terça-feira, novembro 30, 2004

Funcionários do governo de SP recebem capacitação em Linux




Fonte:


Cerca de 980 funcionários da Administração Pública do Governo do Estado de São Paulo receberão capacitação profissional em Linux, softwares de padrões abertos e soluções da IBM --empresa parceira dessa iniciativa. A habilitação será dividida em diversos níveis, de acordo com as funções dos colaboradores, e deve ser concluída em 12 meses.

Os cursos, com início em fevereiro de 2005, terão cinco módulos. O primeiro deles detalha os benefícios dos padrões abertos de software e o futuro do Linux. A segunda etapa é focada em Linux e aborda temas como: por que estudar o código, como se comporta a comunidade GNU/Linux e como instalar o sistema operacional em estações de trabalho.

O terceiro módulo trata de capacitações específicas em Linux, com conhecimento mais aprofundado, enquanto os dois últimos falam sobre arquitetura de software, automação do ambiente de TI, plataforma de desenvolvimento de aplicações, integração de negócios, gerenciamento de documentos, segurança, portais e colaboração avançada.

A IBM também assinou, em agosto, um acordo com o Governo Federal para a criação do CDTC (Centro de Difusão de Tecnologia e Conhecimento) --iniciativa para a disseminação do uso de soluções desenvolvidas a partir de padrões abertos.

O objetivo do centro é capacitar técnicos, profissionais de suporte e usuários de sistemas da administração pública, criando um grupo multiplicador do uso dessa tecnologia. O projeto tem como parceiros o Ministério da Educação e da Universidade de Brasília (UnB).

Links:
            Leia outras notícias sobre softs de código aberto

segunda-feira, novembro 29, 2004

Engenharia social, atacando o elo mais fraco - Parte 1

Fonte:


Definições e exemplos
Rafael Cardoso dos Santos


Nesta série de artigos, gostaria de exemplificar um pouco a Engenharia Social, mostrando seu amplo espectro de ataque e seu poder de ação. Logo em seguida gostaria de mostrar algumas ações que podem ser tomadas para defesa das informações pessoais e corporativas.

Enquanto escrevia minha monografia sobre este tema, já em fase de conclusão, resolvi fazer uma pequena pesquisa entre os profissionais de TI da minha rede de contatos. Nesta pesquisa, fiz várias perguntas e uma delas foi: você sabe o que é Engenharia Social?

Muitos deles nunca tinham ouvido falar do assunto, principalmente a turma de desenvolvimento, embora quase todos tenham demonstrado conhecimentos quanto a alguns tipos de ameaças que utilizam técnicas de Engenharia Social, como Phishing Scam, por exemplo. Mas o que seria Engenharia Social?

Na minha definição, Engenharia Social seria a técnica de influenciar pessoas pelo poder da persuasão. Essa influência tem como objetivo conseguir que as pessoas façam alguma coisa ou forneçam determinada informação a pedido de alguém não autorizado.

Para conseguir persuadir as pessoas, o Engenheiro Social utiliza artimanhas com a finalidade de explorar algumas características humanas, tais como Solidariedade, Instinto de Sobrevivência, Ambição, Curiosidade e Confiança, exercendo a influência acima de tudo, enganando muitas vezes, misturando pequenas mentiras em grandes verdades. O objetivo do Engenheiro Social é alcançado após conquistar a confiança do usuário.

Na sua grande maioria, a Engenharia Social é empregada para conseguir acessos indevidos de forma mais rápida, com auxílio de alguém autorizado. Deste modo não seriam necessários muitos apetrechos tecnológicos e o tempo gasto para alcançar um objetivo seria menor.

Pegando como exemplo as últimas notícias de golpes bancários, e a recente onda de ataques de "pescaria" (Phishing Scam), vamos imaginar uma quadrilha que queira dar um golpe em correntistas de diversos bancos. Seu objetivo é conseguir números de contas, agências, senhas, dados pessoais e até cartões de crédito. Estas informações podem ser conseguidas em duas fontes principais: nos bancos ou nos clientes. Qual seria a origem mais propícia a entregar as informações para a quadrilha? De qual fonte a quadrilha teria mais facilidades para obter as informações? Seria do banco?

Vejamos: quantos milhões de dólares as instituições financeiras gastam por ano para proteger suas informações? Quantos mecanismos de defesa são empregados? Chaves criptográficas, firewalls, cofres, salas cofres, vigilância 24h, CFTV etc. Talvez o ambiente de uma instituição financeira seja atualmente o mais seguro no mundo corporativo, pelo menos no quesito tecnologia.

Acho então que a pergunta começa a ser respondida. Parece que o mais fácil seria conseguir as informações diretamente com o cliente. Como? Utilizando tecnologia? Para isso seria necessário varrer a internet a procura de computadores com vulnerabilidades conhecidas e depois com a lista de computadores em mãos, explorar estas vulnerabilidades.

Mas e os computadores conectados via dial-up que hoje têm um IP e amanhã outro? Seriam estes a maioria? Acho que sim. Então o que fazer? Os ataques de "pescaria" fazem este trabalho. Aliando tecnologias disponíveis à Engenharia Social, o cliente é influenciado a ceder suas informações de forma voluntária.

Vejamos um exemplo recente: a Serasa. Quem entrar em contato com a Serasa verá que essa instituição não envia e-mails informando que seu nome foi incluído na lista dos maus pagadores. Nem muito menos pedindo informações pessoais.

Porém recentemente começou a circular na internet um e-mail (spam) informando que o destinatário deste estava com pendências na Serasa e que para "limpar" seu nome era preciso preencher um formulário. Ao clicar no link para preencher o formulário, um programa cavalo de tróia é instalado no computador do usuário. Este programa vasculha o computador onde ele está, procurando informações pessoais, senhas, dados financeiros e envia tudo que foi coletado para um e-mail ou site ftp na internet.

Assim, se as informações concedidas tão gentilmente pelo usuário não forem suficientes, o atacante pode acessar o e-mail ou ftp e procurar o que mais lhe for útil. Alguns "cavalos de tróia" podem, inclusive, permitir que o atacante acesse o computador do usuário remotamente. E o atacante só precisou enviar um e-mail, todo o restante foi feito pelo próprio usuário. Desde o preenchimento do formulário até a instalação do "cavalo de tróia".

Então, para nossa quadrilha imaginária, a solução para alcançar seu objetivo está na Engenharia Social aliada a algumas tecnologias disponíveis como ferramentas para envio automático de spam, cavalos de tróia para acesso remoto à informações, keyloggers etc.

Como vemos, se pensarmos na figura consagrada da corrente para a Segurança da Informação, certamente o elo mais fraco é o fator humano. As pessoas são imprevisíveis e passíveis de serem influenciadas. Os Engenheiros Sociais sempre vão existir enquanto o homem estiver presente no processo.

Este foi um exemplo de ataque combinado de "Spam + Engenharia Social". Neste ataque os resultados são aleatórios e o alvo indefinido. Assim não foi necessário contato direto do atacante com a vítima.

A Engenharia Social também é muito utilizada em ataques com alvos definidos. Nestes ataques existe o contato direto entre o atacante e a vítima. O Engenheiro Social faz uso de contatos via telefone, e-mail ou até mesmo pessoal com a vítima. Os passos para a realização de um ataque após a identificação do alvo são geralmente os seguintes:

Estudo da vítima

Neste primeiro estágio, o atacante observa, escuta e colhe o máximo número de informações possíveis. No caso do alvo ser uma empresa, vários funcionários são observados a fim de identificar características exploráveis.

Além de observar muito bem o procedimento de acesso físico à empresa. Quem libera acesso, quem recebe visitas, quais horários de mais movimento. A coleta de informações pode ser via telefone, via internet ou até pessoalmente. Vamos imaginar um cenário genérico: o alvo do nosso atacante seria a empresa xyz LTDA e o site da empresa é www.xyz.com.br. Seu objetivo é conseguir informações sobre a contabilidade da empresa. Todas as informações quanto for possível.

Com base nestas informações, nosso atacante acessa o Registro.br e verifica que o Sr. Fulano de tal, telefone 1234-5678 e e-mail fulano@xyz.com.br é o responsável pelo domínio da empresa.

Entrando em contato

Em seguida nosso atacante liga para o Sr. Fulano de tal e descobre que ele é o Gerente de TI. Sua secretária atende e diz que o mesmo está em reunião. Muito solícita, D. xxx explica que o melhor horário para falar com o Sr. Fulano é a tarde, pois todas as manhãs ele está em reunião.

Aproveitando a boa vontade da secretária, nosso atacante, dizendo ser o representante de uma consultoria de sistemas que desenvolve aplicativos contábeis, pergunta quem seria o responsável pela contabilidade da empresa.

Conversa vai, conversa vem e nosso atacante descobre que são três funcionários na contabilidade, sendo uma estagiária, um contador e o supervisor. Consegue também seus telefones. O alvo agora é o computador da estagiária. Nosso atacante liga e descobre que o supervisor também está em reunião. Quanta reunião! (alguma semelhança com a empresa onde trabalha?)

Finalizando o golpe

Ao falar com a estagiária, a mesma conversa e o atacante diz que vai encaminhar a ela uma apresentação sobre a empresa e uma demonstração de seu sistema. Diz a ela o quanto seu sistema poderá ajuda-la no dia-a-dia e como a apresentação desta solução pode alavancar sua carreira dentro da xyz.

