa palestra, o Walter Capanema abordou vários aspectos relacionados aos usos de Cloud Computing, como as legislações existentes (incluindo a Lei Carolina Dieckmann, neutralidade da rede e Marco Civil) e a questão dos termos de uso (que são os chamados "contratos de adesão") e suas cláusulas abusivas (como as cláusulas que ele chama de "mãe Dinah", aonde a empresa pode suspender o serviço se ela suspeitar que o usuário desrespeitou o contrato). Para exemplificar como os termos de uso são complexos, o Walter lembra que o termo de uso to facebook tem mais palavras que a constituição americana !!!

Ele também abordou muito a questão da privacidade e dos riscos de espionagem, com exemplos baseados nas denúncias do Edward Snowden (incluindo a recente notícia que a NSA espiona até mesmo os hábitos de jogadores online, incluindo no Angry Birds, Farmville e Call of Duty). E como a criptografia pode nos ajudar a proteger nossa privacidade.

janeiro 30, 2014

[Segurança] DDoS Quick Guide

O CERT-US acabou de lançar um guia de referência bem objetivo chamado DDoS Quick Guide, que resume muito bem quais são os principais tipos de ataques distribuídos de negação de serviço (DDoS) e suas características mais relevantes.

O documento é bem legal, mas não espere muito dele: afinal, é um resumão. Ele começa com uma tabela que resume os principais ataques e formas de mitigação de acordo com cada camada de rede, conforme abaixo:
  • Camada de Applicação (7): Objetiva atingir o limite dor recursos e serviços ("Resource starvation"). Exemplos: PDF GET requests, HTTP GET, HTTP POST, exploração de bugs em formulários dos websites (login, fazendo upload de fotos/vídeo, enviando dados em páginas de feedback);
  • Camada de Apresentação (6): Explora falhas nos protocolos de compressão e criptografia, aproveitando que o processamento de criptografia consome muitos recursos dos servidores e que é possível esconder ataques HTTP usando criptografia (HTTPS). Exemplo: Malformed SSL Requests;
  • Camada de Sessão (5): Explora os protocolos de conexão e acesso aos equipamentos (Telnet), para interromper o acesso administrativo aos mesmos. Ex: Telnet DDoS;
  • Camada de Transporte (4): Busca atingir os limites de conexão e de banda nos protocolos TCP e UDP, tornando os equipamentos-alvo inacessíves. Exemplos: os bons e velhos SYN Flood e Smurf Attack;
  • Camada de Rede (3): Sobrecarrega a infra-estrutura de rede e a banda de comunicação com um número excessivo de pacotes utilizando os protocolos IP, ICMP, ARP e/ou RIP. Ex. ICMP Flooding;
  • Camada de Dados (2): Explora os protocolos mais baixos de comunicação de redes e dos dispositivos de rede para sobrecarregá-los, tais como os protocolos 802.3 e 802.5 em equipamentos como placas de rede (NICs), switches, bridges e acess-ppoints (WAPs). Exemplo: MAC flooding;
  • Camada Física (1): E porque não? Existem ataques que podem ser feitos na camada física (isto é, nos equipamentos) para tornná-los indisponíveis, como a destruição, obstrução, manipulação, ou o simples mau funcionamento dos equipamentos.

Em seguida, o DDoS Quick Guide, continua com outra tabela lista os principais tipos de tráfegos de rede associado a ataques DDoS. Ele só pecou por não fazer uma clara relação entre esta lista de tipos de ataques com a tabela inicial, das camadas :(

No final ele tem um pequeno Glossário e uma tabelinha que mostra que os roteadores representam a melhor forma de se defender contra ataques nas camadas 3 e 4, entuanto os Firewalls podem nos ajudar na defesa contra ataques DDoS nas camadas de rede 4 a 7.

