CQC: Matéria sobre o hacking no Brasil, entrevista com o LulzSec

Marcelo Martins — Tue, 05 Jul 2011 17:25:04 +0000

Comentário:

Hoje, 05.07.2011, é possível ainda encontrar o arquivo ui.txt dentro do site da prefeitura de Corumbataí. O arquivo foi modificado (talvez por outro hacker) e agora contém a informação “porra Marcelo, jogou fora o relatorio do Esqueleto? larga essa bichice de Twilight e arruma logo essa merda”. O link para o arquivo é http://www.corumbatai.sp.gov.br/ui.txt.

Pelo que disse o integrante do LulzSec Brasil, dá a impressão de que eles querem fazer algo parecido com o que faz o WikiLeaks, divulgando informações que eles acreditam que deve ser do conhecimento da população. O problema é que isso está mais para vandalismo do que para protesto, já que nos sites onde eles não conseguiram entrar, eles tiraram do ar usando ataque de DDoS. Independentemente do que parece, é crime.

É sabido que os órgãos do governo não estão capacitados para tratar segurança da informação com a seriedade que o assunto necessita, no entanto acredito que o grupo poderia fazer como os pesquisadores de segurança fazem no mundo inteiro: descobrem a falha, alertam os responsáveis, combinam um período para que o problema seja resolvido e depois divulgam a falha ao público levando o crédito pela descoberta (e muitas vezes pela correção também).

Segurança da informação é construída com processos, ferramentas e pessoas. É necessário ter as ferramentas adequadas e pessoas capacitadas para usar essas ferramentas. Em muitos casos o maior problema é a ausência de um processo de gestão que periodicamente avalie as necessidades do negócio, identifique ameaças e vulnerabilidades e determine ações corretivas para o tratamento dos riscos identificados como não aceitáveis. No caso do governo, com a agilidade necessária para proteger as informações do governo (que envolvem segurança e soberania) e a privacidade dos cidadãos.

Atualização das 19h44: Agora ao tentar acessar o link, o servidor web retorna a mensagem: “You don’t have permission to access /ui.txt on this server.” O arquivo não está mais disponível. Fica a dúvida com relação à vulnerabilidade.

Morre aos 78 anos Robert Morris, pioneiro da segurança

Marcelo Martins — Thu, 30 Jun 2011 15:14:01 +0000

foto de Paul O. Boisvert, The New York Times (1991)

Morreu no último dia 26 o criptógrafo Robert Morris, pioneiro da segurança e pai do criador do primeiro worm que se espalhou pela Internet em 1988, quando a rede tinha apenas 50.000 computadores. De acordo com sua mulher, Robert morreu de complicações de demência.

Morris começou como pesquisador no AT&T Bell Labs na década de 60, desenvolvendo compiladores e outros programas. Na década de 70 foi um dos líderes no desenvolvimento do sistema operacional Unix, criando funções de segurança e criptografia. Na década de 80 trabalhou para a NSA, a agência nacional de segurança americana. Em uma ocasião ele revelou à imprensa que iria ajudar o FBI a decriptar evidências em um caso.

Robert Morris nasceu em Boston em 25.07.1932, filho de Walter W. Morris e Helen Kelly Morris. Ele era formado em Matemática (1957) e possuía um mestrado em Matemática Aplicada (1958), ambos por Harvard. Ele se aposentou em 1994 e vivia em Etna, New Hampshire.

As três regras de ouro para garantir a segurança são: não tenha um computador; não ligue-o; e não use-o.

