Simuladão LPI

Caros leitores,

Gostaria de divulgar uma excelente iniciativa do site Certificação Linux LPI. Eles estarão realizando no dia 7 de novembro de 2009 um simuladão para a prova de certificação LPI. O simulado será gratuito, mas quem desejar poderá fazer uma doação.

Após a realização do simulado será possível verificar se você obteve êxito na prova.

Você pode se inscrever aqui.

Entrevista no programa Roda Viva de Jon “Maddog” Hall – Presidente da Linux International

Após um tempo de jejum, volto a dedicar-me ao Blog.

Não sei se todos tomaram conhecimento, mas Jon “Maddog” Hall (presidente da Linux International) concedeu uma entrevista ao programa Roda Viva da TV Cultura durante um dos maiores eventos de tecnologia do país – a Futurecom.

Na pauta das discussões o tão pôlemico tema – Software Livre (SL) vs. Software Proprietário.

Aqui faço uma ressalva para não confundirmos livre com gratuito. São abordagens bem diferentes. Quando afirmo que determinado Software é livre, estou afirmando que quando eu adquirí-lo (quer seja pago ou gratuito) eu terei direito ao seu código fonte. A partir daí, poderei alterá-lo como achar melhor para que ele atenda as minhas necessidades.

Quando possuo essa liberdade de alterar o código fonte, nasce um outro conceito – SaaS (software como serviço, traduzido).

Agora, o software deixará de ser um produto e passará a ser um serviço, a medida que eu poderei customizá-lo para atender necessidades específicas de cada um dos meus clientes.

Durante a entrevista, Jon foi bastante incitado e provocado a falar sobre a Microsoft. Um fato interessante revelado por ele é que nos EUA há legislações diferentes para empresas de porte diferentes. Lá o monopólio é permitido. No entanto, esse monopólio é fortemente regulamentado pelo governo para que abusos não sejam cometidos.

Jon revelou ainda que na sua opinião, o SL é uma questão econômica e independe de ideologia político-partidária. Houve momentos em que um dos entrevistadores insistiu que na verdade a questão era extremanente política. Porém, no final foi esclarecido o ponto de vista de Hall e se pode mostrar as nuances econômicas por trás da produção de software.

Outro quesito interessante abordado foi a empresa Google. Jon foi questionado se o Google era bom ou ruim. Ele respondeu que não sabe dizer se o Google é bom ou ruim. Respondeu apenas que o Google está fazendo muito dinheiro através do software livre.

No geral a entrevista foi interessante. Entretanto, creio que o nível poderia ter sido melhor se o nível técnico dos entrevistadores fosse mais alto. Assim, ao invés de ficar discutindo se SL era estimulado por um fator econômico ou político, ou se a Microsft é ou não o demônio, outras questões mais interessantes poderiam ter sido abordadas. Por exemplo, o que se espera do SL para os próximos cinco anos? E nos próximos dez?

Como ele vê o avanço do SL nos últimos anos? O que mais facilitou esse avanço? Como as pessoas que estão entrando na área de TI e as pessoas que já fazem parte – mas conhecem pouco a respeito de SL – podem se esclarecer mais a respeito do assunto? Como se qualificar em SL? O que são certificações profissionais e quais são as recomendadas na área de SL?

Essas são apenas algumas das questões que poderiam estar em pauta para tornar o debate mais interessante. Mesmo assim, a entrevista foi bastante interessante e iniciativas como essas devem ser cada vez mais estimuladas.

10 razões para nao adotar a nuvem

Mais uma vez a Cloud Computing (CC) volta a cena. Durante uma de minhas navegadas pela rede descobri um artigo sobre CC que achei interessante(em inglês). Resolvi traduzir para facilitar o entendimento. Não sei qual o principal objetivo do autor (se era realmente mostrar que não se pode confiar na nuvem, ou “aparecer” sendo contra a tendência da CC, enquanto a grande maioria dos especialistas da área são a favor).  Resolvi fazer alguns comentários sobre cada razão apresentada pelo autor.

1. Cloud Computing torna o seu setor de TI excessivamente dependente da Internet:

A CC existe da premissa que a Internet estará sempre robusta e confiável. Por mais otimistas que sejamos, há sempre o perigo dos imprevistos. Se empresas perderem a conectividade com a nuvem por alguns dias, ou houver uma interrupção na Internet afetar os serviços na Nuvem, podem haver sérios danos. Onde estaria seu banco de dados na nuvem? Pensando nisso, voce poderia preferir que seus servidores estevissem no seu quintal, ao invés de estarem localizados em um lugar desconhecido.