[Cyber Cultura] 30 anos de Mac

No dia 24 de Janeiro de 1984 a Apple lançou o primeiro Macintosh, um computador extremamente revolucionário para a época: de fácil uso, com um gabinete único e monitor integrado (monocromático de 9 polegadas), interface gráfica e mouse. Isso sem falar no design e de possuir, de série, alto-falante e um drive de disquetes 3.5" (numa época em que os bolachões de 5 1/4 ainda dominavam).



De fato, o Macintosh foi o primeiro computador pessoal a contar com interface gráfica e mouse, muitos anos antes de surgir o Windows nos IBM-PCs e em uma época em que os poucos computadores pessoais existentes tinham uma interface puramente de texto. Para ajudar na sua popularização, o Mac já vinha com dois programas pré-carregados, o MacWrite e o MacPaint. Infelizmente nesta época o Brasil sofria da reserva de mercado, o que impossibilitava a importação dos Macs para o Brasil :(



O site da Apple tem uma chamada especial para celebrar esses 30 anos de sucesso, com um hot site contando a evolução do Mac nesse tempo todo, tanto do ponto de vista técnico quanto da revolução na usabilidade dos computadores. Também há uma página para os usuários descreverem qual foi o primeiro Mac que tiveram.



Um fato curioso é que o lançamento do Mac foi precedido por um comercial na Super Bowl, o maior evento esportivo e televisivo nos EUA. O comercial foi dirigido por ninguém menos do que Ridley Scott, que na época já tinha dirigido o primeiro Alien e o Blade Runner. No YouTube é possível encontrar também um vídeo do evento de lançamento do Macintosh, com o Steve Jobs tirando o Mac de uma sacola e ligando-o na frente de todo mundo.

janeiro 26, 2014

[Cyber Cultura] Dungeons and Dragons Quarentão

Neste final de janeiro vai fazer 40 anos que o jogo Dungeons and Dragons (DnD) foi lançado. Embora existam dúvidas sobre a data precisa do "nascimento" do jogo, ele foi lançado comercialmente e começou a ser vendido no final de Janeiro de 1974.

O DnD é um dos mais conhecidos (se não for O mais conhecido) jogo de RPG (sigla em inglês para "role-playing game"), que são os jogos aonde cada participante assume o papel de um personagem e segue um roteiro (ou estória) que pode ser alterado dinamicamente, conforme os movimentos dos personagens e acontecimentos dos jogos. No decorrer das aventuras, os personagens enfrentam vários desafios, lutas e vão progredindo - obtendo ítens (como armas) ou ganhando pontos de experiência.

O DnD é considerado o primeiro jogo de RPG moderno, que influenciou vários jogos depois. Ele trouxe uma dinâmica de jogo baseada em caracteres (personagens) detalhados, com diversos atributos descritos em um formulário específico, que se movimentavam em um mundo ditado pelo "game master" e usavam diversos dados para definir a dinâmica do jogo - como para definir pontos de ataque e defesa durante uma luta, ou para decidir se uma ação específica (ex: achar um objeto no chão) iria acontecer.

Durante a sua criação, o DnD sofreu a influência de vários aspectos da mitologia, ficção, cultura popular e de autores populares no início do século passado, incluindo J.R.R. Tolkien. Muitas das criaturas e seres que habitam o mundo do DnD foram inspirados pelas raças e monstros criados por Tolkien e que habitavam o universo da Terra Média, como os Elfos, Anões, Orcs, etc. Por isso mesmo, junto com as obras de Tolkien (em especial, O Hobbit e O Senhor dos Anéis), o DnD influenciou bastante a cultura geek, e rendeu várias expansões, filmes, seriados, livros, etc. O seriado "A Caverna do Dragão", por exemplo, faz várias referências ao jogo DnD. Lembro-me de ter ouvido uma "lenda" (isto é, um comentário que não sei se é verdadeiro) de que os criadores do Caverna do Dragão criaram os episódios do desenho transcrevendo as partidas que eles mesmos jogavam.

