BrainSniffer

GTS-13, YSTS 3.0, FIRST Conference Kyoto e mais

noreply@blogger.com (Ronaldo) — Sun, 09 Aug 2009 03:52:41 PDT

Até que enfim escrevendo de novo no blog!

Twitter está sabotando meu blog. Muitas das idéias de posts morrem com um twit de 140 caracteres.

Resumo do que aconteceu de interessante recentemente:

Comecei a fazer MBA na FGV. MBA em Tecnologia da Informação Aplicada à Gestão Estratégica de Negócios (TIGEN). Isto mesmo, podem dar risada, o mesmo Ronaldo que zombava dos corporates :-) A idéia é ser um gerente melhor (do que alguns que tive na minha carreira) quando isto acontecer e ter conhecimentos para abrir um empresa com competência, sem aventuras.
Mais uma vez palestrei pelo CAIS no GTS-13, um evento do CGI.br. A primeira vez foi no GTS-9. O título foi "Um ano do Catálogo de Fraudes RNP - Números, tendências e próximos passos". O assunto da palestra é o Catálogo de Fraudes RNP. Slides disponíveis no site do evento;
Mais uma vez tive o privilégio de ir ao YSTS, passaporte VIP. Mais uma vez uma conferência honesta, bom conteúdo, boa experiência. Ainda é o melhor do Brasil. Não sei se vale escrever sobre ela com quase 2 meses de atraso, outras pessoas já devem ter escrito. 3 badges YSTS na coleção, 2 deles VIP, não pude comparecer apenas à YSTS 1.0;
Fui na 21st FIRST Conference em Kyoto, Japão. Excelente conferência, ótima oportunidade de networking com os principais CSIRTs do mundo;
Caminhei até o topo do Monte Fuji. 17km ida e volta a partir da base 5, 14 horas de caminhada;
Tive dias de Velozes e Furiosos com meus amigos japoneses.
Mudança. Ainda em Campinas/SP.

Acho que foi isso que aconteceu de notável nos últimos meses. Estou voltando ao blog.

Tirando o máximo dos seus gadgets

noreply@blogger.com (Ivo Peixinho) — Sun, 12 Jul 2009 13:19:05 PDT

Tem um tempinho que não posto nada (desculpe Ronaldo, muitos projetos pessoais :). Resolvi postar hoje pois tive uma experiência interessante e queria compartilhar. Eu sempre gostei de ter "facilidades" no bolso (celular, mp3, GPS, etc.), mas sempre achei ruim ter que carregar muitas coisas. Nessa linha, eu tenho ficado de olho nos lançamentos na área de celulares, pois meu sonho é ter um aparelho só para:

1- Aquele acesso à Internet rapidinho, sem precisar buscar laptop, tirar do modo de espera, etc.
2- Ter um GPS à mão, com mapas offline e comandos de voz.
3- Tocar música em casa, no carro, na rua, etc.
4- Um Skype móvel, para cortar custos com celular.
5- Acesso rápido em qualquer lugar (Wi-fi e 3G).

Como sou fã de ipod (tenho umas caixinhas JBL em casa e o som do carro com entrada pra ipod), minha escolha natural seria o iPhone, especialmente com o lançamento próximo do TomTom pra ele. Mas como o preço ainda está alto (não quero me "prender" em uma operadora), continuo esperando a oportunidade certa :)

Enquanto isso... recebi esses dias um celular com linha da empresa que trabalho (ai meu deus! mais um trambolho...), um nokia 6120 classic. Quem não o conhece, pode vê-lo aqui. Ele tem uma cara de celular basicão, exceto pelas duas câmeras e o fato de ser 3G (na verdade ele foi um dos primeiros celular 3G que as operadoras lançaram). Hoje você consegue ele por míseros 15 reais em alguns planos.

Bom, vamos ao que interessa... ontem tava com um tempo livre e resolvi investir no aparelho. Já tinha instalado um cliente twitter, gmail, google maps e o eBuddy para as necessidades básicas, e já tinha usado ele pra acessar a Internet via bluetooth uma ou duas vezes. Logo de cara vi que a Nokia tinha um programa bem espertinho para gerenciar o celular, o Nokia PC Suite. Em poucos minutos consegui conectar os meus 2 celulares via bluetooth, sincronizar meus contatos do outlook do trabalho (eu sincronizo com o google calendar usando o plugin que a google fornece, para acessar de qualquer lugar), fazer backup, gerenciar contatos, fotos, SMS, etc.

Junto com o PC Suite, descobri um software de mapas (Nokia Maps, ou Ovi Maps na versão mais nova). Nele consegui baixar os mapas do Brasil (de graça). Infelizmente na hora de interligar ele com meu GPS Bluetooth eu descobri que tinha que pagar para ter as funcionalidades de direção com o GPS. 38 reais depois eu estava usando ele (infelizmente por 3 meses, espero que a Nokia reduza os preços ou mude a política). Fiz um teste dirigindo aqui em Brasília, e achei ele quase tão funcional quanto meu TomTom que roda no iPAQ.

Descobri ainda um gerenciador de músicas, estilo iTunes. Ele veio com um cartão de 512mb e já estou sentindo falta um cartão maior :). Coloquei umas mp3 da gravação da banda para ouvir. Decobri ainda um atualizador do firmware. Atualizei do 3.68 para o 6.1.

Voltando pro carro, resolvi testar tudo de uma vez :) Já tinha ligado o telefone no viva-voz bluetooth do rádio do carro, mas dessa vez resolvi judiar do coitado... conectei no viva-voz, conectei no audio bluetooth do carro (A2DP), coloquei ele pra tocar uma lista de mp3 em background, liguei o software de mapas, conectei com o GPS bluetooth e saí dirigindo (achando que o celular ia derreter...). Mas não é que ele deu conta? Tocou as músicas via bluetooth no carro, fez o roteamento via GPS (inclusive as indicações de voz saem pelos auto-falantes do carro) e ainda consegui atender uma ligação com tudo isso funcionando!

Depois disso, voltei nas especificações do aparelho, e vi que ele não é tão bobo assim:

. Processador de 369 MHz
. Symbian 9.2 S60 3.1
. Suporte a SHDC (até 4Gb)

Bom, é isso :). O recado que deixo é: não subestime seus gadgets, eles podem fazer muito mais por você do que se imagina.

Ah sim! Já ia esquecendo... hoje instalei o fring e consegui fazer chamadas skype através dele.