Comentário:

É bem verdade que através da nuvem, as empresas e usuários ficarão bastante dependentes da Internet. No entanto, não podemos esquecer que a cada dia mais largura de banda é acrescentada nos links mundo afora. Todos os dias novas tecnologias são desenvolvidas visando o crescimento da Internet. Os consumidores estão mais conscientes e mais exigentes. Com isso, se os governos incentivarem a concorrência entre as operadoras e ISPs (permitindo a entrada de novas empresas) a Internet terá equipamentos melhores, com maior confiabilidade, segurança e disponibilidade. É necessário que a concorrência entre as empresas seja estimulada e que investimentos sejam realizados. Assim, aumentaremos a disponibilidade e reduziremos o risco de que empresas tenham prejuízos por conta de uma indisponibilidade causada por falha nos equipamentos da Internet.

2. Cloud Computing vai atrair clientes principalmente em mercados ocidentais:

O CC assume implicitamente que a Internet é tão robusta mundialmente como é na América do Norte, Europa e algumas partes da Ásia. Mas clientes de países onde a conectividade onde a Internet é esporádica são desencorajados a entrarem na nuvem. Até a Índia, um país que é potência na área de TI continua a ter baixas velocidades de conectividade com a Internet. O descaso com a infraestrutura é tão notável que a maioria dos Indianos preferem as velocidades limitadas das Internet Móvel sem fio das companias de celulares. Até quedas de energia podem inviabilizar o acesso a nuvem. Eles aprederam que não devem confiar na infraestrutura da Internet nem de energia do governo. Eles matém seus próprios backups de geração de energia no próprio site.

Comentário:

Não se pode negar que os paises emergentes e de terceiro mundo ainda sofrem com a escassez de investimentos em infraestrutura de TI e que governos e iniciativa privada não investem o quanto deveriam para que possamos ter links com a largura de banda cada vez maiores e tecnologias que promovam uma disponibilidade cada vez maior – o que colocaria estes paises na vanguarda da tecnologia e poderia inserir as empresas desses paises na nuvem. Se houverem os devidos investimentos nesses paises, com certeza haverá demanda por serviços na nuvem.

3. Cloud Computing torna você dependente da boa vontade do seu ISP:

A CC pode requerer largura de banda gratuita para o cliente dependendo da localização do cliente na nuvem. E os mesmos ISPs que clamam por largura de banda podem cobrar, se proteger e até excluir usuários que excedam seu limite de largura de banda.

Comentário:

Isso já acontece sem termos de fato a CC funcionando com todo seu potencial. Há muito tempo que os ISPs praticam o traffic shapping, punido usuários que realizam muitos downloads – principalmente através de torrent. Já aconteceram casos de punição de ISPs no EUA, mas ainda não há legislação específica para punir os ISPs que limitem o tráfego dos clientes, muitas vezes baseados no contrato no qual o ISP garante apenas 10% do valor contratado. Portanto, não adiante querer influenciar pessoas a não adotarem a CC por causa de uma prática já disseminada pelos ISPs.

4. Cloud Computing pode expor clientes à práticas não éticas de seus ISPs:

Grandes provedores têm espiado as redes de seus clientes P2P em nome da indústria fonográfica. Será que podemos confiar nesses provedores para tratar o tráfego sensível e da nuvem? Dizem-nos que tudo vai ser criptografados através de VPNs. Mas, ainda assim, dado o papel maculado dos ISPs (Internet Service Provider), podemos confiar neles para o tráfego não-criptografado?

Comentário:

A verdade é que tendo em vista os acontecimentos que cercam clientes e ISPs, não podemos confiar neles (ISPs). Casos de violação de privacidade, dados revelados e traffic shapping não refletem que devemos confiar nessas empresas. Claro que temos as tecnologias que acrescentam criptografia e tornam as comunicações mais seguras. Nesse tipo de comunicação os ISPs não podem interferir. Entretanto, para os tráfegos não criptografados, deverá ser criada uma legislação específica para proteger os possíveis abusos que eventualmente os clientes possam ser vítimas.

5. Cloud Computing é contra o espírito de Computação Pessoal :

Computadores pessoais foram feitos para capacitar os indivíduos, torná-los mais indepen- dentes e produtivos. A maioria dos pesos pesados da indústria de hoje devem seu sucesso ao viver de acordo com estas expectativas. Microsoft e IBM aliciaram o inesperado de Cloud Computing e é mais parecido com a Toyota, que adota o modelo de negócio de uma agência de alugar automóveis (Se isso viesse a acontecer, a Toyota poderia igualmente remarcar-se na moda do Vale do Silício, como uma assinatura baseada Provedor de Serviço de Transporte).