–Robert Morris

Ministério da Defesa britânico lança campanha sobre privacidade na Internet

Marcelo Martins — Tue, 21 Jun 2011 16:46:25 +0000

Entre o fim do mês de maio e o início do mês de junho o Ministério da Defesa britânico lançou no YouTube dois vídeos que tratam da privacidade na Internet e alertam para o riscos de divulgar informações sensíveis. Um dos vídeos mostra a mãe de um soldado britânico comentando sobre a visita feita à base militar onde está seu filho. Na cena seguinte ela aparece tomando chá com um homem encapuzado e o vídeo termina com as mensagens “Não são apenas seus amigos e sua família que leem seus posts”, “Pense antes de compartilhar”. O outro vídeo mostra duas amigas da Marinha fazendo check-in (divulgando sua localização com uso de GPS) através do Foursquare. Lá está o homem encapuzado novamente.

O Ministério da Defesa também lançou sua própria página no Facebook, YouTube e Twitter para expandir seus canais de comunicação e não vê motivo para que militares parem de postar mensagens em seus murais. No entanto, o ministério reconhece que tem a responsabilidade de educar seu pessoal quanto aos riscos aos quais eles podem estar se expondo.

Os vídeos estão em inglês, sem legendas, mas quase não há diálogos (no primeiro não há) e é fácil compreender a situação.

Dilma determina fim do sigilo eterno de documentos

Marcelo Martins — Thu, 14 Apr 2011 14:19:52 +0000

Presidente dá ordem para que base aprove lei de acesso a papéis secretos

Medida pode revelar o conteúdo de telegramas diplomáticos, relatórios da ditadura militar e até da Guerra do Paraguai

Fernando Rodrigues e Fernanda Odilla, Folha de S. Paulo

A presidente Dilma Rousseff determinou o fim do sigilo eterno dos documentos classificados como ultrassecretos. Ela ordenou que a base do governo acelere no Senado a aprovação do projeto de lei de direito de acesso a informações públicas, já aprovado na Câmara.

A ideia do Planalto é sancionar o texto no Dia Mundial de Liberdade de Imprensa, data celebrada anualmente em 3 de maio pela ONU.

Todo documento considerado sigiloso recebe um grau de classificação. Cabe à autoridade ou ao órgão que produziu o documento estabelecer o grau de sigilo.

No passado, o governo federal considerou sigilosos telegramas diplomáticos, documentos do período da ditadura e da Guerra do Paraguai, entre outros.

Hoje, documentos públicos classificados como ultrassecretos ficam em sigilo até 30 anos, mas esse prazo pode ser renovado indefinidamente. A política foi adotada pelos presidentes Fernando Henrique Cardoso (1995-2002) e Luiz Inácio Lula da Silva (2003-2010).

Assinante da Folha de S. Paulo pode ler a matéria completa em Dilma determina o fim do sigilo eterno de documentos

Declaração de IR 2011

Marcelo Martins — Fri, 18 Mar 2011 14:26:27 +0000

Neste ano de 2011 a declaração do Imposto de Renda do Exercício de 2010 será exclusivamente entregue em formato eletrônico. Fica então algumas recomendações para aqueles que não estão habituados com a mordida online do Leão, que valem para todos que já faziam a declaração pela Internet:

Não faça ou envie a declaração a partir de terminais públicos, como Lan Houses e Cybercafés. Muitos computadores e redes possuem trojans ou outros mecanismos de captura de senhas e outras informações pessoais. Se você não possui um computador, faça a partir do trabalho ou do computador de um amigo. Isso já reduz o risco de vazamento de informações pessoais.
Para fazer o download, utilize o site da Receita Federal. Digite o endereço do site na barra de endereços do seu navegador, não clique em links de outros sites. O endereço é www.receita.fazenda.gov.br
A Receita Federal não envia e-mails. Não clique em qualquer link contido em um suposto e-mail da Receita. Ele é falso.
Utilize antivírus e mantenha o sistema operacional e o antivírus atualizados. É uma maneira simples e eficaz de reduzir o risco de código malicioso instalado na estação no momento em que você estiver digitando informações ou enviando para o site da Receita.
Não utilize software pirata. Muitos dos softwares piratas disponíveis na Internet ou na rua estão contaminados com trojans.
Grave em CD ou pendrive as declarações e recibos após o envio para a Receita.
Para reduzir ainda mais o risco, o usuário pode considerar obter um certificado digital da ICP-Brasil, conhecido como e-CPF. Através do certificado digital, é possível garantir o não-repúdio, ou seja, o usuário garante que foi ele mesmo quem enviou a declaração, eliminando a oportunidade de outra pessoa fazer o envio em seu nome.