Página oficial do jogo DnD: http://www.wizards.com/Dnd/

janeiro 24, 2014

[Segurança] Glossários

Os glossários são ótimas referências quando precisamos validar alguma definição ou um conceito, mas também podem ser úteis como forma de aprendizagem.

Para quem trabalha na área de segurança, há alguns glossários que podem ser bem úteis:
Divirtam-se.

janeiro 23, 2014

[Carreira] Venda Consultiva

Este é um ótimo vídeo, bem humorado, sobre como conduzir uma conversa com o cliente para fazer uma venda consultiva:




O vídeo mostra uma abordagem ao cliente chamada "venda consultiva", aonde o vendedor não apenas oferece um produto, mas discute com o cliente seus problemas e como resolvê-los. Na venda consultiva, o vendedor assume o papel de um especialista no assunto, que busca identificar as necessidades do cliente e, assim, consegue apresentar o seu produto ou serviço como a solução para o problema identificado. O vendedor não quer só vender, também quer ajudr o cliente e construir um relacionamento com base na confiança.


Neste vídeo, por exemplo, o vendedor faz diversas perguntas para o cliente (o Papai Noel) direcionando-o, de uma forma lógica, a ele mesmo deduzir quais são os seus problemas e dificuldades. Ou seja, o vendedor mostrou a situação atual do cliente, seguiu um roteiro mental para direcionar a conversa e desenhar os problemas do cliente, e fez o próprio cliente perceber que tinha problemas.

janeiro 22, 2014

[Segurança] Chapa quente para os grandes varejistas nos EUA

As coisas não andam boas para as grandes lojas americanas: Além da Target e Neiman Marcus, especula-se que outras redes de lojas tenham sido invadidas recentemente.

Em dezembro/2013 a Target, uma das maiores redes de supermercados nos EUA, anunciou que teve sua rede invadida e foram roubados dados de cartões de crédito de mais de 40 milhões de clientes e dados pessoais de 70 milhões de clientes. Neste mês outra rede de lojas, a Neiman Marcus, também confirmou que foi invadida.

Comentário digno de nota: segundo o site Bank Info Security, enquanto a Target tem sido transparente e fez um grande esforço de comunicação para esclarecer os problemas causados pelo roubo de dados, o Neiman Marcus, por sua vez, pouco disse sobre o assunto e não deu nenhum detalhe sobre o incidente que sofreu.

Recentemente, surgiram rumores de que outras seis redes varejistas nos EUA também podem ter sofrido invasão e roubo de dados, provavelmente incluindo uma grande rede de hotéis e outra de restaurante.

Acidente? Negligência? É muito delicado apontar o dedo para alguém, mas não custa lembrar que há poucos anos atrás aconteceu um problema semelhante nos EUA: em 2007 uma gang liderada por Albert Gonzalez invadiu várias lojas e roubou milhões de dados de cartões de crédito, incluindo da TJX e, pasmem, da própria Target (de novo!?).

Minha avó dizia: "Errar é humano, mas persisir no erro é burrice". Será que este ditado ainda é válido na era da Internet?

janeiro 17, 2014

[Segurança] O perigo está dentro de casa

Três notícias recentes mostram a evolução da computação para uso pessoal e doméstico e, ao mesmo tempo, o crescimento dos riscos que essas tecnologias trazem para todos nós:
  • A Intel anunciou o Edison, um mini PC do tamanho de um cartão de memória SD, com um processador de 2 cores e comunicação Wi-Fi e Bluetooth integradas, que deve ser disponibilizado para venda em meados desse ano;
  • O pesquisador britânico Jason Huntley descobriu que SmartTVs da LG espionavam os clientes, coletando dados de uso e enviando para a LG mesmo quando esta função estava desabilitada. Estas informações são utilizadas para exibir vídeos de anúncios aos donos de TV. Para piorar, estas informações são enviadas para a LG em texto claro (sem criptografia) toda vez que o usuário muda de canal;
  • A empresa Proofpoint anunciou a descoberta de uma geladeira conectada a Internet que fazia parte de uma botnet e era utilizada para enviar SPAM. Esta botnet é formada por mais de 100 mil equipamentos infectados e incluía computadores, roteadores domésticos, media centers e Smart TVs - ou, como destacou a reportagem da BBC, era direcionada a equipamentos que fazem parte da "Internet das coisas". Em poucas semanas (entre 23/12/2013 e 06/01), a botnet enviou cerca de 750 mil mensagens, 25% das quais enviadas por dispositivos domésticos - equipamentos com processadores e servidores web embarcados - e mal configurados (incluindo senhas default).