Comentário:

Com a evolução da CC é de se esperar que a computação pessoal sofra uma queda. Pórem, não é mérito apenas da CC. Há algum tempo que mobilidade passou a ser palavra de ordem no ramo da TI. Com a redução dos custos com hardware, miniaturização dos componentes e aumento do poder de processamento, dispositivos móveis vêm ganhando cada vez mais espaço entre os usuários. Então, colocar apenas a CC como culpada por ser contra o espírito da computação pessoal é querer menosprezar que a mobilidade se tornou uma necessidade da grande maioria dos usuários.

6. A CC torna a sua nuvem dependente das leis americanas:

Como a maioria dos grandes servidores Cloud Computing são operados por empresas sediadas nos Estados Unidos, os dados que você colocar na sua nuvem está sujeito à lei americana. E a lei americana, por sua vez, está sujeita a substituições, lacunas, “Atos Patrióticos”, e as exceções, dependendo da agência governamental (ou de pessoas/interesses) que os seus dados requerem. Você não pode sequer ser informado de que seus dados foram comprometidos pela mesma razão que, Jack Bauer começa torturarando seus reféns/prisioneiros – segurança nacional. E antes de chegar à nuvem, seus dados passarão por ISPs americanos que fornecem o tempo de atividade da nuvem. Os dados podem ser interceptados por Agências Estado antes mesmo de atingir as nuvens.

Comentário:

Mais uma vez quer se colocar culpa na nuvem por uma prática que já acontece desde o início da Internet. Os EUA sempre tiveram o controle da maioria da Internet. Para começar, a maioria dos servidores DNS raiz estão de posse dos EUA. As agências dos EUA monitoram a maior parte do tráfego da Internet, sobre o velho pretexto da segurança nacional. Agências como NSA, FBI e CIA possuem meios de monitorar a maior parte da atividade da Internet. Na CC, essa prática vai continuar sim, e deixar de adotar CC por causa de uma prática já realizada há muito tempo é insensato.

7. Cloud Computing pode expor seus dados confidenciais com “elementos corruptos” (e não, eu não estou falando de hackers e ladrões de identidade):

Uma vez que a corrupção na sociedade ocidental é mais um clube, a maioria das pessoas se referem a ela apenas em termos redigidos. Mas a menos que você seja realmente ingênuo(a), é uma realidade que você deve estar preparado para lidar com eles. Já em 2004, um cara Utah conseguiu números de cartão de crédito. O problema era que o nome e o endereço da aplicação só tinha sido previsto para o Registro de Veículos Automotores. A má notícia não é que as Agências do Estado Americano têm acesso backdoor às empresas americanas. Em vez disso, as empresas americanas têm uma relação incestuosa com as Agências do Estado Americano. Supondo que você é uma corporação não-americanas com sua nuvem hospedada por uma empresa americana, e seu principal concorrente é um peso-pesado americano com acesso backdoor para as agências estaduais, seus dados confidenciais sobre a nuvem pode ser apenas algumas chamadas de longa distância. Corporações norte-americanas são conhecidas por usar as agências estaduais como exércitos pessoais, embora muito pouco disto fica documentado. Pior, se o CEO da empresa que hospeda o Cloud e o CEO do seu concorrente pertencem à mesma fraternidade, os seus dados confidenciais sobre a nuvem pode ser apenas um aperto de mão de longa distância. Naturalmente, os dados sobre a nuvem estão encriptados e não podem ser acessados por qualquer um que não seja você mesmo. Mas até então, sempre há exceções.

Comentários:

Novamente se tenta justificar a teórica não viabilidade da CC com fatos que já ocorrem desde o advento da Internet. Não é novidade que sempre houve aproximação entre as grandes corporações americanas e as agências governamentais, e que essa aproximação sempre visou o lucro exagerado. Tecnologias como VPN e criptografia podem reduzir significati- vamente a facilidade de acesso a esses dados, garantindo um nível razoável de confidencialidade e integridade dos dados.

8. Cloud Computing está soando mais como um hall de entrada do que uma tendência:

De repente, todos os dedos, gurus e especialistas estão clamando para Cloud Computing. Os artigos estão aparecendo em publicações respeitáveis pesando os prós e contras. Chefes de negócios estão exibindo como eles conseguiram cortar custos. Será que podemos lembrá-lo de Big Tobacco, Sugar Big, Big Science e Big Pharma? Você compra no escuro? Você está disposto a “investir” os seus dados no sistema?

