gutocarvalho.net

O Evento

Durante a CanSecWest 2008, uma conferência que tem foco em segurança digital, foram testados 3 notebooks durante o OWN Contest, são eles:

1. VAIO VGN-TZ37CN rodando o Ubuntu 7.10
2. Fujitsu U810 rodando o Vista Ultimate SP1
3. MacBook Air rodando o OSX 10.5.2

Todos os equipamentos foram atualizados com os últimos patchs de segurança disponíveis.

O Desafio

O OWN Contest consistia em descobrir em 3 dias uma nova vulnerabilidade e após isto criar um hack/exploit para explorar a falha nos sistemas oferecidos para o teste. Os participantes que conseguissem encontrar uma falha e explorá-la seriam premiados, os prêmios diminuíam conforme o tempo passava, no primeiro dia o prêmio tinha o valor de 20 mil dólares, no segundo dia o valor do prêmio era de 10 mil dólares e no terceiro dia o valor pago seria de apenas 5 mil dólares.

As regras

No primeiro dia as regras do desafio consistiam em tentativas de invasão através da rede, sem contato direto com os notebooks. No segundo dia já era possível interagir com os notebooks e tentar utilizar técnicas que envolviam acesso com privilégios de usuários comuns. Nestes testes eles podiam acessar sites maliciosos com o navegador ou abrir e-mails com arquivos maliciosos. Se no terceiro nenhum dos notebooks fosse invadido, os participantes estariam liberados para testar softwares de terceiros, eles poderiam tentar instalar o skype por exemplo e através deste software tentar comprometer o sistema.

Os Testes

No segundo dia de testes Charlie Miller conseguiu em menos de 2 minutos encontrar uma vulnerabilidade no navegador web SAFARI (navegador do OSX da apple) e criar um hack para explorá-la, com isto ele acabou ganhando então um prêmio de 10 mil dólares da 3COM, uma das patrocinadoras do evento.

No terceiro dia de testes Shane Macaulay conseguiu encontrar uma vulnerabilidade no windows vista sp1 e elaborou um hack para se aproveitar dela, ele fez isto com uma pequena ajuda de seu amigo Alexander Sotirov (pequisador e membro da equipe de desenvolvimento do vmware) e seu colega de trabalho Derek Callaway.

Segurança

Infelizmente segundo as regras do desafio Miller e Macaulay não podiam revelar detalhes das vulnerabilidades descobertas, mas Miller deu uma dica, segundo ele foi graças a plataforma JAVA instalada no sistema que ele encontrou a possibilidade de burlar algumas proteções de segurança do windows vista SP1, inclusive em entrevista ele afirmou que a mesma vulnerabilidade pode ser explorada no OSX ou Ubuntu.

Ninguém dentre os 400 participantes conseguiu encontrar uma vulnerabilidade e explorá-la no Vaio com o Ubuntu 7.10 nos 3 dias do desafio.

O Ubuntu foi o OS vencedor do desafio no quesito segurança :)

Após o evento, pode-se encontrar na internet muitas especulações sobre a falta de empenho dos hackers em encontrar vulnerabilidades no Ubuntu comparado com o mesmo empenho para encontrá-las no windows vista sp1 e OSX da Apple, mas como disse é tudo especulação.

Especulação & Raciocínio

Eu particularmente acredito que foi bem mais simples investir tempo contra tecnologias proprietárias do que contra tecnologias livres, nas tecnologias proprietárias são olhos de no máximo uma centena de desenvolvedores cuidando do código, nas tecnologias livres são olhos de milhares de desenvolvedores cuidando do código e desenvolvendo soluções de forma coletiva, penso que na cabeça dos participantes a a questão era ganhar o prêmio, então pela lógica eles deveriam atacar o sistema com uma maior probabilidade de falhas, e comparando as diferenças de auditoria, testes homologação entre projetos livres e proprietários, a qual é uma questão ligada diretamente ao número de desenvolvedores, colaboradores e usuários, eu ficaria com as opções MACOXS e VISTA com toda a certeza. Isso não significa que sistemas GNU/Linux são imunes, na minha opnião significa que a resposta a falhas e sistemas livres é mais rápida que em sistemas proprietários.

Conclusão

Parabéns ao Ubuntu e principalmente parabéns aos sistemas GNU/LINUX, pois o Ubuntu apesar de não ser o mais querido entre os usuários avançados, representou muito bem a família GNU/LINUX no evento, dando um bom “olé” nos concorrentes, demonstrando sua qualidade, estabilidade e a qualidade do método de desenvolvimento colaborativo.

