Archive for julho, 2008

PostHeaderIcon Três falhas corrigidas no Firefox 3.

A equipe responsável pelo desenvolvimento do Mozilla Firefox liberou patches de segurança para três vulnerabilidades críticas encontradas na última versão do browser.

A primeira das vulnerabilidades diz respeito a uma espécie de derivação de um ataque explorado inicialmente no Microsoft Internet Explorer e batizado por "carpet bombing". Inicialmente, a primeira vulnerabilidade descoberta permitia o armazenamento de arquivos executáveis no desktop de um usuário. Entretanto, pouco tempo depois, Aviv Raff encontrou, por meio da combinação com algumas falhas do Microsoft Windows, uma maneira de executar tais arquivos. Diante dessa possibilidade, o ataque passou a constituir uma alternativa perigosa para a implementação de ataques por parte de criminosos. A vulnerabilidade também pode ser explorada no Safari, browser produzido pela Apple.

As segunda e terceiras vulnerabilidades corrigidas referem-se a forma como o Mozilla Firefox trata objetos de conteúdos CSS e manipula arquivos de imagem em formato GIF, respectivamente. Essa última falha, entretanto, abrange apenas a versão voltada para ambientes Mac OS X.

O que é o "carpet bomb"?
O termo "carpet bombing" [1] refere-se ao uso, em um ataque, de um grande número de bombas, geralmente não guiadas, com capacidade de provocar incêndios de grandes proporções com o objetivo de destruir completamente e de maneira uniforme, um determinado alvo inimigo, seja por meios materiais, seja por meio de sua desmoralização. A aparência real desse ataque em cenários de guerra remonta a ambientes cobertos pelas bombas ao mesmo tempo, da mesma maneira que um carpete reveste uma área.

[1] http://en.wikipedia.org/wiki/Carpet_bombing

PostHeaderIcon Como gerar números (pseudo)aletórios em um shell script?

Apesar de, na maioria dos casos, os shell scripts serem utilizados para manipular arquivos, agrupar logicamente utilitários comuns do sistema operacional e editar textos (de configuração de aplicativos, por exemplo), é inerente à vida de um administrador de sistemas passar por novos desafios e surpresas.

Dia desses, estava precisando implementar uma nova funcionalidade em um shell script e, seguindo a lógica que havia estabelecido, seria necessária a geração de alguns números aleatórios (ou pseudo-aleatórios, na verdade, já que falar de aleatoriedade em computação não é um assunto tão trivial). Após alguma investigação e depois de conhecer soluções mais "ortodoxas", que comento a seguir, encontrei uma maneira rápida e simples. O mais interessante é que essa alternativa não está amplamente comentada em livros e referências sobre o assunto. Daí o motivo de estar compartilhando essa dica por aqui.

Trata-se de uma variável especial, $RANDOM, existente na bash, que, uma vez acessada, gera como saída um número aleatório. Veja só isso:

  $ echo $RANDOM
  28214

Read the rest of this entry »

PostHeaderIcon Ubuntu 8.04 sem som ?!

Uma das razões pela qual o Ubuntu Linux vem conquistando cada vez mais usuários está no fato de ser uma distribuição bastante voltada ao usuário final. A instalação é simples, o ambiente desktop é intuitivo e simplificado, e o reconhecimento de hardware é automático para uma grande variedade de dispositivos.

Curioso para conferir as novidades da versão 8.04 (Hardy Heron), finalmente, consegui algum tempo para atualizar meu computador. A instalação, como sempre, foi rápida e bem simples. Entretanto, terminado o processo e reiniciado o computador com o novo sistema operacional, tive uma surpresa: meu notebook estava mudo, sem som.

O primeiro passo consistiu em consultar o modelo da placa de som:

# lspci | grep -i audio

00:1b.0 Audio device: Intel Corporation 82801H (ICH8 Family) HD Audio Controller (rev 03)
Read the rest of this entry »

PostHeaderIcon Segurança e criptografia com o mouse no desktop do Ubuntu 8.04.

