Pages

19 January 2007

Monitoração de Instant Messaging - Proteção para sua família

O conceito de Instant Messaging está bastante difundido e consolidado nos dias de hoje. Eu, pessoalmente, não consigo imaginar o meu dia a dia (pessoal e profissional) sem o IM. Seja o MSN, Yahoo, Google Talk, AIM, Skype ou ICQ (uso todos), a facilidade e agilidade é inegável. Entretanto, a facilidade de comunicação e o alcance global que a Internet nos proporciona também nos expõe a pessoas mal-intencionadas. Uma das preocupações atuais é: como proteger sua família dos chamados "predadores sexuais", que usam o conceito de IM para encontrar pessoas ?

Para conseguir a proteção absoluta da sua família, a única forma é não usar IM; mas esse argumento em pleno século XXI não é válido. Sou a favor da monitoração e do controle. Existe um software freeware chamado IMSafer, que monitora localmente o conteúdo das conversas realizadas através dos principais IM do mercado. Caso sejam encontrado um conteúdo suspeito (assuntos sexuais, endereços, telefone, ou seja, o que vc definir), é enviado um e-mail com o conteúdo da conversa. Com este e-mail, vc pode julgar se a conversa que o seu filho fez é correta ou não.

Uma solução simples, barata e que funciona muito bem. Claro que o usuário do IM (filho, filha) deve ser avisado que está sendo monitorado para sua proteção; tudo se resolve com educação e cultura.

Para download, acesse http://www.imsafer.com/

17 January 2007

Estudo mostra impacto negativo na carreira de pessoas que optam por HOME OFFICE

Interessante estudo, demonstrando o impacto na carreira profissional das pessoas que optam por trabalhar em esquema de Home Office.

Segundo o texto, "as melhores oportunidades são dadas para as pessoas on-site da empresa, e não as remotas"

Uma coisa é fato; o contato humano é fundamental nas relações profissionais, mas mesmo este contato deve ser adaptado para as necessidades e limitações que temos nos dias de hoje.

Será que mecanismos como o Second Life podem ser a solução ?

Telecommute. Kill a career? - Network World

15 January 2007

jQuery - Framework de funções JavaScript

Framework de funções JavaScript. Excelente !!

jQuery: The Write Less, Do More, JavaScript Library

Coding Horror: The Problem With C++

Um interessante artigo sobre os problemas da linguagem C++.

MIT's Technology Review recently interviewed Bjarne Stroustrup in a two-part article (part one, part two). You may know Bjarne as the inventor of the C++ programming language. Indeed, he even maintains a comprehensive C++ FAQ that answers every imaginable C++ question.

Coding Horror: The Problem With C++

Free Solaris 10 and Sun Studio Software Media Kit

Free Solaris 10 and Sun Studio Software Media Kit: "Free Solaris 10 and Sun Studio Software Media Kit"

Vulnerabilidade de Segurança do Google

Através de uma implementação incorreta no serviço de redirecionamento de domínios customizados (ghs.google.com), os serviços abaixo apresentam uma vulnerabilidade que pode ser explorada mediante a ativação de um forward para um domínio no qual vc não possui a propriedade. Aparentemente, este problema já está resolvido.

Google Alerts, Google Analytics, Google Base, Google Bookmarks, Google Code, Google Co-op, Google Docs and Spreadsheets, Google Finance, Froogle Shopping List, Google Image Labeler, Google in Your Language, Google Groups, Local Business Center, Google Maps (Saved Locations), Google Notebook, Personalized Homepage, Personalized Search (Search History), Google Reader, 3D Warehouse (SketchUp), Google Video and Google Webmaster Tools.

