BrainSniffer

Impressões sobre trabalho remoto

noreply@blogger.com (Ronaldo) — Fri, 13 Jan 2012 15:09:27 PST

Alguns fatos sobre minha experiência de quase 2 anos de trabalho remoto. Home office é o local da sua casa onde você trabalha, não o regime de trabalho. Home page não é a página principal de um website, mas a página padrão configurada no seu navegador :)

Laptop de trabalho, laptop pessoal. Não misture hardware pessoal e profissional. Desta forma é mais fácil separar melhor a hora de trabalhar e a hora de fazer coisas pessoais. Outro ponto benefício é não expor desnecessariamente material de trabalho em viagens pessoais.
Rotina. Se possível, tente seguir uma rotina de horários. É melhor tanto para você quanto para seu empregador. Deixe todos à sua volta cientes do seu regime e rotina de trabalho, desde o porteiro até sua família. A falta de respeito a quem trabalha em casa é uma das maiores fontes de stress em minha experiência.
Cuide de sua imagem. Se você é homem, faça a barba com a mesma rotina que costumava fazer quando ia ao trabalho. Você nunca sabe quando alguém vai te chamar para uma videoconferência. Ninguém quer levar um susto vendo um eremita do outro lado da webcam.
Você trabalha mais de casa. Ao contrário do que muitos Brasileiros pensam, seja do nível peão ou gerencial, trabalha-se mais em trabalho remoto. Não digo mais, mas o "payload" de trabalho é maior por hora trabalhada. Não somos interrompidos por visitas ao cubículo, festinhas de aniversário, almoço para fazer "social", cafezinhos de 45 minutos.
Vida social. O item anterior infelizmente leva a outro. Sua "vida social profissional" pode cair para zero se você não tomar certos cuidados. A minha maneira de contornar isto foi ter criado o CamSec mais ou menos ao mesmo tempo que deixei de frequentar escritórios. É meu happy hour mensal garantido.
Construa um relacionamento melhor com seus colegas. Se possível, faça visitas periodicas ao escritório físico. De qualquer forma, o relacionamento com colegas não é o mesmo. Você precisa aceitar que trabalhar de casa tem seu preço. Se você não souber conduzir da maneira correta o trabalho remoto talvez tenha dificuldades em construir relacionamentos de trabalho e até mesmo ter aumentos de salário e promoções. Para os que escalam a vida corporativa com bajulação e politicagem, é bem mais difícil fazer isto remotamente. Os colegas do escritório enxergam apenas seu trabalho.
Comunicação. 70% dos conflitos de trabalho tem origem em problemas de comunicação (acabei de inventar estes números). 90% dos conflitos do trabalho remoto sao causados por falha de comunicação. Minimize estes problemas abusando dos meios de comunicação que tiver a seu dispor: celular, instant messaging, email. Crie convenções como status "Away" no instant messenger é igual a realmente ausente.
Família. A família sai ganhando com o trabalho remoto. Passo um tempo com meu filho que não passaria se tivesse que gastar tempo em locomoção. Este tempo não volta e sou grato à empresa para a qual trabalho por permitir este regime de trabalho.
Recursos. Trabalhar de casa significa assumir certas tarefas que você não faria em um escritório tradicional. Cuidar de sua saúde é uma delas. Compre uma boa cadeira e mesa considerando ergonomia - você não terá pessoas de RH puxando sua orelha por causa de LER. Se possível tenha um celular exclusivamente para trabalho, que permita tethering (usar o celular como modem 3G) .
Redundância. Se possível tenha mais de um link de Internet em casa. Em caso de falha de um deles, o outro serve como backup. 3G serve como redundância, mas o ideal é ter um segundo link. Se possível, tenha um UPS (No break) em casa para garantir minimamente o funcionamento da rede (roteadores).
Criptografia. Use no mínimo WPA2 Personal em seu roteador doméstico. Se possível proteja todo o conteúdo de seu HD com a solução que o fabricante de laptop oferece ou TrueCrypt (recurso disponível somente na versão MS Windows).

Trabalhar remotamente também causou algumas situações engraçadas.

Certa vez, a filha da minha empregada doméstica encostou na porta do meu home office e perguntou: "você trabalha aqui neste quartinho?".

Em outra ocasião, outra empregada doméstica disse "Ah, eu tenho um primo que também trabalha como o senhor." Eu disse "Ah, é? O que ele faz?" E ela disse "Telemarketing". Bem, apesar do headset que uso para conference calls, não trabalho exatamente no ramo de telemarketing.

É possível que eu atualize este post com novos comentários, mas creio que estes sejam os pontos principais. Espero ter desmistificado um pouco do trabalho remoto para quem ainda não entrou neste regime de trabalho. Há vantagens e desvantagens. Espero também ter ajudado os que ainda estão se adaptando a esta nova rotina.