Finalmente, encontrei algum tempo para instalar o Ubuntu 8.04, o Hardy Heron. Logo após a instalação, procurando por novidades, um pequeno recurso logo me chamou bastante a atenção: um novo applet incluso no ambiente do Gnome para criptografar e descriptografar o conteúdo do clipboard (a região de memória que guarda o texto selecionado após pressionar o famoso Ctrl + C). Interessante, não?

Talvez esse recurso já seja do conhecimento de muitos usuários e já esteja noticiado em muitos lugares. E isso é o mais provável. Portanto, essa dica muito mais vale para aqueles que, como eu, estão atrasados. Ao invés de digitar comandos em um terminal, esse applet coloca à disposição dos usuários convencionais o uso de um recurso interessante de segurança utilizando apenas alguns cliques do mouse. Para os mais experientes, também é um atalho para o seu dia-a-dia.
Read the rest of this entry »

PostHeaderIcon Seção de dicas e truques criada.

Uma das coisas mais características e fundamentais do software livre está no compartilhamento da informação. Muito se aprende compartilhando experiências e desafios. A partir de agora, sempre que possível, estarei divulgando algumas pequenas colaborações na seção de Dicas e Truques. A idéia não é criar grandes tutoriais e how-to mas, simplesmente, criar apontamentos rápidos e curtos que possam, de alguma maneira, colaborar para facilitar configurações de GNU/Linux, segurança de redes e outros tópicos técnicos relacionados a software livre.

Quaisquer colaborações comentários e novas idéias, serão bem vindas!

PostHeaderIcon Gerência de TI levada à sério!

Não é difícil encontrar em muitas empresas, departamentos de TI entregues nas mãos de profissionais com formação deficiente e, portanto, sem o preparo adequado para atender a dinâmica e a qualidade que esse departamento exige. Setores de TI mal estruturados, com uma equipe técnica precária e mal organizada, resulta, obviamente, em um serviço de má qualidade que muitas vezes, produz impactos negativos diretamente ligados aos negócios da instituição simplesmente pelo fato de inúmeras organizações dependerem do seu ambiente de tecnologia para o seu funcionamento. Por exemplo, uma simples atualização de software mal projetada é capaz de deixar uma organização por horas sem os seus aplicativos corporativos, gerando prejuízos consideráveis.

Por outro lado, atentas ao fato de que o TI pode ser um excelente aliado para colaborar na composição de um ambiente corporativo mais ágil, competente, eficiente e eficaz, muitas empresas, já cientes do quão crítica é a atividade de TI em uma organização, vêm dedicando atenção especial no que diz respeito à composição de suas equipes dessa área. Ao invés de “bombeiros”, que limitam-se a “apagar incêndios tecnológicos” todos os dias, de maneira desorganizada, um time de TI bem estruturado deve partir de princípios que auxiliem no mapeamento e execução de seus processos e práticas diárias. Para isso, é preciso adotar mecanismos que auxiliem na administração de equipes de TI. E para tal finalidade, uma boa referência é o título “Gerenciamento de Serviços de TI na Prática” (ISBN 978-85-7522-106-8) de Ivan Magalhães e Walfrido Pinheiro, lançado pela Editora Novatec.

O livro, bastante denso e com muito conteúdo relevante para o assunto, possui mais de 600 páginas, possui encardenação de qualidade e está dividido em 15 capítulos e 6 apêndices. O conteúdo está bastante orientado ao ITIL (Information Technology Infrastructure Library), um conjunto de boas práticas que visam a adequação e a padronização dos serviços de TI orientando-os aos negócios da corporação. E esse parece ser, de fato, um caminho seguro para a organização da equipe de TI. Segundo os autores, um estudo publicado pela International Network Services, considerando 194 corporações, apontou que 39% delas utilizam o ITIL dentre suas práticas corporativas. As recomendações do ITIL são discutidas de maneira clara utilizando uma abordagem didática e de fácil entendimento. Se sua corporação já investe na adoção de modelos de gestão para os serviços de TI, o livro pode ajudar a enriquecer a documentação e o conhecimento. Caso essa não seja a realidade em sua empresa, esse pode ser um título um excelente começo.

Vale a pena conferir!

PostHeaderIcon Ataque aos servidores DNS do ICANN: perigo na Internet!

