dezembro 15, 2017

[Segurança] 1,4 bilhões de senhas vazadas foram vazadas

Não, antes de mais nada, eu não errei o título desse post!

Recentemente muitos sites tem divulgado a notícia assustadora de um vazamento de dados aonde mais de 1,4 bilhão de logins e senhas foram expostas e estão sendo compartilhadas na Dark Web. O vazamento tem dados de vários sites e serviços populares, incluindo a Netflix, Bitcoin, LinkedIn, Badoo, Pastebin, YouPorn, Last.FM, RedBox, Anti Public, Exploit.in, Minecraft, Zoosk e MySpace.

Os dados foram organizados em um grande arquivo com 415 GB de tamanho, aonde os nomes de usuário, e-mails e senhas foram organizados e classificados.



Essa notícia tem sido constantemente divulgada pela imprensa e por vários colegas da área. Não dá para negar o tom bem alarmista dela.

Mas o que ninguém fala é que quase a totalidade desses dados se referem a vazamentos antigos. Simplesmente juntaram as informações de diversos vazamentos anteriores e organizaram essa montanha de dados.

O Troy Hunt, pesquisador responsável pelo ótimo site Have I Been Powned, analisou esse "vazamento" e concluiu que  99,6% dos dados dele correspondem a informações que já foram expostas previamente.



Ou seja, o alarde feito com isso não se justifica tecnicamente. É bom lembrar os usuários o perigo de usar senhas fáceis e, principalmente, usar as mesmas senhas em sites diferentes. Essa também é uma oportunidade para conscientizar os usuários sobre a importância de trocar as senhas periodicamente.

O que tiramos de bom disso é a imagem abaixo, que mostra as senhas mais presentes nesse vazamento. Podemos ver que as senhas triviais representam quase todas as 36 senhas mais encontradas no vazamento.




dezembro 13, 2017

[Segurança] Ciber crimes no Brasil

O Fantástico deste últino final de semana (10/12) passou uma reportagem aonde eles detalharam muito bem como os ciber criminosos brasileiros coseguem facilmente roubar dados sigilosos de milhares de pessoas, comercializar essas informações pessoais e usar isso para fazer vários tipos de fraude.

A reportagem mostra vários tipos de golpes que acontecem através da Internet, aonde são oferecidos diversos serviços ilícitos:
  • Compra e venda de dados de cartão de crédito;
  • Compra de cartões de crédito de clientes (desviados do Correio), que o Fantástico obteve por R$ 400;
  • Ofertas de notas falsas de Reais;
  • Venda de dados pessoais (CPF, comprovantes de residência, dados cadastrais, telefone, etc);
  • Cadasttos em sites de e-commerce, para fazer compras fraudulentas (as mercadorias são revendidas posteriormente, a preços abaixo do mercado);
  • Dados cadastrais em empresas de telefonia, incluindo imagens de documentos pessoais;
  • Senhas de acesso ao CADSUS (Sistema de Cadastramento de usuários do SUS), para permitir busca de informações pessoais;
  • Venda de páginas falsas, para serem usadas para phishing por e-mail ou SMS, para capura de senhas e dados pessoais, ou para simular sites de e-commerce.
Alguns desses golpes podem acontecer com a ajuda de funcionários internos, como no caso do roubo de dados de empresas de telefonia, acesso a contas do CADSUS (caso o dono da conta compartilhe o seu acesso) e o roubo de carões de crédito nos Correios.

Uma das coisas interessantes nessa reportagem é que eles também mostraram como é fácil fazer o cruzamento de dados obtidos de diversas fontes para potencializar a fraude: por exemplo, você compra um cartão de crédito, que foi desviado durante o seu envio pelo Correio e busca as informações pessoais do dono do cartão no sistema do SUS. Com isso, o fraudador consegue entrar em contato com a central de atendimento do cartão e responder as perguntas necessárias para desbloquear o cartão.

Segundo o Fantástico, eles investigaram alguns foruns por 4 meses e contaram com a ajuda do Tecmundo, que também fez uma reportagem bem detalhada.


Um dos entrevistados pela reportagem acabou ganhando destaque em algumas comunidades de segurança pois ele disse que os sites falsos não tem o cadeado indicando que está acessando uma página segura. Infelizmente ele está errado: existem fraudadores que usam certificados digitais para ter uma conexão SSL e, assim, ter mais uma forma de enganar as vítimas.


Uma estatística divulgada recentemente mostra que o cibercrime pode causar prejuízo de até R$ 16 mil para a vítima, que está mais vulnerável principalmente nesse periodo atual do Natal. O valor do prejuízo pode variar com o tipo de golpe ue a vítima sofreu, que pode ser desde o uso de seus dados para fazer uma compra fraudulenta em seu nome, oua té meso invadir a sua conta bancária e roubar todo o dinheiro disponível lá. Mas, na verdade, se os ciber criminosos ganham acesso a conta bancária de alguém, eles vão retirar toda a grana possível, e eles podem até mesmo fazer empréstimo em nome da vítima para conseguir roubar mais dinheiro.

Para saber mais:
Atualizado em 13/12 para incluir uma referência para o artigo “Fantástico, como assim site falso não tem o cadeado?”

dezembro 11, 2017

[Carreira] Como se tornar um Jedi na área de Segurança

No Roadsec São Paulo, em novembro deste ano, eu tive a oportunidade de apresentar uma palestra na trilha sobre Carreiras. Para tentar fugir um pouco do lugar comum e apresentar uma palestra mais descontraída, com bom humor, eu decidi listar algumas dicas de carreira para que as pessoas se destaquem no mercado de trabalho. E, para fazer isso, escolhi usar a temática do Star Wars.

E, assim, nasceu a palestra "Como se tornar um Jedi na área de Segurança", ou seja, como se tornar um profissional de destaque na área.


