setembro 30, 2014

[Cidadania] Campanha contra homofobia no ambiente de trabalho

A Organização das Nações Unidas (ONU) acaba de lançar uma campanha contra a homofobia dentro das empresas. Através de uma "cartilha" específica, a ONU quer educar e promover um ambiente de trabalho mais respeitoso, independente da opção de gênero e sexualidade dos funcionários.

O manual foi batizado de "Construindo a igualdade de oportunidades no mundo do trabalho: combatendo a homo-lesbo-transfobia". Conforme consta nele, "Trata-se do respeito incondicional a todas as pessoas e sua dignidade" e da "responsabilidade do empregador de não discriminar e de respeitar". Ele tem 80 páginas, é bem longo e de leitura "burocrática". Mas traz dicas importantes, além de discutir exemplos bem específicos, de forma a orientar a atuação dos gestores de empresas e profissionais de RH. Por meio de histórias reais de pessoas que sofreram discriminação no ambiente profissional, o manual oferece diretrizes para a promoção dos direitos humanos de pessoas LGBT no mundo do trabalho. O manual aborda casos de funcionários gays, lésbicas, transexuais e portadores do vírus da AIDS.

Uma reportagem da TV Globo exemplifica os casos de preconceito no trabalho com a história do Vladimir Carlos Figliolo, que trabalhava como analista de atendimento em uma operadora de plano de saúde. A carreira dele ia bem até que apresentou o namorado para os colegas e começou a sofrer "gozações, chacotas, muito comentário". Como se isto não bastasse, ele participou de um processo seletivo na empresa aonde não assumiu a vaga pois a chefe dele justificou que ele não tinha um comportamento adequado. Dois meses depois ele foi demitido.

O lançamento do manual faz parte das ações da ONU na campanha Livres e Iguais, uma iniciativa global das Nações Unidas para promover a igualdade e os direitos humanos do público LGBT).

Eu não achei o manual para download na página da ONU, mas ele está disponível em PDF na página do Jornal Hoje.

setembro 26, 2014

[Cyber Cultura] Bye-bye, Orkut

No final de junho deste ano a Google anunciou que iria terminar com o Orkut, e a data fatídica está próxima: vão desligar o servidor da tomada no dia 30 de setembro.

Ao anunciar a decisão, o Google disponibilizou uma ferramenta para que antigos usuários possam exportar o conteúdo de seus perfis (seus dados, recados e depoimentos, fotos), chamada de Google Takeout. É uma ferramenta muito fácil de usar, que cria um arquivo zip com todos os seus dados no Orkut. Também é possível transformar seu perfil do Orkut em um do Google+. Segundo o Google, as mensagens das comunidades públicas serão mantidas em algum tipo de arquivo online.

Segundo o post no blog oficial do Orkut, a iniciativa durou 10 anos, e perdeu lugar para o YouTube, Blogger e o Google+. Hum, esqueceram de citar o Facebook ;)

O Orkut foi, sem dúvida, um dos pioneiros nas redes sociais e teve seus anos de glória até a estratosférica ascensão do Facebook. Aqui no Brasil, o Orkut e suas comunidades dominaram a Internet até Setembro de 2011, quando perderam a liderança para o "Face" e foram encolhendo desde então. Em janeiro deste ano, ainda havia 6 milhões de brasileiros ativos no Orkut. Em 2008, o Orkut chegou a ter 40 milhões de usuários ativos.


Em março deste ano, a revista Super Interessante fez uma reportagem bem legal sobre o Orkut, chamada "Orkut - As ruínas, dez anos depois". Eles visitaram os "escombros" do Orkut, para ver o que ainda existia e se alguém ainda o usava. A conclusão? O Orkut é o "Retrato de uma Internet do passado": dos scraps e depoimentos em miguxês, de suas comunidades e álbum de fotos, e dos perfis falsos e debochados de celebridades, sobraram "carcaças de comunidades engraçadinhas, perfis abandonados, vírus camuflados de álbuns de fotos, convites para o jogo Colheita Feliz esquecidos no tempo...".

Mas, o que eu achei mais interessante desta reportagem é o comentário de que, no Orkut, "Está um silêncio aqui". Ou seja, o Orkut era uma rede social muito menos interativa do que o Facebook. A timeline do Facebook é atualizada constantemente, a toda hora, com posts, fotos, comentários e Likes dos amigos, algo que nos convida a ficar o tempo todo online, conferindo as novidades da timeline. No Orkut não existia algo similar. As interaçãoes eram feitas um-a-um através de scrapbooks (recados colocados diretamente na página de um usuário específico) e mensagens. Isto tornava o Orkut um ambiente muito mais tranquilo (e menos interativo) do que o Facebook ("quase pacífico", "sem muita exposição").

setembro 25, 2014

[Segurança] Bashpocalypse‬

A imprensadecretou isso como uma vulnerabilidade "bem pior que o Heartbleed".