Agora "N" possibilidades surgirão. O atacante pode mandar um trojan para acesso remoto escondido no suposto sistema, pode mandar keyloggers, pode criar um sistema para coleta de informações, pode mandar um sistema com problema para que um segundo contato seja estabelecido...

Depois da Engenharia Social, surge agora a parte tecnológica, mas não entraremos neste mérito. Porém já é o suficiente para exemplificarmos os perigos a que as corporações estão expostas.

No caso hipotético acima foram exploradas como vulnerabilidades, algumas características humanas como o desejo de ajudar e a vontade de crescer profissionalmente: Solidariedade e Ambição.

Pelo que pudemos ver, de pouco adiantam as barreiras tecnológicas e ferramentas de alta tecnologia se o usuário ceder as informações. Veja que no exemplo acima, o atacante, após se identificar como um possível fornecedor e dizer que foi indicado a ela pela D. xxx secretária do Gerente de TI, facilmente ganhou a confiança da estagiária e poderia inclusive fazer perguntas sobre seu trabalho cotidiano para customizar a ferramenta.

Poderia pedir exemplos de relatórios, nomes de clientes, suas rotinas e, quem sabe, a estagiária não mandaria para o e-mail dele algumas planilhas para exemplificar seu dia-a-dia? A pergunta então é: como se defender? Confira o próximo artigo!

Observação: os exemplos citados são puramente lúdicos. Não havendo em minha opinião nada que desabone Gerentes de TI, Secretárias ou estagiários.


Saiba mais:

- Artigo - Policiais Corporativos

Lançado o Kalango Linux 3.0




Fonte:


Foi liberada nessa sexta feira 26 de Novembro a versão 3.0 do Kalango Linux.

Foram mais de 6 meses de desenvolvimento buscando principalmente estabilidade, facilidade, organização e flexibilidade. O sistema sofreu alterações significantes na estrutura geral e upgrades importantes, como: Kernel 2.6.7, KDE 3.3.1, Gnome 2.8.1, Firefox 1.0, Samba 3.0.7, etc.

As principais novidades ficam por conta do novo instalador e do bootsplash que é ativado após a instalação no HD.

Visando agradar um maior número de usuários foram incluídos os gerenciadores de janelas IceWM e Fluxbox, somando aos que já faziam parte da distribuição, temos: KDE, Gnome, WindowMaker, Fluxbox e IceWM, todos personalizados como se fosse o padrão, isso significa visual acabado, menu completo, softwares para configuração e adicionais, como ícones no desktop por exemplo.

Toda a parte de identificação visual da distribuição foi refeita, cores, logo, banners, etc. Aproveitando essa mudança e o lançamento da versão 3.0 está no ar o novo site do projeto em http://www.kalangolinux.org. Recentemente migramos também o sistema de fórum, usavamos um que era freeware mas não Livre, visando apoiar cada vez mais a utilização do Software Livre mudamos para o PhpBB, com isso atingimos uma melhor organização e velocidade, além de um maior controle do sistema.

Usuários do NMAP sob investigação do FBI




Fonte:


Fyodor, criador e mantenedor da ferramenta NMAP (que já virou até atriz de cinema), comunicou que o FBI está solicitando informações sobre os internautas que estão baixando as atualizações do seu software. De acordo com ele, isto não chega a ser novidade - mas isto nunca ocorrera antes do ano de 2004.

"Farei tudo para proteger a identidade desses internautas. No entanto, quem acessa minha página deve saber que suas atividades podem deixar rastros", escreveu o criador da ferramenta, o hacker Fyodor, 27, em um grupo de discussão via e-mail. Ele aconselha o uso de um proxy ou recursos equivalentes ao baixar a última versão do nmap.

De acordo com o The Register, Fyodor afirmou que seu programa pode ter sido utilizado em um crime virtual sério. "Se eu fosse vítima de algo desse tipo, provavelmente gostaria que as pessoas cooperassem para resolvê-lo", falou.


Fonte: Folha Online

Governo de SP e IBM firmam acordo pró-Linux




Fonte:


No próximo sábado (27/11) será oficializado um acordo de cooperação entre o governo do Estado de São Paulo e a IBM. A parceria prevê a capacitação de 980 funcionários públicos, entre gestores, profissionais de tecnologia e CIOs, para que conheçam e fiquem aptos a trabalhar com soluções de padrões abertos. “Faremos desde treinamentos básicos até específicos para quem necessita de conhecimentos técnicos”, explica o executivo de Linux da IBM Brasil, Aroldo Hoffmann.

O curso, que está previsto para ser iniciado em fevereiro de 2005, será feito para diversas turmas ao longo de um ano e terá cinco módulos. Os três primeiros são de Linux, e envolvem gerenciamento de documentos, segurança, portal e colaboração avançada, integração, entre outros. Na próxima etapa serão apresentados softwares IBM que rodam em padrões abertos e, no último módulo, os funcionários da administração pública do Estado vão até à IBM para trabalhar com a solução e fazer provas de tecnologia em soluções de software IBM.

Segundo Hoffmann, o interesse do governo é reduzir custos e principalmente melhorar a qualidade da mão-de-obra dos funcionários e dos serviços oferecidos ao cidadão. “O governo entende que se os profissionais de tecnologia tiverem os conhecimentos necessários sobre sistemas de código aberto, poderá aplicar a solução em um maior número de serviços”, explica o executivo de Linux da IBM Brasil.

A princípio, não haverá movimentação financeira para a realização da parceria, mas a softwarehouse afirma que sua contribuição para o treinamento pode resultar em negócios para a empresa. “Possuímos um portfólio completo de soluções aptas a rodar em software livre e acreditamos que o setor público pode ser um grande contribuidor para os negócios”, informa Hoffmann.

COMPUTERWORLD, com colaboração de Luiza Dalmazo
26/11/2004

McAfee lista os programas indesejáveis que circulam pela web




Fonte:


Segundo a última medição do IBOPE/NetRatings, 11,6 milhões de internautas domiciliares brasileiros passaram 14 horas e 16 minutos na internet. Se por um lado esse tráfego crescente de usuários significa a possibilidade de novas formas de negócios e serviços, por outro ele também aumenta o risco às informações que circulam pela rede.

Além dos tradicionais vírus e cavalos-de-tróia, há uma série de outros programas indesejáveis circulam pela web. O laboratório AVERT (Antivirus and Vulnerability Emergency Response Team) da McAfee listou algumas das mais freqüentes ameaças que circulam pela internet. Confira.

- Programas Potencialmente Indesejáveis (PUPs) - programas ou "aplicativos" indesejáveis em um ambiente. Um PUP pode ser qualquer código ou dado não-viral ou não-troiano, podendo ter uma finalidade legítima. A versão mal-intencionada desses programas é normalmente conhecida como "Backdoor Trojan".

- Spyware - programa criado para monitorar o uso do computador ou os hábitos de navegação de um usuário. Isso inclui o monitoramento de digitação, o controle do histórico de navegação na internet ou qualquer programa que, em última análise, extraia informações do computador em que reside.

- Adware - programa criado para apresentar anúncios ao usuário final. Ele é instalado, muitas vezes, em troca de outro serviço, por exemplo, o direito de usar um programa sem pagar por ele.

- Ferramentas de Administração Remota - programas criados para permitir que um usuário externo e, provavelmente, não-autorizado, controle a máquina hospedeira.

- Discadores - programas criados para usar a máquina hospedeira com a finalidade de discar e conectar-se a sites sem o conhecimento do usuário.

- Crackers de Senhas - programas criados para obter senhas de software legítimo (normalmente licenciado) ou objetos criptografados.

sexta-feira, novembro 26, 2004

Sun corrige falha na Java Virtual Machine




Fonte:


E diz que até agora não foi relatado nenhum caso de exploração da vulnerabilidade por hackers.


São Paulo - A Sun Microsystems, em nota oficial, esclarece que já tinha distribuído, desde outubro, uma correção para a vulnerabilidade na Java Virtual Machine (JVM), apontada pela empresa de segurança Secunia, e que, esta semana lançou uma versão atualizada do Java Runtime Enviroment, que elimina de vez o problema. A nota diz ainda que não foi relatado nenhum caso de exploração da falha por hackers. O download do upgrade pode ser feito a partir do site sunsolve.com.


João Magalhães

MS troca XP falso por verdadeiro na Inglaterra




Fonte:


SÃO PAULO - A Microsoft do Reino Unido lançou uma campanha para trocar cópias falsificadas do Windows XP por versões originais do sistema operacional.


Em comunicado, a companhia diz que decidiu tomar essa atitude após ter descoberto "versões falsas do XP extremamente bem feitas". Podem participar do Windows XP Counterfeit Project todos os usuários que desconfiarem ter levado gato por lebre para casa, ou seja, o produto pirata ao invés do original. Basta enviar o software para a análise da Microsoft; se não for a versão oficial, a companhia faz a troca. Mas a oferta não vale para atualizações, apenas para quem comprou o sistema na caixa ou pré-instalado no PC.


Renata Mesquita, do Plantão INFO

FBI intima criador de ferramenta hacker para identificar usuários




Fonte:


O criador da ferramenta Nmap disse ter recebido uma intimação do FBI (serviço federal de investigações, na sigla em inglês), que pretende identificar usuários de seu site, o Insecure.org. O Nmap, um sistema de invasão bastante popular, varre o computador para identificar brechas de segurança em programas vulneráveis.