Fonte: http://blog.outer-court.com/archive/2007-01-14-n21.html

11 January 2007

Webcasts de Segurança

Knowing the Enemy - A lightning demonstration on how hackers attack networks
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=351
Marcus Murray, Senior Security Architect, Truesec

Advanced Malware Cleaning
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=359
Mark Russinovich, Technical Fellow, Platform and Services Division, Microsoft

Windows Vista User Account Control Internals
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=360
Mark Russinovich, Technical Fellow, Platform and Services Division, Microsoft

Defending Layer 8: How to recognize and combat social engineering
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=339
Steve Riley, Senior Program Manager, Security Business and Technology, Microsoft Corporation

Windows Vista Kernel Changes
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=340
Mark Russinovich, Technical Fellow, Platform and Services Division, Microsoft

Windows Vista Firewall and IPSec Enhancements
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=352
Steve Riley, Senior Program Manager, Security Business and Technology Unit, Microsoft Corporation

Defesa em Camadas protege Windows Vista de vulnerabilidade

Michael Howard, em seu blog - http://blogs.msdn.com/michael_howard/archive/2007/01/10/why-windows-vista-is-unaffected-by-the-vml-bug.aspx, postou sobre um novo recurso implementado no compilador do Visual Studio 2005. Este novo recurso realiza uma verificação em tempo de compilação para encontrar situações de Overflow no código (overflows - situação onde é utilizado um valor que é maior que o programa está preparado para receber.) Todo o código do Windows Vista foi compilado com o Visual Studio 2005, portando ele está imune a este tipo de situação; Um cenário atual (boletim MS07-004) não afeta o Windows Vista.

Entretando, como o Windows XP e Windows 2003 foram compilados com versões anteriores a 2005 do Visual Studio, são afetadas pelo boletim.

Enviei um e-mail ao Michael Howard perguntando sobre a presença deste mesmo recurso no Visual C++ 2005 Express Edition. Procurei na documentação do produto, mas não achei este recurso citado. Assim que tiver uma resposta, este post será atualizado.

Este tipo de implementação reforça a estratégia de segurança da Microsoft, onde controles são aplicados em todas as camadas (kernel, fs, etc) e tbm o próprio compilador.

Windows Vista Test Drive

Uma ótima forma para testar o Windows Vista.

http://www.windowsvistatestdrive.com/

Windows SDK for Windows Vista

The Windows SDK includes documentation, samples, and tools designed to help you develop Windows applications and libraries using both Win32® and .NET Framework 3.0 technologies targeting Windows Vista.

http://www.microsoft.com/downloads/details.aspx?familyid=7614FE22-8A64-4DFB-AA0C-DB53035F40A0&displaylang=en

Learn Linux development with free e-book

linux%20ebook.jpg

In Linux Kernel in a Nutshell, author Greg Kroah-Hartman shows you how to build, configure and install a custom Linux kernel. You can get the e-book version free from the author's web site. Here's the scoop from publisher O'Reilly:

Written by a leading developer and maintainer of the Linux kernel, Linux Kernel in a Nutshell is a comprehensive overview of kernel configuration and building, a critical task for Linux users and administrators.

You can download the entire book or individual chapters in PDF or DocBook format. I don't know enough about software development to opine on the quality of the text, but the author's qualifications and the publisher's rep should make this a no-brainer download for anyone interested in Linux.

10 January 2007

Como manter um projeto secreto por 30 meses ?

Como manter um projeto secreto por 30 meses ? aprenda com a Apple !

Nota 10 em sigilo e controle na Segurança da Informação

http://money.cnn.com/2007/01/10/commentary/lewis_fortune_iphone.fortune/index.htm

Windows Server, Code Named "Longhorn"

COMING SOON - Windows Server, Code Named "Longhorn"

Build your business on a solid foundation

The next generation of the Windows Server operating system helps organizations maximize control over their server infrastructure with new management and configuration tools, task automation, and enhanced diagnostics. Security and reliability are also improved with hardened services and policy-based network access protection.

http://www.microsoft.com/technet/prodtechnol/beta/betacentral.mspx

Criptografia em Discos - A solução Seagate

Entrevista com o vice-presidente da Seagate, explicando a solução da empresa para discos criptografados.

To address the issue of data leaks from stolen or missing laptops, Seagate is working to create the first Full Disk Encryption enabled Hard Drive. The encryption will be performed on the hardware level using a ASIC chip on the drive. Every bit of data will be encrypted before being written to the HDD platter. We interviewed Mr Dan Good of Seagate Technology to find out more about this HDD. Mr. Good is the Senior VP at Seagate Technology.

