Latest Entries »

Olá a todos,

Faz algum tempo que não me vejo utilizando esse espaço. Demorei em virtude de alguns problemas e por ter passado o começo do ano em uma intrincada troca de empresas. Mas aqui estou, mais estabilizado e espero poder voltar a escrever com mais frequência.

Estou escrevendo esse post para divulgar o Festival Latino Americano de Instalação de Software Livre (FLISOL) aqui Ceará em 2010. A Flisol 2010 ocorrerá no dia 24 de abril e terá início as 09:00 da manhã.

Esta edição será realizada na “Vila das Artes”, no Centro da cidade. A decisão foi tomada de forma unânime devido a estrutura favorável, a boa localização e a identificação ideológica.


A “Vila das Artes” localiza-se na Rua 24 de Maio, 1221, Centro. Fortaleza. Ceará. Brasil e o telefone para contato é  (55+85)3252-1444. Conheça mais sobre a Vila das Artes no site da Secultfor.

No site da Flisol todos poderão encontrar mais informações sobre o evento. A grade de programação já se encontra por lá, assim como mais informações pertinentes.

Quem não conhece Linux é uma boa oportunidade de conhecer e tirar suas dúvidas sobre a variedade de distribuições, processo de instalação, como contribuir, etc. Para quem já conhece o tema ocorrerão algumas palestras sobre temas pertinentes ao Software Livre que serão ministradas por pessoas da área.

Espero que seja proveitoso para todos e quem puder compareça para fortalecermos ainda mais a comunidade!

Anúncios

Software Livre – Verdades e Mitos

Um tema que está em evidência é o Software Livre (SL). Mas o que seria SL? Alguém lendo agora esse post saberia definir? Saberia dizer se já utilizou algum SL? Qual sua relação com Linux? E com o Windows, existe alguma relação? Elé é sinônimo de gratuito?

Vou tentar reponder essas e outras questões que surgem quando o tema é SL.

Primeiro, para falar de SL devemos conhecer três “celebridades” dessa área. Uma delas é Richard Stallman, o fundador da Free Software Foundation (FSF), organização sem fins lucrativos que se dedica à eliminação das restrições de cópias. Stallman é um famoso hacker e programador que criou o GNU Compiler Collection (GCC), o GNU Debugger e o editor de texto para ambiente Linux – o emacs. Outra das “celebridades” é o criador do Linux e ainda hoje ativista Linus Torvalds. Linus ainda influencia muita gente, e uma maneira de fazer isso é através do seu Blog. A última celebridade é Jon “Maddog” Hall ( o Jon “Cachorro Louco”), que é diretor executivo da Linux International, uma associação sem fins lucrativos que visa a promoção de sistemas operacionais baseados em Linux.

Após falar dos principais ícones atuais dessa corrente dentro da área de software, podemos falar sobre o SL propriamente dito. Primeiro, muita gente se pergunta, SL é sinônimo de Software gratuito? E muitos acham que essa resposta é sim. Entratanto, a resposta correta é NÃO. O SL pode ser pago! Quem desenvolveu pode cobrar pelo software. Aqui você deve estar se perguntando, então qual a diferença entre o Software Livre e o Software Proprietário (SP)? A diferença ta na filosofia por trás do SL.

No SL temos a idéia de copyleft, em detrimento do copyright dos SPs. O SL trabalha em cima de quatro liberdades, e essas liberdades são o grande diferencial da filosofia do SL. São elas:

  • A liberdade para executar o programa, para qualquer propósito (liberdade nº 0);
  • A liberdade de estudar como o programa funciona, e adaptá-lo para as suas necessidades (liberdade nº 1). Acesso ao código-fonte é um pré-requisito para esta liberdade;
  • A liberdade de redistribuir, inclusive vender, cópias de modo que você possa ajudar ao seu próximo (liberdade nº 2);
  • A liberdade de modificar o programa, e liberar estas modificações, de modo que toda a comunidade se beneficie (liberdade nº 3). Acesso ao código-fonte é um pré-requisito para esta liberdade;

Então, ao adquirir qualquer software que esteja registrado em uma das licenças que compõem o SL, você estará adquirindo o código fonte que gerou aquele programa e possui todo direito de alterá-lo para customizá-lo às suas necessidades.

Agora, será que você que está lendo conseguiria definir o que é SL? Se você consegue definir, você sabe responder se já utilizou um SL, mesmo sendo usuário Windows?

