Indústria do cibercrime organizado cresce e se estabelece na Deep Web

Já é possível comprar um ransomware por US$ 5 e qualquer pessoa com acesso à Deep Web pode causar graves danos às empresas

 

Que a Deep Web, também chamada de Deepnet ou web invisível (conteúdo da internet que não é indexado pelos mecanismos de busca padrão), está cheia de ofertas de ferramentas para cibercriminosos já é de conhecimento de todos. Mas a facilidade de compra e venda está cada vez mais descarada, com ofertas até mesmo de suporte técnico. É a verdadeira consolidação da indústria do malware.

Antigamente, um criminoso precisava ter conhecimentos técnicos, saber programar e ter criatividade para conseguir atingir seus objetivos. Hoje, qualquer leigo com acesso à Deep Web pode causar graves danos para uma empresa ou pessoa que não esteja preparada para se defender de ataques cibernéticos.

Os valores para o desenvolvimento de malware, que antes giravam em torno de dezenas de milhares de dólares, hoje são ínfimos. É possível comprar um ransomware por cinco dólares. É a disseminação do MaaS (Malware as a Service). Existem fóruns de discussão para esclarecer dúvidas sobre como utilizar os malware, apostilas, equipe de suporte, enfim, todo um pacote completo para qualquer pessoa com más intenções virar um criminoso virtual.

Além da indústria do malware, existe também a parte da indústria especializada em descobrir falhas de segurança. Neste caso, existem dois lados. Um é o de pesquisadores independentes e empresas que pesquisam softwares em busca de falhas de segurança e avisam fabricantes diretamente, muitas vezes recebendo recompensas em dinheiro, o famoso Bug Bounty. Do outro lado temos o “mercado do crime”, que comercializa estas falhas na Deep Web e até mesmo as vendem para governos e grandes empresas. O crime costuma ser muito mais lucrativo, principalmente com as falhas chamadas de Zero-Day (ameaças descobertas recentemente e exclusivas) que chegam à casa das centenas de milhares de dólares.

Antes, a compra por parte de governos era tida por muitos como mito, porém com a invasão da empresa italiana Hacking Team, em julho de 2015, isso ficou claro para o mercado. No vazamento estimado em 400 GB de informação, estavam contratos com governos de diversos países (incluindo nações rivais) e inúmeras falhas de segurança de diversos fabricantes de hardware e software, em sua maioria de dispositivos móveis.

O vazamento da empresa italiana era a resposta à pergunta de como as agências governamentais conseguiam ler e-mails, controlar dispositivos e espionar a vida de praticamente qualquer pessoa no planeta, incluindo chefes de estado, como mostrado no famoso caso dos Wikileaks, onde foram revelados incontáveis documentos com conversas entre agentes, líderes de nações, entre outros.

Ainda, a invasão da Hacking Team inundou a Deep Web com falhas, brechas e Zero-days antes controlados pela empresa. Em 2015, criminosos tinham acesso livre a essas informações, o que causou uma corrida de desenvolvedores e fabricantes para corrigir as linhas de programação de seus produtos.

E como proteger sua empresa deste exército do crime? O primeiro passo é definir políticas de acesso e hierarquia de redes aliadas a soluções de gerenciamento de ameaça unificada. Como vimos em casos reais, como o vazamento de dados de uma grande rede de supermercados americana, não adianta colocarmos “portas de cofre” em todas as entradas da empresa, se qualquer um pode entrar e sair quando quiser.

Os níveis hierárquicos e a contenção de rede também devem ser respeitados. Por exemplo, se o presidente de uma empresa tiver acesso a todos os lugares de uma rede, ele imediatamente vira o maior alvo de criminosos que sabem que se conseguirem a credencial daquela pessoa, poderão trafegar livremente em todas as camadas de rede, roubando os dados da empresa.

Também, a política de segurança da empresa deve englobar o comportamento dos funcionários. Lembremos do início de um dos casos mais famosos de ataque, o Stuxnet. Na ocasião, os governos dos Estados Unidos e de Israel lançaram um “míssil virtual”, que acabou com o programa de enriquecimento de urânio do Irã. Por mais avançado que pareça o ataque, a porta de entrada deste ataque foi um post de uma senha padrão em um fórum. Sim, um simples post causou estragos não só virtuais, mas físicos, quando um técnico publicou para o mundo todo ver a senha de uma controladora de sitema SCADA (Supervisory Control And Data Acquisition).

Outro ponto são as brechas do seu sistema. Por mais que seus técnicos trabalhem para aprimorar a defesa da sua empresa, sempre haverá um batalhão de pessoas dispostas a achar um buraco na sua cerca virtual. A solução para este problema é contratar ferramentas de gerenciamento avançado de vulnerabilidades e compliance. Esse tipo de software varre o sistema em busca de brechas que podem ser exploradas e preserva as políticas de segurança da empresa.

E não custa lembrar também: controle os e-mails de seus funcionários e de todas as pessoas ligadas à rede. O caso da rede de supermercados citado anteriormente, começou com um e-mail de phishing (um tipo de ameaça virtual que tem como objetivo “pescar” informações e dados pessoais importantes através de mensagens falsas) aceito por uma empresa parceira que tinha acesso à rede. A partir disso, os criminosos instalaram malware e foram escalando as ramificações até chegar aos data centers da empresa e roubar registros de clientes, o que nos faz reforçar a hierarquia e contenção de rede também.

Atualmente, com tantas ofertas de ferramentas de simples implementação e operação disponíveis no mercado, ficou fácil se proteger. Não dê brechas para a indústria do malware e garanta já a segurança virtual da sua empresa.

Líderes de TI brasileiros esperam queda média de 1% nos orçamentos neste ano

O orçamento curto de TI será o principal desafio para os CIOs da América Latina neste ano. Pesquisa anual de CIOs do Gartner mostra que a média de aumento nos investimentos em TI na região será de 1,7% entre 2016 e 2017.