Estas notícias mostram que a computação está invadindo o nosso dia-a-dia, através dos aparelhos domésticos e, em breve, de pequenos equipamentos que podem ser instalados em qualquer lugar. Mas, ao mesmo tempo que a tecnologia evolui e nos cerca cada vez mais, estas novas aplicações precisam ter uma preocupação de segurança por parte dos desenvolvedores e dos usuários finais, para evitar que elas sejam exploradas por usuários maliciosos ou comprometam nossa privacidade.

janeiro 14, 2014

[Segurança] Eventos de Segurança no primeiro semestre de 2014

Segue abaixo uma pequena lista com os eventos de segurança que eu considero serem os principais e mais importantes, e que acontecerão no primeiro semestre deste ano.

A agenda de eventos deste ano promete ser bem apertada, principalmente por conta da Copa do Mundo. No primeiro semestre há um complicômetro a mais: o Carnaval será na 1a semana de Março, espremendo ainda mais a agenda do pessoal.
  • Janeiro/2013
    • 27/01 a 02/02: Campus Party - Dentre as diversas trilhas temáticas do evento, que tem palestras o tempo todo, há uma trilha específica sobre segurança e redes (batizada de Arquimedes), que é organizada pelo pessoal do CERT.br e conta com palestras de diversos profissionais.
  • Março/2013
    • 27/03: Security Leaders Forum - Versão "mini-me" do Security Leaders no Rio de Janeiro, que é a versão "fora de São Paulo" e com apenas um dia de duração. Segue o formato original do evento: uma série de debates moderados pela Graça Sermoud com muita gente no palco, pouco tempo para o pessoal falar e pouca interação da platéia. Inclui também uma pequena área de expositores;
  • Abril/2013
    • 11 a 12/04: 9ª edição do Workshop SegInfo, no Rio de Janeiro. Com o tema Segurança Ofensiva, os ingressos desta edição serão disponibilizados apenas para clientes, colaboradores e convidados dos patrocinadores;
    • 11 a 12/04: CryptoRave - evento gratuito que é uma variação da CryptoParty, cujo foco principal é no uso de ferramentas básicas de segurança e na privacidade na rede. O evento será das 19h do dia 11/04 (sexta-feira) até a noite de 12/04 (Sábado) no Centro Cultural São Paulo. A CryptoParty foi bem legal, com palestras e oficinas bem interessantes e um público diversificado - por isso eu acredito que vale a pena dar uma passada na CryptoRave;
    • 13/04: Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Esta será a oitava edição da BSides São Paulo, uma mini-conferência sobre segurança da informação  e cultura hacker que acontecerá na véspera do You Sh0t the Sheriff. A conferência é gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras, oficinas, competição de CTF, debate e o nosso "churrascker".
    • 14/04: You Shot the Sheriff (YSTS) - Um dos eventos de segurança mais importantes no Brasil, o YSTS é um evento que preza pela excelente qualidade das palestras e pelo clima descontraído, principalmente por conta do open-bar no período da tarde. A maioria dos convites são distribuídos pelos patrocinadores para um público restrito - mas os organizadores também colocam a venda uma pequena quantidade de ingressos.
  • Maio/2013
    • 06/05: Security Leaders Forum - Versão "mini-me" do Security Leaders em Brasília. Segue o formato original do evento, com apenas um dia de duração: uma série de debates com uma pequena área de expositores;
    • 14 e 15/05: GTS-23 e GTER-37 - evento organizado pelo pessoal do Nic.br, que acontece duas vezes por ano. Tem foco técnico em gerência de redes (GTER) e Segurança (GTS), com palestras de bom nível. Esta esição será realizada em Itajaí-SC, na Univali, mas também será transmitida ao vivo pela Internet. Nesta edição, o GTS será apresentado somente na tarde do segundo dia do evento (15/05);
    • 19 e 20/05: CNASI Brasília - Edição regional do CNASI que ocorre em Brasília (DF). Possui duas trilhas de palestras com foco em auditoria, gestão e segurança, e inclui uma área com expositores;
    • 31/05: Tosconf - "desconferência" anual organizada pelo Laboratório Hacker de Campinas (LHC). É um evento que acontece na sede do LHC com palestras e oficinas. Não tem a pretensão de ser um grande evento, mas pela qualidade das palestras e pelo pessoal que frequenta, merece muito a nossa visita. Imperdível.
  • Junho/2013
    • 04 a 06/06: CIAB - O CIAB é um evento focado na venda de soluções tecnológicas para o mercado financeiro, variando entre servidores, caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Mas é um evento aonde as principais empresas de segurança também participam, com stands grandes e palestras para atrair clientes dentre os bancos brasileiros. Tem uma área de exposições enorme. Se você trabalha no setor financeiro ou em algum fornecedor de soluções de segurança, a presença é obrigatória;
    • 15/06: Co0L BSidesSP Edição #nãovaitercopa - edição especial da Co0L BSidesSP, com o objetivo de aproveitar um domingo de jogos da Copa do Mundo para nos reunirmos em torno de palestras e oficinas sobre segurança, além de jogos de tabuleiro e uma pequena "BSides 4 Kids".
Infelizmente já tivemos uma baixa este ano: a BHack Conference anunciou que não vai acontecer este ano por conta da Copa do Mundo. Eles normalmente realizam o evento em Junho, e nesta época do ano os custos já se mostraram proibitivos por conta da Copa.