Apesar do alarmismo, a recém divulgada vulnerabilidade no Bash é muito preocupante, pois pode afetar todos os sistemas Unix que tenham o shell Bash (que é o shell default no Linux e OS X) - ou seja, a quantidade de máquinas vulneráveis é potencialmente gigantesca.

O Bash ShellShocker (CVE-2014-6271), ou simplesmente "Shellshock", é uma vulnerabilidade no Bash, um interpretador de comandos ("shell") muito utilizado nos sistemas Unix. Ela explora a forma em que o bash processa as variáveis de ambiente, e pode ser acionada em qualquer situação em que um serviço executa um shell (o bash) direta ou indiretamente - tais como no sshd do OpenSSH, nos módulos mod_cgi e mod_cgid no servidor Apache, ou scripts executados por clientes DHCP. Por isso, esta vulnerabilidade pode ser explorada remotamente via HTTP, sem necessidade de se autenticar no site ou no servidor!

O Bash permite que uma variável de ambiente seja atrelada a uma função, o que é definido quando a variável começa com "() {" (abre e fecha parêntesis, seguido de abre chaves). Mas a vulnerabilidade acontece porque o Bash não pára de executar esta variável quando chega no fim da definição (no fecha chaves). Assim, uma variável criada como no exemplo abaixo irá executar o script indicado após a definição da variável VAR.
VAR=() { qualquercoisa; }; scriptmalicioso

A exploração remota de um sistema vulnerável é relativamente trivial, diversos exploits estão disponíveis, já tem módulo para o Metasploit, já tem vírus explorando a vulnerabilidade, e já foram identificadas tentativas de atacar servidores vulneráveis.


Para piorar, o patch que surgiu inicialmente era incompleto e deu origem a outra vulnerabilidade, batizada de CVE-2014-7169. Nada bom, né?

Atualização (06/10): O Shellshock já tem 6 vulnerabilidades associadas a ele: CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 e CVE-2014-6278.

Além de afetar todos os tipos e distribuições de servidores Unix (incluindo Linux e OS X), não custa lembrar que o Unix é muito utilizado não só em servidores e desktops, mas também em diversos tipos de appliances e equipamentos, tais como dispositivos de rede, impressoras e equipamentos de segurança. Até mesmo sistemas de câmeras de monitoração, sistemas embarcados e equipamentos domésticos que fazem parte da Internet das Coisas (“Internet of Things”) podem estar vulneráveis (se utilizarem Linux + bash). Essa grande variedade de sistemas vulneráveis acontece porque o Linux é um sistema operacional muito difundido e muito utilizado por diversos fabricantes de equipamentos.

Para saber se o seu servidor está vulnerável, basta rodar um teste muito simples na linha de comando, conforme sugerido pelo The Register:
env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
Ou melhor:
env X="() { :;} ; echo vulneravel" /bin/sh -c "echo teste"
Se aparecer a palavra "busted" ou "vulneravel", então você está em maus lençois...


Os principais fabricantes de segurança já estão correndo para lançar atualizações de seus produtos, incluindo assinaturas para IDS/IPS e scans de vulnerabilidades. Além disso, todos tem que correr para atualizar o bash em seus servidores,

Para saber mais:
Nota: Post atualizado em 29/09 e 06/10.

setembro 24, 2014

[Segurança] Competições de CTF

As competições de Capture The Flag (CTF) existem há muitos anos e são muito populares na área de segurança. Em geral, os times tem que resolver diversos desafios, que podem envolver invasão de redes ou servidores, análise forense, engenharia reversa, desafios de criptografia, etc. Também existem competições que juntam estratégias de ataque e defesa, aonde os times tem que defender um servidor ao mesmo tempo que resolvem os demais desafios de ataques.

Global CyberLympics, por exemplo, é uma competição internacional promovida pela EC-Council, com a participação de três mil equipes de todos os continentes, sendo mais de 70 países em 2014. É escolhida uma equipe de cada continente, que irá disputar a final em Barcelona nos próximos dias 29 e 30 de setembro (uma equipe Brasileira estará representeando a América do Sul!). A competição é focada em defesa, com etapas eliminatórias que testam as habilidades dos participantes em segurança.