Comentário:

Erros já aconteceram durante a história. Na realidade, não há comprovação de que realmente a CC irá dar certo. Só o tempo, investimentos, empenho de empresas, universidades, governo poderão dizer se a CC virará um padrão ou não foi apenas fogo de palha. O que é certo, é que devido a necessidade de mobilidade e alta disponibilidade aonda quer que o usuário esteja, a CC busca atender a essas necessidades. Ainda há muitas questões para serem resolvidas, principal- mente com relação a segurança. Assim sendo, teremos que aguardar que os investimentos sejam feitos e que os desafios sejam vencidos. Só então a CC se tornará um padrão de fato.

9. Cloud Computing pode ser de pouca importância para pequenas e médias empresas:

A edição de maio 2009 da WIRED publicou um artigo interessante sobre Cloud Computing, destacando prós e contras. O exemplo citado chave a favor de Cloud Computing foi de um consultor de informações Eli Lily, que, como um cliente da Amazon Web Services usa o iPhone para rodar “análise genômica” on the Cloud. Como os executivos de muitas empresas podem se imaginar fazendo isso?

Comentário:

Como toda tecnologia, a CC também apresenta seus prós e contras. Limitar-se em destacar apenas um empresário que utiliza Iphone é ser bastante limitado em idéias. Se imaginarmos o Google Docs. Você saber que agora pode realizar todo o seu trabalho (que depende de uma suíte office) com um processo mínimo na sua máquina local. E ainda, que esses arquivos estarão disponíveis em qualquer lugar, a qualquer hora. Não será necessário pagar licenças, instalar softwares localmente e tudo de forma transparente para o usuário. Essas são apenas algumas das vantagens iniciais da CC, e a medida que a tecnologia for evoluindo, mas aplicações se tornarão possíveis e atenderão pequenas, médias e grandes empresas.

10. Cloud Computing pode não contribuir para a economia nacional:

Quando você comprar o hardware, software e consultoria técnica para a criação de um servidor localmente, você está apoiando diversas empresas locais. Com o Cloud Computing, você ignora todos estes. Mas os principais fornecedores de Cloud Computing são de propriedade americana e norte-americana? Sim, são. Mas quando descobrirem, eles poderão pensar em terceirização. E Cloud Computing é muito viável para terceirizar. Dado o seu histórico,não exatamente estimar empregando-americanos, a menos que Obama os obrigue a fazê-lo.

Comentário:

Novas tecnologias sempre virão. Com a CC não é diferente. Novas tecnologias sempre causam desemprego – o desemprego estrutural. São postos de trabalho que se fecham e nunca mais se abrem. No entanto, novas oportunidades são criadas, e se as pessoas não estão preparadas fica complicado colocar a culpa na nova tecnologia – e não na falta de compe- tência do profissional ou na falta de adaptabilidade dele para novas tecnologias.

Redes Wireless – A mobilidade reduz a segurança

Como eu havia prometido no post (In)Segurança – Desafio doméstico e corporativo estarei falando um pouco sobre a segurança em redes sem fio.

Há algum tempo as redes wireless vêm ganhando espaço devido a um fator que as vezes torna-se indispensável – mobilidade.

A cada dia novas pessoas adquirem celulares, notebooks, netbooks e mais uma infinidade de equipamentos que permitem o estabelecimento de comunicações móveis. Com o crescimento do número de usuários móveis e de aparelhos que permitem tal comunicação, as redes wireless cresceram absurdamente e a segurança teve que evoluir. Entretanto, muitos desafios ainda precisam ser vencidos.

A história das redes wireless teve início na ALOHANET, uma rede sem fio cuja topologia era estrela (topologia que possui um concentrador e os demais nós da rede dispõem-se de maneira a formar uma espécie de estrela) e era utilizada para interligar 7 campi que localizam-se em 4 ilhas. O concentrador da tologia era a ilha de Oahu.

Nas redes sem fio, o meio de transmissão utilizado para comunicação é o AR. Assim, além de o meio ser compartilhado, qualquer pessoa que conheça a frequência utilizada na comunicação  pode utilizar um dispositivo que opere nesta mesma frequência, e assim capturar dos dados que estão trafegando.  É nessa facilidade de acesso em que se baseia a insegurança nas redes sem fio.

Comunicação sem fio é exigência em muitas aplicações. Atualmente, a necessidade de remoção do cabeamento se faz presente em muitas aplicações. Já temos mouse sem fio, teclado sem fio, fones sem fio, etc. Até algo inesperado como a energia elétrica já está tendo uma versão sem fio sendo desenvolvida.

