Pesquisa em LivreSocial

sexta-feira, 20 de novembro de 2009

Assim se encerra mais uma tentativa em Português

Anuncio oficialmente que não postarei aqui no blog nada mais de Linux. O motivo é que a quantidade de visitas que este blog gerou no seu pouco tempo de existência não justificou sua existência.

Até algum tempo atrás, eu mantinha este e um outro, em inglês, com mais ou menos o mesmo conteúdo. Devido ao pouco tempo para me dedicar a escrita, eu estava trabalhando mais intensamente aqui.

Recentemente, avaliando o volume de acessos em ambos, e o tempo médio de permanência no site, além da origem dos acessos, percebi que este trabalho estava quase inútil para os leitores.

Ocasionalmente, posso escrever sobre reclamações aqui, como uma que estou tendo com a Vivo, e outros assuntos. Mas tecnologia, e no meu caso, Linux, não mais. Jogos (reais ou virtuais) poderiam ter sido mais atraentes, ou pornografia, ou novelas. Isto sim, levanta os acessos de um site. Mas não sou especialista nestes tópicos.

Agradeço aos mais fiéis leitores, que na maioria das vezes, foram os únicos leitores. A vocês também peço que tentem compreender esta decisão. Estarei dando continuidade exclusivamente em http://linuxdrops.blogspot.com. Convido vocês a me visitarem lá, de vez em quando, e me corrigirem nas minhas aventuras de escrita em uma língua diferente da língua-mater.

quinta-feira, 27 de agosto de 2009

Páginas MAN coloridas

Achei um post muito interessante sobre isto no DICAS-L, e recebi trazer para este meu depósito de informação. As páginas man podem ser visualizadas com todos os seus recursos de cores usadas para diferenciar tópicos, ressaltar itens, etc.

Paginadores
É interessante primeiro saber sobre um paginador, pois é este recurso que está por trás da facilidade de manusear uma página MAN. Paginador (ou pager) é um software usado para mostrar uma págnia por vez, ou apenas uma linha por vez. Seu uso se torna imprescindível quando precisamos ler uma arquivo ou uma listagem muito extensa.

Para UNIX, provavelmente o paginador mais antigo é o more, criado pelo estudante Daniel Halbert, em 1978. Além de outros recursos, usa o ENTER para exibir as linhas seguintes, ESPAÇO para exibir a tela seguinte, e possuindo o suporte a busca de texto através do caracter "/", e assim o comando more se tornou muito importante para o operador UNIX.

Tempos depois, o comando less foi criado por Mark Nudelman, entre 1983 e 1985, para ser um paginador com mais recursos que o more. Fica evidente aí o jogo de palavras que dá o nome aos comandos. O less permite o uso das setas de navegação, e apresenta muito mais recurso de "navegação" no texto que seu antecessor.

Muito recentemente, John Davis, do MIT, cria o most, um paginador com ainda muito mais recursos que o less. É este paginador que usaremos neste nosso artigo.

Documentação MAN
Tenho para mim que as páginas MAN são ao mesmo tempo a melhor documentação sobre Unix, por que (em geral) são feitas pelo autor, e ao mesmo tempo é a pior documentação sobre Unix, pois dificilmente são usados exemplos, e por conta do uso abundante (quase excessivo) de terminologia técnica. Ruim para o usuário "preguiçoso", útil para o desbravador autodidata bilíngue (normalmente escritas em Inglês), já que normalmente ele precisa compreender alguns conceitos para melhor entender outros.

Como os textos das páginas MAN são extensos, é preciso usar um paginador para auxiliar na leitura. O paginador default é o pager, que é um link simbólico para algum paginador, como podemos ver a seguir:
$ whereis pager
pager: /usr/bin/pager
$ file /usr/bin/pager
/usr/bin/pager: symbolic link to `/etc/alternatives/pager'
$ file /etc/alternatives/pager
/etc/alternatives/pager: symbolic link to `/usr/bin/less'
Mesmo assim, é possível usar outro paginador, que é o que faremos com o most. Basta declarar a sua localização para o comando man através da variável de ambiente MANPAGER.

Instalação
Claro, a instalação do paginador most é muito simples, como deve ser em distribuições baseadas em Debian:
sudo aptitude install most
Configuração do MAN
Para configurar manualmente o most como paginador do man, digite a seguinte linha:
$ export MANPAGER="/usr/bin/most -s"
Entretanto, ao encerrar a sessão, esta configuração se perde. Assim, é preciso automatizar esta ação, usando os scripts de inicialização.

Se este recurso deve estar disponível para o usuário que está operando agora, podemos fazer o seguinte:
$ echo 'export MANPAGER="/usr/bin/most -s"' >> ~/.bashrc
Se este recurso deve estar disponível para todos os usuários do sistema, podemos fazer o seguinte:
$ sudo su -
# echo 'export MANPAGER="/usr/bin/most -s"' >> /etc/profile
# exit
A partir deste ponto, as páginas MAN estarão com seus detalhes de coloração visíveis.

Claro que sendo possível, o operador deve editar o arquivo (~/.bashrc ou /etc/profile) e acrescentar estas linhas manualmente, com comentários, etc.

segunda-feira, 17 de agosto de 2009

Configuração do teclado em Linha de Comando, no Ubuntu

Enfrentei um desafio usando o VirtualBox recentemente. O problema era configurar o teclado com acentuações em um Toshiba Satellite E105-S1402. Este laptop é original americano, e por isso é preciso configurar o teclado.

Neste laptop está instalado o Windows Vista original, e nele instalei o VirtualBox 3.0.4. Criei algumas máquinas virtuais, e entre elas um Ubuntu Server. Para configurar o teclado, foi suficiente apenas digitar o seguinte comando:
sudo dpkg-reconfigure console-setup
Depois disto, virão as seguintes telas:

No meu caso, escolhi o modelo de teclado que mais se aproxima do meu equipamento, um Toshiba Satellite.

O próximo passo é escolher a disposição das teclas deste teclado. Ou seja, escolher o lay-out do teclado. No caso da maioria dos teclados de laptops americanos, a opção escolhida vai ser suficiente.
Nos teclados ABNT, o ALT do lado direito vem com o texto "ALT GR" já escrito sobre a tecla. Aqui, estamos dizendo como acessar esta função. Apenas escolhi o ALT do lado direito.
A próxima tela permite como compor caracteres a partir de seus códigos. Eu deixei esta opção inalterada.
Para a tabela de códigos utilizada, usei o UTF-8, ou seja, também deixei inalterado.
A seguir, podemos escolher o conjunto de caracteres utilizado em console. É interessante deixar esta tela inalterada, como Latin.
Esta tela apresenta um resumo das opções a serem pedidas na próxima tela, explicando os tipos de letra VGA, Fixed e Terminus. É recomendável ler o texto e pressionar ENTER para avançar para a próxima tela.
Eu prefiro o tipo de letra VGA, que já é o padrão.
O tamanho da fonte pode ser o mesmo que já é empregado por default, ou seja, 16.
Para definição dos consoles virtuais, devemos aceitar a configuração sugerida, sem alterar nada.
A seguir, uma sequência de mensagens será exibida, e logo depois de uns quase 2 minutos processando, o teclado vai estar disponível para uso, com a nova configuração escolhida.

Como se pôde perceber, temos a possibilidade de configurar muito mais do que apenas teclado, e por isso não alterei a configuração das outras telas.




terça-feira, 4 de agosto de 2009

Apple corrige a falha

Depois de notícias terríveis acerca da falha que daria acesso completo aos iPhones, a Apple liberou uma correção recentemente. Apenas depois do alarde todo.