Para ver uma lista mais completa com todos os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI e o site Security Phresh. Além disso, o IDETI, que organiza o CNASI, mantém em seu site uma lista com todos os eventos que eles irão realizar este ano.

Se eu esqueci de algum evento brasileiro importante, me avisem.

Notas:

janeiro 11, 2014

[Segurança] Canais de vídeos sobre Segurança

Aproveitando um post no blog do Coruja de TI, segue uma pequena lista com os canais mais conhecidos com vídeos de segurança, a maioria no YouTube:
  • SecurityTube – Provavelmente o canal mais conhecido de todos;
  • J4vv4d - O meu favorito. Os vídeos são curtos e bem humorados;
  • Defcon - Canal da Defcon, com as palestras do evento;
  • CCC - Canal do Chaos Computer Club (CCC), com as palestras do Chaos Communication Congress;
  • Site do Deviant: Diversos vídeos sobre Lockpicking;
  • Secure Ninja TV - canal de uma empresa americana de treinamentos e consultoria, mas que mantém um canal com vídeos interessantes;
  • Hak5;
  • IBM Security - o canal da IBM, além de fazer propaganda da "big blue", tem vídeos interessantes sobre o mercado e algumas entrevistas com CSOs;
  • 5 minutos de segurança - Único representante brasileiro nessa lista, o blog saiu do ar em Janeiro de 2012 :( Os vídeos curtos com dicas e notícias de segurança, entretanto, continuam disponíveis online. Mas os vídeos, na verdade, eram apenas gravações da voz do autor, sem imagens nem cenas de vídeo propriamente dito.