Apesar dessa facilidade de interceptação das comunicações sem fio, a segurança neste tipo de rede já evoluiu bastante. Tudo iniciou-se com a WEP (Wireless Equivalent Privacy), que como o próprio nome diz, prometia uma privacidade equivalente à das redes cabeadas.

Entretanto, algumas aplicações foram desenvolvidas e através delas se pode quebrar uma chave de criptografia WEP em pouco mais de 3 minutos. utilizando um sniffer, uma ferramenta de geração de pacotes (tráfego) de rede e um analisador para quebrar a chave WEP – que passa em texto claro pelas comunicações da rede.

Em seguida surgiu o WPA (Wi-fi Proteced Access) e seu sucessor – o WPA2. Ambos possuem suas características e protegem significativamente as redes wireless atuais, desde que estejam corretamente configuradas em toda a rede.

Algumas redes sem fio de maior porte (ESS – Extended Service Set, redes que possuem mais de um Access Point) possuem autenticação por redes cabeadas, utilizando tecnologias como RADIUS, CHAP, EAP, etc. Todas essas tecnologias cabeadas objetivam que a comunicação não seja interceptada durante a autenticação, e que um atacante possa se fazer passar por um usuário válido.

Na redes cabeadas, para que se possa interceptar uma comunicação, o atacante deve fazer parte do meio compartilhado, o que significa que ele deveria estar no mesmo barramento (cortar o fio e fazer uma emenda nele com o seu próprio cabo de rede) para poder interceptar a comunicação. Essa característica confere às redes cabeadas um nível de segurança que as redes wireless não possuem.

Por isso que a mobilidade exige que mais precauções sejam tomadas com a segurança para que se evitem surpresas desagráveis em suas redes.

Até a próxima…

BOTNETS – As redes de máquinas zumbis

Como eu havia falado no último post, as redes zumbis seriam assunto para um próximo post… E aqui estamos!

É bem verdade que a Internet hoje faz parte da realidade e da rotina de várias pessoas. Ela evoluiu bastante e a maioria das tarefas é bastante simples de serem realizadas. É o que chamamos de aplicações transparentes para os usuários – o que permite que não só as pessoas da área de TI utilizem-na.

Essa facilidade também traz alguns riscos. Aspectos de segurança as vezes são deixados de lado pelos desenvolvedores de aplicaçãoes web em virtude de facilitar o uso.

Todos os dias novas vulnerabilidades em aplicações web são descobertas. A própria Internet facilita a exploração das vulnerabilidades existentes. Inúmeros sites com dicas prontas (receitas de bolo) são criados todos os dias, o que permite que pessoas com pouquíssimo conhecimento consigam explorar vulnerabilidades e causar algum dano nos sistemas invadidos.

Um dos principais motivos da onda crescente das redes zumbis são os clicadores compulsivos. Pessoas que clicam em links de origem duvidosa, mesmo sem conhecer quem deu origem à mensagem. Quando colocamos o mouse sobre o hiperlink no browser (navegador) podemos ver para qual link seremos redirecionados, como na figura abaixo o link está dentro do quadrado vermelho no canto inferior esquerdo da tela.

Mostra para qual página o browser redicionará a partir do link.

Quando o usuário clica em links que redirecionam para arquivos maliciosos, esses arquivos são instalados no computador da vítima. Os computadores infectados passam a enviar dados para o computador que o atacante direcionar. Com apenas um único comando o atacante pode disparar um ataque DDoS (DoS Distribuído).

Esse ataque consiste em termos uma rede de zumbis (BOTNETS) e fazer com que vários computadores infectados façam requisições a uma máquina alvo – geralmente um servidor de uma grande empresa. Com isso, o atacante torna o serviço disponibilizado por tal servidor indisponível. A partir desse ponto, os atacantes podem partir para outros ataques. Um deles, o mais comum é o de IP Spoofing, que consiste em se apoderar do endereço utilizado para estabelecer comunicação com o servidor atacado (endereço IP válido do servidor). Assim, os atacantes realizam outras invasões se fazendo passar  pela máquina atacada – o servidor do Banco do Brasil, por exemplo.

Outro problema são e-mails que despertam curiosidades nos leitores, mesmo que sejam inaceitáveis. Por exemplo, há cerca de 6 meses a pessoa não vai a uma festa e recebe um e-mail dizendo: “Olhe as fotos do churrasco.” Então, fica a dica de sempre… Temos que deixar de ser clicadores compulsivos!