Fica bem claro aqui o que é a preocupação de uma empresa como a Apple com seus usuários, alguns sendo quase devotos. Como eu já havia dito aqui, a Apple já estava a par do problema, e em momento algum se pronunciou oficialmente, sequer atendeu aos contatos feitos. Pelo menos, não aos que foram mencionados no meu artigo.

Ellinor Mills escreveu um artigo onde ela relata ter sido "atacada" por um dos pesquisadores de segurança, enquanto usava o seu iPhone para conversar com o outro, momentos antes destes realizarem a sua tão esperada demonstração no Black Hat Conference. Foi apenas uma demonstração da fragilidade do sistema, esta feito ao vivo no aparelho dela. Um ataque simples, que uma reinicialização resolveria. Ela ressalta que o seu iPhone não foi desbloqueado, para desânimo dos defensores do iPhone "original", ou "Enjailed". Ela ainda menciona o problema semelhante ocorrido com o Android, ainda que este não desse controle completo como é o caso do iPhone. Mas rapidamente corrigido pelo Google.

Um detalhe muito interessante é a forma com a qual a Apple apresenta esta correção, através de Tom Neumayr, onde ele informa que a Apple agradece as informações acerca da falha. Informam também que em menos de 24 horas depois da demonstração da falha, eles disponibilizaram uma atualização que corrige o problema. E afirma, sem o menor indício de ter cometido qualquer engano, que ninguém foi afetado pela falha.

É impressionante a posição de uma empresa da envergadura da Apple face a seus usuários. A mesma foi avisada a mais de um mês deste problema, e não se posicionou. Os pesquisadores informaram que iriam publicamente demonstrar a falha, e mesmo assim a empresa não respondeu. Pelo menos, nada encontrei acerca disto. Depois que foi exposto ao mundo a falha de modo inegável, a empresa se apresenta dizendo que não deu sequer um dia deste problema e a solução já existe. Por qual motivo isto não foi feito antes ?

Não fosse suficiente, a informação de que ninguém "se feriu", com uma certeza que não se pode provar. Como a Apple tem a garantia de que não houve nenhum mal ? E se uma das possíveis vítimas sequer soube que teve seus dados roubados ? Agora que muitos já sabem como se aproveitar desta falha, até que façam a atualização do software, terão seus dados expostos.

Infelizmente, ainda se pensa que o usuário final, que o consumidor, tem que aturar o que a empresa decide. Para os defensores do Jailbreak, resta o alívio em saber que esta atualização de software não vai impedir o JailBreaking, como no passado.

Para encerrar, diferente do que tanto se propaga, a Apple não é esta tão grande campeã em segurança. O mesmo pesquisador que descobriu o furo do SMS no iPhone, recentemente ganhou um concurso de segurança explorando uma falha do Safari, browser da Apple. Com isso, ganhou um prêmio de US$10000 hackeando o MacBook Air, em menos de 2 minutos.

Pior: não foi a primeira vez que ele ganhou dinheiro explorando as falhas apresentadas pelo Safari.

domingo, 2 de agosto de 2009

Hotmail no curriculum

Há um momento na vida de cada um de nós, do qual não podemos fugir: procurar emprego. Algumas vezes, este momento se torna irritantemente repetitivo. Para a área dos que trabalham em TI, existem problemas ainda piores. Estive recentemente conversando com umas pessoas que estão passando por esta fase, e caímos nesta discussão: hotmail como contato é recomendado ?

Concorrência desleal
Convenhamos: hoje todos querem trabalhar com "informática". Aliás, o que é isto? nunca ouvi ninguém falar de alguém que "trabalha com odontologia", que "trabalha com medicina", que "trabalha com agronomia". E tem até uma qualificação pior: "ele trabalha com computador". No singular, ainda por cima, o que nos limita ainda mais. Não se diz do dentista que ele "trabalha com dentes", ou que o economista "trabalha com economia".

O fato é que na prática, qualquer um pode ser concorrência. Nem esta profissão (qual o nome dela, afinal ???) está regulamentada, nem existe um mínimo para exigir de quem "trabalha com computador". Ou seja, alguém que esteja lendo agora pode acabar de ter instalado o seu Windows XP ou o seu Fedora, e se achar um "técnico de informática" (como eu detesto isso ...), pronto para encarar o mundo e ser bem sucedido.

Apresentação profissional
Ok, vá lá que seja, o tempo separará os bodes das ovelhas. Ou algum outro processo de seleção (natural ou não). De qualquer jeito, é preciso um resumo profissional, ou um curriculum. Não quero nem falar daqueles de 13 páginas de comprimento, ou dos escritos com fonte Times New Roman 28, ou daqueles que usam espaçamento óctuplo no texto, e nem do irracional retratinho 3x4 anexo com o curriculum (me abstenho de tecer qualquer comentário acerca disto).

Mas a apresentação que estou falando é fonte de questionamentos. Usar um email do domínio hotmail.com é realmente pouco profissional ?

Algumas opiniões
O autor deste blog apenas errou afirmando que o autor do outro blog que ele leu é um especialista em RH. Mas o que ambos mencionam faz algum sentido. Como poderia eu ter boa impressão de um profissional de TI que apresenta seu email de contato como pertencente ao domínio hotmail.com ?

Há alguns problemas que vejo aqui, que me fazem concordar com este pensamento:
  • MSN: Claro que outros emails podem ser usados para abertura de uma conta de MSN, mas quantas pessoas sabem disto ? Veja na sua lista de contatos e tente contar quantos não pertencem ao domínio hotmail.com. Preocupação nº 1: Este cara (o candidato) deve estar já viciado em MSN.
  • Segurança: Uma coisa que sabemos sobre o MSN é a facilidade que ele tem de facilitar a ação dos vírus (na realidade, dos worms). Preocupação nº 2: Este cara vai trazer dor de cabeça para rede....
  • Profissionalismo: o hotmail é gratuito,e por isso mesmo uma ótima opção. Mas pelos motivos acima, não é muito facilmente asociado com um profissional de TI. Há outros com imagem não tão "queimada" profissionalmente.
A princípio, não recomendo que a pessoa apresente seu hotmail como email de contato em um curriculum ou em uma entrevista. Claro, há outras opiniões. Com a palavra, os que as tiverem. Ou seja, comentem, opinem.

sexta-feira, 31 de julho de 2009

Falha expõe dados gravados no iPhone

O aparelho mais querido dos últimos tempos pelos fanáticos de tecnologia está em cheque. Falha crítica de segurança deixa a informação nele contida completamente disponível para que sejam copiadas livremente.

O aparelho
O iPhone é sem dúvida nenhuma um marco na história das comunicações pessoais. Inovador em tudo o que faz, e principalmente como faz, se tornou uma estrela e campeão de vendas. Uma busca simples no youtube com a palavra iPhone gera uma relação incrível de contribuições de vídeo. Provavelmente este é 1 dos 10 mais desejados objetos techies. Fotos, vídeos, mensagens, documentos, planilhas, programas, e muito mais tornam este smartphone muito mais um excelente computador que veio com um telefone de brinde.

A falha de segurança
Como quase sempre ocorre, para ser bem aceito pelo público, tem que ter um esmero nas funções, na facilidade de uso, na interface, etc. E quase sempre que isto é feito, o quesito segurança sofre, em geral, recebendo menos atenção.

A Forbes anunciou em 28 de julho um perigo que ronda todos os iPhones do mundo: a perda de todas as informações contidas neste iPhone. Se o proprietário do aparelho receber uma mensagem contendo um único quadradinho, pode ter quase certeza que alguém já teve algum acesso completo ao aparelho. Os especialistas em segurança Charlie Miller e Collin Mulliner afirmam que irão demonstrar isto na Black Hat cybersecurity conference em Las Vegas. Esta falha daria ao atacante a possibilidade de discar usando o aparelho invadido, visitar sites, ativar a câmera e microfone, e usar o aparelho invadido para tomar o controle de mais aparelhos, podendo iniciar um ataque em massa.

