YSTS 10: ainda não sabemos o que fazer com tanta informação
“O Brasil não é um país tropical, isso é uma mentira!”, brincou o russo Dmitry Bestuzhev ao começar sua palestra na décima edição do you sh0t the sheriff; os sistemas de previsão do tempo divergiam no número exato, mas era consenso que fazia menos de 10 graus na manhã de segunda-feira (13) na capital paulista, temperatura agradavelmente familiar para os palestrantes e visitantes dos EUA e da Rússia (“parece nosso outono”, observou Bestuzhev), mas motivo de comentários e de um certo desconforto entre os brasileiros, especialmente enquanto esperavam, por volta das 8 horas da manhã e no lado de fora, a abertura do local do evento.
Com a abertura da casa, o frio cedeu espaço para o “evento de segurança mais badalado do Brasil” . O YSTS 10 fez jus às versões anteriores, combinando palestras de qualidade indiscutível com um clima festivo, propício ao networking (para usar uma das buzzwords que tanto agradam ao Willian Caprino, um dos organizadores do evento) e cerveja — muita cerveja !— de forma orgânica, sem soar artificial ou forçada.
A YSTS beira a farra, e isso é ótimo.
Nós da Io, que gostamos muito de eventos, palestras e networking, mas não dispensamos uma boa farra, estávamos presentes.
As palestras (ou, como estamos juntando dados demais sem saber exatamente o que fazer com eles)
O analista de Inteligência em fraudes da RSA e cofundador do Garoa Hacker Clube Anchises Moraes subiu ao palco às 9 horas para defender a ideia de que vivemos uma “Idade da Pedra na Era da Informação”. Ele parte do princípio que estamos compartilhando informação em excesso, de forma indiscriminada. E isso se torna nocivo na medida em que não conseguimos mais filtrar o que é informação válida do que é falso, ou mesmo inútil.
Atualmente quase a metade da população mundial tem acesso à internet e produz “uma quantidade absurda de informação em tudo o que compartilha”, em redes sociais, blogs, e-mails, e outras mídias. A questão é que toda essa informação, por si só, não tem sentido “Não sabemos como tratar tudo isso, não sabemos o que fazer com isso”, defende.
As perguntas cruciais de Anchises são: 1) “precisamos mesmo compartilhar toda essa informação?” e 2) “as empresas precisam mesmo guardar tudo isso?”, especialmente correndo risco de ver esses dados vazados?
Vivemos, segundo ele, uma paranoia cotidiana alimentada por notícias de que estamos sendo constantemente vigiados por governos e empresas. Essa preocupação alimenta os movimentos que pedem por uma maior regulamentação para proteção de dados e até o “direito de ser esquecido”.
Dmitry Bestuzhev, o segundo palestrante, trouxe dados que justificam tanto a paranoia quanto essas reivindicações.
O diretor de investigação e análise do Kaspersky Lab na América Latina resgatou os vazamentos de Edward Snowden para afirmar: somos todos potenciais vítimas de ciberespionagem. E não importa se nossas comunicações são criptografadas. Ciberespiões contam com formas de infectar o endpoint; os aparelhos que estão nos nossos bolsos.
Trojans implantados em smartphones permitem o controle remoto de diversas funções do aparelhos como câmeras, GPS e até o estado da bateria, além do roubo de informações contidas em e-mails, mensagens de texto e de mensageiros, mesmo as encriptadas, mesmo em aplicativos que usam autenticação de dois fatores. Afinal, estamos falando dos endpoints...
Vítimas de ciberespionagem (Dmitry fala em políticos, diplomatas e empresários em vários locais do mundo) produzem uma quantidade considerável de dados todos os dias em seus smartphones, assim como você e eu. O cenário, segundo ele, tende a se tornar mais complexo com a popularização de outros dispositivos (como smartwatches e similares capazes de armazenar dados sobre deslocamento, batimento cardíaco, etc) e, claro, da IoT.
Como se proteger? Tomando as medidas básicas, que a maioria das pessoas ainda ignora: usar senhas fortes, evitar carregar dispositivos em portas USB, evitar o compartilhamento de informações entre dispositivos, etc.
Mas para o próximo palestrante isso ainda é pouco.
Por um resgate da curiosidade, e uma apropriação da tecnologia
Emmanuel Goldstein é um hacker old school. Desde 1984 ele produz a revista 2600 (“sem qualquer tipo de financiamento”, como ele gosta de destacar) que busca levar a cultura hacker para leigos. O que ele quer é que as pessoas tomem gosto por questionar como as coisas funcionam, e como elas podem fazer coisas diferentes das quais elas foram programadas para fazer.
“As pessoas precisam se apropriar da tecnologia, e não o contrário”. Algo que é cada vez mais difícil em um mundo repleto de tecnologias “proprietárias”, à prova de usuários e à prova de curiosidade. “Até consertar um carro ficou praticamente impossível. Você precisa de uma licença para usar um software complicadíssimo, ficou impossível se apropriar daquilo, ser dono de verdade”.
Na sequência, o jornalista Kyle Drosdick — colaborador da 2600 e uma espécie de pupilo de Goldstein — oferece um contraponto à questão da “apropriação da tecnologia”. Para ele é importante ter uma atitude de quase “ingenuidade” em relação à tecnologia. “Quando eu comecei a me envolver com tecnologia eu não queria ser um especialista em nada específico, eu queria aprender um pouco de tudo”. Kyle defende que o excesso de confiança que a especialidade traz pode ser nocivo para a formação e para a relação com a tecnologia, na medida em que torna as pessoas “seguras demais” e, por isso, sujeitas a falhas.
Esse “excesso de segurança” foi tema central na palestra do pesquisador nas áreas de privacidade e segurança Rodrigo Ruiz, que demonstrou como é possível burlar a segurança de sistemas de criptografia, explorando erros cometidos durante a sua implantação (e sua operação) em empresas.
Quem sabe faz ao vivo
O pesquisador Igor — também conhecido como strcpy — é, nas suas próprias palavras “consultor de segurança da informação por necessidade, hacker por amor ao hacking e subversivo por natureza”. Igor demonstrou na prática como montar uma BTS (Base Transceiver Station) GSM portátil, trabalho seu que já foi pauta aqui na IO.
Ele ainda demonstrou o funcionamento da estação, fazendo e interceptando ligações em mensagens SMS trocadas com a ajuda de um dos participantes do evento.
Festa!
As palestras deram lugar a sorteios de prêmios, regados a muita vodka russa oferecida por um dos patrocinadores (servida por uma legítima representante dos bálcãs) que aumentou o clima de familiaridade entre os visitantes da mãe Rússia, além de cerveja — muita cerveja!
*Todas as fotos by Willian Caprino, exceto quando mencionado
Assine nossa newsletter e receba novidades toda a semana. Siga-nos noFacebook, Twitter e Linkedin.