Os canais acima estão em Inglês, o que mostra como ainda é pobre a produção de conteúdo de qualidade em Português.

janeiro 09, 2014

[Segurança] To Protect And Infect - 30c3

Durante a trigésima edição do Caos Communication Congress (CCC - ou, nesse caso, 30c3), que aconteceu no final de 2013 em Hamburgo, Alemanha, o Jacob Applebaum fez uma excelente apresentação sobre a máquina de espionagem montada pela NSA, chamada "To Protect And Infect - the militarization of the Internet - Part II" (os slides estão disponíveis aqui).




Ele disse várias coisas interessantes, como:
  • A NSA está tentando "redefinir" o termo vigilância: para eles, a vigilância não ocorre quando capturam os dados das pessoas (que é o que nós normalmente entendemos por vigilância - ou espionagem). Na visão da NSA, ela só ocorre quando um analista acessa esses dados pessoalmente, depois que já foram coletados, armazenados e analizados por softwares-robôs;
  • A lei para nós, cidadãos, não é a mesma que vale para a NSA: a NSA montou um grande esquema de captura global de dados, chamada Turmoil, que lhe permite capturar dados de praticamente todos os 7 bilhões de habitantes do planeta impunemente. Mas, por outro lado, se alguma pessoa tentasse fazer o mesmo, certamente seria condenada a prisão pelas leis americanas - mesmo que fizesse algum esquema de captura de dados para fins de pesquisa de segurança;
  • Essa diferença de "balanço" (há algo que o governo pode fazer e o resto de nós não pode) é o que mostra que há algo de errado nessa história toda;
  • Ele deu grande destaque a várias operações e programas da NSA focados em atacar, invadir e injetar informações nos alvos;
  • Sobre as táticas de invasão da NSA, muitas vezes baseados em vulnerabilidades e backdoors em produtos, ou até mesmo hardwares especializados, Jacob chamou de um constante esforço em "sabotar até mesmo empresas americanas e a ingenuidade do povo americano";
  • A NSA pode armazenar pelo menos 15 anos de informações, incluindo o contaúdo e metadados das comunicações interceptadas;
  • Ele citou vários projetos da NSA usados para automatizar o ataque, coleta e análise de dados, incluindo o Turmoil (os sensores passivos de captura de dados), Turbine (o injetor de pacotes), o QFIRE (projeto que inclui os dois anteriores para invadir routers e outros equipamentos), e o sistema MARINA, um dos vários que mantém o conteúdo completo e o metadado das informações capturadas e análise dos contatos (alvos, amigos, contatos) e identificadores (os perfis e e-mails que você tem) - além da família QUANTUM (ex: QUANTUMTHEORY é como eles chamam o "arsenal" de zero-day exploits) e o SOMBERKNAVE, um implante de software que permite a NSA enviar pacotes pela interface de rede wireless do computador invadido, mesmo que ela esteja desabilitada;
  • Jacob chamou isso tudo de "militarização da Internet", ou seja: estamos sob algum tipo de lei marcial, ditada pelo governo americano, fooi usada uma estratégia de enfraquecer as tecnologias de Internet para facilitar a vigilância, deixando a todos vulneráveis, e isso tudo foi feito pelo governo a nossa relevância, em nosso nome mas sem nosso consentimento (inclusive sem conhecimento dos congressistas americanos);
  • A NSA tem mais poder do que qualquer governo no mundo;
  • Ele apresentou um conjunto de implantes de software e hardware, utilizados pela NSA para invadir diversos equipamentos, como roteadores, firmware de hard drives SIM Cards e o iPhone, da Apple, além de conseguir gravar estes implantes na BIOS do computador ou no firmware de hard drives, algo que nós sequer temos ferramentas para detectar;
  • Ele dá uma dica para detectar se uma rede foi comprometida por um malware da NSA: uma das formas de exfiltar os dados é enviá-los através de conexões UDP criptografadas pelo algoritmo RC6;
  • O fato da NSA dizer que tem muita facilidade de invadir os iPhones (isto é, o iOS) mostra que eles não tem pudor em manter informações críticas (isto é, vulnerabilidades) e até mesmo sabotar o software de empresas americanas. A mesma crítica é deita pelo fato da NSA conseguir invadir servidores HP e DEL: em vez de orientar estas empresas a corrigir suas vulnerabilidades, a NSA prefere explorá-las em benefício próprio.