A posição da Apple
O pior é que mais uma vez a velha história se repete: algum pesquisador descobre a falha, avisa o fabricante, e o fabricante nada anuncia em relação a isso. Ou não liga para o aviso, ou não consegue resolver o problema, mas obviamente não assumiria esta inaptidão. Os pesquisadores afirmam ter avisado a Apple a mais de um mês mas a Apple não liberou até o momento nenhuma correção. A revista Forbes informa também ter ligado diversas vezes acerca do assunto, mas não recebeu nenhum parecer. Infelizmente, a Apple aparenta fugir da mídia neste momento importante.
Neste exato instante, Marcelo Todaro me informa por email que a solução para este problema já foi até anunciado e que estará disponível pelo iTunes, conforme anúncio no site do Terra. Uma olhada superficial na página americana do iPhone não informa nada ainda. O site indicado por Marcelo Todaro diz que um porta-voz de uma operadora de telefonia celular da Grã-Bretanha informou que a atualização será divulgada através do iTunes. Ou seja, a afirmação não veio da Apple.

O ponto crítico
Miller e Mulliner avisam que durante a conferência irão anunciar MAIS falhas do sistema. Eles informam que o Windows Mobile também está sujeito a falha semelhante com mensagens SMS, assim como também o Android da Google. Entretanto, a Google informa já ter corrigido esta falha.

O pior cenário disto tudo é que o iPhone se popularizou, conquistou o mercado doméstico e profissional. Hoje, diversas empresas fazem uso massivo do aparelho, inclusive para transporte de informações vitais para negócios. Agora, para os atacantes, basta encontrar um iPhone na mão de um aparente executivo, e ele estará indefeso.

Infelizmente, a informação que a Apple vai disponibilizar a correção veio um pouco tarde demais. Jonathan Zdziarski já havia demonstrado como ele consegui transferir informações de um iPhone em 45 minutos, e mesmo assim nenhum parecer foi publicado, ao menos que eu tenha localizado. Zdziarsky afirma também que é tão fácil conseguir informações privadas do usuário usando o iPhone 3GS como era em suas versões anteriores, que não tinham encriptação de dados. Fiz um rápido levantamento de vulnerabilidades relacionadas ao iPhone, e encontrei uma lista generosa, tanto diretamente relacionadas ao sistema, como relacionadas a aplicações que funcionam no sistema.

Ainda extraído do MacMais, O The Register disse que a Apple mostrou sua inabilidade em implementar uma proteção criptográfica decente, mas reiterou que são poucos os sistemas de telefonia celular que se preocupam com isso. A exceção são os Blackberry. No mesmo site há dois vídeos interessantes.

É possível que a imagem absurdamente negativa que ia ser gerada na Black Hat cybersecurity conference tenha acelerado pela Apple a liberação desta correção.

Lembrete
Gostaria de lembrar a todos os que lêem este blog que é muito importante a opinião coletada na pequena pesquisa de utilidade logo a seguir, como pelos comentários, que são sempre bem-vindos.

II EIC - IF-AL Campus Palmeiras dos Índios

Seguindo uma linha de revalorização da educação, o antigo CEFET, agora IF-AL no Campus Palmeiras dos Índios, anuncia o II EIC (Encontro de iniciação Científica). As inscrições e demais informações estão disponíveis no site do evento.

O próximo parágrafo, o qual fala sobre o evento anterior, foi extraído do próprio site:
O evento inicial foi um sucesso com números significativos, a saber: mais de 400 participantes e 72 trabalhos científicos apresentados nas mais diversas áreas de conhecimento. Participaram efetivamente alunos do IF-AL, UFAL, UNEAL, FAL, CESMAC e outras instituições de ensino superior e médio do agreste alagoano.

Esse ano pretende-se superar esses números estendendo o convite para a capital.

Vamos torcer para que mais e mais eventos deste tipo venham a ocorrer, e especialmente em regiões costumeiramente tidas como pouco expressivas ou promissoras. Normalmente é o que se diz do interior do nosso Nordeste.

quinta-feira, 30 de julho de 2009

CDTC - Centro de Difusão de Tecnologia e Conhecimento

O governo federal disponibiliza cursos gratuitos pela internet desde 2004, através do CDTC (Centro de Difusão de Tecnologia e Conhecimento). Há diversos temas para os que querem se iniciar em informática, como programação, sistema operacional, banco de dados, etc. Para os que sempre reclamam que existem dificuldades intransponíveis para aprender, esta é uma ação do governo Lula para democratizar o acesso à tecnologia, que mostra exatamente o contrário.

VirtualBox: Cada vez mais agressivo

Entre as top buzzwords do momento, com certeza a virtualização está entre elas.

Definição
Para melhor explicar, vou tomar emprestada as definições da Wikipedia:
Ao invés de ser uma máquina real, isto é, um computador real, feito de hardware e executando um sistema operacional específico, uma máquina virtual é um computador fictício criado por um programa de simulação. Sua memória, processador e outros recursos são virtualizados. A virtualização é a interposição do software (máquina virtual) em várias camadas do sistema. É uma forma de dividir os recursos de um computador em múltiplos ambientes de execução.
Pessoalmente, uso virtualização em pesquisas minhas, onde eu não preciso reinstalar um software ou o sistema operacional inteiro.

Mercado
Existem diversos nomes no mercado, mas o líder inquestionável é o VMWare. Ainda há outros, como o Zen e o Virtualbox. Para meus propósitos pessoais, usei o VMWare durante um tempo, pois a versão server é gratuita. Experimentei (por conta própria) o VirtualBox na versão 2.x, mas tive problemas e voltei ao anterior. Mas desta vez, aparentemente o VirtualBox superou (para minhas necessidades) o VMWare. Cláudio Henrique usa frequentemente o VirtualBox em suas lutas costumeiras.

Detalhes
O tamanho do instalador é impressionantemente menor, sendo inferior a 100M contra mais de 500M do VMWare Server.
As opções de configuração oferecidas pela interface são muito simples, sendo facilmente absorvidas
O desempenho é muito maior, notadamente no tempo consumido para instalação do sistema operacional na máquina virtual.
Ambos os sistemas contemplam uma grande quantidade de sistemas operacionais.
Ambos os sistemas estão disponíveis para Linux e Windows. Virtualbox também está disponível para Mac OS e para OpenSolaris.

Uma lista bem extensa de softwares de virtualização está disponível na Wikipedia.

Webinar
Depois de tudo isso, é preciso anunciar que a Sun está tremendamente aceptiva à comunidade ao redor deste fantástico produto (IMHO). Tanto que ela acaba de anunciar um "free VirtualBox Live Webinar". Para se inscrever, acesse a página de inscrição.


quarta-feira, 29 de julho de 2009

Voltando à ativa

Muita coisa aconteceu, e fui obrigado a deixar um pouco o blog. Mas estou retornando, e neste breve retorno, quero anunciar o seguinte, em Alagoas:


Este congresso trará novidades sobre TI, de forma a não ser parcial para um ou outro lado, mas apresentando assuntos importantes de diversas áreas.
A inscrição é de R$ 50,00 e deve ser feita diretamente no site do congresso.

“O GruPy-AL convida a todos para o IV Encontro de Python de Alagoas que ocorrerá no dia 30 de Julho a partir das 19:00 no IFAL (antigo CEFET-AL). A participação no encontro é gratuita, sendo o objetivo do mesmo disseminar a linguagem de programação Python no estado de Alagoas assim como as diversas tecnologias envolvidas."