"Farei tudo para proteger a identidade desses internautas. No entanto, quem acessa minha página deve saber que suas atividades podem deixar rastros", escreveu o criador da ferramenta, o hacker Fyodor, 27, em um grupo de discussão via e-mail.

O programador aconselhou os internautas a usarem um servidor proxy --que faz a conexão entre o usuário e os outros servidores-- alternativo ou outras técnicas quando quiserem baixar a última versão do Nmap.

Em uma entrevista para o site The Register, Fyodor disse que já recebeu outras intimações este ano. "Não é um número absurdo, mas eu nunca havia recebido qualquer documento desse tipo antes de 2004".

Nenhuma das intimações, falou ele, teve qualquer resultado. Isso aconteceu principalmente porque elas traziam acusações antigas, de ações que já haviam sido apagadas de seu site. Os pedidos tinham objetivos específicos, como descobrir os usuários que passaram pela página em curtos períodos de tempo --cinco minutos, por exemplo.

O programador acredita que o intruso procurado pelos agentes tenha baixado o Nmap em uma máquina comprometida. "Eles pensam, no entanto, que o internauta fez o download de seu próprio computador".

De acordo com o The Register, Fyodor afirmou que seu programa pode ter sido utilizado em um crime virtual sério. "Se eu fosse vítima de algo desse tipo, provavelmente gostaria que as pessoas cooperassem para resolvê-lo", falou.

No ano passado o Nmap ganhou notoriedade quando apareceu no filme "Matrix Reloaded". A personagem Trinity rodou o código contra o endereço IP 10.2.2.2 e encontrou a porta número 22 aberta --identificada como o serviço SSH, protocolo usado para fazer o login em computadores remotos.


Links:
         "Matrix Reloaded" mostra ação hacker semelhante à do mundo real
         Confira outras notícias sobre hackers

quinta-feira, novembro 25, 2004

Linux Magazine mostra como transformar um servidor Linux numa central telefônica




Fonte:



Usar um computador como telefone já pareceu um sonho distante. Com o rápido aumento da capacidade de processamento das CPUs modernas e a queda no preço do acesso à Internet de banda larga, esse sonho está se tornando realidade para mais pessoas. Assim, a revolução na telefonia, prometida pela tecnologia VoIP (voz via Internet), está finalmente ao alcance de usuários domésticos e empresas.

Aproveitando o avanço da tecnologia, é possível economizar nas despesas gerais da empresa, o que é uma boa notícia para todos os negócios. Usando software de código aberto pode-se transformar servidores Linux em verdadeiras centrais telefônicas a custo ainda mais reduzido, o que inevitavelmente conduzirá a mudanças no modo como as operadoras de telefonia e telecomunicações em geral irão negociar seus serviços a médio prazo. Parcerias com provedores de conteúdo digital serão fundamentais para a sobrevivência dessas empresas no futuro.

A terceira edição da revista Linux Magazine examina os conceitos básicos que regem a tecnologia VoIP e mostra que já é possível concretizar alguns dos sonhos sobre telefonia via Internet. Além disso, a revista mostra como integrar serviços VoIP ao sistema de telefonia já existente e o que é necessário para conseguir fazer e receber chamadas de qualquer pessoa que use um telefone normal ligado ao sistema de telefonia atual. Traz também uma matéria completa para que o leitor e usuário de Linux saiba escolher o softphone que melhor se adapte às suas necessidades.

Em outra matéria, os leitores conhecerão a nova versão do pacote de aplicativos de código fonte aberto para escritórios mais popular do mundo, o OpenOffice 2.0. Outras ferramentas foram testadas nessa edição, tais como a versão atual do Vmware. Foi realizado também um teste comparativo com aplicativos para ilustração vetorial em Linux.

Uma entrevista com o Diretor Nacional da Computer Associates fecha a edição, que traz no CD do mês uma versão customizada do Slax 4.1.4 em português, uma distribuição Linux Slackware que roda direto do CD. Outras ferramentas e aplicativos fazem parte do CD, muitos deles adaptados pela equipe da revista. O CD-ROM traz também diversas opções de softphones e programas para computação gráfica e modelagem 3D.

LINUX MAGAZINE Nº 3
Revista especializada em Linux
Editora: Linux New Media do Brasil
Preço de banca: 12,90 (acompanha 1 CD-ROM)
Mais informações: http://www.linuxmagazine.com.br

Servidores Linux vendem US$ 1 bi no trimestre




Fonte: IDG Now!


As vendas de servidores equipados com sistemas operacionais Linux chegaram a US$ 1 bilhão no terceiro trimestre de 2004. O levantamento é da consultoria de tecnologia norte-americana IDC que anunciou os resultados nesta quarta-feira (23/11), revelando que estas vendas tiveram uma alta de 42,6 % em relação ao ano passado. A participação dos servidores Linux no mercado mundial atinge mais de 9% dos US$ 11, 5 bilhões negociados no último trimestre.


Segundo a IDC, o mercado mundial cresceu 5,5 % em relação ao começo do ano, o que indica uma retomada, com um crescimento menos conservador que nos últimos anos. Além das vendas dos servidores Linux, a Microsoft ajudou a alavancar o crescimento de 18,2 % no volume de vendas. Somente o Windows Server teve um crescimento de 13,3 % em relação ao mesmo período do ano passado.


A IBM permaneceu na primeira colocação, rendendo US$ 3,66 bilhões, 31,7 % do mercado de servidores, e a HP aparece em segundo, com vendas de US$ 3,09 bilhões. A Dell foi o fornecedor que mais cresceu, 14,1 % em relação ao começo do ano, atingindo US$ 1,17 bilhões, pouco atrás do terceiro colocado, Sun Microsystems, que vendeu US$ 1,18 bilhões neste trimestre, um aumento de apenas 0,1 % em relação ao começo do ano.


As vendas de servidores com preços entre US$ 25 mil US$ 500 mil, tradicionalmente uma área forte dos sistemas Unix da Sun, teve uma queda de 10,2 % neste trimestre. A IDC avalia que neste setor o mercado pode ser tomado por servidores Linux rodando em processadores AMD de 64 bits.


Servidores blade venderam US$ 287 milhões no trimestre, o que representa 2,5 % do mercado, um crescimento de 44 % em relação ao ano passado. A IBM aparece como o maior fornecedor, com 44,2 % de participação neste setor.


Em relação ao número de unidades vendidas, a ordem dos maiores fornecedores se altera. A HP aparece em primeiro com 471 unidades vendidas, seguida por Dell e IBM com 347 mil e 259 mil, respectivamente. A Sun vendeu 81 mil unidades, número 0,9 % menor que no início do ano.

Robert McMillan - IDG News Service, EUA

Microsoft está promovendo o Firefox?




Fonte:


Capturas de tela do MSN Search, enviadas à imprensa americana pela Microsoft, foram exibidas pelo navegador da Fundação Mozilla.


São Paulo - Pode parecer incrível, mas tudo indica que a Microsoft deu uma mãozinha para a ascensão do Firefox, browser da Fundação Mozilla. Senão, vejamos: recentemente, a empresa enviou à imprensa americana capturas de telas do MSN Search. E o navegador que as exibia era qual? Acertou: era o Firefox.

Embora Brian Peterson, executivo da Waggener Edstrom, empresa que faz relações públicas para a Microsoft, tenha negado o fato e se eximido de comentá-lo, o crédito da imagem diz "(AP Photo/HO/Microsoft)”, o que significa que ela foi distribuída à agência de notícias AP, pela gigante de softwares.

João Magalhães

Falha em plug-in Java deixa computador exposto na web




Fonte:


Uma falha no plug-in que ativa a linguagem de programação Java pode permitir que vírus e programas maliciosos se espalhem por PCs com plataformas Windows ou Linux, além de atacar navegadores como o Internet Explorer e Firefox.

O problema afeta os sistemas Sun Java JRE 1.3.x, Sun Java JRE 1.4.x, Sun Java SDK 1.3.x e Sun Java SDK 1.4.x.

A Sun Microsystem --criadora do Java-- havia oferecido a seus usuários uma correção para o problema descoberto em junho pela empresa de segurança finlandesa Jouko Pynnonen. No entanto, a falha não havia sido divulgada e só tornou-se pública depois que a empresa de segurança Secunia a identificou como altamente crítica.

O plug-in Java permite que os applets --pequenos programas escritos nessa linguagem-- rodem com segurança no computador do usuário. A falha de segurança, no entanto, permite que códigos maliciosos sejam instalados no micro da vítima ao visitar páginas da web.

"O problema possibilita que o código selecionado por um pirata seja executado na máquina sem a interação com o internauta --o máximo que ele tem de fazer é entrar em um site com o vírus", disse um representante da Pynonnen ao site Cnet.

A brecha dá espaço para que piratas virtuais modifiquem ou executem arquivos, façam uploads e também transfiram informações guardadas no computador infectado para outras máquinas.

Links:
         Dez falhas no SP2 do Windows XP deixam PC exposto a ataques
         Vírus que explora falhas do IE chega em e-mail com "conteúdo adulto"
         Leia outras notícias sobre códigos maliciosos

quarta-feira, novembro 24, 2004

Falha no Winamp expõe máquina do usuário




Fonte:


SÃO PAULO - Uma falha de segurança no Winamp permite a invasão da máquina do usuário. O problema afeta as versões 5.05 e 5.06 do tocador de mídia e, possivelmente, outras versões anteriores.