Será que não? Ou sim? Acho que todo mundo já utilizou algum dos programas abaixo:

  • Firefox
  • BrOffice
  • OpenOffice
  • Opera
  • Google Chrome
  • Java, PHP, Python, Perl
  • Flashplayer
  • Moodle
  • Apache (HTTP), BIND (DNS)
  • VLC, Mplayer
  • WordPress (Utilizado para criação deste Blog).
  • GIMP (similar do Photoshop), Inkscape (similar do Corel)

Agora me diga, você já utilizou SL? Talvez você tenha utilizado e nem tenha se dado conta. Independente de plataforma, de sistema operacional (se você utiliza Linux ou Windows) é bem verdade que em algum momento vocẽ utilizou algum SL, até mesmo quando acessa aquela página na Internet através do Firefox ou do servidor Web Apache.

Alguns podem estar se perguntando, mas se eu não cobrar pelo meu software, como vou ganhar dinheiro? Aqui podemos estabelecer alguns modelos de negócios para SL. Podemos citar:

  • Consultoria
  • Treinamento
  • Suporte ao software
  • Uma mescla das opções acima
  • Etc.

Então, não necessariamente devemos cobrar pelo software desenvolvimento para obter receita.

Finalizando, o SL é um software, que não é necessáriamente gratuitos, mas que visa a modificação (melhoria ou customização) e a disseminação do conhecimento adquirido através das modificações.

Bom dia aos queridos leitores (que não são muitos, mas são bastante importantes).

Há algum tempo não escrevo, pois estava me preparando para a prova de certificação profissional LPIC 1. Demandou algum tempo, pois ainda tinha as disciplinas da faculdade e isso me consumiu bastante.

Porém, estamos prestes a terminar 2009 e eu não poderia deixar de agradecer a todos que deram uma espiadinha (parece coisa de BBB) no meu Blog. Sei que nem sempre escrevo sobre assuntos interessantes, mas espero que todos tenham gostado do que leram.

Sobre minha certificação, fiquei bastante feliz porque obtive êxito e agora sou LPIC-1 (pelo menos até dezembro de 2014). Gostaria de agradecer às pessoas que me ajudaram nessa empreitada. Aos meus pais pela paciencia e apoio moral (e financeiro), à minha namorada, sempre paciente e compreensiva, ao professor e grande amigo Rafael Rêgo do TRT Fortaleza (um dos caras mais inteligentes que conheço), ao André Amaral (trabalha na informática interna vizinho a minha mesa e que manja muito de Linux), ao Davi Karbage (pelas palavras de incentivo), ao André Freitas (meu chefe que facilitou os tempos de estudo no horário de trabalho). Sem vocês eu não teria conseguido.

Para mim, 2009 foi um ano de excelentes realizações. Passei por momentos dificeis, mas as realizações superaram e muito tudo de ruim que aconteceu!

Em janeiro, estarei de férias da faculdade e pensarei em algo para inovar em 2010. Espero que continuem lendo e podem esperar muito mais do Blog ano que vem, principalmente sobre Cloud Computing, Linux e Segurança da Informação, áreas nas quais pretendo seguir.

Um 2010 de excelentes realizações e que o novo ano que se aproxima seja melhor do que o ano que estamos deixando para trás!

Fiquem com Deus e até 2010! Um cordial abraço!

Gostaria de divulgar que hoje se inicia na UFC, no campus do Pici, a Cesol 2009. Esse evento já é tradicional no nosso estado e cresce mais a cada ano. Haverá palestras de pessoas renomadas da área, além de minicursos, eventos nas seguintes áreas:

1. InstallFest – Aqui, pessoas que desejam conhecer o Linux ou não possuem uma conexão banda larga para realizar o download de uma distro, podem levar suas máquinas e instalar uma dentre as inúmeras distros existentes – e sem custo algum.

2. Olimpíada de Robótica Livre – Se apresenta como uma proposta cuja filosofia é desmistificar a robótica tradicional, adotando o paradigma de liberdade do conhecimento para atingir esse propósito.
Entre os principais objetivos da Robótica Livre, podemos destacar: a construção libertária de projetos variados através de hardwares livres.

3. Certificação LPI – Serão realizadas as provas do Linux Professional Institute, uma certificação que é independente de distribuição e possui reconhecimento internacional. Serão aplicadas as provas 101, 102, 201, 202, 301 e 302.

Esses apenas algum dos eventos que ocorrerão durante a Cesol 2009.

Tive a oportunidade de assistir algumas palestras ano passado e posso garantir que possuem um bom nível. Quem puder comparecer estará participando de um evento de alto nível. A equipe da organização está trabalhando bastante para elevar cada vez mais o nível do evento.

As inscrições podem ser realizadas no site da Cesol (link abaixo) .

CESol-CE congresso estadual de software livre Campus do Pici UFC Fortaleza-CE

Simuladão LPI

Caros leitores,

Gostaria de divulgar uma excelente iniciativa do site Certificação Linux LPI. Eles estarão realizando no dia 7 de novembro de 2009 um simuladão para a prova de certificação LPI. O simulado será gratuito, mas quem desejar poderá fazer uma doação.