Os CTFs são muito populares em eventos de segurança, com a vantagem de aproveitar o público que vai no evento para também participar da competição. Talvez uma das maiores e mais famosas é a competição realizada durante a Defcon, que junta times de todo o mundo e é realizada paralelamente ao evento, em uma sala dedicada, gigantesca.

Alguns eventos no Brasil, além da Ekoparty, na Argentina, realizam competições de CTF.

  • A H2HC é uma das pioneiras em realizar competições de CTF aqui no Brasil, sem dúvida. Ela já realizou competições 8 vezes, mas em 2011 não deu quorum, quando por coincidência o CTF fez parte de uma etapa do Cyberlimpcs. Neste ano, vão realizar novamente a competição.
  • O Roadsec, o evento de segurança organizado pela Flipside e que acontece em diversas cidades brasileiras, começou a organizar uma competição este ano, batizada de Hackaflag e que é patrocinada pela Symantec. Eles tem realizado uma etapa em cada cidade do evento e os vencedores de cada cidade ganham viagem e estadia para disputar a final em São Paulo, no dia 02/12. A próxima edição do Roadsec, com direito a participar do Hackflag, será neste final de semana (27/09), em Recife.
  • A Co0L BSidesSP é outro evento que já realizou duas competições de CTF, mas nos dois casos teve poucos competidores :(


Existem outras competições de CTF que acontecem online, pela web. São exemplos disso o Pwn2Win e o Hacking'n roll, ambos nacionais. Nestes casos, os interessados precisam apenas montar suas equipes e se cadastrarem. O Pwn2Win é um CTF híbrido pois tem uma etapa de Ataque (cujo objetivo é capturar a bandeira em um servidor de uma empresa fictícia) e outra "Jeopardy-style", aonde os competidores tem que resolver diversos desafios em Forense, Engenharia Reversa, Criptografia, Redes, etc. No Pwn2Win, a competição terá duração de 24 horas consecutivas, começando às 13h37 do dia 11/10.

As competições de CTF são uma ótima oportunidade de aprendizagem e de treinar suas habilidades. Mas as vezes tenho receio de que não sejam muito populares aqui no Brasil, pois já vi algumas competições nacionais com pouco ou nenhum participante :(

Nota (adicionada em 25/09): esqueci de citar o site CTF Time, que é uma iniciativa bem interessande de centralizar informações e rankings de várias competições de CTF em todo o mundo.

setembro 23, 2014

[Cyber Cultura] Jedis em Ação

A Revista da Gol de Setembro/2014 publicou uma reportagem legal sobre a nova geração que está aprendendo a programar e desenvolver coisas. Com o título de "Programe-se", a reportagem conta casos de vários jovens que se interessam por programação e tecnologia - incluindo a Abayomi Calazans, de 15 anos, e antiga frequentadora do Garoa.

O Garoa também ganhou destaque na reportagem, em um box específico com o título "Jedis em Ação", transcrito abaixo:
“Não. Nós não ‘hackeamos’ a senha do e-mail da sua namorada.” Esse é um dos dez mandamentos do Garoa Hacker Space, frequentemente procurado com pedidos do gênero. O Garoa, como é mais conhecido, é um espaço de convívio e troca de experiência entre os apaixonados pela programação – e não um abrigo de hackers que invadem a Casa Branca. Instalado em uma casa escondida no bairro de Pinheiros(*), em São Paulo, ele é inspirado em iniciativas semelhantes em outras regiões do mundo.
Um corredor estreito de cerca de 10 metros, cercado por um limoeiro e um pé de romã, leva à casa de oito cômodos. Lá fi cam espalhados fios, parafusos, placas, equipamentos abertos e uma impressora 3-D, que atraem os olhares curiosos dos leigos e fazem brilhar os olhos dos programadores e interessados no universo da computação. “Aqui, as pessoas podem fazer o que querem, não há vínculos com patrocinadores, chefes, universidades e empresas”, diz Daniel Quadros, chanceler supremo do Garoa Hacker Space – o cargo é uma referência ao filme Star Wars, o queridinho dos programadores.
Mas para se tornar um jedi do Garoa não é preciso ser um programador. A casa é aberta para diferentes públicos e lá também acontecem palestras e encontros de temas variados, como games, Arduíno e até produção de cervejas artesanais. Tudo isso acompanhado de boa pizza.



(*) Nota: a casa que é a sede do Garoa não é escondida por culpa nossa, e sim por conta do jeito que o dono construiu ela e dividiu o terreno. Do jeito que a reportagem escreveu, pode dar a entender erroneamente que nós usamos a sede para nos escondermos !

setembro 22, 2014

[Cyber Cultura] Garoa Dojo Shield

O Garoa, em parceria com o Laboratório de Garagem, acaba de lançar o Garoa Dojo Shield, que é uma placa de expansão (shield) para o Arduíno Uno e compatíveis, customizada para realizar atividades didáticas e oficinas introdutórias ao Arduino.