Segundo a empresa de segurança Secunia, a falha localiza-se no arquivo In_cdda.dll e pode ser explorada para provocar um estouro de memória. Para isso, o usuário precisaria ser convencido a visitar um site mal-intencionado contendo uma lista de execução M3U preparada para provocar o erro.

Inicialmente, a Secunia divulgou que o problema afetava apenas a versão 5.05 e, para corrigi-lo, bastaria fazer o upgrade para a 5.06. Depois, a empresa informou que esta última versão também é vulnerável e recomenda um quebra-galho. Enquanto não sai uma solução definitiva, o usuário deve desassociar do Winamp os arquivos .m3u e .cda.


Carlos Machado, da INFO

E o Firefox continua crescendo...




Fonte: noticiaslinux.com.br


Segundo pesquisa do site Onestat.com, o Firefox continua crescendo. Sei que a notícia não é muita novidade, mas o fato interessante é que o IE ultrapassou a barreira dos 90% (descendente, claro). Atualmente, segundo a notícia, está com 88,9%.

link:
         http://www.spymac.com/news/index.php?contentid=1263
         http://www.noticiaslinux.com.br/nl1101257268.html

Carta Protesto contra a "Lei do Software Livre"




Fonte: BR-Linux 5.0



Ricardo Macari (macari@gmail.com) enviou este link da Carta Protesto e acrescentou: "Fui informado deste link pelo Christiano Anderson, que se mostrou preocupado com este tipo de atitude contra o SL, deixo aqui a informação para que todos tenham conhecimento. Em minha opinião este tipo de ato já era esperado, afinal quem gasta horrores para se certificar em MS acha a virada pro Software Livre um pesadelo."

O protesto é na verdade contra um projeto de lei: o de número 2269/99, do Dep. Walter Pinheiro, que "dispõe sobre a utilização de programas abertos pelos entes de direito público e de direito privado sob controle acionário da administração pública." Curiosamente, já houve também um abaixo-assinado (hoje indisponível) a favor deste mesmo projeto.

Já em 2000 o Dep. Walter Pinheiro declarava acreditar que a aprovação do projeto não seria fácil, uma vez que o lobby dos empresários do setor de informática é muito grande. Na época, ele disse que "A importância deste projeto agora é que ele vai criar condições para um debate no âmbito do Congresso Nacional, levantando questões relevantes, tais como identificar a importância do uso de softwares abertos, discutir sua base filosófica, pensar o desenvolvimento básico" e que "é preciso fazer com que o Estado busque o software aberto como solução".

A opinião do autor do protesto merece respeito, mas os "argumentos" do texto são risíveis, parecendo considerar que a legislação norte-americana de patentes de software vale fora do país, e tomando como fatos "comprovados" as opiniões de Steve Ballmer, CEO da Microsoft (exemplo: "Pois está comprovado que o linux viola 283 patentes de software das maiores industrias de software do mercado, industrias essas que a qualquer momento podem processar todos os usuários linux requerendo indenizações" - e dá como referência uma notícia de jornal sobre discurso de Steve Ballmer - do qual a própria Microsoft retratou-se no dia seguinte) e como verdades incontestes algumas afirmações estranhas como "Prejudica a balança comercial e o incentivo a exportação de software", "Prejudica a qualidade profissional do brasileiro dificultando a produção científica no país", "Anula esforços positivos para a drástica redução da pirataria no país".

A primeira afirmação é controversa, mas as outras duas mazelas do software livre apontadas acima precisam de muita distorção para poderem até mesmo ser compreendidas. Como o software livre pode prejudicar o combate à pirataria? A resposta do autor é que o projeto de lei impediria a Microsoft de ceder seus softwares (exceto MS Office) para universidades públicas por preços reduzidos. Entendeu? A universidade, ao usar o software livre (que não é pirata, por definição), retira da MS a oportunidade de lhe vender cópias baratas de seus softwares. Assim, conclui o autor, fica prejudicado o combate à pirataria. Ah, bom!

Não sou defensor da obrigatoriedade legal de adquirir algum modelo de software (embora seja contrário a permitir que licitações possam tornar obrigatória a compra de softwares proprietários, como ocorre hoje). Mas este debate precisa ocorrer - e com argumentos mais sólidos.

Link:
            http://br-linux.org/main/noticia-carta_protesto_contra_a_lei_d.html

O Freedows Linux é um Windows melhor que o Lindows?




Fonte: BR-Linux 5.0


O The Inquirer publicou uma matéria sobre o brasileiro Freedows. O título pergunta: "O Freedows Linux é um Windows melhor que o Lindows?" À parte a brincadeira marota com o antigo nome do produto da Linspire (que concorre no mesmo nicho do Freedows, mas internacionalmente), o artigo descreve o produto apontando suas peculiaridades: "Ele é quase completamente idêntico ao Windows XP (o Lindows não era tão similar) e tem em si mesmo um pouco da mão do governo. O Freedows é desenvolvido pela Cobra Tecnologia e pela empresa Free Software. A primeira é o braço tecnológico do Banco do Brasil, que é o maior banco federal do país."

O artigo continua: "O Freedows não é livre, exceto em sua versão Lite (testada pelo The Inquirer), que é limitada e baseada na interface do Windows 9x. Aparentemente o núcleo do sistema operacional foi criado sob o Fedora Core ou outra distribuição similar. Apesar de sua interface parecida com a do Windows e da facilidade de uso, o Freedows não é um grande sucesos no Brasil, ao menos até agora."

Será verdade que esta distribuição lançada na semana do V FISL (mas sem participar do evento) e divulgada com destaque pela revista Info de junho como "Linux dentro, XP por fora" não alcançou o sucesso nacional? Vamos fazer uma rápida enquete: quantos de vocês usam o Freedows como sistema operacional de seus desktops? Ou conhecem alguém que use?


Link:
         http://br-linux.org/main/noticia-the_inquirer_o_freedows_linux.html

Participe da pesquisa do OpenOffice.org




Fonte: noticiaslinux.com.br


Por favor participe da pesquisa de apenas 5 minutos sobre base instalada de OpenOffice.org. Os resultados serão publicados na newsletter de dezembro do OpenOffice.org.

O objetivo desta pesquisa é ter um melhor entendimento do uso e distribuição do OpenOffice.org.

Os dados desta pesquisa juntamente com os dados das pesquisas de usuário e desenvolvedor irão ajudar a melhorar o projeto e a aplicação OpenOffice.org.

A pesquisa está disponível em:
            http://www.openofficesolutions.de/surveys/ooousage/

terça-feira, novembro 23, 2004

Software prevê ataques de vírus




Fonte:


Firewall criado com base em pesquisas do Instituto de Tecnologia de Massachusetts (MIT) é cem por cento preciso e não requer atualizações para detectar novas ameaças.


São Paulo - A mais recente versão do Memory Firewall, da Determina , é capaz de prevenir ataques de vírus e outros programas maliciosos, antes que eles sejam desfechados. Segundo a empresa norte-americana de tecnologia, o programa, criado com base em pesquisas do Instituto de Tecnologia de Massachusetts (MIT), é cem por cento preciso e não requer atualizações para detectar novas ameaças.


João Magalhães

Conferência online analisará sistemas de prevenção




Fonte:



A Internet Security Systems (ISS) Brasil promove a conferência online "Sistema de Prevenção de Intrusos IPS", que abordará a eficiência de cada sistema disponível no mercado para a proteção de informações corporativas e segurança dos servidores e desktops. O evento é gratuito e será realizado no dia 24 de novembro, às 15h.

A conferência será apresentada por Marcelo Bezerra, diretor técnico da ISS Brasil e América Latina. Os elementos fundamentais para ordenar soluções de proteção IPS e melhorar o funcionamento das redes serão alguns dos temas abordados. Também serão avaliadas a atividade preventiva nas marcas desenvolvedoras, as regras de proteção e os produtos frente a soluções integradas.

As inscrições para o seminário devem ser feitas antecipadamente por meio de um formulário disponível no site da empresa. Os interessados que não forem cadastrados poderão fazê-lo na hora.

hdparm: Tire o máximo de seu HD




Fonte: noticiaslinux.com.br



Não é novidade que os HD's de hoje em dia são dotados de alta tecnologia, tanto no que diz respeito a capacidade de armazenamento quanto a velocidade de leitura e escrita. Tecnologias como UDMA, PIO, ATA, SATA têm feitos dos HD's dispositivos de gravação extremamente rápidos se comparados aos mesmos dispositivos de poucos anos atrás.

Mas como sabemos, uma boa parte dos recursos suportados pelos HD's são ativados via software, o que torna possível ter um HD de última geração que não funcione a contento, pelo simples fato de este não estar configurado. Você sabia, por exemplo, que em muitos casos após a instalação do Linux os HD's podem estar até mesmo sem DMA ativado?

Pois é. Isso pode comprometer a velocidade do sistema todo. Por isso, sem mais delongas, vou apresentar-lhes o hdparm. Um software que tem por finalidade analisar dispositivos de disco rígido e configurá-los, ativando ou desativando recursos.