Após a realização do simulado será possível verificar se você obteve êxito na prova.

Você pode se inscrever aqui.

Após um tempo de jejum, volto a dedicar-me ao Blog.

Não sei se todos tomaram conhecimento, mas Jon “Maddog” Hall (presidente da Linux International) concedeu uma entrevista ao programa Roda Viva da TV Cultura durante um dos maiores eventos de tecnologia do país – a Futurecom.

Na pauta das discussões o tão pôlemico tema – Software Livre (SL) vs. Software Proprietário.

Aqui faço uma ressalva para não confundirmos livre com gratuito. São abordagens bem diferentes. Quando afirmo que determinado Software é livre, estou afirmando que quando eu adquirí-lo (quer seja pago ou gratuito) eu terei direito ao seu código fonte. A partir daí, poderei alterá-lo como achar melhor para que ele atenda as minhas necessidades.

Quando possuo essa liberdade de alterar o código fonte, nasce um outro conceito – SaaS (software como serviço, traduzido).

Agora, o software deixará de ser um produto e passará a ser um serviço, a medida que eu poderei customizá-lo para atender necessidades específicas de cada um dos meus clientes.

Durante a entrevista, Jon foi bastante incitado e provocado a falar sobre a Microsoft. Um fato interessante revelado por ele é que nos EUA há legislações diferentes para empresas de porte diferentes. Lá o monopólio é permitido. No entanto, esse monopólio é fortemente regulamentado pelo governo para que abusos não sejam cometidos.

Jon revelou ainda que na sua opinião, o SL é uma questão econômica e independe de ideologia político-partidária. Houve momentos em que um dos entrevistadores insistiu que na verdade a questão era extremanente política. Porém, no final foi esclarecido o ponto de vista de Hall e se pode mostrar as nuances econômicas por trás da produção de software.

Outro quesito interessante abordado foi a empresa Google. Jon foi questionado se o Google era bom ou ruim. Ele respondeu que não sabe dizer se o Google é bom ou ruim. Respondeu apenas que o Google está fazendo muito dinheiro através do software livre.

No geral a entrevista foi interessante. Entretanto, creio que o nível poderia ter sido melhor se o nível técnico dos entrevistadores fosse mais alto. Assim, ao invés de ficar discutindo se SL era estimulado por um fator econômico ou político, ou se a Microsft é ou não o demônio, outras questões mais interessantes poderiam ter sido abordadas. Por exemplo, o que se espera do SL para os próximos cinco anos? E nos próximos dez?

Como ele vê o avanço do SL nos últimos anos? O que mais facilitou esse avanço? Como as pessoas que estão entrando na área de TI e as pessoas que já fazem parte – mas conhecem pouco a respeito de SL – podem se esclarecer mais a respeito do assunto? Como se qualificar em SL? O que são certificações profissionais e quais são as recomendadas na área de SL?

Essas são apenas algumas das questões que poderiam estar em pauta para tornar o debate mais interessante. Mesmo assim, a entrevista foi bastante interessante e iniciativas como essas devem ser cada vez mais estimuladas.

10 razões para nao adotar a nuvem

Mais uma vez a Cloud Computing (CC) volta a cena. Durante uma de minhas navegadas pela rede descobri um artigo sobre CC que achei interessante(em inglês). Resolvi traduzir para facilitar o entendimento. Não sei qual o principal objetivo do autor (se era realmente mostrar que não se pode confiar na nuvem, ou “aparecer” sendo contra a tendência da CC, enquanto a grande maioria dos especialistas da área são a favor).  Resolvi fazer alguns comentários sobre cada razão apresentada pelo autor.

1. Cloud Computing torna o seu setor de TI excessivamente dependente da Internet:

A CC existe da premissa que a Internet estará sempre robusta e confiável. Por mais otimistas que sejamos, há sempre o perigo dos imprevistos. Se empresas perderem a conectividade com a nuvem por alguns dias, ou houver uma interrupção na Internet afetar os serviços na Nuvem, podem haver sérios danos. Onde estaria seu banco de dados na nuvem? Pensando nisso, voce poderia preferir que seus servidores estevissem no seu quintal, ao invés de estarem localizados em um lugar desconhecido.

Comentário:

É bem verdade que através da nuvem, as empresas e usuários ficarão bastante dependentes da Internet. No entanto, não podemos esquecer que a cada dia mais largura de banda é acrescentada nos links mundo afora. Todos os dias novas tecnologias são desenvolvidas visando o crescimento da Internet. Os consumidores estão mais conscientes e mais exigentes. Com isso, se os governos incentivarem a concorrência entre as operadoras e ISPs (permitindo a entrada de novas empresas) a Internet terá equipamentos melhores, com maior confiabilidade, segurança e disponibilidade. É necessário que a concorrência entre as empresas seja estimulada e que investimentos sejam realizados. Assim, aumentaremos a disponibilidade e reduziremos o risco de que empresas tenham prejuízos por conta de uma indisponibilidade causada por falha nos equipamentos da Internet.