FAQ Ronaldo: 2. Por que você instalou anti-vírus no celular?

noreply@blogger.com (Ronaldo) — Mon, 18 May 2009 19:00:36 PDT

Essa é uma boa pergunta mesmo. Por causa de um SMS bizarro como este:

Data: 24/04
De: +558587141153

WEB:EXPLOSAO DE PREMIO 2009 (SBT),seu aparelho foi o 5 ganhador de 1FIAT PUNTO OKM.lig gratis de 1fixo, vc tem menos de 24hrs! P/0318/596/498/135/SBT!!,

Podem me chamar de paranóico, fiquem à vontade, mas acho que este será o próximo grande problema. E não estou falando de ataques teóricos e em condições ideais por Bluetooth, mas o bom e velho SMS / Torpedo.

Os anti-vírus e filtros de Spam de e-mail já estão bem razoáveis e cada vez mais difíceis de burlar. Fraudadores vivem de brechas e buscam maneiras de explorar novas maneiras de mandar texto para as pessoas. Foi assim com e-mail, comentários de blog, Orkut, Twitter.

SMS tem ainda uma facilidade: "warsmsing", wardialing de SMS. Prefixos de área são previsíveis, prefixos de operadora são previsíveis. Além disso as pessoas fornecem seu número de celular sem imaginar que ele será usado para SMS. Recentemente comecei a receber comunicados de indisponibilidade no Net Virtua por SMS. Muito bonito, mas não pedi.

Se você tem um celular convencional então sinto muito, não há muito o que fazer. Se você tem um smartphone você pode instalar um anti-vírus que, além de obviamente proteger contra vírus, oferece filtro de Spam (por whitelist). Você ainda tem recursos interessantes, ativados por comandos enviados por SMS. Bloqueio do aparelho, limpeza total de dados do usuário, notificação de outro celular do número do SIM card da pessoa que roubou seu aparelho. Coisa de Missão Impossível, para paranóico nenhum botar defeito.

Minhas sugestões são F-Secure Mobile Security e Kaspersky Anti-Virus Mobile. Gostei mais do funcionamento do Kaspersky no Nokia e71 (Symbian S60), mas ambos os fornecedores tem grande experiência em segurança mobile.

Encerramento do Calendar de Eventos

noreply@blogger.com (Ronaldo) — Tue, 05 May 2009 06:29:13 PDT

Encerrei o calendário de conferências de segurança e conferências hacker que mantinha desde 2006. As razões são várias, não vale a pena entrar em detalhes. O calendário estava disponível em:

Agradeço a todos que colaboraram nestes 3 anos!

FAQ Ronaldo: 1. Por que você comprou um Mac?

noreply@blogger.com (Ronaldo) — Mon, 04 May 2009 20:25:56 PDT

Por que deu vontade.

Comprei um MacBook em fevereiro. Sim, aquela loja com entrada em forma de cubo de Nova York me seduziu. Mas minhas razões são outras.

Nos últimos 10 anos tenho tido períodos com experiências radicais, como me forçar a usar somente Linux como desktop em casa por longos períodos. Nos últimos 2 anos tive somente Linux em um laptop Toshiba, mas isto aconteceu porque não queria usar o Windows Vista que acompanhou o produto e me cansei de procurar drivers para Windows XP (driver SATA para o boot já foi difícil). Com Ubuntu tudo simplesmente funcionava (com exceção da interface 802.11 como sempre).

Linux é legal, Ubuntu é um Linux superior, mas me cansei da vida difícil. Linux tem conceitos incríveis, como os dados de aplicação em diretórios do seu home (aplicações prontas para usar depois de uma reinstalação). Me cansei de:

OpenOffice. Ainda não confio nele para editar um arquivo MS Office. Provavelmente nunca vá confiar.
Som. Inúmeros problemas com som, desde microfone em aplicações que usam Adobe Flash até confusões entre a interface de som embutida e a USB de um fone de ouvido USB. Ainda me sinto um pouco como na época do DOS4GW e configurações de Sound Blaster para jogos no DOS. Mais de 10 anos e som no Linux ainda não é perfeito. Cansei de ser o cara da reunião por Adobe Connect que interrompe tudo para mudar de desktop porque o Linux + ALSA + Adobe Flash não se entendem.
Compilar o VMware toda vez que é lançada uma versão nova.
Outros atrasos de vida.

E como já sou um power user (não apenas no tipo de usuário do sistema) de Windows e Linux resolvi experimentar algo novo, que me fizesse perder ainda menos tempo com bobagens. Por isso Mac. Outras razões para Mac:

Hardware previsível, kernel otimizado direto da caixa. Isto resulta em coisas interessantes como autonomia incrível de bateria e previsão realista de duração da mesma bateria;
Sistema Operacional com interação bem projetada e ao mesmo tempo leve;
Acabamento superior de hardware. Faz meu antigo Toshiba (que nem era tão antigo assim) parecer um computador feito em uma feira de artesanato;
O Standby realmente funciona e sem drenar a bateria;
VMware Fusion é realmente muito interessante, especialmente a chamada de aplicações dentro de uma VM (recurso Unity);
Dissipação de calor melhor do que a de qualquer laptop que tive.

Não vou desapontá-los e dizer que comprei Mac porque o Mac OS X é mais seguro. Isto não é verdade, é apenas uma questão de estatística. Costumo dizer que o SO mais seguro é aquele que você domina bem. No momento ainda domino mais Windows e Linux.

Tomei algumas medidas básicas que sempre tomo em qualquer dispositivo. Desativar serviços que não utilizo é uma das primeiras, especialmente o mDNSResponder que estava me incomodando.

Como tudo na vida, o encanto total termina rápido:

Não há saída VGA, é necessário comprar um adaptador.
Apenas duas portas USB, e com uma distância muito pequena entre elas. Esperava algo mais inteligente da Apple.
O layout do teclado tem sido inconveniente para VMware Fusion, com uma VM Windows XP. Ainda não resolvi este problema.
Não há porta Firewire.

Não vou me transformar num Mactard, da mesma forma como não era um Freetard usando Linux.

Próxima pergunta do FAQ Ronaldo: Como você arranja tanto tempo para ler notícias, saber das novidades?

Quem pergunta isto nas entrelinhas está dizendo "você é um desocupado" ou "sou ocupado demais para isto". E eu digo que você não sabe se informar. Eu não gasto muito tempo, simplesmente sou eficaz na minha "ronda de notícias" e na construção das minhas fontes de notícias. Vou falar sobre isto no próximo post do FAQ.

Um pouco de terror mobile

noreply@blogger.com (Ronaldo) — Sun, 19 Apr 2009 17:10:13 PDT

Já faz alguns meses que não vejo nada de interessante sobre segurança em Wi-Fi. Os problemas continuam existindo, muitas ferramentas, somente Kismet continua firme, forte e popular. Hora de mudar.