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1149

Suporte a wireless no Linux com drivers feitos para Windows XP




Fonte: BR-Linux 5.0


A maior parte dos adaptadores wireless para PCs e notebooks não vem com drivers para Linux em seus CDs de instalação. Para uma parte deles, a própria comunidade desenvolveu drivers nativos (às vezes com a colaboração dos fabricantes, como no caso da Intel). Mas se você recebeu um equipamento com suporte a wireless para o qual não existe driver para Linux, nem tudo está perdido: ferramentas como o driverloader e o ndiswrapper permitem uma solução alternativa e surpreendente: usar no Linux os drivers oficiais do produto, feitos para Windows XP. Já tratamos do assunto aqui no BR-Linux em outras ocasiões, e eu mesmo já testei o ndiswrapper com sucesso. Mas este artigo do NewsForge vai mais a fundo na questão.

Mas se você está considerando a idéia de comprar um adaptador wireless para usar no Linux, não se deixe levar pela facilidade destas soluções alternativas: prefira sempre os fabricantes que colaboram no desenvolvimento de drivers abertos.

Nova versão da licença GPL vai lidar com patentes de software




Fonte: BR-Linux 5.0


O Eweek publicou uma notícia sobre versão 3 da licença GPL, cuja minuta deve ser publicada em 2005. A primeira revisão da GPL desde 1991 vai lidar com diversos situações não previstas na versão 2, inclusive a questão das patentes de software, os direitos dos usuários de sistemas que rodam via rede e as diferenças de legislação entre os países.

Últimos dias para inscrição no Hackers to Hackers Conference




Fonte: noticiaslinux.com.br


Está acabando o prazo para as inscrições no Hackers to Hackers Conference, a primeira conferência Hacker no Brasil de âmbito internacional. Não perca mais tempo as inscrições se encerram no dia 23. Para maiores informações acesse o site do evento http://www.h2hc.com.br.

Descobertas novas falhas no Internet Explorer 6.0




Fonte:


Uma delas permite a um hacker enviar um programa malicioso a um computador disfarçado em documento HTML.


São Paulo - Novas vulnerabilidades no Internet Explorer 6.0 foram encontradas na pela empresa de segurança dinamarquesa Secunia. Uma delas, classificada como moderada, está relacionada a uma ferramenta do Windows XP SP2, que exibe um aviso quando são abertos certos tipos de arquivos baixados da internet. Segundo a Secunia, o bug permite a um hacker enviar um programa malicioso a um computador disfarçado em documento HTML.

Uma outra falha, considerada como “não crítica”, expõe uma sessão Web a ataques, através de cookies, pequenos arquivos de texto que informam aos servidores quantas vezes uma mesma página é acessada pelo mesmo navegador.

Uma semana atrás, a norte-americana Finjan Software tinha emitido um boletim apontando dez falhas em novas ferramentas de segurança do XP SP2, para as quais a Microsoft ainda não tinha lançado correções.


João Magalhães

Microsoft lança versão final do Messenger na Web




Fonte:


A ferramenta permite o uso rápido e fácil de alguns recursos de envio de mensagens instantâneas, via Web.

São Paulo - Em testes desde agosto, o MSN Web Messenger da Microsoft está no ar em sua versão final. A ferramenta permite o uso rápido e fácil de alguns recursos de envio de mensagens instantâneas em qualquer computador disponível para o usuário, sem a necessidade de instalar o MSN Messenger Desktop.

Para usar o Web Messenger, é preciso ter um .Net Passport e a permissão de exibição de janelas pop-up. Cumpridas essas exigências, basta digitar http://webmessenger.msn.com/?mkt=pt-br na barra de endereços de seu browser.

João Magalhães

Vírus se propaga por banners




Fonte:


São Paulo - A engenhosidade dos autores de vírus não tem limites. Ontem, o instituto americano de segurança Internet Storm Center avisou que banners de propaganda veiculados em milhares de sites europeus podiam conter um link que ativava o worm Bofra.

A primeira prova de que a nova estratégia estava em vigor surgiu no site de uma empresa de peso do Reino Unido. O Storm Center constatou que ali havia um banner publicitário que, quando clicado, levava a uma página que descarregava o worm.

O Bofra surgiu recentemente, explorando uma falha no modo com que o Internet Explorer trata as tags “frame” e “iframe”, usadas em documentos HTML. O worm, segundo a fabricante de antivírus Sophos,é uma praga perigosa que combina múltiplas técnicas de ataques, entre as quais engenharia social e uso de trojans, para contaminar os computadores de suas vítimas.


João magalhães

Firefox 1.0 está disponível em português do Brasil




Fonte:


São Paulo - Já está disponível para download grátis a versão final em português do Brasil do Firefox 1.0 para Windows, GNU/Linux e Mac. A comunidade do software livre espera que agora o uso do navegador da Fundação Mozilla no país cresça rapidamente.

O FireFox 1.0 precisou apenas de cinco dias para atingir 1 milhão de downloads. Esta semana, Fundação Mozilla anunciou ter sido ultrapassada a marca de cinco milhões de downloads do navegador, que começa a ameaçar a liderança do Internet Explorer.

Ontem, a OneStat.com, empresa holandesa especializada em serviços de medida de tráfego Web, afirmou que os números recolhidos de mais de 2 milhões de internautas em todo o mundo revelam uma crescente preferência pelo Firefox.

Com base na atividade online de cem países, as estatísticas da OneStat.com indicam que a quota de mercado do Internet Explorer baixou para 88,9 por cento na terceira semana de novembro, o que representa uma queda de 5 por cento em relação aos valores obtidos em maio.

João Magalhães

Programa malicioso desfigura celulares




Fonte:


O “Skulls” trava os aplicativos do sistema Symbian, instalado em celulares 7610 da Nokia, e substitui seus ícones por imagens de caveiras.

São Paulo - Celulares 7610 da Nokia, que rodam o sistema Symbian, estão sendo atacados por um novo cavalo-de-tróia. A praga, batizada de “Skulls” pelas empresas de segurança digital, interrompe todos os links para os aplicativos da Symbian e substitui seus ícones por imagens de caveiras.

Mikko Hypponen, diretor da F-Secure, esclarece que o “Skulls” não é perigoso porque não tem poder de propagação e que são poucos os celulares contaminados por ele. O problema é que para eliminá-lo, é preciso dar um reset no aparelho, o que causa a perda de dados.

O “Skulls” é a mais recente ameaça à telefonia móvel. No começo do mês, um outro cavalo-de-tróia, o Delf, infectava PCS para enviar spams a usuários de celulares na Rússia.


João Magalhães

Intel e Stefanini abrirão laboratório Linux em SP




Fonte:


SÃO PAULO - A subsidiária brasileira da Intel e a consultoria Stefanini vão abrir, em São Paulo, o Open Source Software Laboratory (OSS Lab), para testar e validar soluções de código aberto para os sistemas baseados em arquitetura Intel.


Neste laboratório, os clientes das duas empresas e integradores de hardware poderão acompanhar demostrações dessas soluções. Outra idéia em discussão é a oferta de tecnologia e treinamento por parte da Intel. Além disso, Intel e Stefanini pretendem oferecer programas de estágio para alunos das universidades paulistanas.

Renata Mesquita, do Plantão INFO

ICQ cria webmail gratuito para disputar mercado na internet




Fonte:



O serviço de mensagens instantâneas ICQ criou um webmail gratuito para seus 20 milhões de usuários em todo o mundo. O ICQmail tem ferramentas antivírus, filtro de spam, tradutor instantâneo de mensagens em sete línguas e capacidade de 6 MB de armazenamento.

O mercado dos webmails ganhou força em abril deste ano com a criação do Gmail --serviço gratuito do Google que oferece 1 GB de espaço. Em resposta, a Microsoft anunciou que ofereceria 250 MB em suas contas gratuitas do Hotmail e o Yahoo! deve aumentar sua capacidade de 100 MB para 250 MB.

As duas empresas têm contas com capacidade de 2 GB de armazenamento, mas o serviço é pago (R$ 60 o Hotmail e US$ 19,90 o Yahoo! por um ano). O ICQmail também utilizou esse modelo para criar seu premium service: por US$ 19,99 anuais o internauta tem direito a uma conta com 2 GB.

A versão premium também tem calendário e permite que o usuário envie e receba e-mails com vídeos. As mensagens recebidas podem obter respostas automáticas ou ser encaminhadas para o telefone celular do internauta.

Como remediar quando não é possível prevenir: a recuperação de desastres em debate




Fonte:


Entrevista com Jon Toigo, especialista internacional
Por Luis Fernando Rocha


Que Plano? Essa foi a resposta de 23% dos profissionais de TI a pergunta "Com que freqüência é atualizado seu Plano de Continuidade de Negócios / Recuperação de Desastres?", feita no final de 2003, durante a pesquisa realizada pela Storage Network Industry Association (SNIA).

Esse estudo apontou ainda que mais da metade dos departamentos de TI de empresas européias não possuía ou atualizava de forma correta seus Planos de Continuidade de Negócios (PCN) / Recuperação de Desastres.

No Brasil, tal realidade não fica muito distante. Segundo a 9ª Pesquisa Nacional de Segurança da Informação, realizada entre os meses de março e agosto de 2003 com 682 profissionais do país, apenas 21% das empresas afirmaram possuir um PCN atualizado e testado e 27% ainda não possuíam tal plano formalizado.

