janeiro 30, 2009

[Segurança] A semana das estatísticas

Por coincidência, nessa semana diversas empresas lançaram novos dados estatísticos sobre os problemas de segurança no Brasil e no mundo:

  • Segundo um relatório da empresa Click Forensics, as fraudes em anúncios online (chamadas de "Click Fraud") estão aumentando (17%), sendo que quase um terço (31.4%) das fraudes são realizadas por botnets, ou seja, são fraudes automatizadas e oferecidas como serviço pelos fraudadores.
  • Segundo um relatório da McAfee lançado durante o Fórum de Davos, em 2008 as empresas perderam mais de US$ 1 trilhão com roubo de dados em todo o mundo. É um valor assustadoramente grande, resultado de um levantamento feito com mais de 800 empresas nos Estados Unidos, Reino Unido, Alemanha, Japão, China, Índia, Brasil e Oriente Médio, onde as empresas informaram que perdas de propriedade intelectual correspondem, em média, a US$ 4.6 milhões por empresa (onde cada empresa costuma manter em média US$ 12 milhões em informações proprietárias fora de seus países). O relatório está disponível no site da McAfee.
  • Segundo a Panda Security, cerca de 90% de todos os e-mails são mensagens de SPAM (na verdade, 89,88% são SPAM e 1,11% são códigos maliciosos).
  • O CERT.br também consolidou suas estatísticas de incidentes reportados em 2008. As tentativas de fraude em 2008 somaram 140.067 relatos, um crescimento de 209% sobre os registros de 2007. O relatório, com estatísticas de relatos enviados por administradores de redes e usuários, aponta que em 2008 houve no total 222.528 notificações, um aumento de 39% em relação ao ano anterior.

janeiro 26, 2009

[Cyber Cultura] Campus Party foi um sucesso


Durante uma semana, cerca de 6.500 pessoas (ou "nerds", como a imprensa gostou tanto de rotular) lotaram a Campus Party em centenas de atividades que se extendiam até altas horas da madrugada. O evento foi muito além de um grupo de pessoas praticando jogos online e navegando na Internet. Durante o dia as pessoas tinham a disposição uma dezena de palestras e painéis, tanto as oficiais, que foram divulgadas pela organização, mas os próprios campuseiros organizavam palestras e mini-cursos espontaneamente, entre si. Bastava encontrar um lugar vazio, juntar uma galera e pronto, mais um curso aparecia em um canto do evento. Ou de madrugada, quando os espaços das palestras oficiais estava livre. O Twitter era a ferramenta mais utilizada pelos presentes para se comunicar.

Todos os tipos de profissionais e usuários Internet estavam presentes: programadores, desenvolvedores de games, estudantes, gammers, bloggers, especialistas em robótica, música, design e simulação. Haviam tantas atividades simultâneas que era quase impossível acompannhá-las - e mais difícil seria tentar listar tudo o que aconteceu. Mas algumas atividades merecem destaque (sem querer desmerecer nenhuma das demais):
  • O projeto de lei contra crimes cibernéticos, que é conhecido como o PLS do Senador Azeredo, mereceu duas atividades durante o evento. Primeiro, foi realizado um painel com especialistas, incluindo o assessor do Senador. Centenas de campuseiros rodearam o local protestando contra o projeto, exibindo faixas e alguns utilizavam nariz de palhaço. No dia seguinte, foi formada uma roda de discussão no espaço Bar Camp onde os presentes conversaram sobre o projeto e que ações deveriam tomar para protestar e influenciar o projeto.
  • Um "orelhão VoIP" foi disponibilizado para que os participantes pudessem realizar ligações gratuitamente. Esta foi uma forma criativa de protestar contra as tarifas telefônicas.
  • Alguns indígenas se destacavam na multidão. Eles também acessam a Internet e a utilizam como meio de se comunicarem e divulgarem sua cultura, como foi muito bem abordado no blog da Raquel Camargo.
  • Um robô open source e colaborativo foi construído durante o evento, chamado CP01. Este é um projeto inédito em todo o mundo, uma vez que os robôs existentes são todos proprietários e não existe um padrão de construção ou interoperabilidade entre eles. Todo o projeto deste robô está disponível (incluindo os diagramas e softwares) e, consequentemente, qualquer pessoa pode colaborar com o projeto. Cada módulo (cabeça, troncos e membros) deste "robô livre" é independente dos demais e eles se comunicam por TCP/IP através de conexões wifi e utilizando o sistema operacional Linux. Na Campus Party foi construída a cabeça e o tronco, mas o robô deverá ter o tamanho aproximado de um ser humano.