Outra dica, mantenha seu anti-vírus e seu anti-spyware sempre atualizados. É uma atitude que diminue bastante o risco de adquirir programas maliciosos e ter a máquina infectada, fazendo parte de uma BOTNET.

(In)Segurança – Desafio doméstico e corporativo

Devido à evolução das redes, hoje a Internet se tornou realidade. Apesar de ainda faltar muito, não podemos negar que muito mais pessoas estão acessando a Internet – quer seja em casa (discada ou banda larga), que seja através de uma Lan House, trabalho ou escola.

Um dos fatores mais críticos no universo das redes é a Segurança. Possuir conhecimentos mínimos sobre uso correto da Internet é imprescindível para uma navegação mais segura e tranquila.

Para tal finalidade, não é necessário conhecer sobre protocolos e equipamentos utilizados nas redes dos provedores de Internet. Há inúmeras dicas básicas que facilitam a vida do usuário “leigo”.

Primeiramente, devemos diferenciar as classes de pessoas que exploram as vulnerabilidades. Primeiramente, devemos diferenciar os hackers dos crackers.

Mesmo que a imprensa insista em chamar todos de hackers, estes só exploram as vulnerabilidades com intuito de aprendizado – procuram não causar danos ao sistema invadido. Já os crackers é que ao invadir, causam danos, roubam senhas e arquivos importantes que por ventura forem encontrados.

Ainda temos outros grupos, dentre eles os script kiddies que não possuem conhecimentos aprofundados e apenas se utilizam de ferramentas prontas criadas por hackers e crackers. Temos ainda os phreakers, que exploram falhas nos sistemas de telecomunicações com o objetivo de utilizá-los sem dispender dinheiro. Finalizando, temos os spammers, que enviam e-mails indesejados com intuito de infectar máquinas e criar redes de computadores zumbis (BOTNETS – assunto para outro post).

Depois de classificar os atacantes, podemos falar sobre alguns tipos de ataques. Um ataque que já foi bastante utilizado e evouliu foi o DoS (Denial of Service – Negação de Serviço), que consiste em inundar uma máquina com requisições até que essa máquina não consiga mais processar as requisições dos clientes e o serviço em questão fique fora do ar (indisponível). A evolução desse ataque é o DDoS (Distribuited DoS – DoS Distribuído), que é um DoS comum, mas as requisições partem (simultaneamente) de várias máquinas infectadas e conectadas à Internet.

Outro tipo de ataque é o MinM – Man in the Middle – que consiste no atacante se posicionar entre uma comunicação ponto-a-ponto e se fazer passar por um dos nós participantes da comunicação (roubando a sessão) ou apenas capturando os dados trocados entre os nós participantes  da sessão.

Em seguida, temos os programas que permitem explorar falhas. Primeiramente, podemos citar os keyloggers – programas que registram tudo que o usuário da máquina infectada digita. Isso permite a captura de senhas e informações secretas de quem utilizar a máquina infectada. Há também os spywares, que geralmente estão presentes em máquinas cujos usuários são clicadores compulsivos. Clicam em qualquer link que vejam em e-mails, sites desconhecidos, etc. Os spywares criam as redes zumbis (BOTNETS), que permitem o ataque DDoS. Por isso, ao navegar na Internet devemos ter muito cuidado no que vamos clicar. Ao receber um e-mail com um anexo, verificar o usuário que enviou. Se você não conhece, apague. Se conhece, e mesmo assim ainda está desconfiado, mande um e-mail ou ligue para o contato que originou a mensagem. Não custa nada e você terá certeza de que não estará instalando um software espião e fazendo parte de uma rede zumbi e porteriormente de um ataque DDoS – mesmo sem o seu consentimento.

Outros cuidados podem ser tomados. Por exemplos, não clicar em links de bancos, ministérios, lojas para realizar recadastramento ou enviar dados pessoais. Essas instituições não entram em contato com clientes e usuários para alterações cadastrais, LEMBRE-SE DISSO!

Há outras classes de programas que podem causar danos aos sistemas. São eles malware, vírus, worms, etc. Os próprios vírus podem ser dividos em classes – como os vírus de macro.

Uma área de (in)segurança que surgiu a muito tempo e ainda hoje permite que se adquira informações sobre a rede e suas características é a Engenharia Social. Seu pioneiro foi o hacker Kevin Mitnick – autor dos livros A Arte de Enganar e A Arte de Invadir, ambos ligados ao assunto.