Nessa palestra, eu apresentei 5 dicas de como ter sucesso profissional e se tornar um "mestre Jedi", "dominando a cyber força que existe dentro nós". Eu dividi as dicas em 5 grupos:
  1. Goste do que você faz e faça o que gosta: há várias áreas de atuação no mercado de segurança, por isso devemos escolher algo que gostemos de fazer, de acordo com nossos interesses pessoais. Esse é o primeiro passo para garantir sua motivação para enfrentar o mercado de trabalho e nossa rotina extenuante de trabalho e estudos;
  2. Estude sempre, o tempo todo, começando por aprender idiomas (o inglês é fundamental para nossa área), ter formação acadêmica (graduação e pós-graduação) e, também, estudar para obter certificações profissionais;
  3. Networking: É fundamental conhecer pessoas dentro da área e fazer amigos, pois eles vão ajudar muito através da troca de conhecimentos, mentoring e da troca de dicas sobre o mercado;
  4. O Marketing pessoal também é muito importante: seja conhecido pelo mercado e reconhecido como um bom profissional. Tome cuidado pois, como atuamos em uma área técnica, o conhecimento é facilmente avaliado pelos nossos pares: alguém com conhecimento fraco é facilmente percebido pelo mercado;
  5. Use as buzzwords com cautela: É importante acompanhar as tendências de mercado, mas tome cuidado com a armadilha das buzzwords, muitas vezes criadas como parte de um discurso de marketing.
Veja os slides da apresentação:


dezembro 08, 2017

[Segurança] Senhas fortes

Recentemente eu encontrei dois gifs animados com dicas de como criar senhas fortes:

O primeiro gif dá uma dica de como tornar as suas senhas mais seguras, mais difíceis de serem adivinhadas combinando letras, números e sinais de pontuação:



A segunda, mostra como a complexidade de descobrir uma senha aumenta quanto maior for o tamanho da senha escolhida:

Eu achei esses gifs bem legais para ajudar a orientar usuários finais sobre como melhorar as suas senhas.

dezembro 07, 2017

Posts que nunca foram escritos

Segue abaixo mais um lote de anotações e rascunhos que não viraram posts no blog...

Pesquisa "19ª Pesquisa Global de Segurança da Informação da EY 2016-17"

Sobre urnas eletrônicas:
Guerra Cibernética e Eleições:
Vazamentos recentes de dados:
Notícias diversas:
Quer mandar SMS falsos (SMSphishing)?



Eventos recentes:




dezembro 05, 2017

[Segurança] Existe panela na área de segurança?

Frequentemente surgem discussões de que existem "panelas" na área de segurança, e quem não faz parte dessa "panela" não consegue emprego bom, não consegue palestrar nos eventos, etc. Então, será que elas realmente existem?

A resposta é simples: Sim, existe!

Existem várias panelinhas na área de segurança por um único motivo: existe panela em tudo quanto é lugar!!! Em qualquer lugar que você vá, em qualquer grupo, comunidade ou coisa que você participe ou frequente, sempre vão existir panelas. Elas estão em todos os lugares!

Exemplos tem de monte! Lembre-se da sua época de colégio: existia a panela da galera que jogava bem futebol, a panela dos estudiosos, a panela das meninas, a panela dos nerds, e por aí vai. Na empresa onde você trabalha não é diferente: existe a panela do pessoal de RH,  do pessoal de vendas, tem a galera de TI, a panela dos chefes, o grupinho dos estagiários, etc. Quando foi a última vez que você almoçou junto com o pessoal do administrativo? Tem também a panela dos solteiros, que fazem happy hour toda semana no bar da esquina, a panela dos casados que se convidam para festas de aniversário de criança, e por aí vai…

Em uma sala de aula do colégio ou no escritório, entre seus próprios coleguinhas e amigos, é muito fácil identificar várias panelas. As vezes você participar de uma, as vezes de várias, as vezes de nenhuma.

Ou seja, se conseguimos facilmente encontrar panelas em grupinhos restritos dentro de pequenos ambientes, é mais do que natural que vão existir panelas dentro de um grupo grande como o mercado de trabalho, em um grupo formado por todos os profissionais que atuam em uma determinada área.

O que alguns chamam de "panela", outros podem chamar de "networking".

Pelo jeito a formação dessas panelinhas é algo natural ser humano: aglutinam -se pessoas que tem algum tipo de interesse próximo, e as pessoas que não compartilham esse tipo de interesse acabam não fazendo parte da interação do dia-a-dia. São excluídos. Dentro do grupo acaba se formando um sentimento de amizade e união, que solidifica ainda mais a panela. E, em qualquer grupo, uma vez que os relacionamentos estão formados, pode ser difícil que novas pessoas se agreguem. Normalmente isso acontece através de algum tipo de indicação ou convite, formal ou não: alguém convidou o amiguinho para jogar junto com o time de futebol e depois duas ou três partidas essa pessoa naturalmente começa fazer parte do grupinho. Ou seja, ninguém “entra na panela“ do nada, sem que haja alguma coisa que justifique ao grupo aceitar esta nova pessoa como parte do "bando".



Portanto, área de segurança não é diferente de qualquer outro tipo de interação social. É fácil perceber que existem muitos grupos e sub grupos formados por profissionais da área, unidos por interesses, temas ou convivências específicas  Ou mesmo laços de amizade. Não existe uma grande panela única, o que eu vejo são dezenas de grupinhos de vários tamanhos, e é fácil identificar algumas pessoas que navegam entre alguns ou vários desses grupos, algumas pessoas que se encaixam em poucos grupos específicos, e também existem aquelas pessoas que, por qualquer motivo que seja, não participam da maioria dos principais grupos que existem dentro da nossa área.

Existem diversas panelas na nossa área: a galerinha que se entitula “underground”, os CISSPs, a galerinha do Nordeste, do Rio e a de São Paulo, a galerinha que compete em CTF, etc. Tem a panela do pessoal que gosta do Roadsec, tem o pessoal que gosta da H2HC, tem a galera do curso da Fatec, a do Mackenzie, o pessoal da pós-graduação da Impacta, etc. Tem a panela dos palestrantes de eventos, a panela dos funcionários da IBM, etc

Sim, existem algumas panelas maiores e mais influentes dentro da nossa área. Talvez as maiores sejam mesmo a do pessoal que se intitula de "Underground" de um lado, e os profissionais de segurança CISSP de outro. Mesmo assim, as grandes panelas são formadas por parte desse pessoal. Existe aquele 1% de profissionais que se expõem, que palestram, produzem artigos ou pesquisas, ou que simplesmente participam das listas e grupos de discussão ativamente, mandando mensagens. A grande maioria do pessoal, entretanto, só fica na plateia - só ouve ou nem isso.

Tem também alguns poucos casos de pessoas que o pessoal da panela evita e exclui por nutrir alguma repulsa. Já tivemos os casos explícitos do Coruja de TI e do Luis Vieira, por exemplo, mas tem alguns que a galera não fala abertamente. O caso do Montanaro por exemplo, suas polêmicas só eram conhecidas por quem conviveu com ele ou convive com ex-colegas dele. Muita gente só ficou sabendo agora da treta com ele, por conta da discussão pública no Linkedin

Esse assunto sobre existir uma panela na nossa área de vez enquando vem à tona. Aconteceu recentemente, em um comentário publicado em um vídeo do Papo Binário:


Nos comentários desse vídeo, uma pessoa criticou que a área de SI tem uma panela:



Segue uma transcrição do texto acima:
"Vibe de SI que se ajuda"   Famosa panela...
Concordo com tudo que colocou no canal.
Porém, eu conheço pessoas que tem empresa, pessoas que dão cursos, Hackers fodidos muito estudiosos e éticos, que por não ser da panela não tem chance em certos lugares aí no cenário...
E conheço MUITO nego bom que ta nessa em... e não foi por falta de tentar se envolver, e sim por incomodar pois sabem que o cara é bom e traria "dores de cabeça" se é que me entende...
Desculpa cara...  você está numa bolha infelizmente e acredita nisso.
Tem uma panela no cenário aí ridícula...
O próprio Ricardo Longatto, sei de muita coisa no passado onde ele colocou pessoas para trás para subir desde a primeira turma da Desec e tudo mais...
Ele é um cara 10 na minha concepção falando do quesito técnico e o curso muito bom também, porém, sei de muita coisa que infelizmente ele caiu na minha concepção, e te dou 100% de certeza que não foi baseado em "diz que me disse"
Esse cenário está podre e sujo da SI, mas claro, se você for de dentro da panela e não conhecer ninguém que foi prejudicado por conta disso, você nunca vai saber disso...
No mais, muito boa sua mensagem, só não curti os exemplos mesmo.
Grande abraço.