Também em Alagoas acontece eventos de TI, e não poucos, nem de pouca qualidade.

quarta-feira, 20 de maio de 2009

"Viagem por R$ 1,00": Mais um ataque ao Windows

Desta vez, creio que o estrago vai ser grande.

Como se pode observar, eu estava passeando em diversos sites na net, e vendo meu email, recebi uma notícia que me chamou muito minha atenção: Passagens a R$ 1,00 de volta pela Gol.
Não pensei duas vezes, e abri o link que aparentava apontar para "http://www.voefacil.com.br/Gol/Promoção" mas que na realidade apontava para "http://www.voefacil.tv/Gol/Promo/Form.php". Pelo tipo do arquivo, não me preocupei, pois no Linux este tipo de arquivo não é executável.







Detalhes
O que começou a chamar a atenção foi o link www.voefacil.tv, além de o link conter um nome com acentos, e a GOL ainda não está usando nomes de internet neste formato.
Outro detalhe é que ao abrir, automaticamente o download se inicia, e aqui no meu Ubuntu Linux é demonstrado que se trata de um arquivo executável DOS/Windows, o que acaba com todas as dúvidas. Se é um formulário, não precisa ser baixado.






Instalando

Não satisfeito, o amigo Carlos aceitou a instalação do download em um Windows instalado em um VirtualBox (maravilha!), e teve esta telinha como resultado. Vejam que ele fica com o nome de "Fomulário", com um simpático ícone de uma canetinha sobre uma folha em branco.
Dar um clique duplo nada faz, ao menos aparentemente. Provavelmente, o estrago já está feito. Tentamos remover o ícone de modo normal, mas sem sucesso.
Visualizando os processos em execução, achamos o formulario.exe na relação. Tentamos também o remover, mas sem sucesso. Em uma segunda tentativa, foi possível remover o processo, e aí sim, apagar o ícone do Desktop. Pessoalmente, não posso afirmar que o perigo se foi. Pelo menos para os usuários de Windows.








Conclusão
Foi muito inteligente a escolha da isca ideal, que é promoção, vantagens financeiras e afins. O brasileiro ainda sofre do mal de Gérson, ainda pensa que "de graça, até injeção na testa". E o prejuízo se alastra. De graça.

domingo, 10 de maio de 2009

"Zeus crimeware kit": mais um ataque ao Windows

Em 7 de maio de 2009, Brian Krebs escreveu no Washington Post um texto ao mesmo tempo surpreendente e já conhecido. Já conhecido, por todos sabermos que sem um antivírus instalado, é muito perigoso usar o Windows. De todos os sistemas operacionais atualmente em uso, é de longe o mais frágil a este tipo de problema, independente de quanto esforço o fabricante dedique para mudar esta realidade. Surpreendente, devido as circunstâncias em que este malware foi difundido.

O problema
Este "Zeus" está sendo vendido em um "kit", pelo valor de US$ 700,00 em listas de discussão "especializadas" em crime, e tem o objetivo de colher dados dos usuários atingidos. Uma característica impressionante deste "Zeus" e poder ser diferente a cada instalação, dificultando tremendamente que seja identificado e solucionado pelos anti-vírus. Isto foi descoberto por Roman Hüssy, um suíço de 21 anos, que é um expert em tecnologia da informação.

Não apenas isto, mas "Zeus" tem uma função chamada kos (kill operating system). O manual de "Zeus" (impressionante, vem até com manual) diz que o kos incapacita o sistema Operacional, danificando o registro do Windows. Se o usuário tiver privilégios suficientes, o resultado será a BSOD. Reiniciar este sistema não seria mais possível.

O Prejuízo
Roman Hüssy afirmou que mais de 100.000 sistemas que participavam de uma botnet (é claro, sem o conhecimento de seus proprietários) forma derrubados, a partir do kos. Obteve esta informação acompanhando os servidores atingidos pelo Zeus. O link está na própria página do Washington Post. Dei uma olhada na lista, e achei somente um site brasileiro.

Isto destruiu a botnet, e Roman não tem idéia do que motivou a destruição em massa destes Sistemas Operacionais.

Para um usuário doméstico, normalmente isso não representaria muito problema, pois ele apenas teria que reinstalar o seu Windows, ou outro sistema operacional que esteja menos sujeito a este tipo de problema. Para os que trabalham em seus computadores, tanto Profissionais Liberais como empresas, isto pode causar um terrível prejuízo. Como o objetivo deste Zeus é colher informação, não há como medir a extensão do prejuízo causado.

Comentários
Achei alguns comentários no próprio Washington Post muito interessantes. E para não dizer que estou sendo parcial, ou qualquer outra coisa, vou deixar uma cópia dos originais aqui:
So -- uhhh -- could I bother anyone to explain to me again - just why is it that we still us MICROSOFT products? Oh - never mind. I remember the answer now. You have to be a genius geek to use anything else. I'll try to remember that, and stop harassing those who have to cope with not being genius.

I've seen so many cases of end users neglecting to use a logon password for the purpose of convenience, or not installing any form of software security program simply because they were unaware that the Internet is a dangerous place.

Have to agree with runaway1956 ; why use a demonstrably unsafe OS, web browser, office suite, etc, when products of better quality are available, many for free ? Indolence has its charms, but sometimes it is carried all too far....
Nem preciso dizer qualquer coisa ...

sábado, 2 de maio de 2009

Acesso mais rápido à Internet

\Moro em um local onde o acesso à internet rápida ainda não é uma realidade para a maioria dos (potenciais) usuários. Por isso, preciso de recursos que me proporcionem uma maior velocidade de acesso. Vou mostrar aqui como usar as vantagens oferecidas por uma distribuição Linux, como o Ubuntu.

O cenário atual
Estou usando 3G. Infelizmente aqui no Brasil o funcionamento desta tecnologia é ridículo, pois apresenta grande instabilidade (a conexão cai frequentemente) e velocidade baixíssima. Por contrato, apenas 10% de velocidade é garantida. Assim, pela possibilidade de "estar conectado em qualquer lugar", pago R$ 100,00 por 1 Mega de velocidade, mas apenas algo em torno de 100k me é garantido.

A solução
O melhor é usar um proxy para acelerar o acesso. Segundo a wikipedia, a definição de proxy é "um servidor que atende a requisições repassando os dados a outros servidores. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor".

Assim, todo acesso à internet vai ser passado para o proxy, e este vai na internet buscar a página. Esta página vai permanecer durante algum tempo na máquina, pois no próximo acesso boa parte da página já estará no sistema. Consequentemente, o browser buscará menos informação na rede, acelerando o acesso.

Estas modificações serão feitas em duas partes: Uma no proxy, e outra no browser.

O Software
Usaremos o Squid, um software extremamente famoso, totalmente gratuito e largamente utilizado para isto. Esta configuração é de complexidade média, exigindo algum conhecimento de edição de arquivos de configuração em Linux. Isto é bom, pois nos leva a aprender um pouco mais.

Instalação do Squid
Como sempre, instalar a maioria dos softwares no Ubuntu é muito fácil. Como é o meu foco, vamos evitar a interface gráfica e dar preferência a CLI. Para facilitar, as linhas abaixo devem ser copiadas e coladas no terminal.