A apresentação do Jacob Applebaum abordou um "catálogo" interno da NSA que mostram as técnicas de invasão utilizadas para alguns produtos específicos, conforme denunciado originalmente pela revista Spiegel. O site Cryptome publicou alguns dos documentos que fazem parte deste catálogo, que segundo a imprensa, tem 50 páginas e foi criado pela divisão da NSA chamada "ANT" (Advanced Network Technology), especializada em obter acesso a produtos de mercado como smartphones, computadores, roteadores e firewalls (incluindo produtos da Juniper Networks, Cisco, Huawei, HP e Dell. Os agentes da NSA só precisam olhar nesse catálogo e solicitar a ferramenta (software ou dispositivo de hardware) para invadir o equipamento ou software que precisam ter acesso para suas interceptações.

Várias palestras do 30C3 abordaram o tema da espionagem governamental e a NSA (como esta, esta, esta e esta). Outro painel bem interessante do 30C3 foi do Jacob Applebaum com o Julian Assange (remotamente via Skype, mas não conseguiu falar muito por problema de conexão) e a Sarah Harrison (advogada do Wikileaks), chamado "Sysadmins of the world, unite!".

janeiro 07, 2014

[Cidadania] Denúncias de fraudes no Sindpd em São Paulo

Todos os trabalhadores brasileiros tem que pagar uma taxa anual de contribuição sindical, que é uma taxa estabelecida por lei e que beneficia os sindicatos. Mas, em São Paulo, os profissionais de TI tem uma taxa adicional: todos que de alguma forma são afiliados ao Sindicato dos Trabalhadores em Processamento de Dados e Tecnologia da Informação de São Paulo (Sindpd) tem que pagar uma taxa de "contribuição assistencial", que é uma taxa mensal. Os descontos são feitos diretamente na folha de pagamento e o dinheiro deveria ser revertido em benefícios para os trabalhadores afiliados aos sindicatos.

Mas uma reportagem da TV Record feita no ano passado mostrou várias denúncias de como o dinheiro do Sindpd de São Paulo provavelmente é desviado pelos dirigentes do sindicato.


Para evitar essa taxa mensal de "contribuição assistencial", somos obrigados a assinar e entregar pessoalmente uma carta de oposição, uma verdadeira "via crucis" que repete todo ano.

Seguem as informações para a entrega da carta de oposição a contribuição de 2014:


Atualização (16/01/2014): Através do Facebook, recebi uma mensagem do Sr. Emerson Morresi, que se identificou como secretário para Educação e Cultura do Sindpd-SP. Ele me passou a seguinte mensagem referente a matéria da Record postada aqui no blog: "Compreendo o primeiro impacto que ela deva causar nas pessoas, mas ressalto que ela foi completamente descreditada, estando hoje o Sindpd completamente limpo perante o Ministério Público Federal, Estadual, Polícia Federal e Polícia Civil, contudo a imagem é a parte mais difícil de construir e também limpar, por isso, ainda em 2014 vez ou outra essa matéria ressurge." Fiz uma pesquisa rápida no Google e não encontrei nenhuma notícia mais recente sobre este assunto, logo não tenho como saber qual lado tem a razão, a menos que eu tente ter acesso ao inquérito, algo que foge totalmente do propósito do meu blog (que não é nem pretende ser um blog jornalístico).

janeiro 05, 2014

[Segurança] Engenharia reversa dos tokens de autenticação

Recentemente, o Thiago Valverde publicou um artigo em seu blog, chamado "Reverse engineering my bank's security token", em que descreve como ele fez a engenharia reversa nos tokens de autenticação utilizados para acesso ao Internet Banking do Bradesco. Rapidamente o artigo foi tirado do ar, mas é possível ver uma cópia dele no cache do Google.