Acho que agora encontrei um assunto mais interessante, segurança em celulares.

Antes de comprar um smartphone minha visão de segurança em celular era apagar o histórico de chamadas regularmente, apagar os SMS enviados e recebidos, definir uma senha para o SIM, backup periódico, não manter fotos armazenadas por mais do que algumas horas, não salvar senhas nas poucas aplicações web que utilizava, não associar grau de parentesco aos contatos do celular. Resumindo, eu tentava apenas redizir o impacto da perda (sou muito distraído) ou roubo do celular. Com um smartphone as coisas são bem diferentes.

Comprei um Nokia e71 recentemente. Uma das primeiras aplicações que instalei foi o Kaspersky Mobile. Muito interessante, daqueles softwares que merecem ser comprados. Atendeu a algumas das minhas preocupações paranóicas:

bloqueio do celular pelo envio de um SMS com código;
limpeza total de dados de usuário (também por SMS);
recurso que aponta quem roubou seu celular. Você define dois números de celular que receberão um SMS avisando qual o número do SIM inserido.

Fiz várias outras coisas interessantes no e71, devo escrever sobre isto em breve.

O e71 tem o Symbian s60 como sistema operacional. Depois de anos no mercado achei que este SO tinha uma boa participação no mercado, mas me enganei.

Nesta pesquisa divulgada em março de 2009 pela Net Applications me senti usando o Linux dos smartphones. Menos bonito, com mais aplicações open source, mais "hackeável" e com baixo market share também. O iPhone é o Windows dos smartphones, por outro lado.

Sendo o Windows dos smartphones imagino que também será o Windows das vulnerabilidades pra celular. Li as principais apresentações da CanSecWest sobre mobile security e conclui que o SO mais preparado para problemas de segurança é Android, do Google.

(não sei você mas eu já me cansei desses títulos com "(in) security")

Os slides das outras apresentações da CanSecWest estão disponíveis aqui.

Concluindo o post de terror sobre smartphones, uma descoberta sobre o comportamento de alguns celulares Nokia.

Posts Dia da Mentira BrainSniffer

noreply@blogger.com (Ronaldo) — Thu, 02 Apr 2009 16:42:23 PDT

Não estava inspirado para posts de 1 de abril neste ano, mas estava em alguns anos anteriores:

Por favor não caia na brincadeira da passagem da Azul por R$100,00 ida e R$1,00 volta.

Por favor não caia na brincadeira do Google:

Google Gmail Autopilot by CADIE

Bom Dia da Mentira!

Atualização 02-abr-2009: mais alguns.

Tudo sobre o Conficker

noreply@blogger.com (Ronaldo) — Wed, 01 Apr 2009 07:20:43 PDT

Faltam 2 dias! Oh não, salvem suas vidas!

Para saber praticamente tudo sobre o worm Conficker (Downadup) consulte a página do Conficker Working Group.

Conficker Working Group

A F-Secure divulgou recentemente um excelente (e engraçado) resumo sobre o Conficker em seu blog.

Questions and Answers: Conficker and April 1st (F-Secure Blog 26/03/2009)

O que vai acontecer em 1 de abril? Meu palpite: nada de especial.

Não acredite nas previsões da Capricho Informática (a.k.a. INFO Exame), obtenha informações direto de quem realmente sabe o que está falando.

Social Security Awards

noreply@blogger.com (Ronaldo) — Mon, 16 Mar 2009 17:44:44 PDT

Começou a seleção de indicados para o Social Security Awards.

Introducing the first annual Social Security Awards!

Held in conjunction with the Security Bloggers Meet-Up at RSA Conference 2009, the Social Security Awards give readers a chance to recognize the best, brightest, and most entertaining bloggers and podcasters in the field.

Estas são as categorias:

Best Security Podcast
Best Technical Security Blog
Best Corporate Security Blog
Best Non-Technical Security Blog
Most Entertaining Security Blog

Ainda não há categoria "Melhor blog estrangeiro" ou "Melhor podcast estrangeiro" para o Brasil perder sempre, como no Oscar ;-)

As indicações podem ser feitas até 31 de março.

Japanese Homeland Security Advisory System

noreply@blogger.com (Ronaldo) — Sun, 15 Mar 2009 16:03:08 PDT

Você pode até ser um poser que vai na DEFCON somente para contar para os amigos que sabe tudo sobre os hackers underground, mas deve saber pelo menos que esta palavra vem de uma expressão das forças armadas dos EUA, DEFense readiness CONdition.

O nível máximo é Defcon 1, o máximo atingido até hoje foi Defcon 2, em 1962, na crise de mísseis de Cuba. Atualmente o público parece ter acesso apenas ao que a DHS classifica. No momento os EUA estão em ELEVADO, "risco significativo de ataques terroristas".

DEFCON foi assunto de vários filmes. As pessoas gostam de ter alguém classificando o estado atual das ameaças por elas. Os profissionais de redes, inclusive. O SANS Institute, que gosta de posar de Ministério da Defesa da Internet com o Internet Storm Center, tem seu Defcon também, o Infocon. O nível máximo atingido foi Laranja, com o worm Code Red (2001).

Mas vocês já devem saber sobre DEFCON, Defcon e Infocon. Vou apresentá-los a dois importantíssimos sistemas: Vila Sésamo e Japonês.

Atualmente o status está entre Ernie e Bert, a coisa está feia. Você pode incluir no seu site. (link)

Não consegui encontrar o atual estado de alarme do Japão. De qualquer forma, moro longe do mar. Quando Godzilla chegar aqui já terei migrado para Brasília. (link, link)

Como transformar usuários em piratas

noreply@blogger.com (Ronaldo) — Sun, 08 Mar 2009 05:40:46 PDT

Você já deve ter escutado aquela justificativa padrão para a pirataria no Brasil, não? "Se um CD custasse R$20 eu compraria!", ou "Se o Windows custasse R$100 eu compraria!". Eu concordo que preços mais baixos, iTunes disponível para o Brasil e outras coisas seriam extremamente benéficas.

Discordo que pirataria seja uma forma de protesto justificado nos preços altos e nos lucros que "ELES" (Teoria da Conspiração, Mel Gibson) tem. Não serei hipócrita dizendo que nunca usei software pirata, que alguns chamam de "versão prospecção tecnológica". Já usei e tenho me esforçado para comprar software ultimamente. Você pode não ter orgulho de dizer isto mas deve usar também, no PC de sua mãe, o anti-vírus da família, etc.