2. Cloud Computing vai atrair clientes principalmente em mercados ocidentais:

O CC assume implicitamente que a Internet é tão robusta mundialmente como é na América do Norte, Europa e algumas partes da Ásia. Mas clientes de países onde a conectividade onde a Internet é esporádica são desencorajados a entrarem na nuvem. Até a Índia, um país que é potência na área de TI continua a ter baixas velocidades de conectividade com a Internet. O descaso com a infraestrutura é tão notável que a maioria dos Indianos preferem as velocidades limitadas das Internet Móvel sem fio das companias de celulares. Até quedas de energia podem inviabilizar o acesso a nuvem. Eles aprederam que não devem confiar na infraestrutura da Internet nem de energia do governo. Eles matém seus próprios backups de geração de energia no próprio site.

Comentário:

Não se pode negar que os paises emergentes e de terceiro mundo ainda sofrem com a escassez de investimentos em infraestrutura de TI e que governos e iniciativa privada não investem o quanto deveriam para que possamos ter links com a largura de banda cada vez maiores e tecnologias que promovam uma disponibilidade cada vez maior – o que colocaria estes paises na vanguarda da tecnologia e poderia inserir as empresas desses paises na nuvem. Se houverem os devidos investimentos nesses paises, com certeza haverá demanda por serviços na nuvem.

3. Cloud Computing torna você dependente da boa vontade do seu ISP:

A CC pode requerer largura de banda gratuita para o cliente dependendo da localização do cliente na nuvem. E os mesmos ISPs que clamam por largura de banda podem cobrar, se proteger e até excluir usuários que excedam seu limite de largura de banda.

Comentário:

Isso já acontece sem termos de fato a CC funcionando com todo seu potencial. Há muito tempo que os ISPs praticam o traffic shapping, punido usuários que realizam muitos downloads – principalmente através de torrent. Já aconteceram casos de punição de ISPs no EUA, mas ainda não há legislação específica para punir os ISPs que limitem o tráfego dos clientes, muitas vezes baseados no contrato no qual o ISP garante apenas 10% do valor contratado. Portanto, não adiante querer influenciar pessoas a não adotarem a CC por causa de uma prática já disseminada pelos ISPs.

4. Cloud Computing pode expor clientes à práticas não éticas de seus ISPs:

Grandes provedores têm espiado as redes de seus clientes P2P em nome da indústria fonográfica. Será que podemos confiar nesses provedores para tratar o tráfego sensível e da nuvem? Dizem-nos que tudo vai ser criptografados através de VPNs. Mas, ainda assim, dado o papel maculado dos ISPs (Internet Service Provider), podemos confiar neles para o tráfego não-criptografado?

Comentário:

A verdade é que tendo em vista os acontecimentos que cercam clientes e ISPs, não podemos confiar neles (ISPs). Casos de violação de privacidade, dados revelados e traffic shapping não refletem que devemos confiar nessas empresas. Claro que temos as tecnologias que acrescentam criptografia e tornam as comunicações mais seguras. Nesse tipo de comunicação os ISPs não podem interferir. Entretanto, para os tráfegos não criptografados, deverá ser criada uma legislação específica para proteger os possíveis abusos que eventualmente os clientes possam ser vítimas.

5. Cloud Computing é contra o espírito de Computação Pessoal :

Computadores pessoais foram feitos para capacitar os indivíduos, torná-los mais indepen- dentes e produtivos. A maioria dos pesos pesados da indústria de hoje devem seu sucesso ao viver de acordo com estas expectativas. Microsoft e IBM aliciaram o inesperado de Cloud Computing e é mais parecido com a Toyota, que adota o modelo de negócio de uma agência de alugar automóveis (Se isso viesse a acontecer, a Toyota poderia igualmente remarcar-se na moda do Vale do Silício, como uma assinatura baseada Provedor de Serviço de Transporte).

Comentário:

Com a evolução da CC é de se esperar que a computação pessoal sofra uma queda. Pórem, não é mérito apenas da CC. Há algum tempo que mobilidade passou a ser palavra de ordem no ramo da TI. Com a redução dos custos com hardware, miniaturização dos componentes e aumento do poder de processamento, dispositivos móveis vêm ganhando cada vez mais espaço entre os usuários. Então, colocar apenas a CC como culpada por ser contra o espírito da computação pessoal é querer menosprezar que a mobilidade se tornou uma necessidade da grande maioria dos usuários.