Conforme descrito em seu artigo original, o Thiago descobriu como funciona a versão para celulares Android do token do Bradesco e, com base no algoritmo do token e em uma chave criptográfica armazenada nele, o conseguiu criar um clone de seu token utilizando um Arduino, como mostra o vídeo abaixo.



Existe um algoritmo padrão de mercado para criar os tokens OTP ( "One Time Password"), chamado OATH (sigla criada a partir de "Open Authentication") - que, inclusive, é um padrão que tem sua própria RFC. Desde que foi criado, muitos fabricantes adotaram este padrão, embora alguns fabricantes mais antigos e tradicionais de tokens (como RSA e Vasco) ainda utilizem seus algoritmos proprietários.

O padrão OATH utiliza um algoritmo aberto para geração das senhas, cuja especificação está disponível no próprio site do projeto: é, basicamente, um algoritmo que utiliza uma "semente" única (um valor único para cada token), uma espécie de contador (que pode ser baseado em tempo, isto é, utilizando um relógio para medir o tempo desde um momento inicial) e combina isso tudo utilizando um algoritmo de hash criptográfico (os mesmos utilizados para fazer assinaturas digitais), o HMAC-SHA-1.


Ou seja, não há nenhum mistério e, muito menos, nenhuma ciência oculta no funcionamento destes tokens, que são amplamente utilizados para redes privadas de empresas (VPNs) e acessos a sites de Internet Banking em todo o mundo. No final das contas, independente do algoritmo utilizado, o segredo e a segurança dos tokens segue o mesmo princípio dos algoritmos de criptografia: está na chave, ou seja, na semente única que serve de base para cada token funcionar.

[Cidadania] Você sabe com quem está falando?

Para começar o ano, nada melhor do que refletirmos sobre qual é o nosso papel no universo. E, para isso, há uma excelente (e curta) palestra do filósofo e pop-star, Mario Sergio Cortella, em que ele discute o nosso tamanho frente o universo inteiro.

Segundo estimativas da ciência:
  • A ciência calcula que, em nosso universo, há cerca de 200 bilhões de galáxias (200.000.000.000);
  • Uma delas é a nossa, a Via Láctea, com "apenas" 100 bilhões de estrelas;
  • Uma dessas estrelas é a nossa, uma estrela anã que chamamos de Sol;
  • Em volta dessa estrelinha, giram 8 planetas e um deles é o nosso, a Terra (já descontado o coitado do Plutão);
  • Estima-se que no nosso planeta haja por volta de 30 milhões de espécies, mas apenas 3 bilhões de espécies foram classificadas até hoje;
  • Uma dessas espécies somo nós, o Homo Sapiens, que em 2007 (data desse vídeo) tinha 6,4 bilhões de indivíduos (agora, em 2014, cerca de 7,2 bilhões de pessoas).

Resumindo: tu és um indivíduo dentre os outros 7 bilhões de indivíduos, membro de uma dentre as 30 bilhões de espécies que habitam um planetinha chamado Terra, que é um dos 8 planetas que giram em torno de uma estrelinha chamada Sol, que é uma dentre outras 100 bilhões de estrelas que compõe uma única dentre as 200 bilhões de galáxias dentre os universos possíveis.

Veja como somos importantes!!! E, mesmo assim, tem gente que acha que o universo gira em torno do umbigo dela!

Por isso, pense bem na próxima vez que você achar que o seu jeito de fazer as coisas é a única correta, que a sua cor de pele ou a sua religião é a única correta, que o mundo gira em torno das suas idéias e vontades.



O vídeo acima, em particular, é um pouco velho, de 2007, mas há vários outros vídeos desta mesma palestra no YouTube.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.