Deixando de lado o conjunto de valores frágil e a falta de ética do brasileiro médio, tenho que concordar com pelo menos uma coisa. A vida digital está ficando cada vez mais irritante.

Leia este post depois que terminar meu texto:

How To Turn Customers Into Pirates (TorrentFreak 28/02/2009)

Resumindo, é a história de um usuário que precisou tirar a foto do CD de instalação para provar que realmente havia comprado o software.

A vida do consumidor está cada vez mais complicada, especialmente a vida do brasileiro pirata médio. Culpa sua, em parte. Ao comprar um GPS TomTom no exterior, por exemplo, tenta burlar os preços abusivos do Brasil (R$2.100 vs. R$400). Somente o mapa brasileiro (que tem apenas 100MB comparado com o de 2G dos Estados Unidos) custa $129 USD.

Ao comprar seu Nintendo Wii ou Microsoft Xbox 360 desbloqueia seu aparelho (e fica de fora de importantes updates de firmware) para poder usar jogos piratas.

Precisava desbloquear seu celular para ter o direito de usar o SIM de outra operadora. Desbloqueia seu iPhone comprado no exterior para poder usá-lo e não se submeter aos preços e planos abusivos das operadoras brasileiras.

A vida do brasileiro pirata também está cada vez mais difícil no mundo Microsoft Windows. A cada versão os controles de pirataria estão cada vez mais trabalhosos de se contornar. O usuário por tabela "livra-se" também de importantes e frequentes atualizações de segurança mensais.

Sua vida provavelmente vai ficar ainda mais complexa, aguarde.

A caminho da ShmooCon 2009

noreply@blogger.com (Ronaldo) — Mon, 02 Feb 2009 04:58:14 PST

ShmooCon não é uma conferência de Shmoos.

Para uma conferência de seres que não existem procure a SantaCon.

ShmooCon, uma confêrencia hacker organizada pelo The Shmoo Group, é uma conferência que acontece desde 2005 em Washington, Estados Unidos. É considerada a melhor con do Leste dos EUA. ToorCon é considerada a melhor con do Oeste dos EUA. Defcon é apenas um grande encontro de networking hacker (no sentido da revista Você S.A. quero dizer), em uma cidade legal, em pleno verão do hemisfério norte. A ShmooCon, assim como a CCC, acontece em uma época de razoável frio (zero grau Celsius em média). Não há muito o que fazer além de imersão total no evento.

Vai ser minha primeira ShmooCon. Vou participar do evento e do ShmooCon Labs. Estarei em férias, claro. Está cada vez mais difícil convencer gerências sobre o valor deste tipo de conferência.

Labs takes the experience of rapidly building out a production network for 1500 conference attendees to the next level by opening it up the public. We encourage vendors to bring their products and attendees to bring their willingness to geek out. As a particpant you will get hands on configuring, troubleshooting, and maintaining commercial and open source tools alike. As a vendor you will get your product exposed to a trial by fire interoperability fest, get feedback from attendees, and see how your product fairs once unleashed to the Shmoocon masses.

Estou esperando um pouco de aventura, uma rede hostil como Luiz Eduardo costuma dizer. A maioria do público não é composta de posers, como outros eventos.

Todos os anos os participantes do evento e o própria pessoal da organização lançam vídeos de propaganda da ShmooCon. Veja alguns dos melhores.

PSKL ShmooCon 2009 Commercial from Jeremy Powlus on Vimeo.

PSKL Shmoocon 2008 Commercial from Jeremy Powlus on Vimeo.

PSKL Shmoocon 2007 Commercial from Jeremy Powlus on Vimeo.

uCon 2009 Recife

noreply@blogger.com (Ronaldo) — Tue, 27 Jan 2009 18:15:48 PST

Vem aí a segunda edição da conferência µCon ("Micro Con"), a conferência hacker / de segurança do nordeste. O evento acontecerá em Recife/PE, em 28 de fevereiro.

Site totalmente reformulado, patrocínio da Immunity e palestrantes muito interessantes são alguns dos destaques desta conferência. O local, um bar / restaurante, lembra o formato da YSTS, um formato que definitivamente funciona bem por aqui.

O evento não tem apenas "cara" de conferência internacional, uma página inglês. A organização realmente está se esforçando para organizar um evento world class. Júlio Fort, um dos organizadores, tem uma boa visão do mercado de segurança e do que acontece em hacking e não deve decepcionar na seleção do "elenco" de astros dos palcos. Ele já adiantou alguns dos palestrantes que estão sendo negociados e realmente são bem interessantes.

O evento promete ser uma opção ao YSTS para quem mora no nordeste. Palestrantes internacionais (que não sejam o Kevin Mitnick de sempre), ambiente informal, camisetas realmente planejadas (e não apenas uma camiseta preta com logo do evento na frente e logos de patrocinadores atrás), crachá digno de ser guardado (e não seu nome escrito à mão num papel com alfinete atrás), todo o pacote típico de Con.

Polêmica

Aparentemente a µCon está disposta a causar polêmica pré-conferência, aos moldes de DEFCON, Black Hat e tantas outras conferências. O tema da vez é a quebra do mecanismo de segurança G-Buster, presente nos websites de vários bancos brasileiros.

O interessante da proposta de desafio é o formato, que promove divulgação responsável da vulnerabilidade. O fornecedor do produto deve ser informado em detalhes sobre a vulnerabilidade de forma que uma correção possa ser desenvolvida.

Se entendi bem a proposta o interessado será desclassificado se não seguir estas regras mínimas de divulgação responsável da vulnerabilidade.

Vamos ver como será. Eu acho que no mundo atual de venda de exploits uma vulnerabilidade deste calibre não será doada assim, de graça.

Sorteio de material do SANS

noreply@blogger.com (Ronaldo) — Fri, 23 Jan 2009 15:57:35 PST

Vou sortear material didático do SANS Institute de meu acervo particular. O material é de 2007 e garanto que é bem interessante.

Os interessados devem fazer um comentário neste post. Lembre-se de informar seu e-mail. Ele não aparece quando o comentário é publicado e é muito importante no caso de você ser o vencedor.

O sorteio será feito pelo serviço RANDOM.ORG. O sorteado irá pagar apenas pelo custo do SEDEX. Vou considerar comentários recebidos até 18:00 de 23 de janeiro de 2008, horário de Brasília em Horário de Verão (UTC -0200).

Resultado

Os nomes foram colocados na sequência de comentários.

