Data Privacy Day

Ontem foi o #dataprivacyday um evento internacional promovido todo 28 de janeiro com a intenção de educar as pessoas sobre a privacidade dos dados.

A privacidade de dados tornou-se muito importante depois da explosão das redes sociais e muitos usuários ainda não sabem como se comportar no mundo virtual.
Algumas dicas sobre privacidade de dados podem ser encontradas aqui.

Aliás, ano passado, privacidade de dados foi o tema principal do DISI (Dia Internacional de Segurança em Informática). Inclusive tinha uma camiseta bem maneira:

E aí, o que você compartilha?

May The Force be with You.

Final de semana agitado (parte 2)

No post anterior falamos que o agito no mundo da Segurança da Informação começou já na quinta /* igual às pessoas que vão pra balada na quinta e emendam até domingo */. Mas não parou por aí, na sexta /* já era sábado do outro lado do mundo */ o GitHub, famoso site de sistemas de controle de versão na nuvem /* um dia ainda quero divagar sobre GitHub vs. SVN assim como Emacs vs. Vi (vs. nano) e Linux vs. M$Windows (vs. MacOS)*/ sofreu um ataque man-in-the-middle na China.

Vi no /* twitter do */ GreatFire.org, um site que tenta trazer "transparência" para o Great Firewall of China /* percebeu o trocadilho com a Grande Muralha né? rá! */.

A imagem mostra um certificado autoassinado /* com ou sem hífen? OMG, pq eu fui fazer exatas... */ quando se tentava conectar via HTTPS de um ip chinês.

Detalhe: No mesmo dia 25 o net-security publicou um post falando que o novo sistema de buscas do GitHub expunha senhas e chaves privadas.

Reflexão 1: nano >> vim > emacs?? /* brincadeira... */ 

Reflexão 2: China >> /* seleção de InfoSec do */ resto do mundo??

May The Force be with You.

Final de semana agitado (parte 1)

Essa semana que passou foi agitada no mundo da (in)Segurança da Informação.

Pra começar os trabalhos, na quinta-feira /* dia 24/01 */ uma empresa de consultoria em segurança sediada na Áustria divulgou /* depois de ter avisado o vendor */ uma backdoor que atinge quase todos os produtos da Barracuda Networks.

Pra quem não sabe, a Barracuda é uma empresa que fornece soluções de segurança como: Firewall, Filtro de Conteúdo Web, Filtro de Spam, Load Balancer, SSL VPN, WAF, entre outras coisas. É /*auto*/ reconhecida como uma das grandes do mercado de segurança. Particularmente, tive a experiência de administrar um cluster de Barracuda Spam and Virus Firewall /* aka filtro de spam */ e, apesar dos pesares, ele cumpria seu papel no bloqueio de mensagens indesejadas. Mas essa backdoor derrubou a Barracuda no meu conceito.

A falha consiste de contas de usuários (não documentadas) que podem ser usadas para loggar remotamente via SSH (port 22) nos appliances combinadas com uma regra de iptables mal-feita /* aka preguiça */ que permite o acesso a partir de um range privado e público de IPs /* incluindo IPs que não pertencem à Barracuda */.

Na prova de conceito, os pesquisadores conseguiram ganhar o shell da máquina logando com o usuário "product" e, posteriormente, obtiveram acesso ao banco MySQL /*senha fraca*/.

A Barracuda divulgou a falha, classificando-a como média e lançou uma atualização de correção. A "desculpa" é que as contas /* 'root', 'build', 'shutdown', 'product', 'ca', 'support', 'web_support', 'qa_test' */ eram para facilitar o suporte remoto aos produtos.

Reflexão 1: Ninguém está seguro, nem mesmo com produtos /*caros*/ líderes do mercado.
Reflexão 2: Até que ponto vale sacrificar a segurança em nome do suporte?

May The Force be with You.

Desempregados britânicos serão vigiados pelo governo

Há uns dias atrás o jornal inglês The Telegraph noticiou uma decisão do governo da Inglaterra de monitorar remotamente os desempregados do país.

Aqueles que estiverem sem trabalho deverão cadastrar-se no site da Universal Jobmatch Coalition sob o risco de perder os benefícios oferecidos pelo governo. A proposta do site é analisar os perfis e encontrar ofertas de trabalho compatíveis com o currículo do candidato.

O governo pretende usar "cookies" para monitorar as pesquisas dos desempregados e sugerir vagas de emprego ou mesmo verificar caso eles estejam recusando propostas viáveis.
Os conselheiros da agência de empregos inglesa (Job Centre) poderão impor sansões aos candidatos caso eles recusem uma oferta de emprego sem uma justificativa plausível.

Duncan Smith, secretário do Ministério do Trabalho, disse a seguinte frase: "We have some interesting programmes like mandatory work activity if the [advisers] think they're having trouble getting out of bed, if they're not playing the game.” em uma tradução livre: "Nós temos programas interessantes como estágios obrigatórios se os conselheiros acharam que (os desempregados) estão tendo problemas para levantar da cama". Segundo o secretário, o departamento ainda está pensando em um "cartão bem-estar", um vale que serviria somente para compra de alimentos e produtos essenciais. A ideia é evitar que o dinheiro ganho no trabalho seja usado por viciados para comprarem drogas ou coisas supérfluas.

Mais de 370 mil pessoas já se inscreveram no programa e as buscas por emprego e por empregados chega a 5 milhões por dia.

Isso me leva a pensar em duas questões. A primeira é de cunho social: Será que um programa parecido com esse vingaria no Brasil como uma alternativa a um Bolsa-Qualquer-Coisa da vida?

A segunda questão tem a ver com Segurança da Informação (finalmente!). Até onde vai o direito de um governo, uma instituição ou quem quer que seja de monitorar e, de certa forma, manipular a vida das pessoas (por meio de cookies!!)? Depois que aparecem uns loucos querendo explodir o Parlamento, ninguém entende o por quê...

Fica a reflexão. May The Force be with You.