No entanto, a região latino-americana apresenta dois cenários distintos no que diz respeito aos orçamentos de tecnologia da informação. Os CIOs brasileiros esperam uma queda média de 1% nos orçamentos de TI — comparado ao aumento de 2,4% no último ano —, enquanto o restante da região prevê um aumento de cerca de 4,5% na comparação aos 3,5% em 2016.

No Brasil, a prioridade dos CIOs nos últimos dois anos tem sido infraestrutura e data center. Neste ano, as turbulências na economia brasileira estão levando os gestores a direcionar a TI para encontrar novas formas de otimizar custos. Os líderes de TI classificaram “otimização de custos” como principal desafio para o ano. Analistas do Gartner analisaram o cenário e as perspectivas para o ano durante a Conferência Gartner Infraestrutura de TI, Operações e Data Center, em São Paulo.

“Neste ano, devido às incertezas econômicas e políticas, os CIOs latino-americanos precisarão agir com rapidez e ser ainda mais criativos e inovadores do que o restante do mundo. Os CIOs do Brasil, em particular, devem focar nas oportunidades de otimização de custos do negócio como um todo, com o objetivo de disponibilizar fundos adicionais, não apenas para a área de TI, mas para toda a empresa”, explica Henrique Cecci, diretor de pesquisas do Gartner.

Ao mesmo tempo, ele observa que os negócios digitais estão expandindo como uma abordagem poderosa e multiface para transformar e crescer. Com a missão de buscar dois objetivos aparentemente opostos (redução de custos e crescimento), os líderes de TI estão bem posicionados para basear as decisões financeiras em avaliações extensas, enquanto se comprometem com uma transformação em longo prazo.

O Gartner identificou duas estratégias para otimizar os custos de infraestrutura e operações (I&O) que são eficazes no Brasil: benchmarks de gastos gerais e estratégia de modernização do data center. Tipicamente, os líderes de TI no Brasil utilizam uma abordagem pragmática para otimização de custos. Eles criam um relatório das métricas gerais de gastos com TI e comparam constantemente com os padrões de indústria publicados (ao menos anualmente, como parte do processo orçamentário de TI) para basear em fatos sua jornada para o futuro.

Os líderes de TI devem focar nas plataformas de I&O cujo custo por unidade seja maior do que o custo médio e utilizar o benchmarking para determinar onde cortar quando se depararem com limitações orçamentárias, ao invés de fazerem arriscadas reduções generalizadas.

O Gartner observa que uma estratégia moderna de data center não deve considerar apenas os aspectos de infraestrutura, mas sim focar em escolher o serviço correto, no momento correto e do provedor correto, de forma que os serviços importantes de TI e suporte não sejam comprometidos. Todas as opções devem ser consideradas, interna ou externamente, incluindo nuvem, alocação, acomodação, microcomputação e computação de ponta.

“No Brasil, os serviços em nuvem têm custos e limitações mais altos quando comparados com implementações similares em países desenvolvidos. Portanto, os líderes de TI no Brasil devem adotar uma estratégia prudente de Data Center que incorpore o melhor dos dois mundos, pelas razões certas e no momento certo”, explica Cecci.

Duas opções de data center têm uma expectativa de crescimento significativa no Brasil para os próximos anos. A primeira é a adoção da nuvem pública empresarial, uma vez que os novos data centers estão sendo construídos para suportar provedores de Nuvem, os custos estão caindo e novos serviços em Cloud estão se tornando mais seguros e confiáveis. Consequentemente, os líderes de I&O devem começar a aumentar a migração de sua carga de trabalho para a Nuvem.

Já a adoção de computação de ponta executa aplicações em tempo real que requerem respostas imediatas no servidor edge mais próximo. O atraso na comunicação é reduzido para poucos milissegundos, em comparação aos milhares de milissegundos anteriores. Ela descarrega parte do processamento intensivo computacional do dispositivo do usuário para servidores edge e torna o processamento de aplicações menos dependente da capacidade dos aparelhos. Assim, é possível rodar aplicações mais rapidamente e melhorar a experiência do cliente.

Hacker russo é condenado a 27 anos de prisão nos EUA

Essa é a maior sentença da história dos EUA para um crime relacionado a computadores.

 

Um hacker russo de 32 anos foi condenado a 27 anos de prisão nos EUA por roubar milhões de dados de cartões de crédito de empresas ao infectar seus sistemas de pontos de venda com malware.

Essa é a maior sentença da história norte-americana para um crime relacionado à computação, superando a pena de 20 anos anunciada em 2010 para o hacker e ex-informante do Serviço Secreto dos EUA, Albert Gonzalez, que foi condenado por atividades similares de roubo de dados de cartão de crédito.

O hacker russo em questão é Roman Valeryevich Seleznev, nascido em Vladivostok, e condenado na última sexta-feira, 20/4, por 10 acusações de fraude, oito acusações dano intencional a um computador protegido, 9 acusações de obter informações de um computador protegido, 9 acusações de posse de 15 ou mais aparelhos de acesso não autorizado e duas acusações de roubo de identidade agravado.

Roman é filho de Valery Seleznev, integrante do partido ultra-nacionalista Liberal Democratic e membro do Parlamento Russo, conhecido como Duma. O político acusou os EUA de sequestrarem seu filho quando o detiveram em 2014 nas Maldivas com a ajuda das autoridades locais.

As autoridades dos EUA alegam que, entre 2009 e 2013, Roman Seleznev infectou os sistemas de pontos de venda de mais de 500 empresas americanas com malware que capturava os dados de pagamento dos cartões e os enviava para servidores sob seu controle. A mesma técnica foi usada por hackers em alguns dos maiores vazamentos de dados que foram revelados nos últimos anos.

O laptop encontrado com o hacker russo quando ele foi preso em 2014 continha 1,7 milhão de números de cartões de crédito. Recentemente, Seleznev enviou uma cartão escrita a mão para o juiz assumindo responsabilidade pelos seus atos e pedindo por leniência.