Acesse o terminal e digite as seguintes linhas, informando sua senha quando solicitado:
sudo aptitude update
sudo aptitude install squid
Caso seja cometido algum erro e se queira desfazer tudo para começar do zero, pode ser feito o seguinte:
sudo chattr -i /etc/squid/squid.conf.original
sudo rm
/etc/squid/squid.conf.original
sudo aptitude purge squid
É necessário que o editor vim esteja instalado. Caso não esteja, ou você não tenha esta certeza, digite a seguinte linha:
sudo aptitude install vim

Configuração do Squid

Para isso, vamos fazer uma cópia de segurança do arquivo de configuração do squid:
sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.original
sudo chattr +i /etc/squid/squid.conf.original
Agora, vamos retirar os comentários do arquivo, que apesar de serem bastante úteis e explicativos, atrapalham a leitura do arquivo:
sudo egrep -v "^$|^ *#" \
/etc/squid/squid.conf.original > /etc/squid/squid.conf
Ao escrever este artigo, esta era a minha versão do squid:
sudo dpkg -p squid

Package: squid
Priority: optional
Section: web
Installed-Size: 1748
Maintainer: Ubuntu Core Developers
Architecture: i386
Version: 2.7.STABLE3-4.1ubuntu1
Replaces: squid-novm
Depends: libc6 (>= 2.4), libcomerr2 (>= 1.01), libdb4.7, libkrb53 (>= 1.6.dfsg.2), libldap-2.4-2 (>= 2.4.7), libpam0g (>= 0.99.7.1), netbase, adduser, logrotate (>= 3.5.4-1), squid-common (>= 2.7.STABLE3-4.1ubuntu1), lsb-base (>= 3.2-14), ssl-cert (>= 1.0-11ubuntu1)
Pre-Depends: debconf (>= 1.2.9) | debconf-2.0
Suggests: squidclient, squid-cgi, logcheck-database, resolvconf (>= 0.40), smbclient, winbind
Conflicts: sarg (<<>
Apenas para acrescentar, outra forma de verificar a versão do squid instalado seria:
sudo dpkg -l | grep squid
No meu sistema, o resultado foi o seguinte:
ii squid 2.7.STABLE3-4.1ubuntu1 Internet object cache (WWW proxy cache)
É importante mencionar isto, pois mudando de versão, o arquivo da sua versão pode apresentar diferenças.

Agora, vamos editar o arquivo com as mudanças necessárias:
sudo vim /etc/squid/squid.conf -c ":set number"
No meu arquivo, as modificações foram as seguintes:
...
35 icp_access deny all
36 http_port 127.0.0.1:3128
37 hierarchy_stoplist cgi-bin ?
...
48 extension_methods REPORT MERGE MKACTIVITY CHECKOUT
49 dns_nameservers 200.169.116.23 200.169.116.22
50 hosts_file /etc/hosts
Eu alterei a linha 36, para aumentar a segurança do meu Ubuntu. Também acrescentei a linha 49, com os IPs do DNS do meu provedor. Se você não souber destes endereços (que devem ser obtidos com o seu provedor), você pode consultar os que foram automaticamente configurados no seu Ubuntu.
sudo cat /etc/resolv.conf
No meu sistema, o resultado foi o seguinte:
nameserver 200.255.121.39
nameserver 200.169.117.14
Feitas as modificações acima, precisamos reiniciar o squid. Isto é feito com a linha a seguir:
sudo /etc/init.d/squid reload
Para confirmar que o Squid está completamente funcional, poderemos listar as portas abertas para conexão, entre as quais deve constar a linha do Squid:
sudo netstat -ltnp | grep -i squid
No meu sistema, o resultado foi o seguinte:
tcp 0 0 127.0.0.1:3128 0.0.0.0:* OUÇA 3216/(squid)
Note que o destaque em negrito é o que foi definido na linha 36 do arquivo de configuração.

Configuração do Browser
A modificação no browser, é muito mais tranquila. Para este nosso exemplo, vou usar o Firefox, já presente no Ubuntu.






O primeiro passo é acessar as configurações no Browser. No menu EDITAR, acesse o item Preferências.














Escolha o botão AVANÇADO, logo após a aba REDE, e a seguir o botão CONFIGURAR.
















Escolha os itens marcados na imagem ao lado, e digite as mesmas informações que também estão na imagem












A partir de agora os acessos sempre passarão pelo proxy. No meu caso, estou acessando este proxy no meu (muito antigo) notebook, com um hd (muito) limitado de 20G, e com o seguinte consumo de acesso:
sudo du -sh /var/spool/squid/
32M /var/spool/squid/
É sempre bom controlar a quantidade de espaço consumido pelo cache. Se for necessário eliminar todo o cache, basta digitar o seguinte:
sudo squid -z

domingo, 26 de abril de 2009

Mais problemas de segurança do Windows 7

Apesar de todo o anunciado aumento dos níveis de segurança, um probleminha apontado ainda em 2007 continua causando problemas no Windows 7. Em Abril de 2007, Bruce Schneier resume o problema com o seguinte parágrafo:
Experts say that the fundamental problem that this highlights is that every stage in Vista's booting process works on blind faith that everything prior to it ran cleanly. The boot kit is therefore able to copy itself into the memory image even before Vista has booted and capture interrupt 13, which operating systems use for read access to sectors of hard drives, among other things.
Interessantemente, dois anos depois, o sucessor do Windows Vista, o Windows 7, permanece com os mesmos problemas. Em um evento chamado HITB (Hack In The Box) os pesquisadores Vipin Kumar e Nitin Kumar mostraram aqui como tomar controle de uma máquina virtual Windows 7 enquanto ela ainda está no processo de boot.
It's a design problem," Vipin Kumar said, explaining the software exploits the Windows 7 assumption that the boot process is safe from attack. While VBootkit 2.0 shows how an attacker can take control of a Windows 7 computer, it's not necessarily a serious threat. For the attack to work, an attacker must have physical access to the victim's computer. The attack can not be done remotely.

Não fosse isto completamente péssimo, Nitim afirma que não há o que se possa fazer, pois este é um erro de projeto, onde se assume que durante o processo de boot o SO está seguro contra ataques.

"There's no fix for this. It cannot be fixed. It's a design problem," Vipin Kumar said (..)
O VBootKit 2.0 tem apenas 3 Kb de tamanho.

sábado, 25 de abril de 2009

Reinstalando as ferramentas preferidas para o Ubuntu

Finalmente está disponível o Ubuntu 9.04. Desde a versão 8.10, tenho feito a instalação de muitas ferramentas, e agora na hora de reinstalar o Ubuntu, fico preocupado de esquecer alguma ferramenta útil. Como recuperar todas as minhas atualizações ?

Levantamento de Software Instalado
Já de algum tempo tenho usado o aptitude que está disponível por padrão no Ubuntu e no Debian. Entre outras vantagens do aptitude, ele grava em log o que está sendo feito. O arquivo de log é /var/log/aptitude.log e ocasionalmente outros arquivos com mesmo nome mas compactados com gzip.

Assim, podemos usar as seguintes pipelines para extrair todos os softwares instalados via aptitude, no Ubuntu:
sudo cat /var/log/aptitude | grep "\[INSTALAR\]" |\
cut -d" " -f2 > ~/Desktop/Inst.txt
sudo zcat /var/log/aptitude*gz | grep "\[INSTALAR\]" |\
cut -d" " -f2 >> ~/Desktop/Inst.txt
Considere o caracter "\" no final da primeira e terceira linha. Este caracter diz ao BASH que a linha a seguir é continuação da atual. Assim temos apenas duas pipelines . Ao invés de digitar ambas, o melhor é copiar daqui do blog com o mouse e colar na linha de comando.

O arquivo Inst.txt vai ser visualizado em seu desktop, contendo a relação de arquivos instalados. No meu arquivo ficou assim:
alien-arena
avant-window-navigator
build-essential
chromium
compizconfig-settings-manager
debian-keyring
dia
extremetuxracer
exuberant-ctags
fdutils
ffmpeg
flashplugin-nonfree
frozen-bubble
gdm-themes
gnochm
gnome-ppp
gpaint
hping2
htop
idle
iftop
imagemagick
ipcalc
iptraf
k3b
mozilla-plugin-vlc
mpg123
msttcorefonts
nmap
p7zip
python3
rails
rar
smplayer
sox
ssh
sun-java6-jre
swat
traceroute
transcode
tree
unrar
vim
virtualbox-ose
vlc
wireshark
Removi aqui as dependências normais, mas você não precisa se preocupar com isso.