Um grupo de crackers da Turquia, denominado NetDevilz, obtive sucesso ao atacar alguns domínios controlados pelo ICANN (International Corporation for Assigned Names and Numbers), responsável pelo controle dos TLD (Top Level Domains) tais como ".com", ".org", ".net", dentre outros. O ataque acabou redirecionando alguns nomes sobre esses domínios para outros servidores diferente daqueles registrados nos servidores DNS do ICANN.

Como resultado, ao abrir diversas páginas Web desses domínios, a seguinte mensagem era exibida ao invés dos sites originais:

"You think that you control the domains but you don’t! Everybody knows wrong. We control the domains including ICANN! Don’t you believe us?"

Dentre os nomes afetados estavam "icann.com", "icann.net", "iana.com" e "iana-servers.com".

Read the rest of this entry »

PostHeaderIcon Segurança de redes em bom português!

Não é novidade que o domínio da língua inglesa é uma característica importante para qualquer profissional que deseje ingressar nos rumos da computação. Fundamentalmente por se tratar de uma área muito dinâmica que exige uma atualização permanente e capaz de acompanhar a velocidade com que as evoluções da área ocorrem, não é aceitável aguardar a tradução de livros, artigos e manuais para nossa língua-pátria, sob pena de colocar-se sempre aquém das expectativas quanto a dinamicidade requerida aos profissionais dessa área. Há algum tempo não muito remoto, basear-se somente em livros em português significava tornar-se refém de traduções pouco cuidadosas de material técnico especializado em computação, o que certamente comprometia o ensino e a aprendizagem de quem utilizava esse tipo de referência. Entretanto, esse cenário parece estar mudando nos últimos tempos.

Apesar de não anular a necessidade de lidar bem com o inglês, ter bons livros na nossa língua pode colaborar em muito para a capacitação de profissionais, principalmente se esses livros são escritos nativamente na língua portuguesa, evitando o processo de tradução, onde raras são as vezes onde não se tem a compreensão comprometida em virtude de erros. Some-se a isso o fato de que bons livros produzidos por autores brasileiros significa ratificar a excelência em áreas antes pouco reconhecidas no Brasil. Esse certamente é o caso do livro “Segurança de Redes em Ambientes Cooperativos” (ISBN 978-85-7522-136-5) dos autores Emílio Nakamura e Paulo Lício de Geus, lançado em 2007 pela Editora Novatec.

A área de segurança de redes vem ganhando cada vez mais importância a medida em que o sucesso do negócio de muitas corporações é diretamente proporcional à integridade, a disponibilidade e o sigilo das informações presentes em seus ambientes de rede. Muito embora essa seja uma demanda de mercado, o fato é que são poucos os profissionais que possuem capacitação suficiente para planejar, implementar e administrar soluções de segurança com qualidade. O livro de Emilio e Paulo Lício traz um panorama conciso a respeito de conceitos, técnicas e tecnologias envolvendo a área de segurança de redes.

A primeira parte do livro dedica-se a discutir conceitos básicos, a importância do uso das redes de computadores nos ambientes corporativos, a classificação dos tipos de atacantes e seus objetivos, a definição dos ambientes cooperativos e uma interessante discussão a respeito da necessidade de se entender a segurança de redes como parte estratégica e fundamental do negócio de muitas organizações, Ainda na primeira parte, são discutidas técnicas de ataques que se valem da arquitetura TCP/IP e, por fim, um capítulo para discutir os riscos envolvidos com o uso das cada vez mais populares e práticas redes sem fio. A segunda parte do livro dedica-se a discussão em torno de recursos de segurança tais como firewalls e seus principais componentes tais como filtros, proxies, bastion hosts, DMZ, NAT, dentre outros. São discutidos ainda sistemas de detecção/prevenção de intrusos, criptografia, certificação digital, infra-estrutura de chave pública, VPNs e controle de acesso. A terceira e última parte do livro dedica-se a apresentar os modelos de redes dos ambientes cooperativos. Utilizando uma abordagem que apresenta desde os cenários mais simples até estruturas mais complexas, os autores discutem as vantagens e desvantagens de cada alternativa, buscando utilizar nas topologias parte dos conceitos e técnicas apresentadas nas partes anteriores.