Internet

Equipamento israelense foi usado pela PF para extrair dados de celulares na Lava Jato

Listas de contatos, conversas pelo WhatsApp, informações das redes sociais e de e-mails, fotos e vídeos e dados de localização, além de buscas e sites visitados. Nada escapa do temido equipamento usado pelo Polícia Federal para extrair todos os dados de aparelhos celulares apreendidos na operação Lava Jato. Com ele, os investigadores fazem uma verdadeira limpa nos aparelhos, mesmo os bloqueados por senha ou criptografados. O equipamento, chamado Ufed Touch, desenvolvido pela empresa israelense Cellebrite, foi um dos produtos que mais despertaram a curiosidade do público durante a Laad — Feira Internacional de Segurança Pública e Corporativa, que aconteceu no Rio de terça a quinta-feira da última semana.
Até mesmo o conteúdo que foi apagado pelo usuário ou está na nuvem do aparelho é recuperado, o que aumenta o receio dos investigados. O equipamento detecta todos os rastros deixados. Com a geolocalização, por exemplo, é possível traçar as rotas feitas pelo usuário.
— Atualmente, a vida de todo mundo está dentro de um telefone celular. As informações mais relevantes estão nos aparelhos. E tudo que é feito por uma pessoa em seu telefone deixa uma marca, ainda que os dados sejam apagados. É bom frisar que a quebra da senha e a extração dos dados é feita de maneira segura e legal — frisa Frederico Bonincontro, diretor de vendas da Cellebrite.

O procedimento é simples: o agente conecta o aparelho à máquina e seleciona a extração de dados que deseja fazer. Há dezenas de cabos, inclusive para os telefones ainda analógicos. Em seguida, o conteúdo é colocado num pendrive e terá que ser analisado num computador através de um programa também desenvolvido pela Cellebrite. A partir daí, é possível fazer os mais diversos cruzamentos de dados.

Após a extração dos dados, o investigador consegue fazer buscas por palavra-chave, pelas características de uma foto, o posicionamento num mapa e até mesmo comparações entre diferentes aparelhos apreendidos. É possível, por exemplo, cruzar os dados de localização dos celulares, seus contatos, as pessoas com as quais conversaram e ainda os locais onde estiveram.

— É importante dizer que garantimos a preservação doa dados após a extração. Não deixamos que nada se perca ou corrompa-se. É um equipamento 100% forense, que garante a preservação das provas — explica Frederico Bonincontro.

O equipamento já é utilizado no Brasil de seis a oito anos, mas vai evoluindo ano a ano. Além dos criminosos, o Ufed também pode ser utilizado para retirar informações dos aparelhos de vítimas de crimes, como, por exemplo, alguém que tenha sido sequestrado ou esteja desaparecido.
http://extra.globo.com/casos-de-policia/equipamento-israelense-foi-usado-pela-pf-para-extrair-dados-de-celulares-na-lava-jato-19101625.html

Pressionado por Japão e UE, governo planeja ajustes na Lei de Informática

Lei do Bem e Lei Geral de Telecomunicações também devem ser reformuladas e melhoradas, segundo secretários do Ministério da Ciência, Tecnologia, Inovações e Comunicações

O Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) tem planeja fazer uma revisão nas leis do Bem e de Informática, modernizar a Lei Geral de Telecomunicações (LGT), reformar fundos de financiamento e concluir a regulamentação do Marco Legal de Ciência, Tecnologia e Inovação.

Os secretários de Desenvolvimento Tecnológico e Inovação, Alvaro Prata, e de Política de Informática do MCTIC, Maximiliano Martinhão, debateram esses ajustes em audiência pública da Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) do Senado Federal, nesta quarta-feira, 19.

Martinhão chamou a atenção para a importância de adaptar a Lei de Informática (8.248/1991), em julgamento pela Organização Mundial do Comércio (OMC) após Japão e União Europeia condenarem políticas brasileiras de incentivos fiscais à produção local. “Essa legislação nos trouxe grandes conquistas, mas hoje está sendo desafiada pela OMC, porque outros países entendem que ela possui aspectos contrários a tratados internacionais”, destacou. “E aí a gente vai precisar contar com o Congresso Nacional, para que os ajustes necessários sejam feitos e mantenham os resultados positivos em torno dela, como a geração de empregos, o aumento da arrecadação tributária direta e a prática de pesquisa e desenvolvimento dentro de empresas.”

O presidente da CCT, senador Otto Alencar (PSD-BA), ressaltou os 25 anos de impactos da Lei de Informática na indústria eletroeletrônica brasileira e sugeriu que o Poder Executivo encaminhe um anteprojeto para ajustar a legislação. Segundo Martinhão, o Ministério das Relações Exteriores (MRE) orientou o MCTIC a aguardar o julgamento, previsto para o próximo semestre: “Nós já temos mapeadas todas as alterações que eventualmente precisem ser feitas.”

Prata informou aos senadores que o MCTIC discute a revisão da Lei do Bem (11.196/2005) pela qual são concedidos incentivos fiscais a pessoas jurídicas que busquem inovar com pesquisa e desenvolvimento. “Estudamos ampliar seus benefícios para um público maior”, disse. “O cenário de potenciais beneficiárias está hoje em torno de 40 mil a 50 mil empresas e, no ano passado, apenas 1,2 mil empresas fizeram uso do instrumento. É necessário então alcançar mais companhias, em busca de estimular mais tecnologia no ambiente industrial.”

Telecomunicações

Em trâmite no Senado, o Projeto de Lei da Câmara (PLC) 79/2016 altera a LGT (9.472/1997), ao converter a prestação de serviços de telecomunicações da modalidade de concessão para a de autorização, formato de contrato mais flexível. Na opinião do economista Leonardo Euler, conselheiro da Agência Nacional de Telecomunicações (Anatel), o êxito da Estratégia Digital Brasileira (EDB), em formulação pelo MCTIC, depende do aprimoramento da legislação.

“Eu tenho extrema convicção de que, ainda que nós formulemos uma agenda digital e por mais bem formulada que seja, sua implementação depende necessariamente de infraestrutura de telecomunicações”, avaliou Euler. “Podemos desenhar a melhor estratégia possível, mas, se não tivermos tal suporte, essa agenda certamente não será exitosa. E é por isso que eu destaco a importância de aprimorar a Lei Geral das Telecomunicações.”