Sugestões de leitura

How To Work From Home Like You Mean It | Fast Company

Mais uma previsão de segurança em 2012

noreply@blogger.com (Ronaldo) — Fri, 23 Dec 2011 09:11:59 PST

Estou ficando velho. Quanto mais se aproxima do final do ano, mais empresas se arriscam no campo da vidência e lançam previsões de futuro em Segurança.

Vamos a algumas previsões recorrentes:

Este será o ano do malware nos celulares. Bem, o ano atual é o ano dos vírus em celular desde que Bluetooth apareceu e a F-Secure começou a encontrar malware para Symbian. Symbian veio, Symbian foi embora, e nada. A variante agora é vírus em celular e que seja Android. E em um ataque APT. OK.
Este será o ano do DDoS. Genial previsão depois da popularização de Anonymous e similares em 2011, não?
Se a organização que prevê o futuro é do ramo de roteadores, será o ano do fim da Internet e de IPv4.
Se a organização trabalha no ramo de MSS em clientes pequenos e médios, será o ano dos ataques a hotéis e restaurantes.
Se a organização emitindo a previsão não tem o que prever, saem pérolas como: o ano das ameaças em redes sociais.
Se a empresa / pessoa quer mostrar que está por dentro das tendências, dirá que será o ano dos ataques SCADA e da cyberguerra, seja lá o que isto for.
Este será o ano dos ataques a Cloud Computing. Grande previsão. A Internet é recheada destes serviços, é óbvio que eles serão atacados.

Há ainda algumas previsões de curto prazo que os profissionais adoram fazer em seus perfis Twitter. Uma catástrofe acontece e aparecem os Tweets "em breve aparecerão malwares / spam explorando". Óbvio. Não é necessário prever isto.

Minha vez de fazer previsões.

Esqueça de rótulos. Empresas, organizações, países, ativistas, vândalos, continuarão a ver a Internet como conveniente meio de protesto. É fácil e combina bem com o atual estilo de vida acomodado da maioria da população, especialmente Brasileira.
O eCrime continuará a se popularizar. Crime é crime, apenas o meio mudou. Chavão.
O defacer e anonymous de hoje é o pichador de muros, manifestante da Av. Paulista de décadas atrás. Não há muito o que fazer contra isto, apenas medidas de contenção e prevenção.
A penetração da Internet na população tanto em casa como em celulares aumentou muito. Mais gente nova na Internet, mais recém-alfabetizados em segurança da informação, mais gente que achará interessantíssimo aquele email do Nigeriano oferecendo fortuna. Educação de usuários é um processo sem fim. A inclusão digital irresponsável tem suas consequências.
Apple iOS (iPhone) e Android (Google) serão provavelmente os primeiros grandes sistemas operacionais móveis atacados. No mundo móvel, estes SOs são o Windows em termos de interesse de exploração. Mais uma vez o Brasil, cheio de aPhone e notsosmartphone com 4 SIM cards e sistemas operacionais únicos, pode ficar de fora dessa onda por um tempo.

Bem, é isso. Boas festas e um feliz e próspero 2012!

Call for Speakers FIRST 2012 (ES)

noreply@blogger.com (Ronaldo) — Sun, 11 Dec 2011 19:28:00 PST

En nombre del Comité de Programa de la 24a. Annual FIRST Conference, invito a las partes interesadas a presentar sus propuestas para la conferencia anual de 2012. El tema de esta edición es "security is not an island".

El Call for Speakers (convocatoria de oradores) empezó en 7 de Octubre y se cerrará el 16 de Diciembre. El plazo vence en 4 días!

FIRST (Forum of Incident Response and Security Teams) es un foro internacional de CSIRTs fundado en 1990. Hay 13 equipos en Latino América, 1 en Portugal y 10 en España que son miembros de FIRST.

Si tiene alguna duda póngase en contacto con el Comité de Programa por el buzón first-2012chair@first.org.

Fechas Importantes

07/10/2011: Publicación de la Call for Speakers
16/12/2011: Fecha límite para la presentación de propuestas
01/02/2012: Notificación de aceptación
01/06/2012: Fecha límite para la presentación
17-22/06/2012: 24a. Annual FIRST Conference Malta

Más información

Call for Speakers FIRST 2012 (pt-BR)

noreply@blogger.com (Ronaldo) — Sun, 11 Dec 2011 17:14:27 PST

Em nome do Comitê de Programa da 24rd Annual FIRST Conference convido mais uma vez os interessados a submeter suas propostas para a conferência anual de 2012. O tema desta edição é: Security is not an Island.

O Call for Speakers está aberto desde 7 de Outubro e será fechado em 16 de Dezembro. A conferência acontecerá de 17 a 22 de Junho de 2012 em Malta.

FIRST (Forum of Incident Response and Security Teams) é um fórum internacional de CSIRTs fundado em 1990. CERT.br e CAIS/RNP são os times brasileiros que integram este fórum, outras organizações com presença no Brasil também fazem parte dele.