O livro não trata de ferramentas específicas de segurança, muito menos de suas opções de configuração, mas de conceitos e técnicas que podem ser utilizadas com as mais diversas alternativas de software e hardware presentes no mercado. Talvez seja essa uma das grandes diferenças entre os bons e os maus profissionais de segurança. Os bons entendem a necessidade de entender conceitos e modelos para depois aplicá-los por meio do uso de ferramentas.

Enfim, a despeito desse que vos escreve ter sido um dos revisores do livro e, portanto, não estar acima de qualquer suspeita, tenha certeza de que “Segurança de Redes em Ambientes Cooperativos” deve ter lugar garantido na prateleira daqueles que querem levar a sério a área de segurança da informação.

PostHeaderIcon Nova seção de resenhas no site.

O mercado nacional de livros técnicos sempre foi castigado por publicações "nacionalizadas" cujas traduções beiravam o incompreensível, conseqüência natural de processos conduzidos por profissionais com pouco ou nenhum conhecimento técnico da área. Resultado? Profissionais e estudantes de computação sem conhecimento da língua inglesa e sem condições de  adquirir livros importados, mais caros que os nacionais na maioria dos casos, ficam marginalizados e sem condições de adquirir boas publicações.

Felizmente, esse cenário vem mudando e o mercado nacional vem disponibilizando obras genuinamente "canarinhas" de qualidade e que, pela colaboração, merecem um lugar na prateleira de livros de qualquer profissional de uma determinada área. Na tentativa de ajudar a identificar os livros que  possuem relação com  administração de sistemas Unix/Linux, segurança de redes, criptografia, software livre, dentre outros, está criada a seção Resenhas onde estarei aproveitando para publicar algumas de minhas recomendações para alunos e colegas de profissão. 

Inicialmente, irei me restringir apenas a livros produzidos por autores nacionais. Espero que possa ser, de alguma maneira, útil pra quem procura material impresso de qualidade.

PostHeaderIcon Big Buck Bunny: mais um filme livre!

Pra quem gostou do resultado do Elephant’s Dream, chegou mais uma novidade criada pela equipe do Blender: Big Buck Bunny, o mais novo filme (em formato de animação) produzido apenas por meio da utilização de software livre. E o resultado dessa segunda investida parece estar sendo bem satisfatório.

Até o início de junho, já foram contabilizados mais de 1.000.000 de downloads. Vale ressaltar que, nesse número, não estão inclusos os downloads feitos a partir de outros mirrors do vídeo. A iniciativa já foi apresentada em vários congressos e simpósios, além de ter ocupado espaço em revistas ao redor do mundo. Recentemente, até uma versão em Blu-Ray foi criada. Infelizmente, esse formato, ainda é proprietário mas tende a se tornar o padrão para vídeos de alta definição. Entretanto, deixemos essa discussão para uma outra oportunidade.

A exemplo do que aconteceu com o Elephant’s Dream, uma pequena equipe de 7 pessoas de vários países foi criada, denominada Peach Team. Os selecionados, por conta do financiamento da Blender Foundation, reuniram-se em Amsterdã entre outubro de 2007 e abril de 2008 para produzir a animação. A idéia, além de utilizar ferramentas livres, consiste em trabalhar o conteúdo do projeto de maneira aberta e identificar os impactos que isso pode resultar para o processo criativo. Interessante, não?

Dentre os principais objetivos da iniciativa está a validação do Blender como uma suíte para a produção de animações profissionais. Outro objetivo é prover conteúdo para outros utilizarem como referência e como material de reutilização. A disponibilização de toda a documentação do projeto e dos tutoriais fazem parte desse objetivo.

A animação tem, aproximadamente, 10 minutos, e conta a estória de um coelho gigante que enfrenta alguns problemas com uns "roedores" que se esforçam pra tentar transformar a vida do grandalhão um pouco mais difícil. O filme não tem diálogo, então, é diversão garantida pra adultos e crianças de qualquer idade.

No site do Big Buck Bunny é possível fazer o download do filme em várias resoluções e formatos diferentes e da trilha sonora criada para o projeto. É possível ainda comprar o DVD para ajudar a iniciativa.

É uma maneira simples, rápida e bem divertida de ver o que é possível fazer em termos de animação usando ferramentas de software livre!