Diante desse cenário preocupante, a Módulo Security Magazine traz com exclusividade a palavra do especialista internacional Jon William Toigo, fundador do Data Management Institute LLC, organização de desenvolvimento profissional na área de armazenamento de dados. Ele fala com propriedade: tem mais de 15 anos de experiência na área, já participou da execução de cerca de 80 projetos e possui quatro livros publicados sobre o assunto. Confira.

Módulo Security Magazine: Do bug do milênio aos atentados terroristas de 11 de setembro, quais foram as principais mudanças no mercado de Recuperação de Desastres?

Jon William Toigo: De forma surpreendente, a tragédia de 11 de setembro resultou em pouca mudança na preparação das organizações para futuros desastres naturais ou causados pelo homem. Quando houve um aumento substancial na discussão em torno da necessidade de um planejamento efetivo, na maioria das organizações ele não foi acompanhado pelo aumento ou significante atividade de planejamento.

Pesquisas após pesquisas com profissionais de negócios e TI evidenciam que muitas empresas só conduziram avaliações de riscos preliminares pela primeira vez no rastro dos ataques terroristas, e mesmo assim algumas destas companhias ficaram distantes de identificarem as vulnerabilidades que poderiam ser dirigidas contra planos logísticos, meios de backup e outras instalações.

Entretanto, para a maior parte das companhias, a etapa seguinte - a execução real de capacidade de recuperação - não ocorreu; ou, quando houve, a capacidade resultante não foi nunca sujeitada a um teste formal ou significou poucas mudanças nos processos de negócios ou na infra-estrutura de tecnologia nos dois últimos anos.

Mas este não é, de maneira alguma, um resultado inesperado. A evidência empírica que cerca as calamidades naturais, tais como terremotos, incêndios, furacões e outros eventos naturais, demonstrou repetidamente a tendência de que os planejamentos de desastres sejam vistos primeiro como um assunto com "status" de prioridade alta, e logo em seguida declinem rapidamente como prioridade, apenas algumas semanas após o desastre. Talvez seja da natureza humana colocar as lembranças dolorosas ou enervadas de um desastre fora de nossas mentes e reajustar nossa visão para os negócios futuros ou nos objetivos técnicos que seguem o mais cedo possível o desastre. Este fenômeno pode ser um reflexo do "processo de cura" sob a perspectiva psicológica, e seja freqüentemente uma exigência de recuperação do evento do desastre para cada empresa que se apresentava despreparada.

O que vem acontecendo é uma proliferação de melhorias nas tecnologias para a recuperação de desastres - especialmente no segmento de proteção e backup de dados. A indústria aproveitou para apresentar ao mercado duas opções para a proteção de dados: backup e espelhamento. Há agora um espectro mais largo de opções disponíveis para proteger nosso recurso mais insubstituível: dados. Os fabricantes responderam ao que perceberam como uma oportunidade de vender soluções novas e aperfeiçoadas de proteção de dados de clientes, embora (paradoxalmente) os consumidores tenham demonstrado pouco interesse em comprar estas novas ferramentas.

Módulo Security Magazine: Estudo realizado recentemente pela Veritas/Dynamic Markets, com 1.259 profissionais de TI de diferentes países, revelou que 92% dos entrevistados teriam sérios obstáculos caso precisassem responder a uma situação de interrupção em sua infra-estrutura de TI. Por que as empresas não colocam os planos de Recuperação de Desastres como prioridade?


Jon William Toigo: Percepção é tudo. Os planos de Recuperação de Desastres sofrem com uma série de problemas de percepção que podem ser resumidos da seguinte maneira:

a) Um raio nunca cai duas vezes no mesmo lugar: em outras palavras, desde que um desastre já tenha acontecido nas proximidades de uma empresa, nós podemos projetar, particularmente de forma otimista, que é provável que isso não aconteça outra vez na mesma área - não, ao menos, em um curto período. Esta percepção diminui a sensação de importância que muitos sentem sobre a recuperação de desastres.

b) DRP (Disaster Recovery Planning) / BCP (Business Continuity Plan) é somente mais uma garantia: esta percepção é baseada na tendência de se contextualizar a Recuperação de Desastres apenas nos termos de redução dos riscos. De fato, o processo de planejamento, quando executado corretamente, pode significar a redução de custos e melhoria nos processos de negócios da organização - embora estes valores sejam raramente explorados ou articulados.

c) DRP é difícil de se fazer bem em circunstâncias adequadas e é impossível de ser empreendido com sucesso na ausência de visibilidade e autoridade transmitidas pela gerência sênior: isto é essencialmente verdadeiro. Desenvolver a capacidade inicial da Recuperação de Desastres, que inclui ambos os elementos logísticos e da cultura de consciência e alerta, é um desafio enorme. Não há meio termo. Adicione a isso a carência de técnicas verdadeiramente eficazes para o planejamento - isto é, as técnicas que consideram a realidade atual dos diversos aplicativos distribuídos pelo ambiente cliente/servidor em vez de modelos computacionais obsoletos - e planejar pode parecer uma tarefa evidentemente assustadora.

d) DRP/BCP é um duro trabalho e o plano raramente funciona como o pretendido: esta não é uma impressão equivocada, mas particularmente um truísmo (obviedade). No núcleo do planejamento eficaz está a análise dos processos de negócios: para fazer corretamente a Recuperação de Desastres, você necessita executar primeiramente uma análise exaustiva do negócio fundamentada no modelo "negócio-processo-por-negócio-processo", descobrindo os workflows e suas relações com a entrada e saída de dados. Somente dessa maneira poderemos determinar com qualquer grau de exatidão quais processos (e suas relações com infra-estrutura e dados) sejam críticos. É um empreendimento difícil no melhor dos tempos e mesmo com um forte apoio da gerência.

O problema é que a análise do processo de negócios pode também trazer à luz ou ressaltar as ineficiências e as falhas nos próprios processos - algo que os gerentes de departamentos ou de negócios da empresa não ficariam entusiasmados em revelar! Sem o apoio da alta direção, o planejamento eficaz poderá ser efetivamente parado em sua caminhada, justamente neste estágio.

Reconhecendo este desafio, há uma tendência no geral de se saltar a análise de processo. Como conseqüência, é impossível reconhecer quais dados e infra-estruturas necessitam serem replicadas em uma situação de recuperação. Assim, os planejadores ainda são forçados a recuperar tudo - ou, pior ainda, fazer suposições sobre o que o plano deva restaurar. O resultado pode ser que a capacidade desenvolvida seja ineficaz em restaurar processos críticos em uma emergência, ou seja demasiadamente cara executá-la em tudo.

Módulo Security Magazine: E quais seriam as conseqüências que uma companhia sofreria em caso de falhas nesse planejamento?

Jon William Toigo: Muitos projetistas utilizam um fator estatístico de .01 para descrever a probabilidade que um desastre pode ocorrer em um dado ano - uma probabilidade de um em 100. Se esta estatística for sustentada, há 99 em 100 possibilidades que nenhuma emergência ocorra e a ausência de um plano não se transformará em um ponto importante. Entretanto, esses planos contêm também componentes para se evitar desastres e muitos dos desastres em potencial não evoluem em desastres reais precisamente porque os aspectos da capacidade de Recuperação de Desastres ajudam a impedir esses acontecimentos.

Assim, na ausência de um plano, podemos argumentar que a probabilidade de uma interrupção aumenta consideravelmente. Além disso, na ausência de um plano, todo o potencial de desastre que se manifestar pode ocasionar muito mais destruição do que ele causaria caso fossem pensados e adotados mecanismos de logística e cópias, além do treinamento para as equipes de recuperação antes que o evento acontecesse.

O simples fato é que as empresas que planejam a possibilidade de uma interrupção tendem a se recuperar quando uma (parada) ocorre. Aqueles que não (planejam), não conseguem. Muito do sucesso da recuperação está diretamente relacionado em se fazer testes, que ajudam as equipes de recuperação a pensarem racionalmente quando a grande falta de lógica de um desastre ocorrer.

Módulo Security Magazine: A pesquisa da Veritas aponta ainda que uma em cada cinco organizações teve que utilizar seus planos de desastres nos últimos 12 meses. Com sua experiência nessa área, com qual freqüência as empresas têm utilizado esses planos?

Jon William Toigo: Depende do que você define como capacidade de recuperação de desastre, que é produzida pelo plano. Diria que os planos estão sendo utilizados quase diariamente por muitas empresas. Você usa a estratégia de se evitar desastres - que inclui o gerenciamento contínuo e sistemas de monitoração - identificando possíveis eventos de interrupção (discos cheios quase à capacidade, por exemplo) antes que eles ocorram, sendo corrigidos antes que um desastre venha a ocorrer. O software antivírus, parte também de uma capacidade de prevenção de desastre, trabalha com cada e-mail recebido. Espelhamento é uma proteção contínua dos dados, quando é feito corretamente.