Sim, como eu já disse, existem várias panelas na área de segurança, e quem não faz parte delas está, naturalmente, excluído. Mas isso é uma condição natural do relacionamento humano.

Várias das panelas que eu conheço são receptivas a novas pessoas, mas essa aceitação não é simples nem automática. Essa nova pessoa tem que mostrar e compartilhar conhecimento, ou querer aprender (a famosa "sede de conhecimento"), agregando alguma coisa ao grupo. Esse processo não acontece imediatamente, e sim aos poucos. Conforme você vai colaborando com o grupo, cada vez mais é aceito. Não adianta querer "chegar chegando", mesmo que você se considere fodástico. Se a pessoa não faz nem fala nada, se ela fala besteiras, dificilmente vai ser aceita pelos grupos existentes.

A nossa área é muito técnica, por isso o conhecimento técnico de todos é constantemente testado. Nesse nosso cenário, qualquer pessoa com conhecimento abaixo do que promete é facilmente descoberta. Mesmo nesses casos, muitas comunidades tem o hábito de tentar ajudar qualquer pessoa iniciante ou que precise de ajuda. Só vai ser excluída aquela pessoa que não aceite feedback, que não reavalie o seu conhecimento quando a comunidade sugerir que ele possa estar errado ou incompleto.

Comportamentos normalmente rejeitados incluem falar errado coisas técnicas, fazer muito alarde de hacking como puramente ataque a sites, não aceitar críticas, não revisar suas posições ou trollar demais.

Nessa hora surge um dos principais vícios da nossa comunidade: muita trollagem. Se a pessoa insistir em ter uma postura contrária ao grupo, vai ser execrada pelo grupo.

Sempre vão existir conjuntos de pessoas que se apoiam mutuamente, compartilham o mesmo interesse ou conhecimento, e por isso se apoiam. Cabe a nós reconhecer e conviver com isso, se relacionando com as panelas e pessoas que nos cercam.

OBS: Pequeno ajuste no texto em 06/12.

dezembro 04, 2017

[Cyber Cultura] O ataque do Darth Vader

Faltam poucos dias para a estréia do próximo filme da franquia Star Wars, "O Último Jedi", e nada melhor do que rever uma cena que, na minha opinião, é uma das mais assustadoras envolvendo o Darth Vader.

Eu gostei bastante quando achei um gif animado reproduzindo um trecho da cena da luta do Darth Vader, no final do filme Rogue One:



Para mim, esta é uma das melhores cenas de todos os filmes da série Star Wars. Quando eu assisti essa cena no cinema pela primeira vez, eu consegui sentir o desespero dos soldados da rebelião que tentaram enfrentar o Darth Vader.

Há uma curiosidade bem interessante sobre essa cena: ela foi filmada e adicionada após o término da edição do filme! Ou seja, ela não estava no roteiro original! Esta cena foi filmada em 3 dias e o Darth Vader usou um sabre de luz real. Para destacar a sua silueta no início da cena, a produção colocou uma luz de fundo quendo ele liga o light saber. Bem legal!!!



A propósito, o Giphy tem uma página só com os gifs animados sobre Star Wars!

novembro 30, 2017

[Segurança] Infográfico dos custos de vazamento de dados

O pessoal da Cipher criou um infográfico para ilustrar algumas estatísticas sobre os custos envolvidos nos vazamento de dados. Ao final, eles indicam 4 recomendações para as empresas prevenir os vazamentos.


Me parece que as estatísticas foram tiradas da versão global do relatório "2017 Cost of Data Breach Study" produzido pela IBM junto com o Ponemon Institute, que foi divulgado na metade deste ano.

Estranhamente os dados de custo por registro para os setores mais prejudicados não bate com os números no relatório original, nem a sequência das 3 mais afetadas (nem historicamente, nem considerando apenas os dados de 2017):

Além disso, outra diferença do infográgico da Cipher com o relatório da IBM diz respeito as sugestões de prevenção: das 4 recomendações da Cipher, apenas uma (treinamento de empregados) consta entre as 12 práticas que a IBM apontou com capacidade de reduzir o custo médio de um incidente. Para a IBM, por exemplo, ter um time de resposta em incidentes reduz, em média, 19 dólares o custo por registro vazado. O treinamento de empregados reduz o custo médio em US$ 12,50.

novembro 29, 2017

[Segurança] Perdas com violação de dados no Brasil

Um estudo da IBM em parceria com o Instituto Ponemon, divulgado em meados deste ano mostra que houve um aumento histórico no número de incidentes e nos custos gerados com violação de dados no Brasil e no mundo. Este estudo existe há 12 anos, sendo que inicialmente ela tinha foco apenas nos EUA. Atualmente ela já inclui alguns países europeus (Reino Unido, Alemanha, França, Itália), a Austrália, nós (Brasil), Canadá, África do Sul, o Japão, Índia, o Oriente Médio (incluindo Emirados Árabes Unidos e Arábia Saudita) e a região chamada de ASEAN (incluindo Cingapura, Indonésia, Filipinas e Malásia). O estudo global consultou 419 organizações de 11 países.

No Brasil, a pesquisa consultou 36 empresas de 12 setores diferentes, que tiveram entre 1.980 e 97.300 registros violados por incidente. O número médio de registros violados foi 25.802.

O relatório é muito extenso e contém muitas estatísticas interessantes. Veja abaixo alguns dados sobre o mercado Brasileiro, retirados do relatório "Custo da Violação de Dados 2017":
  • O custo total desembolsado para reparar as invasões foi de R$ 4.72 milhões (globalmente, este custo foi de US$ 3,62 milhões). Em 2016, o valor era de R$ 4.31 milhões;
  • O custo per capta médio (por registro comprometido) foi de R$ 246;
    • As empresas financeiras, serviços e tecnologia tiveram um custo per capita de violação de dados substancialmente acima da média geral;
  • Os ataques maliciosos são a principal causa da violação de dados (44% dos casos analisados), seguidos por falhas humanas (31%) e falhas nos sistemas (25%);
  • As empresas mais afetadas foram nos setores de serviços, finanças e tecnologia;
  • O custo médio do prejuízo que as companhias sofreram com a questão da reputação atingiu R$1,92 milhões;
  • A média de tempo que as companhias demoraram para identificar uma violação de dados foi de 250 dias e cerca de 105 dias para conter o vazamento de dados.