Através de conversas e ganho de confiança, o atacante consegue obter informações sensíveis da rede, como localização da sala de servidores, telefones e informações pessoais do pessoal da TI, etc. De posse dessas informações, o atacante pode explorar a rede e utilizar essas informações para tentar “advinhar” senhas, se fazer passar por algum funcionário e descobrir informações mais críticas e secretas, etc.

Há também uma diferença entre fazer a segurança de uma rede cabeada e uma rede wireless (sem fio – outro assunto para outro post futuro).  As rede wireless possuem características que as torna bem mais difíceis de ter sua segurança gerênciada.

Finalizando, há inúmeras pessoas que acham que os maiores perigos e ataques vêm de fora da rede… ERRADO! A segurança deve ser mais pensada no âmbito interno da empresa. Pesquisas revelam que as falhas exploradas geralmente possuem ligação com informações fornecidas por fatores internos. Funcionários insatisfeitos, falta de uma política de segurança bem elaborada na empresa, falta de capacitação dos funcionários. Por isso, estabelecer um política de segurança bem elaborada, capacitando os funcionários, mostrando os porquês das proibições, e aplicar a política à todos os níveis da empresa (inclusive os donos e os funcionários da TI, eles não podem ser exceções) são imprescindíveis para o sucesso da implantação da política de segurança e a minimização das falhas e ataques que podem causar indisponibilidade da redes e de seus serviços.

A área de segurança vêm crescendo há algum tempo, e pelas tendências não deixará de crescer por muito tempo, haja vista que hoje o volume de informações digitais trafegadas é exorbitante, as empresas investem cada vez mais em segurança, e pessoas capacitas nessa área serão muito cobiçadas pelas empresas e serão bem remunerados.

Mudanças…

Bem pessoal, após alguns dias sem postar, resolvi realizar uma mudança no visual do site… Como não possuo muito tempo livre (nem entendo muito de programação Web – o fator mais relevante), acabei utilizando os estilos disponibilizados pelo Word Press.
Espero que possa tornar a leitura mais agradável visualmente falando.
Em breve voltarei a postar algo sobre tecnologia!
Até breve…

Possível reviravolta no mercado de software

Está em discussão um tema que pode causar uma reviravolta no mercado de software.

Vários segmentos da sociedade que adquirem software – geralmente de softwares houses – estão pensando em responsabilizar as empresas (e consequentemente seus programadores e analistas)  pelos seus códigos.

Não entendeu? Pense no caso dos engenheiro civís. Eles são  responsabilizados quando uma obra vem abaixo e causa prejuízos materiais e humanos. As penas variam, mas podem cassar o registro no conselho de engenharia e arquitatura (CREA), prisão, multas e assistência a(s)  família(s) da(s) vitíma(s).

Essa nova forma de ver o software pode ter um lado positivo. Precisaremos cada vez mais de profissionais altamente qualificados não só em linguagens, mas também em lógica de programação e algorítmos para evitar falhas de segurança. Possivelmente a qualidade virá em primeiro lugar.

Ao mesmo tempo isso pode se tornar um fator negativo, pois tornará mais concorrido ainda o mercado de TI. Os profissionais necessitarão cada vez mais de qualificação, e será dificíl que as empresas queiram arcar com as despesas desses treinamentos (que na área de TI são absurdamente caros). Sem contar que deve haver um aumento siginificativo no custo dos softwares devido ao aumento dos custos com profissionais qualificados, treinamentos, etc.

Para se ter uma noção do nível de problemas que podem ser causados por falhas em softwares, foi divulgada uma estatística que relata que 96% dos sites de negócios possuem falhas de segurança críticas e podem gerar prejuízos incalculáveis.

Há inúmeras classes de profissionais que são responsabilizados por eventuais falhas nos seus produtos e/ou serviços. Partindo desse pressuposto, inúmeras classes que adquirem software estão cobrando dos políticos que seja votada uma lei que responsabilize os profissionais e empresas por seus códigos caso haja alguma falha (principalmente de segurança) – e prejuízos sejam causados.

Esse movimento é de escala mundial. Outros países já discutem essa temática e um grupo de especialistas divulgou uma lista com as 25 falhas em códigos e que devem ser evitadas. Dentre os especialistas temos a NSA (Agência Norte-americana de Segurança).

Entre as falhas podemos encontrar:

1. Validação errada de entrada de dados: Esse tipo pode permitir um ataque de SQL Injection.

2. Falha dem preservação da estrutura de comandos do Sistema Operacional: Aqui, o atacante pode obter previlégios de modo root e acessar diretamente dispositivos da máquina alvo.