Rodrigo Montoro
Fabiano Anaides
Emanuel
Rafael
Gustavo Cardoso
natalia kiyomi
Guerrilha
leomachado
Mauro Risonho de Paula Assumpção
Carlos ASM
rafaelcosta1984@gmail.com
Henrique Ribeiro
Bruno Gonçalves de Oliveira
Kell

O sorteado foi: Guerrilha

Carreira de segurança em alta

noreply@blogger.com (Ronaldo) — Fri, 16 Jan 2009 15:16:06 PST

Dois artigos interessantes sobre carreira em segurança.

Um deles é uma lista de empregos legais na área de segurança de TI, compilada pelo SANS Institute.

Information security crime investigator/forensics expert
System, network and/or Web penetration tester
Forensics analyst
(tie). Incident response, incident handler
(tie). Security architect
Vulnerability researcher
(tie). Network security engineer
(tie).Security analyst
(tie).Sworn law enforcement officer specializing in information security crime
(tie). CISO/ISO or director of security
(tie). Application penetration tester

A matéria completa está disponível em:

The coolest IT security jobs (Government Computer News)

O outro artigo interessante, típico de final de ano, é uma lista dos 9 conhecimentos mais quentes para 2009. Segurança sempre está nas listas, embora seja a primeira cortada nos orçamentos.

Programming/application development
Help desk/technical support
Project management
Networking
Business intelligence
Security
Web 2.0
Data center
Telecommunications

Lista dispensável, não?

Matéria completa disponível em:

The 9 hottest skills for '09 (Computerworld Management)

Boneco Wilson

noreply@blogger.com (Ronaldo) — Mon, 12 Jan 2009 03:07:21 PST

Concepção errada de segurança. Segurança safety no caso.

Este é o Boneco Wilson, uma idéia do empreendedor Juca Amaral para inibir a ação de assaltantes e sequestradores. O filme "O Náufrago" inspirou o nome deste produto.

Para mim isto é atacar o problema errado. Mas é o tipo de coisa que conforta as pessoas no Brasil de hoje, principalmente mulheres.

Películas nos vidros

INSULFILM (R) é outro recurso se "segurança" muito utilizado. Bem, na verdade é uma desculpa para um acessório decorativo mas não vou entrar nesta discussão.

O fato é que hoje os níveis de transparência legais, de acordo com a última resolução do CONTRAN (254/2007), é bem diferente do que se vê nas ruas.

28% no vidro traseiro
28% nos vidros laterais traseiros
70% nos vidros laterais dianteiros
75% no para-brisas

Tenho certeza de que você não vê muitos carros com a transparência dos vidros dianteiros diferente da transparência dos vidros traseiros. Não fica muito bonito.

Tenho certeza de que você vê muitos carros com para-brisas tão escuros que não é possível ver o motorista. Isto é legal, e permite que o motorista transforme o carro em um motel para "refeições rápidas".

Um pouco sobre vidros automotivos

A maioria dos carros já possui vidros não totalmente transparentes. São os tais vidros verdes.

Pelo que levantei a transparência dos vidros verdes é de 95%. Outro termo interessante - este sim relacionado com segurança - é temperado. Na prática isto significa que numa colisão o vidro se estilhaça em pequenos cubos que você já deve ter visto.

Você já viu um vidro com película quebrado? Dependendo da qualidade do material esta quebra não acontece como deveria, o que pode dificultar a quebra do vidro em uma situação de emergência.

Alguns fabricantes de películas anunciam ainda que seus produtos auxiliam na economia de combustível porque reduzem a temperatura interna, o que facilita o trabalho do ar condicionado. O que eles não informam é que grande parte dos vidros verdes já tem proteção contra raios UV. O que auxilia na economia de combustível é:

ler o manual do seu carro.
ar-condicionado desligado em velocidades até 80Km/h. Até esta velocidade a aerodinâmica não é muito afetada pelo fato dos vidros abertos.
vidros fechados e ar ligado a partir de 80Km/h.

Insegurança por obscuridade

Alguns efeitos colaterais da película exagerada:

Em um sequestro relâmpago a película trabalha contra você.
Em algumas situações o motorista precisa enxergar através dos vidros de outros carros.
Pedir orientações para o motorista do lado, nem pensar. Compre um GPS.
A película escura ajuda o furto de coisas dentro do carro. Você facilita também a vida do criminoso, que trabalha tranquilo sem ser visto.
O vidro temperado não se quebra como deveria se quebrar numa situação de tragédia - colisão, imersão em água. Isto pode impedi-lo de sair do carro dependendo da película.
O vidro escurecido em exagero não permite que policiais enxerguem os ocupantes do carro. Isto leva a situações trágicas como a que aconteceu com uma família do Rio de Janeiro. Uma criança foi baleada. Os noticiários parecem ter feito "vista grossa" sobre a presença de película nos vidros.

Em matéria de vidros segurança está em blindagem. Ponto. Película é privacidade e um grande mal entendido, desculpa esfarrapada para um acessório decorativo. O que inibe ladrões é... menos ladrões!

Mais informações sobre Wilson:

Previna-se contra assaltos (Revista Carreira&Negócios)

Vacina universal contra hacker

noreply@blogger.com (Ronaldo) — Fri, 09 Jan 2009 07:51:58 PST

Coisas que chegam na minha caixa postal. Quem encontrou esta pérola foi meu amigo Jacomo.

Só digo uma coisa: "Tem boi na linha!"

Date: Fri, 9 Jan 2009 08:36:58 -0200
From: zerei
Subject: Aprenda a não ter medo de HACKER

VACINA UNIVERSAL CONTRA HACKER - uma verdadeira camisinha.

Se você pensa que comprando as barreiras eletrônicas de firewall/antivirus estará protegido contra invasões em seu computador, está enganado! Cuide-se! Sempre vai haver um vírus novo que os antivírus não (conheçam) e que vai entrar em seu computador.

O vírus entra de qualquer forma e os seus efeitos são os mais variados possíveis. Pode gerar um monte de bichinhos na tela se seu computador, pode apagar o seu HD, pode ver a sua lista de e-mail e se auto-enviar para seus amigos.

O mais danoso, porém, é o TROJAN que rouba a sua senha de acesso bancário para enviar a um HACKER que está em qualquer lugar do mundo aguardando essa informação para alegremente usar o seu dinheirinho. Felizmente, temos os HACKER (do bem) trabalhando para a Polícia que rastreiam o HACKER (SAFADO) e na prática a alegria deles dura muito pouco. Mas sempre conseguem e você é que leva a pior.