Uma informação deste relatório que eu achei bem interessante é a lista de fatores que influenciam o custo da violação de dados, para mais ou para menos. São eles:


Para saber mais:

novembro 27, 2017

[Segurança] A maior desgraceira de todos os tempos: Fileless Malware

O super-hiper-mega-uber ataque global do ransonworm WannaCry nos presenteou com algumas Buzzwords novas. Uma delas diz respeito a um "novo" tipo devastador de códigos maliciosos, batizado de...


Fileless Malware


Como explicou o Professor Nelson Brito na sua palestra durante a H2HC 2017, a Wikipedia define "Fileless Malware" é uma variante dos softwares maliciosos que existe exclusivamente baseado na memória do computador (RAM). Ou seja, o malware reside apenas em memória e não grava nada em disco, para evitar ser detectado.

Mas, pera aí... isso já não existe há bastante tempo? Desde quano um código malicioso precisa, obrigatoriamente, gravar algo em disco, em vez de apenas rodar em memória? O próprio verbete da Wikipedia cita, como exemplos, os worms CodeRed (de 2001), Slammer (2003) e até mesmo o Stuxnet (2010).



Para que criar uma buzzword agora para algo que existe há mais de 15 anos?

Mas, enfim, quem se preocupa com esse tipo de detalhe quando tem a oportunidade de criar uma nova Buzzword e fazer mais FUD no mercado?

Mas, como se isso já não fosse assustador o bastante, o "Fileless Malware" inaugurou uma nova família de ciber ataques, batizada pelo mercado de...


Advanced Volatile Threat (AVT)


O "Advanced Volatile Threat" são "um tipo avançado de ciberataque onde o código malicioso não precisa tocar no disco rígido da vítima para executar o seu payload." O verbete na Wikipedia tem 2 parágrafos e 3 frases, e o segundo parágrafo diz que esse ataque é mais potente que os APTs pois "As soluções de antivírus tradicionais dependem da presença de um arquivo no disco rígido" para fazer a detecção do malware.

Na real, isso são apenas duas buzzwords criadas em um discurso marketeiro, dando um novo nome assustador para um problema já existente. Nada de novo no front, apenas mais do mesmo.

novembro 24, 2017

[Cyber Cultura] Blogs do Brasil

Eu as vezes acho que sou um dinossauro por manter um blog. Mas, ao ver este infográfico da BigData Corp, pelo menos eu descobri que não estou sozinho: existem mais de 5,5 milhões de blogs no Brasil!

O infográfico abaixo resume algumas estatísticas sobre o mundo dos blogers:


novembro 22, 2017

[Segurança] Internet of Spy Things

No início do ano aconteceu um caso interessante, que causou um pouco de alvoroço nas redes sociais: um dono do Amazon Echo resolveu perguntar para o seu dispositivo se ele mandava seus dados para a CIA, e o aparelho meio que gagejou...


Ao perguntar "Alexa, are you connected to the CIA?" ("Alexa, você está conectada com a CIA?"), o Amazon Echo solta uma luz e fica em silêncio. Houve especulação se isso seria um bug na hora de interpretar o que foi dito, ou se isso seria um caso muito suspeito de audição seletiva, aonde o dispositivo seria bloqueado de responder algumas questões.

Segundo a Amazon, esse era um pequeno bug que foi corrigido.

Essa é uma situação divertida e ao mesmo tempo preocupante .

novembro 21, 2017

[Segurança] Estatísticas de fraude no Brasil

A Serasa Experian mantém um estudo de Indicadores de Tentativas de Fraude, que mostram algumas estatísticas sobre a fraude no Brasil, principalmente sobre as tentativas de fraude contra o consumidor brasileiro relacionadas ao roubo de identidades.

Os últimos dados, de Agosto deste ano, mostram que:
  • A cada 14,5 segundos é realizada uma tentativa de fraude no país;
  • Este número representa a menor frequência mensal já identificada, desde outubro de 2014, o que indica o aumento na quantidade de fraudes;
  • De Janeiro a Agosto foram identificadas 1,307 milhão de tentativas de golpes, 9,8% maior que o mesmo período do ano passado;
  • O segmento de Telefonia foi o mais afetado, representando 38,4% do total de casos. Em um dos golpes mais comuns, criminosos usam dados de consumidores para abertura de contas de celulares ou compra de aparelhos;
  • O setor de Serviços é o segundo segmento com mais tentativas de fraude, representando 30,6% do total;
  • Bancos e financeiras vem em terceiro lugar com 23,3% das tentativas de fraude, seguidos pelo setor de Varejo, com 6,1%;
  • As tentativas de fraude no primeiro semestre do ano representaram crescimento de 7,5% em relação ao mesmo período de 2016.



Segundo a Serasa Experian, as principais tentativas de golpe associadas ao roubo identidade são, usando uma identificação falsa ou roubada:
  • Compra de celulares;
  • Emissão de cartões de crédito;
  • Financiamento de eletrônicos no Varejo (TV, aparelho de som, celular etc.);
  • Abertura de conta em banco, aonde o criminoso também consegue acesso a outros produtos bancários como cartões, cheques e empréstimos pré-aprovados, potencializando as fraudes;
  • Compra de automóveis;
  • Abertura de empresas, que servem de ‘fachada’ para a aplicação de golpes no mercado.

novembro 17, 2017

[Carreira] Programa de Certificação em Segurança de TI da Trend Micro

A Trend Micro trouxe para o Brasil uma iniciativa sensacional: um programa de capacitação em segurança gratuito, direcionado para universitários e recém-formados, aonde os selecionados recebem uma bolsa auxílo para fazer um treinamento de 6 semanas em Janeiro do ano que vem no escritório da Trend em São Paulo.

O treinamento envolve assuntos relacionados e infraestrutura e segurança da informação, ajudando a desenvolver habilidades técnicas e pessoais necessárias para se tornar um Systems Engineer. Os estudantes aprenderão sobre arquitetura, ambientes de implementação, instalação, configuração e gerenciamento das principais soluções da Trend Micro. Embora seja um programa direcionado para as soluções da empresa, certamente o conteúdo será de grande ajuda para a formação profissional dos participantes. Além disso, a Trend promete contratar internamente e indicar para contratação os melhores alunos.