O Garoa Dojo Shield foi uma idéia do Luciano Ramalho, um dos fundadores do Garoa, desenvolvida em parceria com o Laboratório de Garagem, que montou e otimizou o circuito. O objetivo é que este shield tenha os componentes essenciais para realizar facilmente oficinas básicas de programação em Arduino (um display de 7 segmentos, um potenciômetro e um sensor de luminosidade), algo que fazemos periodicamente no Garoa desde 2012, em uma atividade batizada de "Coding Dojo com Arduino".



Basta plugar o shield em um Arduino para fazer exercícios básicos de programação, sem a necessidade de componentes adicionais. Além disso, pode-se fácilmente conectar outros sensores ou atuadores externos ao Garoa Dojo Shield, através de jumpers comuns, possibilitando novos experimentos e mais desafios.

O shield já está a venda na loja online do Laboratório de Garagem.

setembro 19, 2014

[Segurança] O impacto no roubo de dados da Target

Recentemente foram publicados novos dados sobre o impacto do roubo de dados que aconteceu em dezembro do ano passado na rede de supermercados americana Target, que sofreu um roubo de 40 milhões de numeros de cartões de créditos.

Em 2013 a Target já tinha gastado US$ 17 milhões com o roubo de dados. Mas, mesmo passando três trimestres após o ocorrido, os prejuízos continuam assustadores: a Target gastou um valor estimado em 236 milhões de dólares com a invasão, dos quais 146 milhões de dólares saíram do bolso deles. Além disso, o lucro trimestral da empresa continua abaixo dos anos anteriores, representado pelas perdas nos últimos três trimestres seguidos.



O quadro abaixo, publicado pelo portal Data Breach Today, resume as estatísticas.


setembro 18, 2014

[Segurança] Agora é a vez do Home Depot

Muito foi dito sobre o roubo de dados da Target, no final do ano passado. Mas, agora, a bola da vez é a Home Depot, gigante americana no comércio de material para construção.

Pô, será que hoje em dia não podemos nem reformar a casa ou comprar um tapete em paz!?

Aos poucos estão surgindo mais notícias e especulações sobre o caso, tais como:
  • Foram roubados 56 milhões de cartões de crédito e débito, o que faz deste o maior roubo de cartões entre os lojistas americamos (maior do que a Target e TJX);
  • A Home Depot foi invadida em Abril deste ano, e permaneceu invadida por aproximadamente 5 meses!

  • Aparentemente, o roubo de dados foi realizado através de uma variação do malware BlackPOS;
  • O software de anti-virus da empresa estava desatualizado;
  • A Home Depot adquiriu uma solução para a criptografia de dados de cartões de crédito, mas ela não foi instalada;
  • Dados de cartões da Home Depot já estão a venda em fóruns underground, sendo vendidos a valores entre 9 e 50 dólares, dependendo do tipo de cartão;
  • Segundo o Brian Krebs, é possível que o grupo responsável por este ataque seja o mesmo grupo de ciber criminosos russos e ucranianos que invadiram a Target, Sally Beauty e a P.F. Chang’s;
  • O novo CIO da Target, Bob DeRodes, já trabalhou na Home Depot. Ops...
  • O Malware utilizado para o roubo de dados foi customizado para o ambiente da Home Depot. Batizado de Mozart, ele não foi considerado como variante de nenhum malware de PoS conhecido (tal como BlackPOS, Backoff e Framework POS ), além de utilizar de informações específicas da Home Depot (nome de sistemas e processos) para se esconder;
  • Olha que interessante: um pequeno banco do Colorado (Air Academy Federal Credit Union) teve 5.800 cartões de débito afetados pelo roubo de dados na Home Depot, o que representa praticamente 25% dos cartões emitidos por eles (25 mil cartões, no total). Eles já identificaram cerca de US$ 20 mil em tentativas de fraude e vão gastar cerca de US$ 30 mil para reemitir estes cartões afetados.
Obs: Post atualizado em 19/10 com a quantidade de cartões roubados, conforme divulgado pelo Brian Krebs. Atualizado em 30/09 com as informações sobre o Malware que atacou o Home Depot e sobre os prejuízos do Air Academy Federal Credit Union.