Mas não necessita passar por um STRESS desses. Vou ensinar um BLOQUEIO UNIVERSAL que permite travar o programa do HACKER que está instalado em seu computador para roubar as suas senhas bancárias. É muito simples:

Digamos que você acesse a página do banco (X) para fazer movimentação bancária mas na verdade você está acessando a página do HACKER (que simula a página do banco X). Toda página bancária tem duas senhas (uma de acesso à internet e a outra é a senha do cartão). Vamos exemplificar apenas a senha da internet. INFORME SEMPRE A SENHA ERRADA, porque se você estiver conectado ao banco X o programa do banco X informa que a sua senha está incorreta e você sabe que está ligado ao Banco X e pode prosseguir. Se você estiver conectado ao HACKER, o programa TROJAN vai aceitar a sua senha ERRADA (como verdadeira) e envia para o HACKER. Logo em seguida manda uma mensagem que o sistema não está ativo e pede para você tentar mais tarde. Lógico que o programa do HACKER não pode acessar as informações do banco X e só tem interesse na senha que enviou para o HACKER. Se isso acontecer com você, EXISTE UM TROJAN em sua máquina que na primeira distração enviará a sua senha bancária para o maldito HACKER que vai roubar muito dinheiro seu. Cuidado para não bloquear o acesso ao banco! Há bancos que deixam você errar a senha apenas algumas vezes.

Calma, respire fundo, peça ajuda a um amigo mais esperto e remova o TROJAN e prossiga a sua vida normal. O HACKER roubou uma senha errada (se você seguiu essas instruções).

Há outros cuidados: sempre minimize a tela da página do banco. Se o teclado virtual continuar no mesmo lugar, TEM BOI NA LINHA. Se o teclado virtual minimizar também, você estará ligado ao banco.

A rotina completa (essa é só uma primeira idéia) você vai encontrar no meu livro que lhe ensina a LEVAR VANTAGEM.

Aguardo a sua visita em meu site (acima) e espero ter sido útil a (você). Uma mão lava a outra, repasse esse e-mail para a sua lista de amigos. Vamos nos unir contra essa turma de espertos... Insisto que visite o meu site para ler de graça pela internet o LIVRO DAS VANTAGENS. Com essa leitura você ficará bem mais esperto do que já é...

Aceite um abraço do
Zé Rei

Mendigo Campus Party 2009

noreply@blogger.com (Ronaldo) — Thu, 08 Jan 2009 01:25:19 PST

Um ótimo 2009 para vocês, leitores e leitoras do blog! Espero que as festas tenham sido boas e que você tenha sido realista e ao mesmo tempo ousado com suas resoluções de ano novo.

É uma vergonha, mas o primeiro post de 2009 é na verdade begging.

Algum leitor teria um convite da Campus Party sobrando? Se tiver um convite e puder cedê-lo para mim por favor escreva um comentário neste post.

A Campus Party não é exatamente um evento de segurança. Segurança está lá, mas de maneira confusa. Pra variar, há algumas poucas atividades de segurança mas elas estão na trilha "Software Livre", o que acho ridículo em um evento que se auto-intitula "o maior evento de inovação tecnológica e entretenimento eletrônico em rede do mundo". Claro, há uma trilha dedicada a "case modding".

Mais uma vez não deram muita bola para segurança, como na edição 2007, na qual a rede foi sequestrada pelo polêmico Vinícius K-Max (entrevista BrainSniffer).

Enfim, é um dos grandes eventos do ano e gostaria de estar lá.

C/C++ para Compilador Adobe Flash: MEDO!

noreply@blogger.com (Ronaldo) — Thu, 18 Dec 2008 07:03:26 PST

Mais uma destas notícias que te deixa com medo: a Adobe lançou uma versão beta do Alchemy, um projeto de pesquisa Adobe Labs que permite que código C e C++ seja compilado para ser executado em ActionScript Virtual Machine (AVM2).

Por que medo? Porque Flash é mais uma destas tecnologias que começam a fazer mais do que deveriam. Complexidade favorece vulnerabilidades de segurança.

Quando Flash surgiu, como Macromedia Flash, era apenas um recurso mais avançado para webdesign. Se você desenvolvia sites em 1999 você era praticamente obrigado a usar esta tecnologia porque as pessoas queriam multimídia em suas páginas. Depois se seguiu uma era de exageros, páginas com Flash enormes, que levavam mais tempo para iniciar que o próprio Windows. De qualquer forma, o papel de Flash era no design e entretenimento, as pessoas poderiam simplesmente não usar. Hoje isto não é possível.

YouTube não foi apenas uma revolução no vídeo na Internet ao resolver o problema dos tocadores de vídeos, dos codecs, problemas que tornavam a experiência de ver vídeos pela Internet nada agradável para usuários finais. YouTube e a série de sites que copiaram seu conceito trouxeram um problema de infra-estrutura de redes, o consumo de banda aumentou, especialmente tráfego Web (TCP/80) por conta destas aplicações Web com multimídia.

Flash sem dúvida foi uma revolução na Internet, mas entrou para um grupo de utilitários essenciais, que qualquer usuário médio de Internet precisa ter em seu computador.

Java Runtime Environment (JRE)
Adobe Reader (prefiro Foxit)
Adobe Flash

Quando uma aplicação se torna essencial para qualquer usuário ela se torna um ótimo meio de explorações de vulnerabilidades. O que agrava este potencial é o fato de todas estas aplicações serem multi-plataforma, ou seja, são executados em diversos sistemas operacionais e navegadores.

JRE é uma grande confusão para usuários finais. O usuário instala versão em cima de versão, dezenas de megabytes instalados à toa. O processo de atualização é ruim, deveria ser mais amigável para o usuário.

Adobe Reader (o antigo Adobe Acrobat) se tornou um grande elefante. Para mim PDF sempre significou uma maneira simples de divulgar textos, sem se preocupar com formatação. Agora é um software gigante e complexo, mais sujeito a vulnerabilidades.

O usuário final deveria ver a atualização de Flash, Java e Adobe de maneira mais séria e podemos ajudar nisso.

YSTS 2.0: You Rock (The Sheriff)

noreply@blogger.com (Ronaldo) — Wed, 19 Nov 2008 00:10:25 PST

Mais uma edição de You Shot The Sheriff, o evento do podcast i sh0t the sheriff (IStS). Desta vez pude ir a São Paulo, do ano passado tenho apenas o badge. Resumo para quem não quiser ler todo o post: não foi? perdeu playboy.

O conceito do evento é muito interessante. Hackers, gerentes, todos agradavelmente confinados em um ótimo pub, com palestras para todos os gostos. Ultimamente tenho sido fã de todas as iniciativas de Luiz Eduardo, realmente uma figura que veio para mudar o mercado, direta ou indiretamente. Nota de esclarecimento: minha opinião não é influenciada pelas dezenas de cervejas que ele pagou desde que o conheço.