O Papo Binário fez um vídeo apresentando essa iniciativa:


Esse programa começou no Cairo, Egito, e agora eles estão trazendo para o Brasil. O vídeo abaixo fala um pouco dessa experiência.


São 25 vagas para estudantes de cursos superiores em computação e tecnologia. Para saber mais detalhes sobre o programa de certificação e ver as instruções para se inscrever no processo seletivo, veja esse documento. As inscrições devem ser feitas por e-mail até o dia 3 de Dezembro de 2017.

novembro 16, 2017

[Segurança] Como foi o Roadsec São Paulo 2017

Incrível!!!

Essa seria uma boa palavra para resumir a mega edição de encerramento em São Paulo do Roadsec, que aconteceu neste sábado 11/11. O evento estava lotado, repleto de atividades e mostrou que, sem sombra de dúvidas, eles são o maior evento de segurança nacional, tanto se contarmos apenas o público de São Paulo ou se levar em consideração a somatória do público de todas as edições regionais que aconteceram em 2017. Na véspera do evento o Anderson Ramos já havia anunciado que eles atingiram a marca de 5 mil inscritos, um número impressionante para o mercado brasileiro.


O Roadsec São Paulo teve quase 10 horas de conteúdo, distribuído em 6 trilhas, 41 palestras e muitas atividades em paralelo, incluindo oficinas, competição de robôs orgabizada pela Robocore e uma área de comunidaces. O evento também tem o mérito de levar ao grande público um mix diversificado de atividades, juntando palestras de segurança com atividades multidisciplinares (incluindo lockpicking, robótica, eletrônica e drones). Também popularizaram de vez as competições de Capture The Flag (CTF) com o campeonato HackaFlag.

Teve até implante de Biochip ao vivo, no palco principal!!!


Neste ano eles expandiram o uso do espaço no Audio Club, agregando mais um galpão, e assim conseguiram colocar mais trilhas de palestras e mais foodtrucks. Com novos palcos, cada um com espaço para cerca de 100 pessoas, o evento criou trilhas divididas por assuntos, que aconteceram em paralelo ao palco principal de palestras: Carreira, Application Security (AppSec, com patrocínio da Conviso), Hacking, Tecnologia e Comunidades.


Mas, mesmo com uma infra-estrutura maior, o local estava entulhado de pessoas e com espaço limitado de circulação.

O dois principais problemas da edição desse ano (na minha opinião e de alguns amigos que conversei) foram...
  • Os preços exorbitantes: Todo mundo comentava sobre o preço da bebida: uma cerveja estava custando R$ 10, e uma garrafinha pequena de Catuaba custava R$ 15. Segundo as pessoas da Flipside com quem conversei, esse preço era responsabilidade do Audio Club. Isso sem falar que os food trucks não estavam baratos. A maioria das opções de comida custavam em torno de R$ 25 ou mais. Um espetinho, bem saboroso por sinal, custava R$ 10 (3 pelo preço promocional de R$ 25). Como o evento não permite que você saia e volte, todo mundo era obrigado a comer e beber lá, refém desses preços exorbitantes;
  • Áreas de palestra com infra precária, com muito ruído em várias delas por causa de como foram montadas: bem próximo a áreas om outras atividades, e sem isolamento acústico. Como a maioria deles estava em um canto do corredor na área de exposição (dividindo espaço com as mesas de comunidades, competições, patrocinadores e food trucks), elas sofriam com muito ruído. Havia um esquema da platéia usar fones de ouvidos para ouvir o palestrante, mas os fones não abafavam o som ambiente e também não havia uma quantidade de fones suficiente para todo mundo. Outro problema era o formato montado para as áreas de palestra: bem retangular, com uma boa parte da platéia ficando bem afastada do palco, o que dificulta a visualização. Eu dei sorte de palestrar na que eu considerei ser a melhor sala, a da trila Carreira, que era um ambiente fechado e silencioso.

Talvez uma forma de minimizar o problema das palestras seria colocar todos os palcos de palestras em um galpão, isolado da área de comunidades, oficinas e food trucks. Assim elas competiriam em barulho somente entre si, o que pode ser minimizado, realmente, com o uso de fones de ouvido.

Para os fãns de CTFs, a final do HackaFlag foi transmitida ao vivo, com direito a narradores. A propósito, o vencedor na deste ano foi o Caio Luders (Geolado).


Neste ano o Roadsec passou por um susto: poucos dias antes do evento surgiram vários comentários no Twitter denunciando que o Capitão Crunch tem um comportamento inadequado em eventos, se aproximando de jovens adolescentes para oferecer uma "massagem energizante".


Esses comentários fizeram com que a organização do evento silenciosamente cancelasse sua palestra. Obviamente uma galerinha não perdoou a falta do Capitão Crunch e do YT Cracker (que não veio pois não tirou o visto a tempo), e relembraram do histórico de azar da Flipside com palestrantes internacionais. A lista de palestrantes interncaionais que deram o cano inclui o John McAffee (2 vezes), o Jeff Moss e agora o Capitão Crunch e o YT Cracker.

Desde o ano passado a Flipside começou a divulgar o Roadsec como "festival hacker". E, de fato, é isso que melhor descreve o evento. Vou ser sincero, em alguns momentos, durante o evento, eu me senti como se estivesse na Defcon. Sem querer forçar uma comparação aqui, pois há muitas diferenças entre Defcon e Roadsec, mas o que eu quero dizer é que o Roadsec São Paulo é o evento brasileiro que mais se aproxima dos grandes eventos internacionais, que misturam um público bem diversificado com dezenas de atividades acontecendo ao mesmo tempo.

A edição do ano que vem do Roadsec São Paulo já tem data marcada: 10/11/2018.

 

  

Nota (adicionada em 01/12/17):



novembro 13, 2017

[Cyber Cultura] Buzzword do momento: Blockchain

Você está antenado com as tecnologias que estão mudando o futuro da humanidade e que estão revolucionando todas as indústrias, então você certamente manja tudo de...

Blockchain


Se você acha que essa buzzword é "hype", imagina então se colocarmos ela em uma frase bem usada. Veja o que disse uma reportagem no portail CIO em Abril deste ano: "Você tem ouvido falar muito em Blockchain. E a tendência é que as conversas em torno da tecnologia continuem a dominar as rodas de debate sobre modelos de negócio disruptivos, a medida que mais setores econômicos comecem a examinar, em maior profundidade, os impactos que ela provocará no modo como hoje transacionamos mercadorias e serviços."