Referências:
http://cansecwest.com/
http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pwn-to-own-2008
http://www.linuxworld.com/news/2008/032908-with-vista-breached-linux-unbeaten.html?fsrc=rss-linux-news
http://www.networkworld.com/news/2008/032708-gone-in-2-minutes-mac.html
http://www.networkworld.com/news/2008/032708-hacker-super-bowl-pits-mac.html?page=2
http://www.noticiaslinux.com.br/nl1206930518.html

Acabo de usar o instant-upgrade e atualizar meu wordpress para a versão 2.5 final.

Para quem não conhece o WORDPRESS é uma das ferramentas livres para BLOG mais utilizadas no mundo.

Ainda estou descobrindo tudo que esta versão nova oferece, adianto que a caixa de texto é azul, isto eu não estou gostando muito mas deve dar para mudar, agora temos por padrão o alinhamento “justificado” (até desliguei meu tiny-mce advanced) para testar, já que suas opções não apareceram na caixa de texto, o editor nativo está bem mais amigável com opções simples para inserir arquivos multimídia, como vídeos, imagens, fotos, músicas e até arquivos de escritório, e pode inserir vários arquivos de uma vez, temos também barra de progresso, isso fazia falta ;)

O parágrafo acima está justificado, acredito que isso não seja compatível com a W3C, mas enfim, funciona, outra coisa a caixa de texto fica bem mais lenta se você aciona o alinhamento justificado.

A nova área administrativa do 2.5 está com a cara do sistema do community do wordpress.com , com o mesmo desing, as caixas de configuração foram reorganizadas, redesenhadas com o intuito de facilitar a administração, ponto para eles, ficou bom mesmo. A velocidade melhorou também.

O dashboard (painel) foi reorganizado, deixando o que é mais importante no blog sempre em evidência.

Os plugins podem ser atualizados dinâmicamente, para testar atualizei 7 plugins com um simples clique em cada chamada de upgrade, funciona que é uma beleza, era um dos recursos que fazia falta.

O 2.5 também vem com um sistema de controle de tags mais eficiente, mas nada como usar o SIMPLE TAG integrado. Infelizmente a TAG CLOUD do SIMPLE TAG não está aparecendo nos widgets, estranho, depois vou dar uma pesquisada, a tag cloud nativa do wordpress é um tanto pobre de recursos.

A parte de controle de widgets também ficou muito bacana, antes eu colocava uma caixa de texto e não sabia o conteúdo, tinha que abrir o controle e editá-la, agora você sabe certinho o que é cada caixa de texto pois está descrito de forma explícita.

Ajax em todo o lugar deixando tudo mais prático, fácil e bonito.

Anexei um arquivo PDF para testar o sistema “Add Media:”
Pegue o arquivo clicando aqui: diagrama de transição de estado do tcp/ip

Conforme eu for me ambientando com as novidades vou acrescentando neste post mais informações :)

Novidades desta versão no link abaixo:
http://wordpress.org/development/2008/03/wordpress-25-brecker/

Referências
http://br-linux.org/2008/lancado-o-wordpress-25-final/
http://feeds.feedburner.com/~r/NoticiasLinux/~3/261280573/nl1206969900.html
http://wordpress.org/development/2008/03/wordpress-25-brecker/

[]’s
Guto

Estou aqui replicando um artigo escrito em 2006 por Kurt Kraut (http://kurtkraut.wordpress.com/).

Acho que esta é umas das melhores analogias, e uma das que mais ajudaram a desmistificar o que é o medo do novo, mostrando de uma forma simples e objetiva como superar o medo de adotar tecnologias livres, e no caso específico do artigo, como superar o medo de adotar o sistema operacional Ubuntu Linux, mas apesar disto, este artigo é relevante para qualquer tipo de adoção de tecnologias livres.

Leia e aproveite.

Lembro-me muito bem do primeiro dia na auto escola. Sentei no banco do motorista e enquanto meu instrutor ia dando orientações gerais, eu ia varrendo o olhar no interior do carro checando as informações que ele ia passando. Depois de ter explicado alguns itens do painel, ele me deu instruções sobre a postura que eu deveria permanecer no carro e o que eu deveria fazer. Até que comecei a notar que:

Eu tinha apenas dois olhos, mas tinha que olhar para três espelhos

Eu tinha apenas duas pernas, mas tinha que pisar em três pedais.