A grade de palestras foi quase fraternalmente dividida entre temas técnicos, sociais e corporativos. Dentro dos temas que me interessam, não gostei apenas de uma palestra técnica.

Outro ponto positivo é o público, selecionado e crítico. Ninguém estava lá por diárias de viagens, para matar o trabalho.

Palestras

Muito interessante a pesquisa de Adriano Cansian. Foi uma boa tentativa de listagem dos "seres" que existem no ecossistema hacker, desde os caras do bem até os do mal.

A palestra de Francisco Milagres foi entediante para mim pelo tema, mas esta é uma opinião bem pessoal. Os interessados e envolvidos em auditoria pareceram ter gostado bastante da abordagem dele.

A palestra de Emmanuel Goldstein foi muito boa, uma curta aula de história hacker clássica. Mais uma vez, opinião pessoal. Eu leio a revista há alguns anos, embora não tenha acertado nenhuma pergunta e ganhado o livro de 25 anos. O mais incrível? Conseguir palestrar sem o apoio de PowerPoint em pleno 2008 e ainda assim a palestra segurar sua atenção. A maioria das pessoas que conheço não sabe palestrar sem slides.

A palestra de Anderson Ramos... bem, gostaria de uma explicação, Anderson. Sei que você lê este blog de vez em quando.

Gosto bastante de suas palestras, do estilo e habilidade na apresentação. Não entendi muito bem o ponto da palestra, mas este não foi exatamente o ponto mind-blowing para mim. As imagens, Anderson. Aquelas imagens que você usou. Tentei entender a relação entre as imagens e o tópico do slide, mas não consegui. Aquelas duas tartarugas, uma com areia e outra sem areia no casco, os pés descalços... esteganografia? Eu precisava ter Adobe Stego Reader no celular, fotografar e ler a mensagem oculta na imagem? Mind-blowing para mim, amigo, mind-blowing!

A palestra do Bruno Oliveira foi interessante, eu particularmente só fiquei sem entender o contexto da apresentação do tal Jacob. O tema cold boot attacks é bem interessante e causou um bom movimento na mídia há alguns meses. Cheguei uns 5 minutos depois da palestra ter iniciado, talvez tenha perdido algum ponto. Ótimas idéias na formatação dos slides, não é sempre que se vê inovação em slides. Estou me referindo à música com legendas nos slides, ao diálogo usando os slides. Bem interessante.

Sem comentários sobre as outras palestras, perdi duas delas (H1kari e Nelson "Air" Murilo). Não fui eu quem inventou este nick para Nelson, estou apenas reproduzindo aqui.

Organização

Muito boa a organização, levando em consideração a dificuldade em agradar um público tão variado.

Local

Ótimo. Não sei ainda se posso comentar sobre o local, por isso a opinião vaga. Quem não foi pode ir lá e descobrir por engenharia social onde será o evento de hoje. O YSTS 2.2, a festa, ainda vai acontecer hoje à noite. É provável que eu não vá.

Comentários finais

Eu me esforcei para ir neste evento e valeu a pena. Faça o mesmo e prestigie o YSTS 3.0. Quando afirmo que o evento tem ambiente hacker me refiro ao espírito do evento, hacker no melhor dos sentidos.

Ótima iniciativa de leilão em apoio ao Hacker for Charity. Sim, existem vários projetos nacionais de assistência, mas este tem afinidade com o evento porque é uma iniciativa do próprio meio hacker. Um bom argumento para convencer alguém sobre as boas intenções de hackers não criminosos / maliciosos.

Como disse na palestra na H2HC, O evento tem pontos que dificultam um pouco o processo de aprovação com a gerência (nome engraçado, perfil hacker, dia de semana, apenas 1 dia) mas é um evento de muito, muito valor. Um evento único. Fazendo uma regra de três bem simples levando em consideração o custo de outros eventos de segurança no Brasil, este evento poderia custar pelo menos R$1.000,00 (mas não custa).

Espero que Luiz, Willian e Nelson não leiam este último parágrafo.

Resumo BA-Con e Ekoparty

noreply@blogger.com (Ronaldo) — Sun, 16 Nov 2008 18:18:48 PST

Em setembro participei dos eventos BA-Con e Ekoparty, que aconteceram em Buenos Aires. Comentei um pouco sobre os eventos neste post de setembro. Agora vou fazer alguns comentários sobre os eventos.

Notícias na mídia local:

La seguridad informática, en la lupa de jóvenes expertos (Clarín)
Cumbre hacker en Buenos Aires (Clarín)

BA-Con

BA-Con é uma conferência organizada por Dragos Ruiu, o mesmo responsável pelas conhecidas conferências CanSecWest / PacSec / EUSecWest. Esperava mais deste evento justamente por se tratar de um evento da série CanSecWest. Esperava mais deste evento do que esperava da Ekoparty. Minha primeira impressão do evento foi péssima do ponto de vista de organização. Veja o crachá, praticamente artesanato local.

Não esperava este tipo de amadorismo vindo de organizadores de uma conferência como CanSecWest.

Algumas palestras mais interessantes:

WPA/WPA2: how long is it gonna make it - Cédric Blancher & Simon Maréchal, EADS

All the Crap Aircrafts Receive and Send - Hendrik Scholz
SecViz 007 - Raffael Marty, Splunk

Foi uma grande oportunidade para conhecer pessoas interessantes. A audiência aparentava ser bem técnica e focada em segurança. A conhecida Core Security Technologies foi a grande responsável por apoiar e patrocinar um evento deste porte na Argentina. Seu centro de pesquisas fica em Palermo, Buenos Aires. Outros patrocinadores de peso foram Microsoft e Mozilla.

Algumas "celebridades" da área estavam presentes:

O único stand da BA-Con foi da Core, um stand de recrutamento.

Algumas características interessantes de organização:

slides em inglês e espanhol (2 projetores);
lightning talks - a audiência do evento poderia apresentar sua própria palestra curta (3 minutos ou 5 slides) no fechamento da conferência.

O aftercon foi em um bar / restaurante em Palermo, o Mundo Bizarro. Somente convidados e convidados de convidados (eu) souberam do local. Tudo free, inclusive Guinness.

Brasileiros: somente eu, Júlio Fort e Igor Marcel.

Ekoparty

Mais uma vez, a Core estava presente recrutando.

A sensação que tive sobre a Ekoparty foi a mesma que tive quando fui pela primeira vez na DEFCON. Audiência bem técnica, palestras bem selecionadas, bem organizada. A conferência realmente tinha "clima hacker", algo que não se consegue facilmente e algo que ainda não vejo na H2HC. O palco era todo decorado, muito interessante. Havia até um "canto do lockpicking", jogos (wargames).