O Blockchain praticamente nasceu junto com o Bitcoin, a cripto moeda ("cryptocurrency", em inglês) que também promete revolucionar o mundo. O Blockchain funciona como a tecnologia de compartilhamento seguro de registros, de forma peer-to-peer, que viabiliza a confiança nas transações e torna o Bitcoin viável.
É muito fácil encontrar definições genéricas e superficiais do Blockchain comparando com um "livro razão distribuído": Essa reportagem do portal CIO, por exemplo, define que o Blockchain funciona como um banco de dados e uma rede ponto a ponto em que registros de transações ficam distribuídos entre milhares de computadores. A distribuição e a assinatura digital dos registros garantem a integridade da transação, sendo impossível adulterá-la. Ele cria um índice global para todas as transações que ocorrem em um determinado mercado, como se fosse um livro contábil de forma pública e compartilhada. E acredita-se que o Blockchain tem a capacidade de revolucionar o setor financeiro (na transmissão de valores e em contratos inteligentes), os cartórios, serviços de saúde e o agronegócio.

Para saber mais:




novembro 10, 2017

[Segurança] Serviços Hacker

Um amigo compartilhou um post no Facebook oferecendo serviços de "hackear" redes sociais e emails:

Não precisa ser um hackudão do mundo underground para encontrar esse tipo de oferta de serviço, pois o Facebook está repleto disso. Uma busca simples por "serviços hacker" no Face já retorna várias páginas:


novembro 09, 2017

[Carreira] Engenheiras de software

O pessoal do Nubank publicou um vídeo bem legal, chamado "Como é ser engenheira de software no Nubank", com depoimentos de algumas desenvolvedoras da empresa.


Com objetivo de comemorar o Dia da Ada Lovelace, a primeira programadora da história, o Nubank fez esse vídeo com as engenheiras de software para contar suas histórias e inspirar mais mulheres a seguir carreiras nessa área. O que eu mais gostei dos depoimentos é que eles raramente tocam no discurso de que há poucas mulheres na área, e a maioria fala sobre seus desafios na profissão. Ou seja, foca mais em mostrar sua paixão por trabalhar com tecnologia e trata a presença delas como algo normal, como deveria ser.

novembro 08, 2017

[Segurança] A Militarização do Ciber Espaço

Recentemente o Julio Cesar Fort deu uma palestra bem legal no evento Talk'n Roll, na Polônia, batizada de "The Militarization Of The Cyberspace And Why We Should Care About It".


A palestra aborda um pouco da história e da evolução da ciber guerra nos últimos anos, incluindo os ciber ataques contra a Estônia em 2007 e o Stuxnet em 2010, que culminaram em um cenário que vemos hoje aonde o ciber espaço já é considerado como um palco de batalha pelos governos, e como consequência temos uma escalada na busca por zero days e a tentativa de sabotar as tecnologias de segurança através da instalação de backdoors (voluntária, forçada ou em último caso, sem conhecimento do fabricante). No final, ele destaca que há muito mais dinheiro e esforço destinado para ciber guerra do que em ciber defesa.

novembro 06, 2017

[Segurança] A paternidade da H2HC

Esqueça tudo que você conhece ou já viu sobre tretas na área de segurança. Nesses últimos dias presenciamos a "mãe de todas as tretas", em uma discussão sobre quem foram os fundadores da conferência Hackers to Hackers Conference (H2HC).


Tudo começou por causa de um simples post no Linkedin (nota: desde 07/11 o post não está mais disponível) (nota: para quem não viu a mensagem original, já rolou um leak do post), aonde o Domingo Montanaro divulgou a sua participação em um painel do congresso Security Leaders, evento que vai acontecer aqui em São Paulo nos dias 13 e 14 de novembro.



Tudo bem, exceto que lá constava como parte de sua biografia que ele foi “fundador da H2HC“.

Pouco depois o Ygor "DMR" publicou um comentário questionando que ele não tinha participado da fundação do evento, e como resposta, o Montanaro escreveu um artigo no Medium contando a sua versão dessa história.


O que se seguiu foi uma discussão interminável entre o Montanaro e os demais criadores e organizadores da H2HC (incluindo o Ygor "DMR", o Wendel "Dum_Dum", o Alex "Sefer Zohar", o Rubira e o Filipe Balestra), além de alguns dinossauros como o O Gustavo "csh" e uma ex-namorada, aonde também trocaram farpas pessoais e citaram até treta com fatos relacionados a outros empregos e investimentos dele.

Ficou fácil perceber que haviam algumas pessoas com desafetos com o Montanaro, e aproveitaram o post para botar isso tudo para fora. Mas o grosso da discussão mesmo foi se o Montanaro participou ou não da fundação do evento, com ele defendendo seu ponto de vista que sim, e todos os demais discordando e acusando-o de querer tomar aproveito do sucesso do evento.

O post chamou a atenção de muita gente, com comentários em vários grupos no Telegram e WhatsApp, devido a quantidade de roupa suja lavada em público, no Linkedin. Eu conheço o Montanaro há vários anos e eu, particularmente, nunca trabalhei com ele nem tive algum tipo de problema, mas tenho alguns amigos que já trabalharam com ele e tem alguma experiência negativa para relatar (que fiquei sabendo no decorrer dos anos, em diversas conversas com cada um).

Mas nesse post eu vou focar no tópico inicial da treta, que é a fundação da H2HC.


Resumidamente, o Montanaro alega que participou da organização das 4 primeiras edições do evento e foi responsável pela realização da primeira edição. Segundo ele, "coloquei grana, trabalho e risco em potencial para o evento sair do papel", e repetiu esse argumento várias vezes, como por exemplo no trecho abaixo:


Em troca, seguiram diversas manifestações de vários dinossauros da área de segurança, inclusive dos organizadores atuais da H2HC e daqueles que, mesmo segundo as diferentes versões dos fatos,  participaram da  criação do evento. Todos contra-argumentaram que o Montanaro não participou da criação do evento, e apenas ajudava (e algumas vezes atrapalhava).

O que eu entendi disso tudo, na minha opinião, é que apesar dos argumentos em contrário do Montanaro, todos que participaram do surgimento da H2HC foram unânimes em dizer que, embora ele tenha colaborado com a organização nas primeras edições, ele não participou da criação do evento, e inclusive em alguns momentos o pessoal relatou que ele as vezes mais atrapalhava do que ajudava.


Não tem nenhum comentário nessa discussão de alguém que confirme a versão do Montanaro ou que concorde com ele. Pelo contrário. Para exemplificar como o Montanaro era discordante dos demais que criaram a H2HC, o Alex "Sefer Zohar" mostrou um email do Montanaro sugerindo tirar a palavra “hacker” do nome do evento:


Essa discussão no Linkedin se extendeu por alguns dias, envolveu algumas centenas de comentários de várias pessoas e gerou memes.

No final das contas, é fácil perceber que existem várias versões sobre quem e como surgiu H2HC. Inclusive tem diferenças se compararmos os depoimentos publicados no post do Montanaro no Linkedin, a versão dele no Medium, a versão do Rubira que consta na revista comemorativa de 10 anos da H2HC (que foi contestada discretamente pelo Waldemar Nehgme) e em diversos comentários de colegas em alguns grupos do WhatsApp  aonde acompanhamos a evolução da treta  quase que ao vivo.