Japão alertou usinas nucleares em 2008

Marcelo Martins — Thu, 17 Mar 2011 14:30:53 +0000

A IAEA (Agência Internacional de Energia Atômica) alertou o Japão em dezembro de 2008, em reunião do grupo Nuclear Safety and Security do G8, em Tokyo, sobre o risco de usinas nucleares não estarem preparadas para grandes terremotos. O alerta informava que as usinas possuíam controles de segurança desatualizados e que somente suportariam tremores de magnitude 7.0 e não de 9.0 como ocorreu no dia 11 de março.

É possível que uma decisão executiva tenha tomado o lugar de uma decisão técnica, ou que os controles de segurança não tenham sido implantados em tempo. É também possível que nem todas as ameaças tenham sido consideradas, já que os reatores (parcialmente) resistiram aos terremotos e ao tsunami, mas ficaram sem refrigeração devido à entrada de água na infraestrutura.

De qualquer forma, a próxima avaliação da IAEA será muito importante para definir o que pode ser feito no Japão e também para guiar outros países, incluindo aí o Reino Unido, que planejam grandes expansões na geração de energia a partir de usinas nucleares.

De acordo com a matéria do jornal inglês The Telegraph, telegramas da Embaixada americana vazados pelo WikiLeaks demonstram que o especialista da IAEA explicou que os controles de segurança sísmica só foram atualizados 3 vezes em 35 anos.

Geralmente encontramos “especialistas” que falam o óbvio depois do acontecido, algo que deveria ou não poderia ter sido feito. Neste caso, o especialista lançou o alerta antes. Resta saber ainda se as medidas que o governo japonês informou ter implantado após o alerta seriam suficientes ou se este caso foi realmente uma fatalidade. O Japão é o terceiro maior usuário de energia nuclear com 53 reatores.

Arranhando a imagem

Marcelo Martins — Wed, 16 Mar 2011 17:42:46 +0000

Fazer críticas e expor opiniões é a sensação da Internet. Isso não é novidade já que os blogs e videologs já existem há alguns anos e são fonte de renda de alguns blogueiros. Em alguns casos, os autores fazem questão de produzir vídeos com suas opiniões para que seu tom de voz e sua expressão facial possam ilustrar o que pensam sobre um determinado tema. Afinal, gerar polêmica na Internet pode render um dinheiro extra, independentemente de a sua opinião ser considerada correta ou errada pela maioria. O importante é gerar visitas.

Mas algumas críticas ou opiniões podem gerar mais do que isso. É o caso das três pessoas citadas nas matérias abaixo, do jornal O Globo e da Folha de S. Paulo. Não vou reproduzir ou comentar sobre o conteúdo para poupar espaço. Com certeza todos nós já vimos muitos casos semelhantes na mídia. Esses são recentes.

Veja as matérias na íntegra: Mayara Petruso, Alexandra Wallace e William Melchert-Dinkel.

Qual é o meu público-alvo?
Meu conteúdo (conjunto de imagens, vídeo, áudio e texto) pode ser considerado ofensivo (ilegal de maneira geral)?
Meu conteúdo pode ser considerado apologia à algum crime?
Preciso realmente incluir todos os palavrões que conheço? Posso expressar o que penso de outra forma?
Será que realmente consigo me esconder atrás de um apelido (inclusive das autoridades)? Não seria interessante descobrir o que é um endereço IP ou o que significa Computer Forensics?
Se lido por povos de outra cultura esse mesmo conteúdo pode ser ofensivo?
Neste momento, publicar esta opinião poder ser considerado insensível?
Estou publicando conteúdo protegido por lei de direitos autorais?
Quais informações pessoais eu mesmo já vazei na Internet (foto, e-mail, telefone, locais que frequento com GPS, local de trabalho e estudo, etc.) que podem me identificar no “mundo real”?