Assim, depois de instalada a nova versão do Ubuntu em meu notebook, vou poder reinstalar os pacotes acima com a seguinte linha:
sudo aptitude install $(cat ~/Desktop/Inst.txt)
Claro que isto vai ser possível para os pacotes instalados pelas ferramentas do sistema APT. Os pacotes instalados por tar.gz ou outros métodos de instalação fogem desta regra, e precisam ser instalados manualmente.

terça-feira, 21 de abril de 2009

Os comandos que você mais usa no BASH

Ultimamente reconheço que sou um usuário Ubuntu em quase 100% do dia, em casa ou no trabalho. Mas mesmo com todo o aparato disponível na interface gráfica do Ubuntu, e a facilidade que isso tudo proporciona, frequentemente estou na CLI (Command Line Interface).

Assim, agora que estamos quase no dia da liberação da versão 9.04 do Ubuntu, estou levantando os aplicativos que eu instalei nesta versão atual (8.10) que provavelmente reinstalarei na 9.04. Claro, quero deixar aqui registrado isso, para ajudar a outros e a mim mesmo.

Mas no meio disto, me surgiu a pergunta: Qual foi o comando que eu mais usei ? Usando o Google, achei um post escrito por MySurface, que mostra uma pipeline interessantíssima:
history | awk '{CMD[$2]++;count++;}END { for (a in CMD)print CMD[a] " " CMD[a]/count*100 "% " a;}' | grep -v "./" | \
column -c3 -s " " -t | sort -nr | nl | head -n10
Ok, eu sei que ela é enorme e aterradora, mas não morde e é funcionalíssima. Em resumo, ela mostra os 10 comandos mais usados no BASH. Copie ela e cole no seu BASH. Executado pelo root, meu resultado foi:

1 73 14.6% ls
2 37 7.4% ufw
3 37 7.4% cd
4 25 5% iptables
5 23 4.6% aptitude
6 18 3.6% ifconfig
7 14 2.8% man
8 13 2.6% tail
9 13 2.6% du
10 11 2.2% host

Ou seja, o comando ls é o mais usado: do meu total de comandos, ele aparece em 14.6%, ou seja, usei o ls 73 vezes. Isto é baseado em uma análise do meu histórico de comandos.

Como sou curioso, fiz uma pequena alteração que me permite ver a estatística de todos os comando do history:
history | awk '{CMD[$2]++;count++;}END { for (a in CMD)print CMD[a] " " CMD[a]/count*100 "% " a;}' | grep -v "./" | \
column -c3 -s " " -t | sort -nr | nl | less
Neste caso, para encerrar a visualização, digite q.

Conclusões

Verificando isso, tomei as seguintes conclusões:
  • Para poder levantar melhor este histórico, ao invés de usar o sudo para executar meus comandos de administração do sistema, é melhor eu mudar para o root antes de trabalhar ($ sudo su -). Assim os comandos executados pelo root permanecem registrados no histórico do root. Lembrando que esta não é uma prática considerada segura pelo pessoal do Ubuntu; USE COM MODERAÇÃO! :)
  • A capacidade padrão do histórico do Ubuntu é de 500 linhas. Aumentei para 1000 no ~/.bashrc do usuário em questão (no meu caso, do root), acrescentando a linha HISTSIZE=1000.

domingo, 19 de abril de 2009

MSN acessa secretamente à Microsoft

Recentemente atendi o chamado de uma pessoa amiga, para lhe ajudar com problemas em seu computador. Um equipamento razoável, Windows XP e o anti-vírus da ESET.

O MSN 2009 havia sido instalado, mas não conectava. Dei uma olhada no firewall do ESET, e ativei o mesmo para bloquear entrada e saída de qualquer pacote. Assim eu estaria podendo acompanhar as tentativas de acesso do MSN. Infelizmente não funcionou. Pensei em outras soluções, e deixei o Firewall ativado. Uma procura rápida me levou a esta página, onde pude encontrar diversas versões antigas do MSN.

Baixei a 8.5, e iniciei a remoção da versão (aparentemente) defeituosa. Para minha surpresa, o firewall barrou mais de 3 tentativas de acesso ao site do fornecedor do Software. Eu simplesmente não consegui compreender isto. Por que motivo, até para desinstalar, o software tenta fechar uma conexão com o fornecedor ? A primeira lembrança que me veio foi o exemplo do VLC, que afirma não enviar ou coletar qualquer informação, mesmo anônimamente, do sistema operacional, ou de qualquer outro software. No caso do MSN, nenhum aviso foi dado que ia ser feito algum contato com o fabricante, envio de alguma informação, etc. Absolutamente nada. Isto é revoltante.


Tendo tido esta desagradável surpresa, meneei a cabeça, respirei fundo, e prossegui. Instalei a versão anterior, e quando a fui executuar, um pop-up me avisa que tem uma versão mais nova disponível. Como eu não a queria, neguei. Neguei, e não tive mais acesso. Ou seja, você é a usar a versão mais nova, que neste caso em especial, não funcionava.

Mais uma vez fiquei tremendamente irritado. O computador pertence ao seu dono, ou seja, a quem desembolsou dinheiro para o comprar, e o fornecedor do software se acha no direito de impôr suas decisões sobre qual versão do software o usuário tem que usar.

Me irritei, procurei informações de como fazer esta versão Beta do MSN funcionar, e achei algumas modificações que deveriam ser feitas no registro. Dá até pra aceitar, pois esta é uma versão de teste. Mas minha aceitação para por aí.

Alguém sabe por que tem que ser assim com o MSN (ou talvez outros softwares) ?

sábado, 31 de janeiro de 2009

Novidades no Blog

Tenho acompanhado (sempre que posso) o andamento do blog, e tenho percebido uma certa regularidade dos leitores. Não tenho grandes esperanças de atingir uma frequência alta, uma vez que a maior parte dos acessos que tenho são de alunos meus, que na maior parte das vezes acessam este blog mediante convite meu. Mas vendo algumas ferramentas interessantes, achei igualmente interessante passar a usar elas.

Seguidores
Este recurso permite que as pessoas que sejam simpatizantes do blog acompanhem o andamento deste. Espero que as pessoas que gostem deste blog se deixem conhecer aqui.

Licença Creative Commons
Eu estava lendo as muitas licenças existentes e achei uma que me interessou muito, que é a Creative Commons. A forma de licenciar uma obra é simples e gratuito, e garante ao autor alguns direitos sobre sua obra. Usar a internet pode ser um meio rápido de divukgação, mas expõe demais a obra à ação de pirataria. Por isso, escolhi os detalhes da licença que me agradaram e criei uma licença para meu blog. Se pode obter o código HTML que deve ser incluído no site, ou mesmo outras formas de incluir a licença na sua obra.

Em outras palavras, se alguém achar algo que lhe seja interessante e quiser aproveitar isto em sua obra (site, texto, vídeo, etc) será apenas obrigado a citar as fontes.

Pesquisa de opinião
Esta pesquisa serve para ver a tendência dos que comparecem aqui no blog. Vou tentar trazer novidades mais voltadas à preferência dos visitantes. Por isso é importante ao pessoal que responda a pesquisa.

Avaliação do texto
Ao final de cada post, é possível mostrar qual a impressão sobre o texto, se o mesmo foi útil, apenas interessante ou completamente inútil. Este recurso vai me ajudar a melhorar a qualidade do conteúdo do blog.