6. A CC torna a sua nuvem dependente das leis americanas:

Como a maioria dos grandes servidores Cloud Computing são operados por empresas sediadas nos Estados Unidos, os dados que você colocar na sua nuvem está sujeito à lei americana. E a lei americana, por sua vez, está sujeita a substituições, lacunas, “Atos Patrióticos”, e as exceções, dependendo da agência governamental (ou de pessoas/interesses) que os seus dados requerem. Você não pode sequer ser informado de que seus dados foram comprometidos pela mesma razão que, Jack Bauer começa torturarando seus reféns/prisioneiros – segurança nacional. E antes de chegar à nuvem, seus dados passarão por ISPs americanos que fornecem o tempo de atividade da nuvem. Os dados podem ser interceptados por Agências Estado antes mesmo de atingir as nuvens.

Comentário:

Mais uma vez quer se colocar culpa na nuvem por uma prática que já acontece desde o início da Internet. Os EUA sempre tiveram o controle da maioria da Internet. Para começar, a maioria dos servidores DNS raiz estão de posse dos EUA. As agências dos EUA monitoram a maior parte do tráfego da Internet, sobre o velho pretexto da segurança nacional. Agências como NSA, FBI e CIA possuem meios de monitorar a maior parte da atividade da Internet. Na CC, essa prática vai continuar sim, e deixar de adotar CC por causa de uma prática já realizada há muito tempo é insensato.

7. Cloud Computing pode expor seus dados confidenciais com “elementos corruptos” (e não, eu não estou falando de hackers e ladrões de identidade):

Uma vez que a corrupção na sociedade ocidental é mais um clube, a maioria das pessoas se referem a ela apenas em termos redigidos. Mas a menos que você seja realmente ingênuo(a), é uma realidade que você deve estar preparado para lidar com eles. Já em 2004, um cara Utah conseguiu números de cartão de crédito. O problema era que o nome e o endereço da aplicação só tinha sido previsto para o Registro de Veículos Automotores. A má notícia não é que as Agências do Estado Americano têm acesso backdoor às empresas americanas. Em vez disso, as empresas americanas têm uma relação incestuosa com as Agências do Estado Americano. Supondo que você é uma corporação não-americanas com sua nuvem hospedada por uma empresa americana, e seu principal concorrente é um peso-pesado americano com acesso backdoor para as agências estaduais, seus dados confidenciais sobre a nuvem pode ser apenas algumas chamadas de longa distância. Corporações norte-americanas são conhecidas por usar as agências estaduais como exércitos pessoais, embora muito pouco disto fica documentado. Pior, se o CEO da empresa que hospeda o Cloud e o CEO do seu concorrente pertencem à mesma fraternidade, os seus dados confidenciais sobre a nuvem pode ser apenas um aperto de mão de longa distância. Naturalmente, os dados sobre a nuvem estão encriptados e não podem ser acessados por qualquer um que não seja você mesmo. Mas até então, sempre há exceções.

Comentários:

Novamente se tenta justificar a teórica não viabilidade da CC com fatos que já ocorrem desde o advento da Internet. Não é novidade que sempre houve aproximação entre as grandes corporações americanas e as agências governamentais, e que essa aproximação sempre visou o lucro exagerado. Tecnologias como VPN e criptografia podem reduzir significati- vamente a facilidade de acesso a esses dados, garantindo um nível razoável de confidencialidade e integridade dos dados.

8. Cloud Computing está soando mais como um hall de entrada do que uma tendência:

De repente, todos os dedos, gurus e especialistas estão clamando para Cloud Computing. Os artigos estão aparecendo em publicações respeitáveis pesando os prós e contras. Chefes de negócios estão exibindo como eles conseguiram cortar custos. Será que podemos lembrá-lo de Big Tobacco, Sugar Big, Big Science e Big Pharma? Você compra no escuro? Você está disposto a “investir” os seus dados no sistema?

Comentário:

Erros já aconteceram durante a história. Na realidade, não há comprovação de que realmente a CC irá dar certo. Só o tempo, investimentos, empenho de empresas, universidades, governo poderão dizer se a CC virará um padrão ou não foi apenas fogo de palha. O que é certo, é que devido a necessidade de mobilidade e alta disponibilidade aonda quer que o usuário esteja, a CC busca atender a essas necessidades. Ainda há muitas questões para serem resolvidas, principal- mente com relação a segurança. Assim sendo, teremos que aguardar que os investimentos sejam feitos e que os desafios sejam vencidos. Só então a CC se tornará um padrão de fato.