Reformas

O secretário Prata recordou que o MCTIC recebeu, em 12 de abril, as propostas da comunidade científica e do setor produtivo para a regulamentação do Marco Legal de Ciência, Tecnologia e Inovação (13.243/2016). “Estamos finalizando neste momento o decreto, a ser editado pela Casa Civil da Presidência da República”, afirmou Prata. “O texto visita uma série de outras leis, de modo a melhorar o ordenamento jurídico, para que as instituições que geram conhecimento científico possam, mais e mais, se aproximar das empresas que fazem a indústria avançar.”

Na visão dele, os parlamentares podem contribuir na recomposição do orçamento do MCTIC, ao se conscientizar da “importância de se manter investimento constante” em ciência, tecnologia e inovação. “Diante das dimensões do país, de sua economia e de sua população, uma estrutura complexa como a nossa precisa ser irrigada, sobretudo em momentos de dificuldade, quando temos que fazer opções, porque esses investimentos geram benefício no futuro.”

Já Martinhão convidou os senadores a debater a proposta do ministro Gilberto Kassab de elaborar um projeto de lei que impeça o contingenciamento de recursos do Fundo de Universalização dos Serviços de Telecomunicações (Fust) a partir de 2020, apresentada em audiência pública da CCT em 29 de março. Desde 2000, o Fust arrecada valores mediante a cobrança de um percentual da receita das operadoras, a fim de financiar a implantação de serviços onde o setor não é economicamente viável. O objetivo atual é atender a população sem acesso à banda larga.

Segundo ele, o Brasil precisa encarar o desafio de tornar as tecnologias da informação e comunicação (TICs) não apenas em um meio para acessar a internet, mas em um caminho para melhorar a competitividade do país. “A grande novidade nos últimos dois anos tem sido o desenvolvimento da Internet das Coisas”, apontou Martinhão. “E para que a gente possa capturar os benefícios de pesquisa e desenvolvimento, geração de empregos e oportunidade de negócios, a gente está elaborando o Plano Nacional de Internet das Coisas, que deve ser concluído até setembro.”

De acordo com Martinhão, em relação ao Congresso Nacional, o plano trata de ambiente regulatório. “A gente acredita que o Brasil pode oferecer, em alguns setores chave, uma plataforma de prestação de serviços para o exterior. Nós temos uma forte indústria de TICs, e a nossa infraestrutura de comunicações é considerada uma das melhores pelo Fórum Econômico Mundial. Se juntarmos tudo isso e a oportunidade que a Internet das Coisas traz, poderemos internacionalizar as empresas brasileiras.”

A partir de Internet das Coisas, na concepção de Prata, o Brasil pode se articular para que suas empresas acompanhem as tendências da Indústria 4.0, termo de origem alemã que simboliza a 4ª Revolução Industrial, baseada na integração digital de etapas da cadeia de valor produtivo. O secretário lembrou que o MCTIC prepara um programa nacional de manufatura avançada, ao lado do Ministério da Indústria, Comércio Exterior e Serviços (MDIC). Com informações do MCTIC.

 

Internet

 

Novo cartão da Mastercard traz leitor de impressão digital integrado

Com a mesma espessura padrão e compatível com máquinas atuais, cartão está sendo testado na África do Sul e deve chegar à Europa e Ásia em breve

 

A Mastercard criou um novo cartão de crédito que troca a boa e velha senha numérica pela impressão digital, método cada vez mais usado em smartphones e outros aparelhos eletrônicos.

Com a mesma espessura de um cartão normal, o novo cartão é compatível com as máquinas existentes com leitor de chip e traz o sensor de impressão localizado no lado direito, como mostra a imagem acima.

O novo cartão está sendo testado na África do Sul atualmente e deve chegar a outros mercados, como Europa e Ásia Pacífico, nos próximos meses.

Um lançamento completo pelo mundo deve acontecer ainda neste ano, aponta a Mastercard.

Tudo o que você queria saber sobre blockchain e tinha receio de perguntar

Aquilo que a internet representa para as comunicações, a tecnologia blockchain vai representar para os negócios — tanto que já está sendo chamada de a “Internet dos Negócios”

Como blockchain funciona

O blockchain se origina de um sucinto estudo público escrito em 2008 por Satoshi Nakamoto (assunto controverso, pois não se sabe ainda se essa pessoa existiu de fato) chamado “Bitcoin: A Peer-to-Peer Electronic Cash System”, sendo este a raiz de todas as inovações relacionadas ao blockchain. Suspeita-se que o próprio Sakamoto inicializou a rede Blockchain Bitcoin, fato que ocorreu em 3 de janeiro de 2009.

Seus princípios básicos são:

Peer-to-peer: Rede ponto a ponto, aquela mesma tecnologia que tornou possível o Napster ou Torrents — para transferência de dinheiro eletrônico, permitindo que os pagamentos online sejam realizados de uma parte a outra sem a intermediação de uma instituição financeira ou governo controlador;

Sem autoridade central: Não deve existir uma terceira parte ou um regulador para prevenir o problema do duplo-gasto, já que a solução peer-to-peer deve ser auto suficiente;

Proof-of-Work: Criação de um conceito chamado prova-de-esforço (proof-of-work) que recebe um hash — uma identificação única criptograficamente calculada, usando o horário da rede (network timestamp) formando um registro que praticamente inviabiliza a alteração ou adulteração das transações, pois teriam que ser totalmente recalculadas de forma retroativa em todas as réplicas, gerando um esforço computacional gigantesco;

Consenso entre a maioria: O maior encadeamento de transações praticamente indica qual o bloco de transações que foi consensualmente aceito pela maior parte dos participantes da rede;

Sincronização: Qualquer participante que temporariamente se desligar da rede, assim que retorna, é automaticamente obrigado a aceitar o maior bloco encadeado de transações. Isto torna a estrutura a menor possível para a continuidade do processamento das transações.