[Cyber Cultura] Mais da metade dos Brasileiros estão online

Segundo dados divulgados recentemente pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais da metade dos brasileiros já está conectada à Internet. A proporção de internautas no país passou de 49,2% em 2012 para 50,1% do total da população, em 2013.


Alguns outros dados interessantes:
  • O Brasil tem aproximadamente 86,7 milhões de usuários de Internet com 10 anos ou mais;
  • As mulheres representam 51,9% do total de internautas;
  • A maioria dos internatuas está nas faixas etárias entre 15 e 17 anos e de 18 a 19 anos, com 76% e 74,2%, respectivamente;
  • 44,4% do pessoal entre 40 e 49 anos acessa a Internet;
  • A maior penetração de Internet está na região Sudeste (57,7% da população local).

setembro 17, 2014

[Segurança] Explicando a Criptografia

O canal Art of the Problem contém uma série de vídeos que explicam de forma bem simples e clara o que é criptografia e o funcionamento dos algoritmos de chave pública, o Diffie-Hellman e o algoritmo RSA. O que eu achei mais interessante foi o uso de cadeados e de cores para explicar didaticamente como estes algoritmos funcionam. Mas eles não ficam só nisso, e explicam os conceitos matemáticos básicos destes algoritmos.

O Diffie-Hellman, por exemplo, foi criado em 1976 para permitir o compartilhamento de chaves criptográficas. O algoritmo utiliza cálculos com logaritmos para viabilizar a "troca" de um segredo entre duas partes através de um meio público.



O Diffie-Hellman serviu de inspiração para a criação do algoritmo RSA, que permitiu a popularização da criptografia de chave pública.



Aproveitando que este é o mês da conscientização em segurança, que tal utilizar este tipo de material para explicar conceitos básicos de segurança?

setembro 04, 2014

[Segurança] Segurança em Simples Atos

Aproveitando que Setembro é o mês da Segurança, nada melhor do que divulgar um excelente projeto de dois colegas da nossa área, o Bruno Antunes e o Jonathan Luiz.

Batizado de "Segurança em Simples Atos", eles começaram a realizar palestras de conscientização para jovens em escolas da região aonde moram, com objetivo de explicar sobre os perigos que ocorrem diariamente quando eles acessam a Internet. Eles abordam temas como redes sociais, dispositivos móveis, privacidade, e cuidados que devem ser tomados com a senha, com o comércio eletrônico e com o Internet Banking.

A pequena reportagem abaixo resume o que é o projeto.


Segundo o Bruno, eles já foram em algumas escolas publicas e particulares da região de Limeira e já deram palestras para mais de 1600 jovens, a maioria sendo ensino médio.

setembro 03, 2014

[Cyber Cultura] A lei de Godwin no Brasil

As redes sociais se transformaram no lugar preferido de todos expressarem seus descontentamentos, discutirem sobre algum tema polêmico, ou fazerem alguma reclamação.

De algum tempo para cá, provavelmente desde a proximidade com a copa do mundo, tornou-se comum vermos alguém colocar a culpa no PT em algum momento em que tais discussões ganham um pouco mais de volume, ou até mesmo para destacar um tom de brincadeira no que foi dito. Isto acabou se tornando uma brincadeira relativamente comum graças a hashtags como #éculpadoPT, #foradilma, ou similares.

Ainda mais em um ano eleitoral, é impressionante como uma boa parte das conversas acabam em discussão política aonde aparece alguém criticando o PT ou o governo da presidenta Dilma.

Mas este tipo de comportamento não é novidade na cultura da Internet, tanto é que existe uma “lei” que descreve um comportamento bem similar: a Lei de Godwin.

A Lei de Godwin é tão antiga quanto a própria Internet e surgiu no início dos anos 90, na época das discussões em um dos primeiros fóruns existentes, a Usenet. Ela, inclusive, consta no "The Jargon File" e no Oxford Dictionary. A grosso modo, ela diz que toda discussão acaba chegando em um momento em que ela perde o sentido quando alguém menciona o nazismo ou acusa a outra parte da discussão de ter opiniões nazistas.
"As a Usenet discussion grows longer, the probability of a comparison involving Nazis or Hitler approaches one."
Em Português, fica desta forma: "À medida em que cresce uma discussão na Usenet, a probabilidade de surgir uma comparação envolvendo o nazismo ou Hitler aproxima-se de 1 (isto é, 100%)." Ou, explicado de outra forma:
"If you mention Hitler or Nazis in a post, you've automatically ended whatever discussion you were taking part in."

Ou seja, o comportamento que vemos atualmente de satirizar o PT nas redes sociais nada mais é do que uma versão atualizada e abrasileirada da cultura da Internet.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.