What led Seagate to develop the FDE technology on hard drives?

The idea first came up from a forum that we had with our research division. Knowing that we had an unique environment with our hard drives and in our hard drive technology, we could do thing differently than what has been done before. After consultation with industry experts we can up with the Trusted Drive architecture five years ago without knowing what the market potential was going to be for data protection at the hard drive level. At the time the Trusted Drive group (at Seagate) was working with the emerging industry standard for enhance security, the Trusted Platform Module (TPM). Under the original TPM guidance, however the hard drive was outside the circle of trusted devices. This meant that our drives were not a trusted device, whereas things like keyboards and mouse devices were. We thought this was not right. So we thought there was an added value in building a security solution in the hard drive and take advantage of the position that we had as a hard drive manufacturer. You know, ultimately the data is coming from the hard drive.

One of the big challenges that we had in making the investment in FDE was not having an understanding of the market opportunity. This was something that Seagate was not accustom in doing. So to validate and understand the requirements, we started to do some market research and gather voice of customer input. Our voice of customer process is a very formal and ridged process that enables us to integrate the requirement of the customers to our product. We found out that requirements that matter to our customers were things like ease of installation, maintenance, TCO, etc; not classical hard drive metrics, not classical hard drive requirements. We are more akin to things like capacity, data transfer rate, rpm, and reliability. So, through our voice-of-customer process we learned what some of the opportunities would be. There were two or three but the one that was most prominent was encryption, providing encryption on the drive itself and having the locking mechanism as close to the data as possible.

So this is pretty much how it all came about.

Do you see further developments in the FDE technology?

Oh yes. One of the things that we are doing in the next 6 months is to identify the paths we want to pursue in taking this technology to the next level and bringing to the main stream. With our Trusted Drive technology we got a whole host of application developers eager to engage with us in this technology model. And the reason is that software vendors, particularity software vendors in the security world need to have some place to hide their secrets. And we provide the perfect place to hide secrets, because we can cryptographically handle things in a way that makes very difficult to snoop or sniff the secrets. We have hidden operation in the drive as well as hidden storage place that normally can’t be accessed via ATA commands. So in a way we have a bit of a black box, in terms of a security device, that no one knows what is going on in there, and it is a perfect place to hide stuff.

Has Seagate engaged with Microsoft for its support of the FDE drive?

Definitely. Like with other software partners we have engaged Microsoft to take advantage of what Seagate’s FDE drive has to offer in enhancing security.

Has Microsoft been receptive to Seagate’s FDE drive?

I believe so. I’m hopeful that Microsoft will be supporting natively the FDE drive in future enhancement of Vista, perhaps by SP2. When this happen its solution will have a broad appeal. But at the same time, it will have a different value proposition than that of other solutions. We feel that the FDE drive is a technology enabler, enhancing and complementing the solutions that are already out there.

Wouldn’t Seagate’s FDE drive be competing with Microsoft’s Bit-Locker?

It really isn’t. For your standard-fare kind of applications that doesn’t require a lot of security, they aren’t really performance sensitive, and the user is very cost sensitive, software-based solutions like Bit-Locker would make much sense. However, for those applications that require the highest and best security, they cannot afford a performance impact, and users can afford to pay a little bit extra for an FDE implementation, Seagate’s FDE drive would be ideal. Security has always been good, better, best. Or may be starting with bad then good, better, and best. I think Microsoft sees Bit-Locker as good, but I think it can see FDE drive as best.

Performance wise, Seagate’s FDE drive is the clear winner compared to pure software based FDE implementation. What other areas does the FDE drive excel at?

Easy of use and implementation is another area that the FDE drive excels at. There was a survey done in identifying the challenges of implementing encryption. One of the biggest challenges is managing the encryption. It is a real a pain to manage passwords and keys. By partnering with the application developers we are bridging this gap. One key factor on ease of implementation is that on the FDE drive the encryption is always on, so data is always encrypted. Cost is another area of advantage. Software based FDE solution would end up costing in upwards of $115 per user. The FDE drive cost delta is only $90. So performance, simplicity, and cost are the areas that Seagate’s FDE drive stands out.