Então, vestindo o meu chapéu de blogueiro investigativo, eu quero construir a minha versão de como, aparentemente, deve ter sido a criação da H2HC, juntando estes depoimentos que mais fizeram sentido, e juntando inclusive a minha experiência acompanhando a evolução do evento nesses anos todos.

A primeira H2HC  aconteceu mesmo em Brasília, em 2004. O evento estava previsto para acontecer em São Paulo, na SUCESU-SP (vide abaixo o screenshot do site na época, cerca de um mês antes da data prevista, que era 24 e 25 de Julho).


Mas a Sucesu deu para trás e, para não cancelar o evento, eles adiaram para Novembro e o Waldemar Nehgme viabilizou que a H2HC acontecesse em Brasília.

Nesses primeiros anos o evento "meio que intercalou" entre Brasília e São Paulo: a segunda edição (2005) foi na capital paulista, na FIAP, a terceira também foi em São Paulo, na FMU, e em 2007 voltou para Brasília na quarta edição. Em 2008 voltou para a FIAP, em São Paulo, e de aí em diante o evento sempre aconteceu em São Paulo (além de que, em 2010 teve também uma edição extra “H2HC Cancún”).

A primeira vez que eu fui na H2HC foi em 2005 (a primeira edição em São Paulo), no último andar da FIAP da Lins de Vasconcelos. Lembro de ficar espantado quando, na entrada, havia uma ficha de inscrição que perguntava qual era o meu nickname. Nunca tinha visto isso em um evento de segurança! Mesmo já trabalhando há cerca de 7 anos na área de segurança, neste dia só vi uma pessoa conhecida: o Willian Caprino. Eu lembro também de ter assistido palestras de caras que se tornaram lendários (e desaparecidos desde então) como o Musgo e o Sefer Zohar (ele sempre teve um jeito muito engraçado de palestrar - no bom sentido, talentoso mesmo!) Em 2006 fui novamente no evento, e lembro que aproveitei para fazer um curso da SANS no domingo, aonde o Rubira foi o instrutor. Já o conhecia de fama, e neste curso tive a oportunidade de conhecê-lo pessoalmente. O Balestra estava lá também, ajudanado o Rubira no curso.

Naquela época a H2HC em São Paulo era realizada em faculdade (na FIAP e na FMU), o coffee break tinha bolacha com litrão de refrigerante, e o pessoal ficava sentado no fundo da sala disputando o CTF (essa foi a primeira vez que vi um CTF aqui no Brasil). A partir de 2009 (6a edição) o evento começou a ser realizado no Novotel Morumbi.

Pelos diversos relatos, é unânime que a ideia da H2HC surgiu do Ygor "DMR", que na época morava em Goiânia, do Wendel "Dum_Dum" e do Alex "Sefer Zohar". Eles se conheceram alguns anos antes em um evento em São Paulo, como me contou o DMR, tiveram a idéia, bolaram como funcionaria o evento, e chamaram outros participantes da comunidade hacker (underground) para participar. Eles envolveram a comunidade underground através do IRC com a proposta de ter um evento técnico, hands-on, aonde as pessoas pudessem se encontrar presencialmente pela primeira vez. Segundo a revista H2HC:
"A idéia da conferência surgiu do Ygor (*), que viu na mesma uma forma de conseguir reunir os amigos da internet em um único local, sendo a mesma apenas uma desculpa para que todos pudessem faltar aos trabalhos (e talvez até tivessem a vinda patrocinada pelas empresas). Por isso o nome tão sugestivo: De hackers para hackers (Hackers to Hackers).
Outro motivador foi o fato de que as conferências até então eram muito teóricas (leia-se apenas slides), onde o palestrante quando questionado respondia algo do tipo “me manda um e-mail que te respondo”. Ai queríamos fazer algo com o verdadeiro espírito hacking, onde todas as palestras tinham que ter uma demonstração prática como prova do conceito apresentado, onde quem estivesse assistindo poderia fazer questionamentos que seriam respondidos na hora, com demonstração prática."
(*) Aqui a revista da H2HC falha em não citar o Dum_Dum e o Sefer Zohar como co-responsáveis pelo surgimento da idéia.

O site da primeira edição já descrevia o objetivo do evento:


Coube ao Wendel entrar para a história como a pessoa que sugeriu o nome para o evento.

Em seguida algumas pessoas se juntaram na organização, como o próprio Montanaro e o Waldemar Nehgme, mas o Sefer Zohar diz que saiu da organização por conta das discussões que o Montanaro criava no grupo.

Mas a primeira edição só saiu do papel por causa do Waldemar Nehgme, de Brasília, que usou a empresa dele para viabilizar a contratação do hotel e os pagamentos, uma vez que não deu certo uma parceria que eles estavam negociando para viabilizar o evento em São Paulo.


Na primeira edição, em 2004, o site mais antigo que consta no Archive.org é de Fevereiro de 2004. Lá diz que os organizadores eram, na época, o Wendel Guglielmetti Henrique (dum_dum), o Ygor da Rocha Parreira (dmr), o Alex Márcio (Sefer_Zoar) e o Ralf Braga (m0rpheuz):


Notem que o nome e o nickname (y0z) do Domingo Montanaro não constam no site da H2HC.

A partir de Maio de 2004 até Setembro constava no site que os organizadores eram apenas os grupos Front The Scene e o Clube dos Mercenários. O Montanaro já aparecia como palestrante. Nas versões dos sites da H2HC de dezembro de 20042005 e 2006 já mudou a página sobre os organizadores! Lá constam que os organizadores eram os grupos Front The Scene, Clube dos Mercenários e Security OpenSource e que os "Coordenadores Técnicos" eram: Wendel G. Henrique (o Dum_Dum), o Waldemar Nehgme, o Ygor R. Parreira (DMR) e o Domingo Montanaro.


Pelo artigo na revista H2HC, na quinta edição (em 2008) já eram 8 pessoas organizando o evento.

E assim este grupo continuou organizando a H2HC até a quinta edição, quando então o Rubira e o Filipe Balestra se dispuseram a organizar o evento sozinhos, e começaram a dar mais profissionalismo ao evento.
"Na quinta edição tudo estava atrasado e parecia que não conseguiríamos fazer o evento, eu estava fora do país e a coisa não movia, então propus ao comitê que eu topava voltar e fazer tudo acontecer, mas que dali para diante eu tomaria as decisões, me reunindo com a galera (que eu chamo de os Originais) de tempos em tempos para coletar feedbacks. Chamei então o Balestra pra me ajudar e conseguimos fazer a conferência acontecer!"
No site dessa 5a edição do evento, constam como organizadores: Filipe Alcarde Balestra, Rodrigo Rubira Branco, Waldemar Nehgme, Wendel G. Henrique, Wladímero Fernandes, e o Ygor R. Parreira. Também constam como colaboradores o Ricardo Giorgi (na época ele já era professor da FIAP) e o Julio Cesar Fort. O Montanaro já não constava no site, nem como organizador nem palestrante.