Uma outra forma de entender o blockchain se dá através de três áreas do conhecimento, a saber: teoria dos jogos, ciência da criptografia e engenharia de software. Estas três áreas coexistiram de forma independente por um longo tempo, porém, na tecnologia de Blockchain, elas passaram a ter uma atuação possível, conjunta e estratégica.

Veja, a seguir, uma breve explicação sobre cada área:

Teoria dos jogos: O conceito principal utilizado no blockchain, está na categoria chamada “Problema dos Generais Bizantinos”, que busca impedir a chance de que um pequeno número de generais, não éticos e traidores, barrem a coordenação entre os outros generais para um ataque conjunto ao inimigo. Isto é muito importante para uma plataforma de consenso como a de blockchain, pois os negócios que estão sendo realizados geralmente estão sendo feitos entre pessoas desconhecidas, e sem estes mecanismos, ninguém faria negócios por meio da plataforma.

Engenharia de software: Os recentes desenvolvimentos de rede peer-to-peer viabilizaram a possibilidade de criação de plataformas de código aberto de transações para que os índices ou “razões” possam ser contabilizados de forma descentralizada em milhares de computadores, sem que isto implique em uma infraestrutura de processamento gigantesca ou que precise ser processada por meio de grandes data centers. Pelo contrário, qualquer pessoa com um computador conectado à internet pode processar o blockchain, trazendo o poder para as pontas da rede e não para o centro.

Criptografia: É utilizado o hashing, mencionado anteriormente. Um hash funciona como uma assinatura única que impede que uma informação qualquer seja alterada sem que se perca as identificações originais desta assinatura. O ponto aqui é gerar confiança por meio da veracidade imutável das informações.

Para entender blockchain, a melhor forma, atualmente, é entender como funciona uma transação em bitcoin (uma cryptocurrency, ou moeda protegida por criptografia, que é a tecnologia blockchain mais difundida atualmente). Pelos tópicos indicados nos parágrafos anteriores, compreende-se que não é tão simples o entendimento intrínseco da arquitetura de blockchain entre pessoas não técnicas, porém vamos buscar apresentar a prática de uma forma simples.

Em primeiro lugar, precisamos entender qual a origem histórica da criptografia, que se baseia no princípio de Kerckhoff: o algoritmo criptográfico deve ser público, mas as chaves de encriptação devem ser privadas. Porém, a mensagem que foi codificada não deve apresentar qualquer sinal sobre o conteúdo que ela transporta, seja seu tamanho ou teor. Em resumo, ela não deve ser distinguível de ruídos aleatórios.

Uma das principais bases que o bitcoin utiliza é a criptografia de chave pública. Esta base é a mesma que o seu navegador de internet utiliza para proteger o tráfego de informações entre o seu computador e o sistema que você está utilizando com acesso seguro, como por exemplo, um site de comércio eletrônico ou internet banking.

Adicionalmente, todos os proprietários de bitcoin, possuem uma carteira eletrônica protegida por uma chave privada (código hash) que é a forma de utilizar as moedas contidas nesta carteira em suas transações eletrônicas.

Passos para uma transação em blockchain

A seguir, os passos que ocorrem em uma transação bitcoin, deforma bem resumida:

• O receptor de uma transação financeira gera um par de chaves público-privada que são matematicamente ligadas e envia a chave pública ao pagador da transação — neste passo, é importante que a comunicação entre as duas partes não possa ser interceptada por terceiros mal-intencionados;

• O pagador da transação usa a chave pública para criptografar a sua transação, utilizando a sua própria chave privada, e envia a mensagem desta transação ao receptor, mesmo através de um canal não seguro ou público;

• O receptor então decodifica a mensagem recebida utilizando a chave privada associada à chave pública utilizada.

As chaves públicas de ambas as partes, são como se fossem as contas de banco do bitcoin. Elas que identificam de onde está saindo a moeda e para onde ela vai. A partir daí, a transação ou mensagem decodificada, precisa ser inserida no banco de dados distribuído do blockchain. Esse banco de dados não armazena os saldos das contas, e sim apenas as transações, que são os saldos que estão em cada carteira eletrônica.

Troca de bitcoin com troco

Quando alguém recebe um valor em bitcoin, o código desta transação (hash) fica em aberto no banco de dados para ser utilizado em futuras transações. Acontece que esse valor deverá ser utilizado em sua totalidade em uma futura transação. Mas o que acontece se o gasto que será utilizado com esta moeda for de valor menor do que o que está disponível? É criado um sistema de troco, onde cada transação bitcoin é composta de um valor de débito do valor integral disponível, relacionada a uma ou mais transações de crédito.

Obviamente um dos valores de crédito será para o receptor da moeda, que é alguém de quem se comprou algo. Porém, adicionalmente pode-se criar um novo crédito para o próprio pagador, funcionando exatamente como um troco da compra.

Custo das transações e mineradores

Por último, cada transação bitcoin gera uma tarifa para custear o processamento da transação, que será creditada a um receptor, chamado de minerador, que despendeu recursos computacionais para processar a assinatura da transação. Este cálculo criptográfico costuma ser muito complexo e exige um grande esforço de processamento. Os milhares, ou milhões de computadores dos mineradores, organizados de diversas formas possíveis, disputam o prêmio destas tarifas por meio de uma regra que indica quem chegou na solução matemática mais satisfatória e que consolide o maior número de transações possíveis. A cada transação, é colocado um desafio de cálculo, fazendo desta forma que os mineradores compitam entre si, gerando para a rede um cálculo mais eficiente o possível.

De forma equivalente, quando uma transação a ser realizada não pode ser compensada por uma disponibilidade específica do pagador, este deve providenciar mais transações associadas à sua carteira até que se atinja o mínimo necessário para cobrir o valor esperado pelo receptor.

Assinatura matemática das transações

Vamos compreender melhor do que se trata esta assinatura matemática das transações bitcoin.