Essas são apenas algumas questões que devem ser consideradas antes de fazer um comentário na Internet. Criar uma imagem na Internet pode levar muito tempo e a própria Internet pode se encarregar de destruí-la em minutos. Em alguns casos, os autores também aceitam o risco de se complicar com a justiça. É uma questão de gestão de riscos, afinal, tem muita gente ganhando dinheiro na Internet gerando polêmica.

* Atualização de 26.03.2011:

* Atualização de 30.03.2011:

29.03.2011: Secretaria da Cultura de São Paulo comete gafe no Twitter
22.03.2011: Lançada para iPhone a app Last Night Never Happened, que apaga últimas publicações
15.02.2011: STF dispensa funcionária que pediu aposentadoria de Sarney
07.07.2010: CNN demite editora de longa data por tweet polêmico
11.05.2010: Editor de fotografia da National Geographic é demitido por criticar a Veja no Tweeter
30.03.2010: Tuíte causa demissão de diretor da Locaweb

* Atualização de 01.04.2011:

Deputado federal Marco Feliciano faz coro às declarações de Bolsonaro e ataca negros e homossexuais no Twitter

Alckmin afasta funcionário por vazamento de informações

Marcelo Martins — Tue, 01 Mar 2011 21:14:51 +0000

O Governador de SP, Geraldo Alckmin, afastou nesta terça-feira o sociólogo Tulio Kahn por vazamento de informações sigilosas referentes à estatísticas de violência no Estado. De acordo com a matéria da Folha, o sociólogo vendia serviços de consultoria com informações vetadas “para não alarmar o público”. Entre as informações estaria o tipo de bens levados com maior frequência em assaltos a condomínios de São Paulo e os furtos mais comuns na região de Campinas. Não havia, no entanto, informações sobre ruas ou locais específicos.

O sociólogo nega o vazamento das informações.

A notícia é da Folha de São Paulo e pode ser lida em http://www1.folha.uol.com.br/cotidiano/882683-alckmin-afasta-funcionario-por-venda-de-dados-sigilosos.shtml.

Gmail restaura contas de usuários

Marcelo Martins — Tue, 01 Mar 2011 21:02:58 +0000

O Google informou hoje que recuperou de fitas de backup as mensagens de 40.000 contas de e-mail, ou 0.02% da base (antes o percentual era 0.08). No final do dia 28.02 uma pane apagou milhares de contas e os detalhes sobre o problema podem ser visualizados no blog do Gmail em http://gmailblog.blogspot.com/2011/02/gmail-back-soon-for-everyone.html.

Esta não é a primeira vez que o Gmail sofre de indisponibilidade temporária. Em incidentes ocorridos nos últimos anos, o Gmail ficou indisponível para alguns usuários que não conseguiam acessar o site do serviço. Dessa vez, pequena parte dos usuários foi afetada, recebendo a tela inicial de criação de conta ao tentar fazer logon. Ou seja, a conta estava vazia.

Para reduzir o risco de indisponibilidade, o usuário pode baixar suas mensagens para o computador local. Isso evita apenas que o usuário fique temporariamente sem uma informação necessária (se estiver com acesso ao computador onde as mensagens estão armazenadas), no entanto, dependendo do problema, pode não conseguir enviar e-mails. Qualquer programa de e-mail que suporte conexões criptografadas (SSL) pode ser usado.

Hora do Recreio: Grandma proof

Marcelo Martins — Fri, 26 Feb 2010 15:19:45 +0000

Da série “Mantenha seu laptop longe da sua avó” ou “Testando a Gestão da Continuidade de Negócios com o Lenovo Pizzapad“.