Assim, diante desta perspectiva, anular desastres e a capacidade de recuperação podem ser utilizadas a cada hora de cada dia. Agora, com que periodicidade você vai precisar se recuperar de um desastre que não poderia ser impedido é uma história diferente. Com minha experiência em quase 80 planos em um período de quase 15 anos, posso dizer que somente três foram exercitados completamente em resposta a desastres especificamente neste período: dois em resposta a calamidades naturais e um em resposta aos acontecimentos de 11 de setembro. Como contraste, o plano de Recuperação de Desastres de minha própria empresa foi posto em prática três vezes este ano: uma vez em resposta a um vírus que conseguiu passar por nossas proteções e paralisar nosso e-mail; e outras duas vezes em resposta aos furacões que passaram por Tampa Bay, Flórida, onde nós estamos sediados. Assim, não há nenhuma maneira de saber quando a ativação de um plano será requerida.

Módulo Security Magazine: Quais são os principais estágios de um plano de Recuperação de Desastres?

Jon William Toigo: Planejar, concebido originalmente como um projeto, acontece em três fases: iniciação e análise, esboço de estratégias e manutenção e testes. Cada uma dessas fases tem seus desafios. Na iniciação e na análise, você coleta dados, modela processos de negócios, determina vulnerabilidades, ajusta objetivos de recuperação e pesquisa como outras empresas estão tratando de suas exposições. Você necessitará também obter o gerenciamento de investimentos e aprovação orçamentária para as fases seguintes.

A fase de esboço das estratégias consiste na criação de logística e dos protocolos para detectar e impedir potenciais desastres, proteger dados e recuperar sistemas, redes, áreas de trabalho do usuário e aplicações na iminência de uma interrupção.

Já a fase de manutenção e testes envolve o treinamento das pessoas da equipe que responderão em caso de emergência, testando a capacidade e criando um sistema de realimentação ou um sistema de gerência de mudanças para manter a capacidade em conformidade com os processos de negócios e as mudanças da tecnologia.

Módulo Security Magazine: Com que freqüência as empresas devem revisar seus planos?

Jon William Toigo: Tão freqüentemente quanto possível. Uma vez por uma semana, se possível, em um conjunto de revisões documentadas. As considerações de recuperação de desastres devem ser também incluídas nos processos de quem seleciona componentes e serviços de infra-estrutura e desenvolvimento de aplicações. Muitas capacidades de recuperação de desastres podem ser projetadas dentro de nossos ambientes, prevenindo desse modo desastres contornáveis e simplificando a logística requerida para uma recuperação bem sucedida.

Módulo Security Magazine: Especialistas apontam que muitas empresas fazem tímidos investimentos em planos de Recuperação de Desastres devido aos custos elevados e por não verem um retorno sobre o investimento (ROI). Que tipo de argumentos um profissional de segurança deve usar para convencer a diretoria de sua empresa a investir - e obter retorno - nesta área?

Jon William Toigo: Esse possível ROI no planejamento da Recuperação de Desastres é certamente difícil de se fazer. Em vez disso, pode ser possível discutir que determinados aspectos desse planejamento podem render valor ao negócio através da definição de um modelo clássico de case de negócios. Pense nesse modelo como um triângulo limitado por três conceitos: redução de custos, redução de riscos e aperfeiçoamento de processos.

Todos supõem que a Recuperação de Desastres focaliza somente na redução de riscos e oferece quase nenhum valor nas categorias de redução de custos ou de aperfeiçoamento dos processos de negócios. Verdade seja dita, isto não representa a realidade! Um experiente planejador de Recuperação de Desastres procura o valor de "uso duplo" em componentes do plano para os negócios de sua empresa. Por exemplo, se você necessita de meios para recuperação, você precisa simbolizar uma maneira de fazê-los úteis à empresa em seu cotidiano e não apenas como uma capacidade vaga pronta para receber a carga de trabalho se o seu centro de dados principal falhar.

Talvez você use o centro de dados principal e os meios de backup em modo de produção - através da distribuição dos serviços locais para as comunidades de usuários dispersas geograficamente até que uma falha ocorra e a carga de trabalho crítica se desloque de um local ao outro. De forma alternativa, seu local remoto pode servir como um ambiente de testes do modo de produção quando ele não é utilizado para a recuperação - um lugar onde será possível testar mudanças nas aplicações antes que elas sejam colocadas em operações na área de produção. Similarmente, os meios de recuperação podem ser usados como um centro de aprendizado ou um centro de instrução de clientes quando não estiverem sendo utilizados como um espaço de trabalho para usuários finais em uma emergência.

Esse planejamento pode render também um aperfeiçoamento nos processos. Os dados coletados em uma análise contínua dos processos de negócios podem ser alavancados pelos planejadores de negócios para melhorar essa estrutura: ou para encontrar maneiras de se economizar na infra-estrutura atual de sustentação com objetivo de se diminuir os custos; ou para servir de modelo na hora das solicitações e despesas das novas linhas de negócios.

Minha experiência mostra que poucas diretorias ou gerentes seniores precisam de um ROI. A maioria quer exemplos de valores de negócios no qual possam compreender e os convençam que o planejador é sensível a seus interesses financeiros. Faça isso e você se tornará um amigo da sua diretoria.

Módulo Security Magazine: Para terminar, quais são as perspectivas para o futuro do mercado de Recuperação de Desastres?

Jon William Toigo: Acredito firmemente que qualquer coisa que começar a ser vendida sob o rótulo de "Recuperação de Desastres" conseguirá muito pouco. Também acredito firmemente que a Recuperação de Desastres precisa evoluir de um simples "parafuso" na estratégia que se dirige as vulnerabilidades de sistemas, redes e aplicações que já têm sido desenvolvidas para uma maneira como os sistemas, as redes e as aplicações são definidas, projetadas, adquiridas e controladas. Assim, tal estratégia estará "livre" de ser vista apenas como um adicional, limitado pelos orçamentos das organizações, reduzindo desse modo os problemas de gerenciamento de investimentos citados anteriormente.

Estabeleça como recuperar, e depois, ao longo do tempo, os instrumentos de sistemas para a capacidade de recuperação. Esta estratégia não produzirá uma capacidade da recuperação durante uma noite. Para se ter uma idéia, esse período para as 500 maiores empresas listadas pela revista Fortune pode durar três anos para que a capacidade de recuperação seja parte integral de projetos de aplicação e da arquitetura de sistemas e redes. Em pequenas e médias empresas, o tempo pode ser de cinco a sete anos, dependendo da freqüência com que os componentes de sistemas e da rede são modificados.

Em primeiro lugar, o mercado de Recuperação de Desastres, apresentado de forma simples, nunca deveria ter existido e deve partir de forma geral. Em vez disso, evitar desastres e as capacidades de recuperação deverão ser partes integrantes das "boas tecnologias" - tecnologia essa que é estável, bem preparada para a gerência e a segurança pró-ativa, projetada para estar altamente disponível e que possua outras propriedades (como redes auto-recuperáveis) que contribuam para a capacidade de rápida recuperação.

Isto somente acontecerá quando os consumidores exigirem tais características de seus fabricantes. Para obtermos este nível de conscientização, será preciso instruir os consumidores para que eles conduzam o gerenciamento e capacidade de recuperação ao topo da lista de exigências específicas nos pedidos de proposta para a comunidade de fabricantes.

Neste ínterim, podemos esperar a continuidade, de certa forma não contínua, das vendas de componentes tecnológicos, como as unidades de backup (tape libraries) e software de espelhamento de discos. Isso porque geralmente essas tecnologias são utilizadas depois que um desastre ocorre.



Luis Fernando Rocha é Editor-Assistente da Módulo Security Magazine. Email: lrocha@modulo.com.br

segunda-feira, novembro 22, 2004

OpenOffice 2.0




Fonte:


O OpenOffice é um projeto open source, isto é, de código aberto, com a missão de criar, como uma comunidade, a suite office internacional para rodar na maioria das plataformas. Você encontra nessa suíte processador de texto, planilha de cálculos, editor HTML, editor vetorial e um editor de apresentação. O OpenOffice está disponível sem custo algum, e você pode avaliá-lo na sua empresa, escritório ou em casa. Atenção: a versão 2.0 - é oferecido Build 1.9.m62 (680_m62) - ainda é sujeita a revisões e sem qualquer garantia dos desenvolvedores. Está disponível para Windows (74.8 Mb), Linux (93.1 Mb), SolarisSparc (110 Mb) e Solarisx86 (96.9 Mb) em vários idiomas, incluindo o português do Brasil. Na página dos desenvolvedores você encontra também os links para a última versão estável, a 1.1.3.

Versão: 2.0
Licença: freeware
Idioma: vários
Plataforma: Windows, Linux, Solaris X86 e SolariSparc

Links:
            » Visite o site do fabricante

Microsoft lança campanha contra o Linux no Google




Fonte:


Quem for ao Google e digitar nomes de conhecidas distribuições Linux, incluindo a brasileira Kurumin, vai encontrar, junto dos resultados, links patrocinados pela Microsoft para promover o Windows. Basta colocar nomes como Debian, Suse, Kurumin e outros, para encontrar anúncios com as frases "Debian ou Windows?", "Linux Kurumin ou Windows?" e assim por diante, levando a páginas da Microsoft (veja a imagem no fim do texto).

Aparentemente, a campanha está sendo patrocinada pela Microsoft do Brasil, pois os resultados só ocorrem quando quem faz uma busca tem IP brasileiro. Usando IPs no exterior, os links patrocinados apresentados não tem necessariamente relação com a Microsoft. Ainda não foi possível falar com a assessoria de imprensa da empresa no país, mas ao que parece trata-se de um braço da campanha mundial Get the Facts, que contrapõe as vantagens que haveriam do Windows sobre o Linux e utiliza outras estratégias para concorrer com o crescimento dessa plataforma.