Em todo momento, milhares de transações bitcoin estão acontecendo e a cada intervalo de dez minutos, um bloco de transações são validadas pelos mineradores, que possuem os computadores para disputar as taxas transacionais, tentando encontrar uma solução matemática ideal para um algoritmo de criptografia, baseando-se nas seguintes regras:

• O código hash do último bloco bitcoin válido processado;

• A hora (timestamp) da coleta das transações que estão sendo validadas;

• A coleção de todas as transações bitcoin que estão sendo processadas em um formato chamado Árvore Merkel, formato este que busca facilitar a futura confirmação de que uma transação específica faz parte do bloco que foi autenticado ou confirmado no banco de dados blockchain do bitcoin. Como se trata de uma estrutura binária, em que a árvore vai sendo estruturada em divisões de dois em dois, a busca de uma transação não precisa fazer uma varredura em todas as transações existentes e sim, varrendo em divisões de duas em duas partes, o que torna o processo bem mais rápido;

• Por último, para que um bloco inteiro seja confirmado, é indicado um número matemático chamado Nonce. Este Nonce é o cálculo que resolve o desafio criptográfico proposto e que dá a assinatura a um bloco bitcoin. Quanto mais computadores estejam disponíveis para resolver este desafio, mais complexo fica o desafio, de forma que sempre a solução seja resolvida no tempo aproximado dos dez minutos que consolidam as transações. O minerador que resolver o cálculo se torna o receptor das taxas transacionais disponíveis dentro daquele bloco.

Vale frisar que, em uma rede ponto a ponto como é a rede do blockchain, pode haver situações em que computadores existentes em diferentes pontos do planeta cheguem a uma resolução ao mesmo tempo e atualizem o banco de dados do blockchain ao mesmo tempo, porém em cópias diferentes do banco.

Como então podemos resolver esta potencial duplicação de transações com diferentes destinatários para as transações com suas respectivas taxas relacionadas coletadas? É aqui que entra os conceitos relacionados à Teoria dos Jogos, pois é necessário definir um único vencedor no processo, durante os processos de junção desses bancos de dados divergentes.

Imagine um processo em que dois ramos de árvore comecem a crescer de forma independente, a partir do mesmo ponto. Um destes dois ramos será podado, enquanto o outro continuará a expandir a ponto de se tornar parte do tronco principal. Existe um mecanismo de equilíbrio entre os participantes da rede que, em poucas iterações, elege qual dos dois ramos será o que fará parte da árvore e qual o que será esquecido (e portanto, podado). A duplicação (potencial) de transações é resolvida exatamente desta forma.

O uso de uma quantia disponível em bitcoin passa a ser considerada válida para uso a partir do momento em que a transação que a originou passa a fazer parte de um ramo que já está se consolidando no tronco principal. Dessa forma, a duplicação de transações (ou sua tentativa) passa a ser impossível, pois o próprio equilíbrio das regras do jogo invalida ramos que não estão localizados neste tronco, que é a manifestação de confiabilidade do blockchain.

Blockchain está crescendo

Hoje, o número de transações de bitcoins confirmados está batendo na casa de 400 mil por dia. Nos dois últimos anos, esse valor se multiplicou por quatro. O que será daqui cinco ou dez anos? A evolução gráfica pode ser acompanhada no link: https://www.coinbase.com/charts?locale=pt-br

Casos práticos de blockchain

Pode ser difícil hoje em dia imaginarmos usos práticos de Blockchain. Nossa miopia, baseada em paradigmas atuais, turvam a nossa capacidade de visualização de como o blockchain será utilizado. Algumas tecnologias têm essa função: tornam-se invisíveis e passam a fazer parte do cotidiano. Tal qual aconteceu com a energia elétrica, com os automóveis, com a própria Internet, assim também acontecerá com o blockchain. Vamos utilizar sem saber.

A seguir, algumas ideias que já estão sendo colocadas em prática:

Arcade.City – Uma espécie de Uber peer-to-peer: Nas cidades ou estados que empresas de compartilhamento de corridas de carro, como o Uber ou Lyft, foram proibidas por lei de operar. Motoristas que mantinham um grupo de discussão no Facebook se organizaram lançando mão da tecnologia de blockchain e criaram a Arcade.City para vender corridas de carro sem uma empresa centralizadora por trás, funcionando peer-to-peer baseada em blockchain. Você pega uma corrida que fica armazenada no blockchain, ao final, automaticamente um smart contract é executado e você paga em bitcoin. O resultado é que isso passou a ser uma ameaça direta a empresas como Uber, Lyft, etc., bem como a governos que tentam barrar o funcionamento de empresas como o Uber.

Governo da Índia – O país está estudando seriamente acabar com o dinheiro físico e colocar toda sua economia rodando em blockchain: O governo indiano divulgou um estudo oficial sobre o assunto, que pode ser consultado no link: https://goo.gl/Hmep8m. Cingapura está seguindo o mesmo caminho e soltou um estudo também. Alguns países estudam colocar a votação eleitoral em blockchain, cuja auditoria traria mais transparência e colocaria o poder nas pontas da rede, ou seja, nas mão dos usuários.

Direct.One – Uso de blockchain para criação de documentos digitais e envio de mensagens transacionais com validade jurídica: A empresa, da qual os autores deste artigo fazem parte, aliou três itens probatórios para gerar consenso com validade jurídica nos documentos emitidos para as maiores instituições financeiras do Brasil. A cada documento digital emitido, como apólices, boletos, faturas, etc., os mesmos levam três itens comprobatórios, a saber: a) uma assinatura digital ICP-Brasil, validada pela infraestrutura de Chaves Pública e Privada do país; b) um carimbo do tempo com data e hora legal, fornecido pelo Observatório Nacional; c) Blockchain, passando a registrar os arquivos nos “ledgers” da Ethereum Network, plataforma open source de processamento de smart contracts, para criação de consenso sobre as informações e validação de um sistema antifraude.