Eu tinha apena duas mãos. mas tinha que segurar o volante com as duas e ainda passar a marcha.

Minha primeira conclusão: sou deficiente. Pois faltavam olhos, pernas e mãos para dirigir. Mas rapidamente me lembrei que muita gente dirigia e que se fosse tão difícil e caótico como parecia, não teria tanta gente conduzindo pelas ruas. Tomei coragem e comecei a dirigir. As aulas terminaram, fui aprovado no DETRAN e hoje dirijo perfeitamente, com uma destreza bem superior a minha primeira impressão sobre espelhos, pedais e volantes.

Ao pousar no Linux e no Ubuntu pela primeira vez, talvez você terá a mesma sensação que tive diante do volante. Sensação de que faltava muito coisa para conduzir aquela máquina. Mas é uma questão de puro condicionamento. O Linux faz tudo que seu sistema operacional anterior fazia. Apenas os menus, botões e configurações se encontram em lugares diferentes, com nomes diferentes, mas nada além da sua capacidade de aprender.

No início, se começa dirigindo ruim, deixando o carro morrer, pondo em risco outros veículos. Mas progressivamente se aprende a dirigir. Basta querer. Com o Linux é a mesma coisa. Portanto, se você vai experimentar o Ubuntu, coragem, insista. E se você já tem o Ubuntu instalado e ainda mantém o Windows em dual boot, tome coragem ! Remova o Windows ! Só se aprende a dirigir dirigindo.

Fonte: http://kurtkraut.wordpress.com/2006/08/10/linux-e-direcao/

[]’s
Guto

No dia 24 de Março de 2008 foi lançado o kernel linux 2.6.24.4.

Download
http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.24.4.tar.bz2

Changelog
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.4

[]’s
Guto

Eu gosto muito deste projeto, uso a wikipedia diariamente, para tudo mesmo e contribuo como posso com os artigos e doações $$$.

Saber que ela esta recebendo esta ajuda me deixa bem feliz pois agora há a certeza que ela vai continuar ainda muito tempo no ar ;)

Agradecimentos para a Alfred P. Sloan Fundation , fundação beneficente que fez a doação.

Referências:
http://www.noticiaslinux.com.br/nl1206677165.html
http://news.yahoo.com/s/ap/20080325/ap_on_hi_te/wikipedia_finances
http://barrapunto.com/articles/08/03/27/0846207.shtml

[]’s

Guto

Em poucos dias teremos a nova versão do Ubuntu GNU/Linux disponível para download, desta vez mais uma versão LTS (Long Term Support), estamos ansiosos para este lançamento.

Esta nova versão traz as mais novas versões do XORG (7.3), GNOME (2.22), Kernel Linux (2.6.24), Mozilla Firefox (3.0) melhorias no apparmor que já vem habilitado para um número maior de programas, na versão servidor temos melhorias de segurança no uso da memória pelo kernel para evitar ataques, melhorias no suporte a virtualização, no desktop temos novas aplicações para para a questão p2p/bitotorrent, conexão remota (vinagre), pulseaudio com o servidor de som, dentre muitas outras novidades.

As variantes Kubuntu, Mythbuntu, Gobuntu, UbuntuStudio e Xubuntu também estão em suas versões beta.

Veja todas as novidades no link abaixo (wiki do beta)
http://www.ubuntu.com/testing/hardy/beta

Bom quem quiser testar a versão BETA do 8.04 ela está disponível desde o dia 21 de março para download.

Ajude-nos a testar esta versão para que ela chegue ainda mais estável em seu lançamento para a comunidade de usuários ;)

Você pode ajudar traduzindo, reportando erros, e de muitas outras formas, acesse http://www.ubuntubrasil.org/participe e descubra como auxiliar a comunidade Ubuntu do Brasil ;)

Faça o download do Ubuntu Beta

http://releases.ubuntu.com/8.04 (Ubuntu)

Variantes principais

http://releases.ubuntu.com/releases/edubuntu/8.04 (Edubuntu add-on)
http://releases.ubuntu.com/releases/kubuntu/8.04 (Kubuntu)