9. Cloud Computing pode ser de pouca importância para pequenas e médias empresas:

A edição de maio 2009 da WIRED publicou um artigo interessante sobre Cloud Computing, destacando prós e contras. O exemplo citado chave a favor de Cloud Computing foi de um consultor de informações Eli Lily, que, como um cliente da Amazon Web Services usa o iPhone para rodar “análise genômica” on the Cloud. Como os executivos de muitas empresas podem se imaginar fazendo isso?

Comentário:

Como toda tecnologia, a CC também apresenta seus prós e contras. Limitar-se em destacar apenas um empresário que utiliza Iphone é ser bastante limitado em idéias. Se imaginarmos o Google Docs. Você saber que agora pode realizar todo o seu trabalho (que depende de uma suíte office) com um processo mínimo na sua máquina local. E ainda, que esses arquivos estarão disponíveis em qualquer lugar, a qualquer hora. Não será necessário pagar licenças, instalar softwares localmente e tudo de forma transparente para o usuário. Essas são apenas algumas das vantagens iniciais da CC, e a medida que a tecnologia for evoluindo, mas aplicações se tornarão possíveis e atenderão pequenas, médias e grandes empresas.

10. Cloud Computing pode não contribuir para a economia nacional:

Quando você comprar o hardware, software e consultoria técnica para a criação de um servidor localmente, você está apoiando diversas empresas locais. Com o Cloud Computing, você ignora todos estes. Mas os principais fornecedores de Cloud Computing são de propriedade americana e norte-americana? Sim, são. Mas quando descobrirem, eles poderão pensar em terceirização. E Cloud Computing é muito viável para terceirizar. Dado o seu histórico,não exatamente estimar empregando-americanos, a menos que Obama os obrigue a fazê-lo.

Comentário:

Novas tecnologias sempre virão. Com a CC não é diferente. Novas tecnologias sempre causam desemprego – o desemprego estrutural. São postos de trabalho que se fecham e nunca mais se abrem. No entanto, novas oportunidades são criadas, e se as pessoas não estão preparadas fica complicado colocar a culpa na nova tecnologia – e não na falta de compe- tência do profissional ou na falta de adaptabilidade dele para novas tecnologias.

Como eu havia prometido no post (In)Segurança – Desafio doméstico e corporativo estarei falando um pouco sobre a segurança em redes sem fio.

Há algum tempo as redes wireless vêm ganhando espaço devido a um fator que as vezes torna-se indispensável – mobilidade.

A cada dia novas pessoas adquirem celulares, notebooks, netbooks e mais uma infinidade de equipamentos que permitem o estabelecimento de comunicações móveis. Com o crescimento do número de usuários móveis e de aparelhos que permitem tal comunicação, as redes wireless cresceram absurdamente e a segurança teve que evoluir. Entretanto, muitos desafios ainda precisam ser vencidos.

A história das redes wireless teve início na ALOHANET, uma rede sem fio cuja topologia era estrela (topologia que possui um concentrador e os demais nós da rede dispõem-se de maneira a formar uma espécie de estrela) e era utilizada para interligar 7 campi que localizam-se em 4 ilhas. O concentrador da tologia era a ilha de Oahu.

Nas redes sem fio, o meio de transmissão utilizado para comunicação é o AR. Assim, além de o meio ser compartilhado, qualquer pessoa que conheça a frequência utilizada na comunicação  pode utilizar um dispositivo que opere nesta mesma frequência, e assim capturar dos dados que estão trafegando.  É nessa facilidade de acesso em que se baseia a insegurança nas redes sem fio.

Comunicação sem fio é exigência em muitas aplicações. Atualmente, a necessidade de remoção do cabeamento se faz presente em muitas aplicações. Já temos mouse sem fio, teclado sem fio, fones sem fio, etc. Até algo inesperado como a energia elétrica já está tendo uma versão sem fio sendo desenvolvida.

Apesar dessa facilidade de interceptação das comunicações sem fio, a segurança neste tipo de rede já evoluiu bastante. Tudo iniciou-se com a WEP (Wireless Equivalent Privacy), que como o próprio nome diz, prometia uma privacidade equivalente à das redes cabeadas.

Entretanto, algumas aplicações foram desenvolvidas e através delas se pode quebrar uma chave de criptografia WEP em pouco mais de 3 minutos. utilizando um sniffer, uma ferramenta de geração de pacotes (tráfego) de rede e um analisador para quebrar a chave WEP – que passa em texto claro pelas comunicações da rede.

Em seguida surgiu o WPA (Wi-fi Proteced Access) e seu sucessor – o WPA2. Ambos possuem suas características e protegem significativamente as redes wireless atuais, desde que estejam corretamente configuradas em toda a rede.

Algumas redes sem fio de maior porte (ESS – Extended Service Set, redes que possuem mais de um Access Point) possuem autenticação por redes cabeadas, utilizando tecnologias como RADIUS, CHAP, EAP, etc. Todas essas tecnologias cabeadas objetivam que a comunicação não seja interceptada durante a autenticação, e que um atacante possa se fazer passar por um usuário válido.