Nasdaq – Emissão de título privados via blockchain: a bolsa de eletrônica Nasdaq, que reúne as ações de empresas de tecnologia, passou a fazer a manutenção de registros por meio de blockchain, que é suportada por uma ferramenta de gerenciamento baseada em nuvem, chamada LINQ, a qual controla e emite ações de uma determinada empresa. Nesse caso, a burocracia é extremamente diminuída. Gera conhecimento, consenso entre as partes, eliminando intermediários e serviços como auditores, especialistas legais, contabilistas e consultores durante a fase pré-IPO. Isso deve evoluir para a compra e venda de ações em pouco tempo, tornando as clearing houses obsoletas.

The DAO – Decentralized Autonomous Organization: Companhia de venture capital baseada em blockchain. Nesse caso, você paga com Ethe, que é uma moeda virtual da tecnologia Etherium, as cotas em participações no fundo. As regras do fundo rodam em cima de um smart contracts (contratos que são referenciados por regras que têm possibilidade de ser processadas pelos computadores), baseadas em blockchain, para, por exemplo, realizar as votações de investimentos em projetos. The DAO foi considerado o maior caso de crowdfunding da história, levantando mais de US$ 160 milhões. O caso da The DAO ficou famoso por umas das primeiras falhas encontradas por hackers neste tipo de tecnologia.

Entre outras possibilidades de uso de blockchain, imagine os seguintes casos:

Seguros peer-to-peer: Já existem startups apostando nisso, como é o caso dadynamisapp.com.

Consumer B2B: Wallets, pagamentos, câmbio, seguros, garantias, etc.

Capital markets: Títulos, empréstimos, compensação, propriedade de ativos, etc.

Back-end inter industry: Novos processos e remodelagem de serviços, redes de compensação internacional, etc.

Outros usos: Registros em geral, como casamentos, nascimentos e óbitos, histórico de saúde e ficha médica, procurações, ativos como equipamentos, imóveis, licenças, patentes, compliance, eleições, governança de pessoas jurídicas, comércio de energia, etc. Na Campus Party deste ano, inclusive, houve o primeiro registro de casamento feito via blockchain.

Desafios e evolução do blockchain

Casos de brechas e falhas, como a falha encontrada no sistema da The DAO associados a falta de entendimento por parte das diversas pessoas do mundo dos negócios, podem fazer com que o blockchain ainda leve algum tempo para ser aceito em várias indústrias e tipos de negócio, mesmo que sejam relacionados a negócios com alto grau de abertura para a automatização.

Alguns dos grandes desafios associados ao blockchain estão na falta de padronização, na baixa escalabilidade e massa crítica no uso, na volatilidade (exemplo do bitcoin), na privacidade e seus dilemas, nas indústrias diretamente afetadas em seus negócios (o dilema do inovador, que exige que um negócio praticamente se desmonte para um novo surgir), na criação de um ecossistema robusto de negócios e, finalmente, pelos poderes regulatórios que se tornam obsoletos (ou mesmo desnecessários) neste processo.

Em termos de tecnologia, ainda precisa descobrir qual a melhor experiência do usuário, confiabilidade das redes, tornar os middlewares mais maduros, escassez de capital humano, os sistemas legados, ecossistema de infra, custos associados, etc.

Estamos vivendo um momento único, pois este é apenas o começo de uma revolução nos negócios. Podemos ser protagonistas ou ficar olhando. Que tal escolher a segunda opção?

http://computerworld.com.br/tudo-o-que-voce-queria-saber-sobre-blockchain-e-tinha-receio-de-perguntar

 

 

Apple recebe permissão para testar carros sem motorista na Califórnia

Segundo WSJ, Apple recebeu permissão para testar três SUVs. Gigante de Cupertino se junta ao Google, Uber, Tesla e BMW para testar tecnologia autônoma para carros

Parece que a Apple não quer colocar o pé no freio para um carro autônomo próprio.

Na última sexta-feira (14/04), o Departamento de Transportes da Califórnia agora lista a Apple como uma das companhias que possui permissão para legalmente testar seus carros sem motorista no estado. Isso significa que a iniciativa de veículos autônomos da Apple, conhecido como Projeto Titan, está de volta à estrada.

O estado da Califórnia exige que todas as companhias com veículos autônomos registrem seus planos antes de testá-los. Outras companhias de tecnologia como o Google e Uber, além de montadoras como Tesla e BMW, também receberam permissões para testar sua tecnologia em vias públicas. A permissão do Uber foi recentemente entregue em março, mas a companhia tem mantido os testes por enquanto.

De acordo com o Wall Street Journal, as permissões da Apple cobrem três SUVs Lexus 2015 e seis diferentes motoristas que devem se sentar atrás do volante para monitorar a direção e assumir quando necessário. Além da permissão, o estado da Califórnia exige que as companhias preencham relatórios públicos sobre seus testes com carros autônomos, incluindo relatórios sobre acidentes e quantas vezes o motorista precisou assumir a direção. Isso abriria uma nova fase para a Apple, a medida que a companhia é conhecida por manter sob segredo todos os seus testes antes de lançar produtos no mercado.

Por que isso importa

Essa é a primeira indicação concreta de que o projeto supersecreto da Apple, o Projeto Titan,  ainda está em andamento.

Anteriormente, muito se especulava sobre o projeto de carros autônomos da gigante de Cupertino. Só em 2015 a Apple preencheu permissões para construir uma “área para teste de carros” próximo a Cupertino, alugou uma área de testes supersecreta e teve reuniões com o Departamento de Transportes do estado da Califórnia.

Em 2016, entretanto, a Apple pareceu deixar de lado a iniciativa, optando apenas por criar um software de direção autônoma para licenciar para montadoras, ao invés de começar um veículo Apple do zero. Esta seria uma novidade para a Apple, que tem criado seu legado por desenvolver tanto o hardware quanto o software em seus produtos.

Agora, a Apple será obrigada a preencher relatórios públicos para seus testes de direção autônoma e espere por mais informações sobre o Projeto Titan em breve.

 

Internet

 

Vazamento da NSA pode colocar Windows Server sob a mira de ciber ameaças

Supostas ferramentas de ciberespionagem da agência nacional de segurança dos EUA contêm cerca de 20 diferentes exploits baseados em Windows

O último vazamento das supostas ferramentas de ciberespionagem da agência nacional de segurança dos Estados Unidos, a NSA, é uma péssima notícia para companhias que rodam o Windows Server. As ferramentas, que agora se encontram disponíveis publicamente, conseguem facilmente hackear versões mais antigas do sistema operacional da Microsoft.