O evento foi "inesquecível". Divertido, didático, cheio de energia.

janeiro 21, 2009

[Cyber Cultura] Campus Party bombando


A Campus Party 2009 está bombando!!! Milhares de pessoas, internautas, tecnólogos, nerds, curiosos, gammers, blogueiros, artistas e usuários finais estão lotando o centro de exposição onde ocorre o evento. Muitos adolecentes, mas há participantes de todas as idades. Profissionais de tecnologia se juntam com profissionais de mídia, design, robótica, internautas, empresários e muito mais.

É uma "festa" da comunidade Internet. Na área central, restrita para os "campuseiros", as pessoas se espalham por bancadas, algumas vezes organizadas por tema, as vezes as pessoas sentam aleatoriamente. Nas laterais, diversas palestras e painéis acontecem simultaneamente, além do palco central. A grande desvantagem é que o espaço é todo aberto, por isso acaba tendo muito barulho e muitas vezes é quase impossível ouvir as palestras.

No lado externo, há uma área de exposições aberta ao público, onde algumas empresas mostram algumas novidades e projetos interessantes relacionados a Internet, multimídia, robótica e interatividade. E também há um acampamento, pois muitos participantes acabam dormindo no evento (não só pessoas de outras cidades ou estado, mas até mesmo moradores de Sâo Paulo acabam optando por dormir nas barracas para evitar o trânsito da cidade, por diversão ou comodismo - além de ser uma oportunidade de fazer novas amizades).

janeiro 16, 2009

[Segurança] Infestação de verme na Internet

Vários sites (por exemplo, a INFO Online) tem notificado que milhões de computadores em todo o mundo têm sido infectados pelo Malware conhecido como "Downadup" (ou também Conficker ou Kido).

O Downadup explora uma falha no Windows Server Service, MS08-067, corrigida em outubro, além de se propagar através da rede local após identificar os usuários do computador infectado e realizar um ataque de dicionário para descobrir as senhas.

Apesar de utilizar uma vulnerabilidade que foi corrigida há mais de dois meses e explorar o uso de senhas fracas, o verme está se espalhando rapidamente e fazendo milhões de vítimas no mundo todo. Já se passaram alguns anos em que não enfrentamos uma grande infestação de vírus ou verme em escala global. A F-Secure estima que mais de 9.8 milhões de computadores foram infectados pelas diversas variantes do malware.

Para saber como identificar e remover este verme, visite o site do seu fabricante de antivírus preferido. O site da F-Secure, por exemplo, possui uma página que descreve esta ameaça.

[Segurança] Domínios brasineiros adotam o DNSSEC

O Registro.br anunciou que ativou o uso de DNSSEC (DNS Security Extension) para os domínios com.br e org.br. O uso de DNSSEC para estes domínios é opcional, porém é altamente recomendável.

O DNSSEC traz grande benefício para a comunidade Internet (sites e usuários) pois garante a autenticidade das informações publicadas nos servidores de nome de domínio. Durante o processo de resolução de nomes, o DNSSEC utiliza algoritmos criptográficos para garantir a origem e a integridade da informação recebida. Por isso, esta tecnologia é reconhecida como sendo a única solução efetiva disponível para a proteção contra ataques de DNS cache poisoning (poluição de cache), que é muito utilizado para redirecionar usuários e comunicações para sites falsos.

A página do anúncio no Registro.br possui várias informações adicionais para que os administradores saibam como utilizar este recurso. Para saber mais sobre DNSSEC, o site www.dnssec.net é uma ótima referência, com artigos, apresentações, informações técnicas, listas, etc.

janeiro 13, 2009

[Segurança] Os 25 erros mais comuns em aplicações

O SANS Institute, junto com um grupo formado por mais de 30 empresas e entidades relacionados ao mercado de segurança, publicou nesta semana o documento "CWE/SANS TOP 25 Most Dangerous Programming Errors", uma lista com os 25 erros de programação de software "mais perigosos" para a segurança dos sistemas.