Uma nova revisão ortográfica

Este texto não é novo, mas é bastante interessante. Reflete coisas que vemos (ou lemos) no cotidiano de nossos emails e textos. Se alguém conhecer a autoria, por favor avise.


Eis aqui um programa de cinco anos para resolver o problema da falta de
autoconfiança do brasileiro na sua capacidade gramatical e ortográfica.
Em vez de melhorar o ensino, vamos facilitar as coisas, afinal, o
português é difícil demais mesmo. Para não assustar os poucos que sabem 
escrever, nem deixar mais confusos os que ainda tentam acertar, faremos 
tudo de forma gradual.

No primeiro ano, o "Ç" vai substituir o "S" e o "C" sibilantes, e o "Z" o "S" 
suave. Peçoas que açeçam a internet com freqüênçia vão adorar, prinçipalmente 
os adoleçentes. O "C" duro e o "QU" em que o "U" não é pronunçiado çerão trokados
pelo "K", já ke o çom é ekivalente. Iço deve akabar kom a konfuzão, e os teklados 
de komputador terão uma tekla a
menos, olha çó ke koiza prátika e ekonômika.

Haverá um aumento do entuziasmo por parte do públiko no çegundo ano,
kuando o problemátiko "H" mudo e todos os acentos, inkluzive o til,
seraum eliminados. O "CH" çera çimplifikado para "X" e o "LH" pra "LI" 
ke da no mesmo e e mais façil. Iço fara kom ke palavras como "onra" fikem 
20% mais kurtas e akabara kom o problema de çaber komo çe eskreve xuxu, 
xa e xatiçe. Da mesma forma, o "G" ço çera uzado kuando o çom for komo 
em "gordo", e çem o "U" porke naum çera preçizo, ja ke kuando o çom for 
igual ao de "G" em "tigela", uza-çe o "J" pra façilitar ainda mais a vida 
da jente.

No terçeiro ano, a açeitaçaum publika da nova ortografia devera atinjir
o estajio em ke mudanças mais komplikadas serão poçiveis. O governo vai
enkorajar a remoçaum de letras dobradas que alem de desneçeçarias
çempre foraum um problema terivel para as peçoas, que akabam fikando
kom teror de soletrar. Alem diço, todos konkordaum ke os çinais de
pontuaçaum komo virgulas dois pontos aspas e traveçaum tambem çaum
difíçeis de uzar e preçizam kair e olia falando çerio já vaumtarde.

No kuarto ano todas as peçoas já çeraum reçeptivas a koizas komo a
eliminaçaum do plural nos adjetivo e nos substantivo e a unificaçaum do
U nas palavra toda ke termina kom L como fuziu xakau ou kriminau ja ke
afinau a jente fala tudo iguau e açim fika mais faciu. Os karioka
talvez naum gostem de akabar com os plurau porke eles gosta de eskrever
xxx nos finau das palavra mas vaum akabar entendendo. Os paulista vaum
adorar. Os goiano vaum kerer aproveitar pra akabar com o D nos jerundio
mas ai tambem ja e eskuliambaçaum.
 
No kinto ano akaba a ipokrizia de çe kolokar R no finau dakelas palavra
no infinitivo ja ke ningem fala mesmo e tambem U ou I no meio das
palavra ke ningem pronunçia komo por exemplo roba toca e enjenhero e de
uzar O ou E em palavra ke todo mundo pronunçia como U ou I, i ai im vez
di çi iskreve pur ezemplu kem ker falar kom ele vamu iskreve kem ke
fala kum eli ki e muito milio çertu ? os çinau di interogaçaum i di
isklamaçaum kontinuam pra jente çabe kuandu algem ta fazendu uma
pergunta ou ta isclamandu ou gritandu kom a jenti e o pontu pra jenti
sabe kuandu a fraze akabo.
Naum vai te mais problema ningem vai te mais eça barera pra çua
açençaum çoçiau e çegurança pçikolojika todu mundu vai iskreve sempri
çertu i çi intende muitu melio i di forma mais façiu e finaumenti todu
mundu no Braziu vai çabe iskreve direitu ate us jornalista us
publiçitario us blogeru us adivogado us iskrito i ate us pulitiko i u
prezidenti olia ço ki maravilia.

sexta-feira, 23 de janeiro de 2009

Problemas com Telemarketing

Tirei o dia para acertar muitas pendências com pagamentos e cobranças. Entre muitas coisas, foi preciso fazer uma ligação para outro estado. Assim, fui procurar qual operadora oferecia melhor condição de preço. Ligando para o 10321, começou minha dor de cabeça. Segue aqui um resumo do que eu passei, quando estava procurando os preços das tarifas DDD de Livre para fixo e de fixo para fixo:

Tentativa 1
Fui transferido para 6 operadores, e por duas (2) vezes me remeteram ao Menu Inicial
Algumas vezes identifiquei o número do Livre que eu estava usando.
Os operadores sempre me pediam para repetir o número do Livre que eu estava usando
Na opção de reclamação, o atendente Valdeir ouviu meus reclames, me pediu que ficasse em espera, e a ligação caiu.

Tentativa 2
O sistema identifica o número do Livre, mas mesmo assim tive que reinformar este número para a atendente Eliane
Soube que o DDD do Livre para RJ custa R$ 0,60.
Para obter o custo da Tarifa fixo-fixo via Embratel, tenho que tornar a ligar para 10321, e ali sim escolher a opção 4. A chatíssima atendente virtual, que também parece ter dificuldade em me ouvir, vai me perguntar se sou um cliente Livre, e terei que mentir, dizendo que não sou.

Tentativa 3
A atendente Rafaela me recomenda tornar a ligar para o 10321 e escolher a opção de informações, ou seja, opção 9
Torne a ligar para a opção 9, e o atendente de TV por assinatura me diz que nem pode me ajudar como também não pode passar a ligação para o setor correspondente. Peço um supervisor, mas o atendente tenta me explicar que isto não adiantaria nada, pois o supervisor não tem mais acesso ao sistema do que ele. Mesmo assim, insisto e falo com Rafael, que nada pode fazer.

Tentativa 4
Torno a ligar para 10321, escolho a opção 4 e digo que não sou cliente Livre. Apenas opções do Livre são relacionadas.

Tentativa 5
A atendente Alessandra disse que não tem esta informação, e que eu deveria tornar a ligar e escolher a opção 4. Depois de explicar tudo de novo, disse que não pode fazer nada. Ao final das contas, desisto de procurar esta informação.

PROCON
O atendente diz que estão anotando todos os casos, mas os estão enviando para Brasilia. Alguns já foram multados.

A nova lei não permite muito além do que os PROCONs estão fazendo. Mas infelizmente, continuamos sofrendo com estes abusos ilegais.

domingo, 18 de janeiro de 2009

Comprar pela internet

O Marcelino me enviou um email muito interessante sobre empresas que realizam vendas pela internet, mas que são fraudes. Ao final deste email, algumas dicas para realizar compras com segurança. Achei interessante criar um post sobre isto.

Por que comprar pela internet ?
É muito mais vantajoso estar na segurança de casa, escolhendo calmamente o que se quer, podendo procurar detalhes do que se quer, até aprendendo mais sobre o assunto relacionado ao item. Afinal, entrar numa loja para "dar uma olhadinha" apenas pode ser muito aborrecedor. Os vendedores podem se jogar sobre o cliente, o disputando quase a tapas. Podem também ser indiferentes, dando pouca ou nenhuma atenção, como se estivessem fazendo um favor em nos atender. É possível ainda que este vendedor não saiba nada sobre o que está vendendo, e por isso não pode tirar nossas dúvidas. Neste caso, quase sempre vai querer "empurrar" o mais caro dizendo que é o melhor. Não fosse isso suficiente, é preciso encarar as filas de pagamento, o tempo de consulta dos cartões, a loja quase sempre cheia, barulhenta e abafada. Além disso, a "pechincha" obrigatória é cansativa, levando o usuário a andar bastante de loja em loja. Enfim, cansativo.