3. Transmissão em texto puro de informações sensíveis: Isso pode fazer com que através de um sniffer um atacante possa capturar os dados que passam na rede em texto puro e tomar posse de informações críticas e sensíves da rede alvo.

O objetivo dessa lista é servir de referência para novos programas que serão criados, e para que os clientes possam exigir softwares de qualidade.

A lista com todas as falhas podem ser encontradas aqui (em inglês).

Neste ponto cabe a discussão: E os softwares livres que são adquiridos gratuitamente e que podem conter modificações de inúmeras pessoas? Será que eles entrarão nessa legislação? E que direito terá uma empresa de cobrar por danos causados por um software no qual ele não dispendeu recursos para adquirir? E se houver um contrato de consultoria e treinamento do software livre? A empresa passa a ter direito de cobrar ressarcimento em caso de danos causados por estes softwares?

Estas discussões (e outras que com certeza surgirão) deverão ser bem analisadas pelos setores especialistas, clientes e políticos para que possam chegar a um acordo que beneficie clientes, profissionais e empresas de software.

Reconhecimento

Segundo o psicólogo americano Abraham Maslow, os seres humanos possuem 5 tipos de necessidades básicas que geram motivação. São elas:

1. Necessidades de  Auto Realização.

2. Necessidades de Status e Estima.

3. Necessidades Sociais (afeto).

4. Necessidades de segurança.

5. Necessidades fisiológicas.

Então, a necessidade de reconhecimento faz parte da pirâmide motivacional de Maslow. Ai vocês podem estar se perguntando… E o que isso tem a ver com tecnologia?

Hoje fui pego de surpresa ao ver que um comentário que fiz na seção Tecnoguia do site do jornal Diário do Nordeste foi reconhecida e meu nome foi citado na edição de hoje (17/05/2009).

Creio que para muitos isso possa parecer irrelevante e até soberba, mas só de pensar de ver seu nome em um jornal de circulação estadual por conta de uma opinião sua, e numa área que cresce a cada dia – Tecnologia da Informação – confere uma imensa alegria de perceber que o esforço de aprender e poder compartilhar o aprendizado está realmente sendo reconhecido e valendo a pena.

Imaginem a alegria que senti quando fui ler a coluna (que me foi mostrada pelo meu pai, e desde então continuei a ler sempre que posso) e vi meu nome sendo citado!

Agradeço ao Ebenezer Fontenele, escritor da coluna Tecnoguia pelo reconhecimento.

VANET – Vehicular Ad-hoc Network

Uma das tendências do futuro no setor automobilístico são as Vanets (Redes Ad-hoc Veiculares). As Vanets são uma subcategoria das redes Manet (Mobile Ad-hoc Network, Redes Móveis Ad-hoc).

Uma rede Ad-hoc é uma rede sem fios na qual não há a presença de um equipamento concentrador – access point. Assim, não há necessidade de um equipamento que concentre as comunicações na rede. Dois nós da redes podem iniciar uma comunicação sem a necessidade de haver autenticação em um acces point.

Essa tecnologia equipa os carros com adaptadores de redes wireless e faz com que carros próximos possam trocar informações. Com isso os carros podem repassar informações a respeito do trânsito, condições de vias mais a frente, acidentes que por ventura tenham ocorrido nas vias, etc.

Outra alternativa de uso para a tecnologia é na prevenção de acidentes automobilísticos. Já está em estudo em laboratórios  e em alguns anos poderá ser utilizada para a prenção de acidentes. Os carros serão equipados com sensores e quando perceberem que um acidente está na iminência de ocorrer, um carro é eleito como líder do grupo próximo e toma as decisões para cada carro e o que eles devem fazer. Neste momento o motorista perde o controle do carro, que passa para o computador. Isso faz com que cada carro tome a decisão informada pelo líder.

Algumas das dificuldades encontradas nas Vanets são as constantes mudanças na localização dos veículos, a extensa troca de mensagens com carros próximos exigindo uma capacidade razoável de armazenamento e a principal – a segurança.

Ainda teremos que vencer esses inúmeros desafios até que a tecnologia torne-se usável.

No futuro, mais aplicações serão possíveis através das Vanets. Por exemplo, se as redes 3G e as redes sem fio de longo alcance realmente emplacarem, as Vanets poderão ser usadas para que os carros tenham acesso a internet, com servidores especializados que forneçam informações sobre a previsão do tempo, sobre os pontos de engarrafamento em determinada cidade ou parte da cidade. A criatividade é quem vai dizer os limites.