Windows Vista Security Guide v1.2

Guia de implementação de controles de segurança para o Windows Vista. Indispensável !

http://go.microsoft.com/?linkid=5639874

No link abaixo, vc pode torna-se membro do maior grupo de discussão independente sobre Windows Vista.

http://tech.groups.yahoo.com/group/windowsvista/

Desafios de Segurança em um ambiente de computação baseado em máquinas virtuais

Um ótimo paper publicado por Tal Garfinkel and Mendel Rosenblum, da universidade de Stanford.

http://www.stanford.edu/~talg/papers/HOTOS05/virtual-harder-hotos05.pdf

Novo curso do CERT.br e Calendario do 1o semestre 2007

Reprodução do e-mail que acabo de receber do CERT.BR

A partir de 2007 o CERT.br passará a ministrar mais um curso do CERT
Program, da Carnegie Mellon University, o curso "Information Security
for Technical Staff". Com este curso o CERT.br passa a oferecer no
Brasil todos os cursos exigidos pelo programa de Certificação
"CERT-Certified Computer Security Incident Handler".

O calendário de cursos para o primeiro semestre de 2007 é o que segue:

* Fundamentals of Incident Handling
Turma: 26 a 30 de março de 2007
Encerramento das inscrições: 09 de março de 2007

* Information Security for Technical Staff
Turma: 07 a 11 de maio de 2007
Encerramento das inscrições: 20 de abril de 2007

* Creating a Computer Security Incident Response Team
Turma: 11 de junho de 2007
Encerramento das inscrições: 25 de maio de 2007

* Managing Computer Security Incident Response Teams
Turma: 12 a 14 de junho de 2007
Encerramento das inscrições: 25 de maio de 2007

Os formulários de inscrição para os cursos estão disponíveis na
página:

http://www.cert.br/cursos/inscricao/

Mais informações sobre os cursos podem ser obtidas na página:

http://www.cert.br/cursos/

Atenciosamente,
--
CERT.br
<cert@cert.br>
http://www.cert.br/

O iPhone não é um smartphone


Ontem foi o lançamento na CES 2007 do iPhone, o famoso IPOD + Celular. Foi uma verdadeira catarse coletiva para os geeks de plantão na feira. Entretanto, analisando as entrelinhas vc pode notar que o iPhone:

- Não possui suporte a 3G.

- Não é possível acessar a ITunes Store ou fazer sincronismo com seu computador local através do Wifi.

- Não possui memória expansível (nada de MMC, SD, etc)

- Não possui bateria removível.

- Não possui suporte ao Microsoft Exchange e ao MS-Office.

A palestra do Bill Gates na CES foi bastante interessante. Acredito que em 2007 teremos um Zune "smartphone", com integração do Exchange e Office (itens fundamentais).

Comparação entre o alcance do 802.11g e o 802.11n


Gráfico comparativo entre o alcance do 802.11g e o 802.11n.

IEEE 802.11

From Wikipedia, the free encyclopedia

IEEE 802.11, the Wi-Fi standard, denotes a set of Wireless LAN/WLAN standards developed by working group 11 of the IEEE LAN/MAN Standards Committee (IEEE 802). The term 802.11x is also used to denote this set of standards and is not to be mistaken for any one of its elements. There is no single 802.11x standard. The term IEEE 802.11 is also used to refer to the original 802.11, which is now sometimes called "802.11legacy." For the application of these standards see Wi-Fi.

The 802.11 family currently includes six over-the-air modulation techniques that all use the same protocol. The most popular (and prolific) techniques are those defined by the b, a, and g amendments to the original standard; security was originally included and was later enhanced via the 802.11i amendment. 802.11n is another modulation technique that has recently been developed; the standard is still under development, although products designed based on draft versions of the standard are being sold. Other standards in the family (c–f, h, j) are service enhancements and extensions or corrections to previous specifications. 802.11b was the first widely accepted wireless networking standard, followed (somewhat counterintuitively) by 802.11a and 802.11g.