Na redes cabeadas, para que se possa interceptar uma comunicação, o atacante deve fazer parte do meio compartilhado, o que significa que ele deveria estar no mesmo barramento (cortar o fio e fazer uma emenda nele com o seu próprio cabo de rede) para poder interceptar a comunicação. Essa característica confere às redes cabeadas um nível de segurança que as redes wireless não possuem.

Por isso que a mobilidade exige que mais precauções sejam tomadas com a segurança para que se evitem surpresas desagráveis em suas redes.

Até a próxima…

Como eu havia falado no último post, as redes zumbis seriam assunto para um próximo post… E aqui estamos!

É bem verdade que a Internet hoje faz parte da realidade e da rotina de várias pessoas. Ela evoluiu bastante e a maioria das tarefas é bastante simples de serem realizadas. É o que chamamos de aplicações transparentes para os usuários – o que permite que não só as pessoas da área de TI utilizem-na.

Essa facilidade também traz alguns riscos. Aspectos de segurança as vezes são deixados de lado pelos desenvolvedores de aplicaçãoes web em virtude de facilitar o uso.

Todos os dias novas vulnerabilidades em aplicações web são descobertas. A própria Internet facilita a exploração das vulnerabilidades existentes. Inúmeros sites com dicas prontas (receitas de bolo) são criados todos os dias, o que permite que pessoas com pouquíssimo conhecimento consigam explorar vulnerabilidades e causar algum dano nos sistemas invadidos.

Um dos principais motivos da onda crescente das redes zumbis são os clicadores compulsivos. Pessoas que clicam em links de origem duvidosa, mesmo sem conhecer quem deu origem à mensagem. Quando colocamos o mouse sobre o hiperlink no browser (navegador) podemos ver para qual link seremos redirecionados, como na figura abaixo o link está dentro do quadrado vermelho no canto inferior esquerdo da tela.

Mostra para qual página o browser redicionará a partir do link.
Mostra para qual página o browser redicionará a partir do link.

Quando o usuário clica em links que redirecionam para arquivos maliciosos, esses arquivos são instalados no computador da vítima. Os computadores infectados passam a enviar dados para o computador que o atacante direcionar. Com apenas um único comando o atacante pode disparar um ataque DDoS (DoS Distribuído).

Esse ataque consiste em termos uma rede de zumbis (BOTNETS) e fazer com que vários computadores infectados façam requisições a uma máquina alvo – geralmente um servidor de uma grande empresa. Com isso, o atacante torna o serviço disponibilizado por tal servidor indisponível. A partir desse ponto, os atacantes podem partir para outros ataques. Um deles, o mais comum é o de IP Spoofing, que consiste em se apoderar do endereço utilizado para estabelecer comunicação com o servidor atacado (endereço IP válido do servidor). Assim, os atacantes realizam outras invasões se fazendo passar  pela máquina atacada – o servidor do Banco do Brasil, por exemplo.

Outro problema são e-mails que despertam curiosidades nos leitores, mesmo que sejam inaceitáveis. Por exemplo, há cerca de 6 meses a pessoa não vai a uma festa e recebe um e-mail dizendo: “Olhe as fotos do churrasco.” Então, fica a dica de sempre… Temos que deixar de ser clicadores compulsivos!

Outra dica, mantenha seu anti-vírus e seu anti-spyware sempre atualizados. É uma atitude que diminue bastante o risco de adquirir programas maliciosos e ter a máquina infectada, fazendo parte de uma BOTNET.

Devido à evolução das redes, hoje a Internet se tornou realidade. Apesar de ainda faltar muito, não podemos negar que muito mais pessoas estão acessando a Internet – quer seja em casa (discada ou banda larga), que seja através de uma Lan House, trabalho ou escola.

Um dos fatores mais críticos no universo das redes é a Segurança. Possuir conhecimentos mínimos sobre uso correto da Internet é imprescindível para uma navegação mais segura e tranquila.

Para tal finalidade, não é necessário conhecer sobre protocolos e equipamentos utilizados nas redes dos provedores de Internet. Há inúmeras dicas básicas que facilitam a vida do usuário “leigo”.

Primeiramente, devemos diferenciar as classes de pessoas que exploram as vulnerabilidades. Primeiramente, devemos diferenciar os hackers dos crackers.

Mesmo que a imprensa insista em chamar todos de hackers, estes só exploram as vulnerabilidades com intuito de aprendizado – procuram não causar danos ao sistema invadido. Já os crackers é que ao invadir, causam danos, roubam senhas e arquivos importantes que por ventura forem encontrados.