Eu realmente senti que aquela era a conferência mais hacker da América do Sul. Não conheço tantas conferências pelo mundo, mas acho que dá para afirmar isto.

Boas palestras:

Dave Aitel - Keynote: Hacking Has An Economy of Scale
Nicolas Economou - Alfredo Ortega Smartphones (in)security

A Core estava muito presente na grade de palestras também, muitos palestrantes eram funcionários da empresa.

Outras atividades típicas de conferências hacker:

Wargames (http://www.packetwars.com)
Lockpicking
Wardriving

Palestras à noite, num bar Roots 1745. Diferente da BA-Con todos estavam convidados a se encontrar no bar. Mais algumas palestras:

Hernan Ochoa: Un recorrido por sus herramientas wifizoo / pass-the-hash y uhooke.
Fernando Gont: Repaso de "Results of a Security Assessment of the TCP & IP Protocols."
Andrew Cushman: "Secure the Planet! New Strategic Initiatives from Microsoft to Rock Your World"

Pessoas como Andrew Cushman não falam em qualquer evento. Mais uma razão para estar na Ekoparty em 2009. Quanto à BA-Con, dá para ficar sem ela.

Leonardo Pigñer, um dos organizadores do evento, acompanha o BrainSniffer. Espero que ele goste dos comentários do evento.

Palestra aceita na H2HC 5

noreply@blogger.com (Ronaldo) — Thu, 09 Oct 2008 17:54:31 PDT

É com muita satisfação que anuncio que minha proposta de palestra na H2HC 5 foi aceita.

Não é uma palestra whitehat, também não é uma palestra blackhat e nem grayhat. É uma série de provocações e reflexões sobre o que acontece na área de segurança de redes e informação no Brasil.

Entender porque um país vizinho como a Argentina cria condições para o surgimento de uma empresa com a reputação da Core Security Technologies. Entender o que, além do próprio apoio da Core, faz com que a Argentina sedie o único evento de Dragos Ruiu (CanSecWest) na América Latina, a BA-Con. Entender porque tantos profissionais se esforçam para ir na DEFCON e Black Hat enquanto eventos brasileiros são desprezados e pouco apoiados. Estes são alguns pontos.

A idéia no final das contas é tentar provocar uma mudança no ecossistema de segurança do Brasil.

Encontro você em São Paulo em 8 e 9 de novembro. A primeira fase de inscrições a R$110 já se encerrou. Os próximos prazos são 15 de outubro (R$130), 1 de novembro (R$160) e 9 de novembro (R$200). Você normalmente recebe uma camiseta e possivelmente terá um coffee break, mas pense que sua inscrição pagará a vinda de palestrantes interessantes de todas as partes e infra-estrutura, não apenas comida. Inscreva-se já.

Tango, Parrilla e BA-Con

noreply@blogger.com (Ronaldo) — Mon, 22 Sep 2008 15:54:29 PDT

Na próxima semana participarei das conferências BA-Con e ekoparty, que acontecerão em Buenos Aires, Argentina. Mais uma vez aproveitando as férias para participar de eventos.

Já comentei sobre estas duas conferências em um post de julho. Acho que dá para afirmar que é uma espécie de pacote BlackHat + DEFCON da América do Sul, guardadas as devidas proporções, obviamente.

Sinceramente não sei qual é a qualidade da ekoparty, estou pagando pra ver e confiando nos relatos de amigos. Não espero encontrar 9 mil hackers na ekoparty. Estou apostando mais na BA-Con pela reputação do CanSecWest, evento também organizado por Dragos Ruiu. De qualquer forma sempre vale a pena visitar Buenos Aires.

Mais eventos na área

Alguns outros eventos próximos, em tempo e localidade:

8 e 9 de novembro H2HC
17 de novembro YSTS 2.0

Vulnerabilidade no serviço "Secretária Claro"

noreply@blogger.com (Ronaldo) — Tue, 16 Sep 2008 17:30:10 PDT

Nem sempre vulnerabilidades de segurança estão em software, pelo menos não nos softwares mais óbvios. Acho que tenho o tal do Security Mindset, alguns amigos me chamam de paranóico mesmo.

Há algum tempo tinha uma tarefinha pendente: descobrir como consultar mensagens na "Secretária Claro" sem usar o próprio aparelho. O procedimento é o seguinte:

Ligue para o seu próprio número
Quando a "Secretária Claro" atender digite as teclas "*" ou "#"
Digite sua senha

O procedimento está no site da Claro, http://www.claroideias.com.br/ .

Não se lembra de sua senha? Sem problemas, é provável que você nem tenha definido uma senha. Neste caso sua senha é "3636", a senha padrão. Acho que não preciso comentar qual é o impacto disso sobre a privacidade das pessoas.

É bem provável que 99,9% das pessoas consulte seu voice mail a partir do próprio celular, condição que não exige o uso da senha. É uma espécie de "autenticação" de um fator.

Senhas padrão não são um problema apenas em dispositivos de rede.

Atualização 16/09/2008 13:40 este post chegou ao conhecimento da equipe de segurança da Claro. Ótimo! É provável que em breve seja dada uma solução para o problema. Obrigado aos amigos do Brainsniffer que fizeram contatos e me forneceram contatos. A ordem da divulgação com certeza não foi das melhores, me precipitei ao publicar antes de notificá-los.

Atualização 16/09/2008 15:44 comentários adicionais

Gmail agora com HTTPS no início ao fim

noreply@blogger.com (Ronaldo) — Thu, 11 Dec 2008 21:15:00 PST

Julho deve ser o mês da segurança no Google. Primeiro incluíram a possibilidade de sign out remoto de sessões do Gmail, com direito a log dos últimos acessos com tipo de sessão (celular, browser, POP3). Agora incluíram uma opção que habilita HTTPS sempre.

Gmail, como a maioria dos webmails disponíveis hoje, protegia a conexão apenas no momento da autenticação. Isto quer dizer que a partir do momento que seu usuário está autenticado o tráfego HTTP passa a ser aberto, livre de criptografia.

Agora posso remover a extensão Greasemonkey, que eu usava apenas por causa do userscript que forçava HTTPS (trocava http:// por https:// em cada requisição basicamente).

A opção precisa ser habilitada. Você precisa selecionar "Settings" em sua conta Gmail, rolar a tela até o item "Browser Connection" e selecionar "Always use https". Mais informações sobre este novo recurso de segurança do Gmail no blog do Gmail.