802.11b and 802.11g standards use the 2.4 gigahertz (GHz) band, operating (in the United States) under Part 15 of the FCC Rules and Regulations. Because of this choice of frequency band, 802.11b and 802.11g equipment can incur interference from microwave ovens, cordless telephones, Bluetooth devices, and other appliances using this same band. The 802.11a standard uses the 5 GHz band, and is therefore not affected by products operating on the 2.4 GHz band.

The segment of the radio frequency spectrum used varies between countries, with the strictest limitations in the United States. While it is true that in the U.S. 802.11a and g devices may be legally operated without a license, it is not true that 802.11a and g operate in an unlicensed portion of the radio frequency spectrum. Unlicensed (legal) operation of 802.11 a & g is covered under Part 15 of the FCC Rules and Regulations. Frequencies used by channels one (1) through six (6) (802.11b) fall within the range of the 2.4 gigahertz amateur radio band. Licensed amateur radio operators may operate 802.11b/g devices under Part 97 of the FCC Rules and Regulations.

09 January 2007

YouTube x Cicarelli - O prazer de um casal gerou um violência em milhões

É impressionante a capacidade pífia e amadora da justiça brasileira, em especial, a Paulista, sobre o caso YouTube x Daniela Cicarelli. O acesso ao site foi bloqueado de forma violenta, censurando o acesso a milhões de pessoas que NADA tem a ver com as "aventuras picantes/amorosas" da nossa modelo.

Sempre acreditei que um juíz fosse assessorado por uma equipe especializada, mas agora concluo que as decisões são tomadas apenas com o objetivo de APARECER na MÍDIA. Em especial os advogados do casal, que em uma tentativa de serem "os líderes do direito eletrônico" no Brasil, acabaram sendo rotulados como os "maiores censores do Brasil"; E o mais interessante é que, daqui a 1 semana, tudo voltará a ser como antes; YouTube liberado, vídeo da Cicarelli nele, no e-mule, Rapidshare, etc, etc.

Somente a China, Coréia do Norte e Irã apresenta medidas de bloqueio a site no backbone. Agora o Brasil está se encaixando neste perfil (daqui a pouco vai fazer parte do "Eixo do Mal")

Para as pessoas que acessam o YouTube e estão bloqueadas (neste momento, a partir da Embratel, está OK), acessem http://www.freeyoutube.com.br, para encontrar instruções sobre como se à rede TOR.

08 January 2007

Como gerenciar projetos no século XXI



Esta imagem resume muito bem o desafio de gerenciar um projeto no século XXI !

A NASA encontrou vida em Marte - e a matou

Em 1976 a sonda Viking 1 e 2 pousaram em Marte e realizaram várias experiências utilizando amostras de solo, combinando com reagentes químicos, com o objetivo de determinar se existe vida celular no solo de Marte.

O algoritmo proposto pelos cientistas da NASA para determinar "o que é vida ?" foi baseado nos parâmetros terrestres, ou seja, vida baseada em carbono e com alto índice de compostos salinos (NaCl) no organismo. Entretando, Marte é muito seco para comportar uma forma de vida similiar a uma vida terrestre; Sendo assim, possivelmente as sondas Viking encontraram vida, mas ao realizar os testes, que elevaram os níveis salinos das amostras de terra, a matou.

Não vejo erro neste tipo de abordagem, pois afinal de contas, foi o primeiro pouso bem sucedido de uma sonda terrestre em Marte. Após ela, outras sondas pousaram e coletaram informações bastante relevantes, como a Pathfinder e o Opportunity e Spirit, e hoje em dia sabemos muito mais sobre Marte do que as suposições dos anos 70.

Está programada para este ano o lançamento da missão Phoenix para continuar os testes realizados pela Viking, utilizando os novos conceitos e informações coletadas em 30 anos de pesquisas em Marte.