Entre as empresas e entidades que fizeram parte deste esforço, destacam-se a Symantec, Microsoft, Oracle, Secunia, VeriSign, RSA, Red Hat, a NSA (National Security Agency), o DHS (US Department of Homeland Security), o OWASP, a University of California at Davis e a Purdue University. O MITRE e o SANS Institute foram responsável por coordenar a iniciativa.

São falhas normalmente cometidas pelos desenvolvedores de software que causam os principais problemas de segurança nas aplicações web. A lista está disponibilizada no site do SANS, juntamente com as orientações sobre o que são e como evitar estes erros. Os 25 principais problemas selecionados pelos especialistas, divididos em 3 categorias, são os seguintes:

  • CATEGORY: Insecure Interaction Between Components
    • CWE-20: Improper Input Validation
    • CWE-116: Improper Encoding or Escaping of Output
    • CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
    • CWE-79: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting' - XSS)
    • CWE-78: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
    • CWE-319: Cleartext Transmission of Sensitive Information
    • CWE-352: Cross-Site Request Forgery (CSRF)
    • CWE-362: Race Condition
    • CWE-209: Error Message Information Leak

  • CATEGORY: Risky Resource Management
    • CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer [Buffer overflows]
    • CWE-642: External Control of Critical State Data
    • CWE-73: External Control of File Name or Path
    • CWE-426: Untrusted Search Path
    • CWE-94: Failure to Control Generation of Code (aka 'Code Injection')
    • CWE-494: Download of [third-party] Code Without Integrity Check
    • CWE-404: Improper Resource Shutdown or Release
    • CWE-665: Improper Initialization
    • CWE-682: Incorrect Calculation [over the inputs that are used in numeric calculations]

  • CATEGORY: Porous Defenses
    • CWE-285: Improper Access Control (Authorization)
    • CWE-327: Use of a Broken or Risky Cryptographic Algorithm
    • CWE-259: Hard-Coded Password
    • CWE-732: Insecure Permission Assignment for Critical Resource
    • CWE-330: Use of Insufficiently Random Values
    • CWE-250: Execution with Unnecessary Privileges
    • CWE-602: Client-Side Enforcement of Server-Side Security


Esta lista, apresentada com detalhes no site do SANS pode ser de grande utilidade para auxiliar desenvolvedores e auditores de código. Esta não é a primeira nem a única tentativa de orientar os desenvolvedores sobre como desenvolver metodologias de codificação segura (ou pelo menos apresentar algum recurso simples e didático para orientá-los sobre as principais falhas que costumam ocasionar bugs de segurança). Uma ótima fonte de informações, que eu já comentei anteriormente, é o projeto OWASP (Open Web Application Security Project).

[Cyber Cultura] Bye Bye Bush !!!

O site Bush Bye Bye Party está estimulando as pessoas a promoverem festas ao redor do mundo não para comemorar a posse do Obama, mas sim para comemorar a saída do Bush.

O site oferece um mapa com todas as festas de "bota-fora" que ocorrerão no dia 19 de janeiro (véspera da posse do presidente eleito dos EUA, Barak Obama) e também, de uma forma bem descontraída, oferece o download de todo o material que você precisa para organizar a sua festa: panfletos, chapéus, adesivos, etc. O site também disponibiliza um widget para adicionar em sua página mostrando quanto tempo ainda resta para a festa.


Get the Bush bye bye party widget and many other great free widgets at Widgetbox!

janeiro 09, 2009

[Cultura] Guia da nova ortografia da Língua Portuguesa

Desde o começo do ano está valendo a nova reforma ortográfica na língua portuguesa. O IG disponibilizou gratuitamente o download de um excelente "Guia Prático da Nova Ortografia", da Michaelis.

Este guia apresenta, de maneira objetiva, as novas alterações introduzidas na ortografia da língua portuguesa pelo Acordo Ortográfico. É um material para ler e manter sempre por perto, pelo menos enquanto não nos acostumarmos com as novas regras.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.