Segurança nas compras
A compra convencional ainda conta com o crescente perigo desde o sair de casa: assaltos em ônibus, nas ruas, ocasionais balas perdidas, e outros. Infelizmente, nas compras pela internet, também há o perigo constante de insegurança: perda de senha, sites falsos de lojas e/ou bancos, entre outros. Este tipo de risco é sério por ser quase sempre fora da percepção da vítima. Isso leva alguns a uma histeria exagerada, afirmando que nunca farão compras pela internet. Há cuidados básicos que podem diminuir bastante este risco. É isto que quero resumir aqui, sem usar os termos técnicos complicados.

Alguns tipos comuns de fraude
Email de banco: conhecido como phishing (pronunciado como fíxin) é basicamente um email vindo de algum banco, pedindo que seja acessado o link que vem no email.
Quase sempre este link leva a alguma página muito parecida com o tal banco. Nesta página se pede número da conta e senha. A página vai guardar estes dados e os vai enviar para o criminoso. Este pode agora acessar sua conta normalmente. Alguns exemplos podem ser vistos aqui.
Email de pornografia: um email prometendo fotos de mulheres nuas (ou algo semelhante) pede que o usuário clique em um link ou em algum anexo. Frequentemente o remetente é alguém conhecido do destinatário. Este tipo de apelo quase sempre funciona. Por exemplo, a cada novo BBB, uma enxurrada destes emails são enviados, prometendo a foto nua de uma das participantes, ou cenas inéditas da transa de algum dos casais.
Estes links ou anexos irão instalar programas que podem gravar tudo o que estiver sendo digitado (números de contas bancárias, senhas de banco, senhas de email, etc) e as enviarão para o criminoso autor destes emails.
Arquivos pelo MSN: no meio de uma animada conversa pelo MSN, o outro lado de repente lhe manda um arquivo compactado com as fotos que (segundo esta pessoa) já deveria ter lhe enviado, ou com fotos de alguma celebridade nua.
Basta tentar abrir o arquivo que um programa vai ser instalado na sua máquina . Este programa pode copiar o que você digita e enviar tudo isto para o tal criminoso.
Mensagens em Power Point ou documentos do Word: é possível que aquela bela mensagem que você recebeu tenha escondida em si um programa que pode copiar as informações digitadas por você (dquele momento em diante) e as enviar para o criminoso

Como a coisa funciona ?
Perceba que há um padrão entre os tipos de fraude: o destinatário. Pessoas do conhecimento do mesmo já (provavelmente) foram vítimas, não sabem, e seu (dele) sistema passa a poder ser usado para espalhar a "ferramenta" da fraude. Aliás, uma característica comum de um sistema "comprometido" é uma inexplicável lentidão do sistema.

Basicamente, o objetivo destas fraudes são 2:
1) obter senhas dos usuários;
2) obter acesso ao seu sistema. O criminoso pode usar o seu sistema para acessar outros locais na internet. Assim, ele pode cometer outro crime usando o seu sistema. Ao se tentar rastrear a origem deste criminoso, será encontrado o seu sistema como origem do crime.

Como prevenir ?
Algumas das recomendações são básicas. Infelizmente, mesmo o básico frequentemente não é observado.
1 - Desconfie de emails de pessoas desconhecidas. Pessoas que você não conhece lhe mandando fotos, dicas, prometendo dinheiro ? Desconfie.
2 - Desconfie de qualquer email enviado por bancos. Especialmente aqueles onde você não tem conta. Se for do seu banco e estiver pedindo para clicar em um link ou digitar alguma senha, é quase certo de ser uma fraude.
3 - Mudança repentina de conversa no msn. Pergunte para a pessoa com quem você está conversando se ela mandou algum arquivo ou link para você. Se ela disser que não, o sistema desta outra pessoa está "comprometido".
4 - Evite usar senhas importantes em computadores públicos. Computadores de lan-houses são o último lugar de onde você acessaria a sua conta bancária ou semelhante. Estes computadores frequentemente estão infectados por keyloggers, que são os tais programas que copiam os textos digitados no sistema. O mesmo se aplica ao computador do amigo/colega/conhecido. Especialmente se este for usado por todos da casa.

Há outras coisas que devem ser feitas, mas dependem de qual Sistema Operacional você está usando: Windows ou Linux.
Windows:
1) não deixe de aceitar as atualizações vindas do Windows Update. Já houve ocasiões onde estas atualizações causaram alguns problemas, mas nada que não pode ser contornado.
2) é fundamental usar algum anti-vírus, de preferência original, nunca um pirata. É importante manter ele sempre atualizado. Infelizmente algumas falhas podem ocorrer nos anti-vírus, e dificilmente uma solução será gerada tão rapidamente que possa impedir que desastres se espalhem pela internet, como o MyDoom, uma variante do Sober, o Sircam, e o NetSky. São casos antigos, mas mostram como é possível que o estrago seja causado rapidamente antes que os antivírus possam estar atualizados para estes problemas.
3) evite usar o Windows através do usuário administrador. Crie contas para cada pessoa que use o computador, e nunca acesse a Internet como administrador, a menos que seja realmente necessário. E quase nunca é. Na instalação padrão do Windows XP, a conta do administrador será a conta padrão. Nas versões seguintes isso não ocorre mais.

Linux:
1) Sempre mantenha atualizado o seu sistema. Se você usa o Ubuntu,por exemplo, o sistema sempre vai lhe avisar da existência de atualizações. Ainda não conheço casos de erros que causaram problemas para o usuário, pelo menos na versão Desktop. Se alguém souber de algum link confiável com esta informação, pode enviar.
2) Desde o princípio, devido a características do próprio Linux, o uso de antivírus quase não é necessário. Existem sim, mas em quantidade inexpressiva, em relação aos existentes para Windows, por exemplo. Um exemplo é o BadBunny, mas este foi apenas uma demonstração.
3) Também desde o princípio de sua popularização, o Linux não permite que o usuário administrador (chamado de root) seja o usuário padrão do sistema. Mesmo assim, permanece o aviso: nunca usar o sistema como root, a menos que seja mesmo necessário.

Como já deve ter ficado claro para os que lêem meu blog, sou usuário de Linux, em especial de Ubuntu Desktop. Sempre saio com um pendrive que tem a imagem do Ubuntu para pendrive. Para os que tem Ubuntu instalado na máquina, podem criar seu próprio Ubuntu em pendrive. Assim, em qualquer momento tenho um Ubuntu limpo para usar em qualquer computador, bastando apenas iniciar o computador pelo pendrive.

Identificando o site de compras
Independente do sistema operacional em uso, é possível conferir o site para evitar problemas com o mesmo.
1) Em http://whois.registro.br, digite o nome da loja virtual. O resultado lhe mostrará a razão social do empresa por trás do site, e o CNPJ da mesma. Clicando no CNPJ, é possível até listar os outros domínios registrados para a mesma empresa, se houverem. Note que isto é válido para os registros brasileiros, ou seja, terminados com ".br"
2) Comprove a situação cadastral desta empresa junto a Receita Federal.

Não esqueça de informar se este texto foi útil, interessante ou inútil (logo abaixo), e deixar um comentário seu.

Notícias Linux

Dicas-L: Dicas técnicas de Linux e Software Livre

Ubuntu Dicas

Security Fix

 
Creative Commons License
Blog Livre e Social by Gilberto Martins is licensed under a Creative Commons Atribuição 2.5 Brasil License.