Links para outras variantes:

http://cdimage.ubuntu.com/kubuntu-kde4/releases/8.04/beta (Kubuntu with KDE4)
http://cdimage.ubuntu.com/jeos/releases/8.04/beta (Ubuntu JeOS)
http://cdimage.ubuntu.com/xubuntu/releases/8.04/beta (Xubuntu)
http://cdimage.ubuntu.com/ubuntustudio/releases/8.04/beta (UbuntuStudio)
http://cdimage.ubuntu.com/mythbuntu/releases/8.04/beta (Mythbuntu)

Referências:
https://lists.ubuntu.com/archives/ubuntu-announce/2008-March/000108.html
http://www.osnews.com/story/19506/Ubuntu_8.04_LTS_Beta_Released
http://andregondim.eti.br/?p=282
http://andregondim.eti.br/?p=256

[]’s
Guto

Agora é oficial, segundo o Blog de AVI Alkalay, Br-Linux, Noticiaslinux, Groklaw e SoftwarelivreParana o Brasil confirmou seu voto NÃO para a proposta de padrão de documentos OOXML da Microsoft.

Veja o depoimento do Avi Alkalay

http://avi.alkalay.net/2008/03/ooxml-brazil-says-no-again.html

It is now official. Brazilian vote was decided by consensus of the entire technical team, including Microsoft crew’s: OOXML does not deserve to be an international ISO standard.

Our first vote, in august, was also NO, due to the same reasons: OOXML is an awful specification.

That outcome was expected because we simply followed the process: technically analyze the OOXML specification, make comments, wait for responses, analyze them and see if all problems were fixed. Is there any single remaining unresolved problem? Vote NO. And in fact there were many many unresolved problems.

If every country followed this simple process, OOXML would receive a NO from 100% of them.

But in some countries, how is the process? Invite a few companies and simply count their votes. The problem here: 10, 20 or 80 votes can never represent what is the best for that country. Only, maybe, if you collect one vote for each citizen.

What I am trying to say is that in this case a decision must be reached by technical consensus, not vote. It is not a matter of will, but a technical issue that can only be reached by rational analysis and deliberation.

In Chile for example, 21 voting companies will define a 15 million people country vote in ISO. How easy is to lobby these 21 companies with Power Point presentations telling complete plain lies ?

Technically speaking, if your country’s vote was YES or ABSTENTION, one of these possibilities happened:

1. Nobody had time to analyze the OOXML specification and the ABSTENTION was the right choice.
2. Nobody had time to analyze the OOXML specification and a few people decided for you to vote YES, based on ideology or a result of lobby, not technology benefits.
3. Even having time to analyze the OOXML specification, a few people decided for you to vote YES, based on ideology or result of lobby, not technology benefits.

Seems stupid, but these are exactly the 2 possibilities of OOXML getting YES votes in ISO. It is still an awful specification.

By the way, Brazil would vote NO again and again and again even if all OOXML’s technical issues could be resolved. OOXML would still have legal issues and also serious overlap problems with the OpenDocument Format ISO standard.

I was not present in today’s meeting in ABNT because I already knew what would be the result, since the process of analysis and deliberation in Brazil was very strictly followed. Hopefully Jomar will write about it and you can check more details.

Mais detalhes no portal softwarelivre parana
http://www.softwarelivreparana.org.br/modules/news/article.php?storyid=2552

“Na reunião de ontem em Brasilia, no auditódio do MCT Ministério da Ciência e Tecnologia, o Brasil confirma o voto NÃO ao OpenXML. A reunião da Comissão de Estudos CE:21.034.00 da ABNT que trata sobre padrões de documentos eletrônicos, foi decisiva para confirmar o voto NÃO ao OpenXML. Estiveram presentes representantes da Microsoft, Programmer’s, Banco do Brasil, Serpro, Celepar, MCT, Cobra, Red Hat, IBM, UNESP, Associação de Software Livre e muitas outras empresas. A decisão foi por consenso, após muitas discussões entre os que são a favor do OpenXML e os que não veem a necessidade de uma nova norma sobre documentos eletrônicos, porque já existe uma norma internacional sobre o tema, a ISO/IEC 26300 sobre OpenDocument Format, desde 2006.”

Referências:

http://www.groklaw.net/article.php?story=2008032520072575
http://br-linux.org/2008/mais-detalhes-sobre-o-voto-negativo-do-brasil-ao-ooxml/
http://www.noticiaslinux.com.br/nl1206499353.html
[]’s
Guto