Neste ano, 2008, já começaram a ter empresas patrocinando a H2HC. Eu lembro que teve  pessoas da comunidade underground que começaram a questionar o evento, e algumas até mesmo a boicotar, dizendo que a H2HC tinha ficado comercial e se vendido para as empresas. Esse evento, que nasceu da comunidade hacker, em determinados momentos recebeu o patrocínio até mesmo da Microsoft, empresa várias vezes hostilizada por essa mesma comunidade.


Para mostrar para a comunidade que o evento não tinha se vendido para as empresas patrocinadoras, algumas palestras incluíram falar sobre ataques a Microsoft e soltaram alguns zero-days. Um funcionário da Microsoft que foi no evento, o Andrew Crushman (gente finíssima, sensacional!) ficava nas primeiras fileiras anotando tudo! O pessoal da Immunity também!
:)

Desde então, o Rubira e o Balestra tem sido os principais responsáveis por organizar a H2HC, além de um enorme time de voluntários que ajudam muito durante o evento. Eles tem feito um trabalho sensacional e mantiveram a H2HC como o principal evento de pesquisa em segurança no Brasil, com uma qualidade tecnica indiscutível.

Independente de qual seja a versão correta da história, infelizmente existem algumas pessoas que gostam de ganhar fama em cima do trabalho dos outros. Por isso, eu respeito muito a preocupação do DMR e do Dum_Dum em preservar a versão da história que eles consideram ser a verdadeira.

Alguém se entitular "fundador" de algo é muito forte. Este é um termo que traz consigo muita responsabilidade e importância, pois dá o sentido de que a pessoa teve papel importante e decisivo na criação e execução de uma idéia. No caso de um evento, espera-se que fundador seja a pessoa que criou a idéia do evento, viabilizou as primeiras edições, trouxe os palestrantes e participantes, e no dia executou o evento. Em um evento criado por uma coletividade, assumir para si o papel de "o fundador" é um desrespeito a todos os demais que efetivamente participaram da criação do evento.
  • Do ponto de vista do Montanaro, ele defende que, embora não tenha participado da criação da idéia, ele teve papel fundamental para conseguirem executar o evento, junto com o Waldemar;
  • Do ponto de vista das demais pessoas que participaram da discussão, o Montanaro não pode ser considerado fundador pois não participou da criação do evento e só começou a ajudar na fase final da organização da 1a edição, além de não ter tido um papel tão importante quanto o Waldemar (quem bancou os principais custos para realizar o evento).
Nós, na BSidesSP, já tivemos um caso triste em que uma pessoa se ofereceu para ajudar no evento, nós concordamos que ela fosse voluntária, mas ela nem apareceu no dia do evento e nunca ajudou em nada. E ouvimos, através de uma pessoa confiável, que ele estava se apresentando como "um dos organizadores" do noso evento :(

Para minimizar o risco de passar por esse tipo de situação, nós colocamos em nossa página quem são os organizadores e eu já publiquei aqui no blog a história de como trouxemos a BSidesSP para o Brasil. Eu, particularmente, sempre me apresento como "um dos organizadores da BSidesSP", pois independente da importância ou não do meu papel no evento, ele jamais aconteceria se não fosse o grupo formado por 5 pessoas do que consideramos o "core team" nem sem as 10 pessoas que batizamos de "hands of king". Um evento dessa magnitude não acontece fruto do trabalho de uma única pessoa.

Para saber mais:
OBS:
  • Post atualizado em 06/11 (23h) para corrigir os locais das 4 primeiras edições (de BSB+SP+BSB+SP para BSB+SP+SP+BSB) e, principalmente, para incluir mais informações, detalhes e screenshots baseados nas cópias dos sites armazenadas no Archive.org. Atualizado também as 23:30 com feedback do Rubira e as 23:50 com feedback do DMR. Pequena atualização as 0:20.
  • Post atualizado em 07/11 (1:45am) com feedbacks do DMR e do Dum_dum. Obrigado :)
  • Atualização em 07/11 (19:55): Fiz alguns pequenos ajustes em alguns pontos do texto e, principalmente, incrementei a conclusão do artigo. Além disso, o post do Montanaro já não está mais dicponível no Linkedin desde hoje (07/11) de manhã. Para vocês terem uma idéia do tamanho da treta, eu tentei tirar um screenshot do post, mas meu browser só permite um zoom de 10% da página (não consegui fazer menor) e ainda assim sobraram 5 páginas de comentários abaixo disso. Ou seja, os comentários no Linkedin dariam a página abaixo mais 5 páginas de igual tamanho:

  • Atualizado em 07/11 (21h) para incluir mais detalhes sobre a organização da 1a edição da H2HC, baseados em informações retiradas no mirror da H2HC site Archive.org. Fiz uma pequena revisão na madrugada de 09/11.
  • Atualizado em 16/11: No dia 14/11 foi publicada uma mensagem no Pastebin com um link para um leak do post do Montanaro no Linkedin. Não sei informar se essa é a última versão antes do post ter sido apagado. Para quem não viu  o post original com a treta, e para ter uma idéia melhor do "tamanho dela", a versão em PDF do leak tem 27 páginas. E podemos estimar que tiveram quase 200 mensagens (para saber isso, contei a quantidade de vezes que consta a palavra "Reply", pois normalmente tem uma para cada comentário, e cheguei no nímero 195).

novembro 03, 2017

[Segurança] Vamos apoiar o Mente Binária!

Conteúdo bom, de altíssima qualidade e de graça. Quem não quer?

Pois esse é o espírito do Mente Binária, o portal de conteúdo do Fernando Mercês, que se popularizou quando ele criou o canal Papo Binário no YouTube, com mais de 170 vídeos, proximadamente 6 mil inscritos e 250 mil visualizações.

Agora, o Mercês está com uma campanha de doações, pedindo ajuda financeira da comunidade para manter os custos dos projetos. É um dinheiro que vai ajudar a manter a equipe atual, de apenas 3 pessoas, os custos com viagens para entrevistas, equipamento, edição de vídeo e produção, além dos custos de hospedagem. Por isso, precisam da nossa ajuda para continuar oferencedo este conteúdo de maneira isenta.
Através do site menteb.in/apoie, é possível fazer doações regulares de R$ 10, R$ 25 ou R$ 50 por mês. Além de ajudar a manter a iniciativa, eles estão construindo um pacote de benefícios para os apoiadores, que inclui desconto em eventos da área.

O vídeo abaixo explica a idéia:


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.