A comunidade de software livre já está distribuindo, desde ontem, mensagens sobre o assunto em suas listas de discussão, e sites especializados em software livre também já publicam notas. O site BR-Linux.org publicou um texto citando não só essa estratégia, como as notícias a respeito de um discurso de Steve Ballmer, CEO da Microsoft, para empresários asiáticos, no qual ele alertava sobre os supostos perigos de violação de propriedade intelectual para quem usa Linux, que estaria infringindo 228 patentes.

O site comenta que Ballmer "não lembrou de avisar à platéia que a legislação de patentes de software dos EUA não vale na Ásia, ou que os usuários de Linux correm tanto risco de ser processados pelo uso de softwares cobertos por patentes quanto os usuários da Microsoft, com a diferença de que os softwares da MS já estão sofrendo processos pela infração de mais de 30 patentes, enquanto o Linux não apenas não responde a nenhum, como o número de 228 patentes mencionado no discurso foi produzido por uma empresa cujo negócio é... vender seguros contra processos por patentes de software para usuários de Linux."




Sobre a atual campanha da Microsoft no Google, um usuário do fórum do Kurumin escreveu: "O curioso é que há algum tempo atrás (sic), a Microsoft 'fazia-de-conta' que o Linux não existia."

sexta-feira, novembro 19, 2004

MS ameaça processar governos que usam Linux




Fonte:


O presidente da Microsoft Steve Ballmer declarou que os governos de países asiáticos que usarem o Linux, sistema operacional de código-fonte aberto, correm o risco de serem processados por violação de patentes.


Segundo estudo da Open Source Risk Management, o Linux pode estar violando 283 patentes de empresas, sendo 27 delas da Microsoft.


Ballmer comentou ainda que "algum dia, para todos esses países que estão entrando para a OMC [Organização Mundial de Comércio], alguém irá procurar alguma forma de lucrar com os direitos de propriedade intelectual".


As declarações de Ballmer seguem a decisão do Ministério da Defesa de Cingapura em trocar o sistema operacional de 20 mil computadores - de Windows para Linux. Outros governos da região também estão escolhendo o mesmo caminho - particularmente China, Japão e Coréia do Sul, que estabeleceram acordo para desenvolver software livre em conjunto.


Essa é apenas a mais recente das iniciativas da Microsoft para conter o avanço do Linux - e software livre, em geral - no continente em que a companhia não está se saindo tão bem. O lançamento de uma versão mais simples do Windows XP, conhecido como Windows XP Lite, pouco fez para ajudar na reputação da Microsoft, e também não rende o esperado - apesar de estar apenas no primeiro mês de vendas.


Não contente, Ballmer finalizou afirmando que o Windows é um sistema mais seguro que o Linux. "Achamos que nosso software é muito mais seguro que os de código aberto. Muito mais seguro porque nos garantimos, estamos por trás, corrigimos e desenvolvemos. Ninguém nunca sabe quem desenvolve um software livre", polemizou.

Manek Dubash, Techworld
Tradução de IDGNow!
18/11/2004


Links:
            Linux viola 283 patentes, 27 delas são da Microsoft, 02/08/2004
            IBM não vai usar patentes contra o Linux, 05/08/2004
            Brasil dá de ombros para questão patente do Linux, 20/09/2004
            Munique decide avançar na migração para Linux, 30/09/2004

Intel investe em laboratório de testes em Linux




Fonte: IDG Now


Daniela Braun

A subsidiária brasileira da Intel e a Stefanini IT Solutions anunciaram, nesta quinta-feira (18/11), a criação do Open Source Software Laboratory (OSS Lab), um laboratório de testes de soluções de código-fonte aberto em equipamentos da plataforma Intel para projetos dos setores público, educacional e corporativo.


De acordo com Shane Wall, vice-presidente e gerente geral da divisão Channel Software Operation (CSO) da Intel - área responsável pela iniciativa - além do laboratório brasileiro, que será instalado na sede da Stefanini, em São Paulo, a fabricante de microprocessadores também inaugura, este mês, OSS Labs na China e na Índia. "Estamos avaliando a criação de laboratórios no Vietnã, na Malásia e no Sul da Ásia", informa.


O diferencial do projeto, segundo Wall, é a abordagem regional do OSS Lab junto a clientes, fabricantes de hardware, software e serviços. "A criação do laboratório vem atender uma demanda crescente do mercado. A adoção de código-fonte aberto é um dos focos prioritários de trabalho do governo, assim como do setor educacional e de empresas", observa o executivo.


Em janeiro de 2005, o OSS Lab começa a realizar testes com seu primeiro cliente, na área de educação pública. A empresa não revela o nome do usuário, mas afirma que o teste envolve o uso de software livre em PCs.
Disposta a garantir seu espaço em um dos maiores usuários de sua plataforma, o governo, a Intel estuda o financiamento dos testes, em conjunto com a Stefanini, para projetos deste setor. Segundo Wall, o modelo de negócios para o mercado corporativo está em fase de avaliação.


Além de profissionais da Intel e da Stefanini, o OSS Lab começa a montar sua equipe em dezembro e incluirá o suporte de universidades. "Vamos contratar equipes de universidades tanto em cursos de graduação como de pós-graduação", informa Zenos Strazzeri de Araújo, gerente geral da Stefanini.


A iniciativa está aberta a estudantes e professores de todas as universidades brasileiras. Entre as parceiras da Stefanini estão a Fatec, em São Paulo, a PUC, no Rio Grande do Sul, e a Unifor, em Fortaleza.

MS é acusada de destruir provas antitruste




Fonte: IDG Now!


Dois gerentes da Microsoft são acusados de exigir que funcionários da empresa destruíssem evidências de possíveis práticas abusivas contidas em e-mails antigos durante o ano 2000.


Isso é o que alerta a Burst.com, empresa que processa a Microsoft por violação de patente e práticas comerciais irregulares, em casos antitruste. A Burst acusa os gerentes de exigir que e-mails internos fossem apagados depois de 30 dias de sua circulação durante o ano de 2000.


"Em virtude dessa quantidade de litígios, a Microsoft tinha uma razão concreta para preservar documentos relevantes", declararam os advogados do Burst.com em um processo apresentado na Corte Distrital de Maryland. Segundo os advogados, a Microsoft, entretanto, implementou práticas para ter certeza que eliminaria documentos incriminatórios.


Uma porta-voz da gigante de software negou as acusações da Burst, dizendo que até agora a Microsoft forneceu todos os documentos que lhe foram solicitados. "Nós fornecemous mais de meio milhão de páginas de documentos de arquivos de mais de 60 funcionários especificamente em resposta às solicitações da Burst", disse.


A Burst abriu um processo contra a Microsoft em junho de 2002, alegando que a rival roubou uma tecnologia patenteada por ela e negociou segredos sobre sua solução de vídeo sob demanda do Windows Media Player. Até o momento, as duas empresas não chegaram a um acordo


Links:
         Microsoft enfrenta mais um processo antitruste

Novo Artigo sobre Netcat - Básico




Fonte:



Daniel Belz escreveu um artigo sobre o Netcat. Para quem não sabe o Netcat é uma ferramenta usada para ler e escrever dados em conexões de rede usando o protocolo TCP/IP.

Dada sua grande versatilidade, o NetCat é considerado pelos hackers o canivete suíço do TCP/IP, podendo ser usado para fazer desde portscans até brute force attacks.

O artigo pode ser lido aqui:


http://www.linuxtemple.com/index.php?option=content&task=view&id=559&Itemid=27

Microsoft usou software pirata no Media Player




Fonte:


Segundo a revista alemã PC-Welt, a Microsoft usou uma cópia ilegal do programa de som Sound Forge 4.5, para editar arquivos no formato.wav do XP, executados pelo Media Player no Tour do Windows XP.


São Paulo - O caso é sério e, se for verdade, a Microsoft pode ser acusada de uso de software pirata no Windows XP. Segundo a revista alemã PC-Welt, a gigante de softwares teria usado uma cópia ilegal do programa de som Sound Forge 4.5, para editar arquivos no formato.wav executados pelo Media Player no Tour do XP.

As provas contra a Microsoft, diz a PC-Welt, são quase irrefutáveis e qualquer um pode verificar a fraude. E indica o caminho das pedras, que é o seguinte.

No Explorer, abrir o diretório Windows/Help/Tours/WindowsMediaPlayer/Audio/Wav. Nesse ponto são exibidos nove arquivos com tamanhos entre 80 e 60 kbites. Todos são executáveis de som mas, clicando-se no botão direito do mouse, surge um menu que permite abri-los em um editor de texto como o Bloco de Notas.

O que se vê, então, são várias linhas de códigos. Na última, lê-se : "LISTB INFOICRD 2000-04-06 IENG Deepz0ne ISFT Sound Forge 4.5". Traduzindo: o autor dos arquivos chama-se “DeepzOne”, usando o SoundForge 4.5.

“DeepzOne” é o apelido de um membro e fundador do grupo de crackers (invasores de sisemas)“Radium”, cuja especialidade é abrir softwares de músicas para uso grátis. A pergunta que os especialistas estão fazendo é: um cracker pode manipular nove arquivos de som do Media Player, sem o conhecimento da Microsoft?


João Magalhães

Aúncio