Ainda temos outros grupos, dentre eles os script kiddies que não possuem conhecimentos aprofundados e apenas se utilizam de ferramentas prontas criadas por hackers e crackers. Temos ainda os phreakers, que exploram falhas nos sistemas de telecomunicações com o objetivo de utilizá-los sem dispender dinheiro. Finalizando, temos os spammers, que enviam e-mails indesejados com intuito de infectar máquinas e criar redes de computadores zumbis (BOTNETS – assunto para outro post).

Depois de classificar os atacantes, podemos falar sobre alguns tipos de ataques. Um ataque que já foi bastante utilizado e evouliu foi o DoS (Denial of Service – Negação de Serviço), que consiste em inundar uma máquina com requisições até que essa máquina não consiga mais processar as requisições dos clientes e o serviço em questão fique fora do ar (indisponível). A evolução desse ataque é o DDoS (Distribuited DoS – DoS Distribuído), que é um DoS comum, mas as requisições partem (simultaneamente) de várias máquinas infectadas e conectadas à Internet.

Outro tipo de ataque é o MinM – Man in the Middle – que consiste no atacante se posicionar entre uma comunicação ponto-a-ponto e se fazer passar por um dos nós participantes da comunicação (roubando a sessão) ou apenas capturando os dados trocados entre os nós participantes  da sessão.

Em seguida, temos os programas que permitem explorar falhas. Primeiramente, podemos citar os keyloggers – programas que registram tudo que o usuário da máquina infectada digita. Isso permite a captura de senhas e informações secretas de quem utilizar a máquina infectada. Há também os spywares, que geralmente estão presentes em máquinas cujos usuários são clicadores compulsivos. Clicam em qualquer link que vejam em e-mails, sites desconhecidos, etc. Os spywares criam as redes zumbis (BOTNETS), que permitem o ataque DDoS. Por isso, ao navegar na Internet devemos ter muito cuidado no que vamos clicar. Ao receber um e-mail com um anexo, verificar o usuário que enviou. Se você não conhece, apague. Se conhece, e mesmo assim ainda está desconfiado, mande um e-mail ou ligue para o contato que originou a mensagem. Não custa nada e você terá certeza de que não estará instalando um software espião e fazendo parte de uma rede zumbi e porteriormente de um ataque DDoS – mesmo sem o seu consentimento.

Outros cuidados podem ser tomados. Por exemplos, não clicar em links de bancos, ministérios, lojas para realizar recadastramento ou enviar dados pessoais. Essas instituições não entram em contato com clientes e usuários para alterações cadastrais, LEMBRE-SE DISSO!

Há outras classes de programas que podem causar danos aos sistemas. São eles malware, vírus, worms, etc. Os próprios vírus podem ser dividos em classes – como os vírus de macro.

Uma área de (in)segurança que surgiu a muito tempo e ainda hoje permite que se adquira informações sobre a rede e suas características é a Engenharia Social. Seu pioneiro foi o hacker Kevin Mitnick – autor dos livros A Arte de Enganar e A Arte de Invadir, ambos ligados ao assunto.

Através de conversas e ganho de confiança, o atacante consegue obter informações sensíveis da rede, como localização da sala de servidores, telefones e informações pessoais do pessoal da TI, etc. De posse dessas informações, o atacante pode explorar a rede e utilizar essas informações para tentar “advinhar” senhas, se fazer passar por algum funcionário e descobrir informações mais críticas e secretas, etc.

Há também uma diferença entre fazer a segurança de uma rede cabeada e uma rede wireless (sem fio – outro assunto para outro post futuro).  As rede wireless possuem características que as torna bem mais difíceis de ter sua segurança gerênciada.

Finalizando, há inúmeras pessoas que acham que os maiores perigos e ataques vêm de fora da rede… ERRADO! A segurança deve ser mais pensada no âmbito interno da empresa. Pesquisas revelam que as falhas exploradas geralmente possuem ligação com informações fornecidas por fatores internos. Funcionários insatisfeitos, falta de uma política de segurança bem elaborada na empresa, falta de capacitação dos funcionários. Por isso, estabelecer um política de segurança bem elaborada, capacitando os funcionários, mostrando os porquês das proibições, e aplicar a política à todos os níveis da empresa (inclusive os donos e os funcionários da TI, eles não podem ser exceções) são imprescindíveis para o sucesso da implantação da política de segurança e a minimização das falhas e ataques que podem causar indisponibilidade da redes e de seus serviços.

A área de segurança vêm crescendo há algum tempo, e pelas tendências não deixará de crescer por muito tempo, haja vista que hoje o volume de informações digitais trafegadas é exorbitante, as empresas investem cada vez mais em segurança, e pessoas capacitas nessa área serão muito cobiçadas pelas empresas e serão bem remunerados.