O Shadow Brokers, um misterioso grupo de hacking, vazou os arquivos para a web, levantando preocupações de que cibercriminosos poderão incorporar tais ferramentas em seus próprios ataques.

“Esse vazamento, basicamente, coloca ferramentas de estado nas mãos de qualquer pessoa que as queira”, disse Matthew Hickey, diretor da empresa de segurança Hacker House.

Ele está entre os pesquisadores que tem analisado os arquivos e identificou que eles contêm cerca de 20 diferentes exploits baseados em Windows – quatro deles que parecem alavancar vulnerabilidades de software anteriormente desconhecidas.

Cada exploit funciona como um programa que leva vantagens de uma falha de segurança. Pesquisadores estão ainda examinando os arquivos vazados, mas os exploits parecem funcionar em versões antigas do Windows, incluindo o NT, XP e Windows 7.

Entretanto, computadores que rodam o Windows Server estão particularmente sob risco, disse Hickey. Isso ocorre porque os exploits são geralmente projetados para alavancar vulnerabilidades nas funções do servidor online de uma máquina.

Hickey descobriu que um exploit incluído no vazamento, chamado Eternalblue, pode remotamente levar versões mais antigas do Windows a executar o código. Em um vídeo, ele demonstrou isso contra uma máquina que executa o Windows Server 2008 R2 SP1 e executou o hack em menos de dois minutos.

“Um hacker poderia usar essas ferramentas para invadir efetivamente computadores Windows ao redor do mundo e rodar seu próprio código para ataque”, explicou.

Por exemplo, um hacker poderia abrir uma backdoor em uma máquina para fazer o upload de outros códigos maliciosos que conseguem atuar como um ransoware ou para roubar dados sensíveis.

O que torna os exploits um grande problema em particular é que versões mais antigas do Windows Server ainda são amplamente usadas. A última versão do Windows Server 2016 foi lançada no final do ano passado.

“Há sérias vulnerabilidades, com um sério impacto na Microsoft”, disse Hickey.

A Microsoft ainda precisa lançar um patch, e ainda não está claro quando a companhia o fará. Na última sexta-feira (14), a gigante de software disse que ainda estudava os exploits vazados.

Computadores que estão sob um firewall devem estar seguros. Para aqueles que não estão, companhias devem considerar desabilitar certas funções que os exploits usam, disse Amol Sarwate, diretor de engenharia de segurança na Qualys.

Ele também recomenda que companhias levantem um inventário de seus ativos de TI para que elas saibam quais servidores podem estar vulneráveis.

“Clientes devem manter uma postura proativa aqui, e claro ter uma estratégia definida para repará-los quando um patch ficar disponível. O gerenciamento de ativos de TI é fundamental aqui”, ressaltou Sarwate.

 

Internet

 

UBER – Autônomo – Dona do Google quer que seu processo contra o Uber seja público

A Alphabet, dona do Google, quer que o seu processo contra o Uber tenha continuidade de forma pública. Para isso, a gigante entrou com um pedido contra a ação do Uber pedindo para que o caso fosse para arbitragem, o que o manteria privado.

 

No documento, a Waymo, subsidiária da Alphabet para carros sem motorista, diz que “não consentiu com a arbitragem na disputa com o Uber”. 

 

Depois, a companhia continua, dizendo que “não pode ser coagida para a arbitragem simplesmente porque os segredos comerciais roubados pela Uber e que a Uber vem usando em seus carros autônomos vêm de ex-funcionários da Waymo. Essa não é a lei”.

 

Entenda o caso

Em 23 de fevereiro, a Alphabet a entrou com uma ação contra o Uber e sua startup Otto, companhia que desenvolve caminhões autônomos – alegando que ambas estavam usando propriedade intelectual roubada da Waymo.

Ao levantar a tecnologia, o Uber supostamente construiu seu próprio sistema LiDAR (Light Detection and Ranging)  dentro de nove meses, quando a Waymo vinha desenvolvendo a tecnologia há quase sete anos, alegou a empresa.

“A concorrência leal estimula a inovação tecnológica, mas o que aconteceu aqui não é uma concorrência justa”, diz a Waymo no processo. 

A Otto, comprada pelo Uber no ano passado, foi cofundada por um ex-funcionário da Waymo chamado Anthony Levandowski, que agora lidera a divisão de carros sem motorista do Uber.

No entanto, antes de sair, Levandowski teria baixado “mais de 14.000 arquivos de design altamente confidenciais e proprietários” de sua antiga empresa em dezembro de 2015, segundo afirma a Waymo.

Entre os arquivos estavam os projetos para o sistema LiDAR da Waymo e placa de circuito, que é uma tecnologia-chave que ajuda os carros autônomos a mapearem seus arredores.

A Waymo descobriu mais tarde a partir de um fornecedor que a própria placa de circuito LiDAR do Uber “tinha uma semelhança impressionante” com a sua. Outros ex-funcionários da Waymo que partiram para o Uber e Otto também foram encontrados baixando arquivos sensíveis, alegou a companhia da Alphabet.

“Acreditamos que essas ações foram parte de um plano orquestrado para roubar os segredos comerciais e a propriedade intelectual da Waymo”, disse a empresa em um post explicando o processo.

O Uber respondeu às acusações na época, dizendo que “levamos a sério as alegações feitas contra os funcionários da Otto e do Uber e vamos rever esse assunto com cuidado”.

A ação de Waymo também alegou que o Uber está infringindo suas patentes. A empresa está buscando uma soma não divulgada em danos e uma injunção contra o Uber, impedindo-a de praticar outros atos de concorrência desleal.

“Centenas de engenheiros da Waymo gastaram milhares de horas, e nossa empresa investiu milhões de dólares, para projetar um sistema LiDAR altamente especializado e único”, ressaltou a Waymo.