Datas Importantes

07/10/2011: Publicação do Call for Speakers

16/12/2011: Prazo de Submissão

01/02/2012: Aviso de Aceitação

01/06/2012: Prazo Final de Submissões

17-22/06/2012: 24rd Annual FIRST Conference Malta

Mais Informações

Não espere para submeter sua proposta na última hora, o prazo expira em 10 dias! Não haverá prorrogações de prazo.

Em caso de dúvidas por favor entre em contato com o responsável pelo Comitê de Programa pelo endereço first-2012chair arroba first.org ou se preferir entre em contato comigo ou Jacomo Piccolini, que também faz parte do Comitê de Programa.

$ mv /apple/ios /microsoft/wp7

noreply@blogger.com (Ronaldo) — Sun, 08 Jan 2012 20:25:42 PST

Aconteceu por acaso. Tive a oportunidade de trocar um iPhone 3GS (iOS 5) por um Samsung Omnia 7 (Windows Phone 7.5 "Mango"). Acho que agora entendi porque a Nokia decidiu por Windows Phone e não por Android.

Sou um power user de qualquer gadget que tenha, por isso antes de migrar para o WP7 fiz alguns testes. O WP7 passou nos testes e resolvi continuar com ele. A intenção era passar do iPhone 3GS para o iPhone 4S. Mudei de idéia.

Pontos positivos:

A interface gráfica é fantástica. Foi como sair de Symbian para iOS.
Grande oferta de Apps. Para as minhas necessidades, encontrei Twitter, Shazam, Facebook, outros.
Windows Phone 7 Connector. Foi uma surpresa encontrar uma app para o Mac, free, disponível na Apple App Store, que converte a biblioteca iTunes do Mac para o WP7 (que usa o Zune).
Sistema operacional mais rápido e fluido que o iOS.
Suporte a Adobe Flash, para quem se importa com isso. Eu não.
Integração realmente inovadora entre a lista de contatos e as redes sociais (Twitter, Facebook, etc.).
Há opção de jailbreak. Ainda não explorei isto.

Pontos negativos:

Ausência da app Gmail do Google. Não gostei muito do Gmail no cliente de email nativo do WP7;
Ausência da app Google Authenticator, para autenticação de 2 fatores.
Ausência da app LinkedIn. Já tinha me acostumado com ela no iOS.
Navegador. Internet Explorer é muito bom, mas ainda não alcançou o Safari do iOS. Principais decepções: Gmail, Google Docs e todos os aplicativos na nuvem do Google ficam péssimos no IE do WP7. Olá Web 1.0.
Até agora não encontrei uma forma estável, segura, de usar o telefone no carro - que só entende USB Mass Storage ou dispositivos iTunes (iPhone, iPod, iPad). Há um hack para habilitar USB mass storage, mas ele pode corromper o sistema. Não quis arriscar. Ainda.
Google Calendar permite sincronizar apenas um calendário no Windows Phone, enquanto no iOS permite 25. Isto foi elegantemente contornado por este hack.
As apps de maneira geral tem um pouco menos opções de customização. O exemplo mais comum é a escolha da frequência com que uma determinada aplicação sincroniza dados, essencial para economizar bateria.
Menor oferta de acessórios, incompatibilidade. iTunes se tornou o padrão de mercado. A Microsoft tentar impor um novo padrão com o Zune não ajuda muito no crescimento da plataforma.
As apps de maneira geral custam um pouco mais do que as correspondentes no iOS.

Com relação a segurança, o WP7 ainda não me passa a segurança que o iOS me passava com suas atualizações frequentes, um universo de hackers tentando constantemente quebrá-lo (o que acaba fazendo dele mais maduro a cada release), o Free BSD que está por trás do iOS e App Store com controle razoavelmente rígido. Entretanto, ironicamente, o WP7 é o Linux / Mac OS dos smartphones. Acho que por um tempo posso confiar no poder da segurança por obscuridade.

Tudo o que pude fazer até agora foi rodar Nmap contra ele, via Wi-Fi. Nenhuma porta aberta.

Antes que você faça aquela piadinha típica de nerd de segurança, já respondo: Não, ainda não tive tela azul, BSOD :)

Mais informações:

Algumas recomendações sobre advisories

noreply@blogger.com (Ronaldo) — Mon, 28 Mar 2011 22:56:31 PDT

Há algumas semanas atrás cutuquei Conviso e Tempest pelo Twitter sobre a forma dos seus advisories. A Conviso mudou algumas coisas para melhor. Cortar os advisories em PDF - bem irônico nos dias de hoje - foi a mudança da qual mais gostei.

Trabalhei por alguns anos no CAIS/RNP e uma das coisas que fazia era escrever advisories e ler muitos outros advisories. O CAIS Alerta não é perfeito, mas progrediu bem desde o primeiro alerta, em 1998.

Criticar sem sugerir não é construtivo, então vamos às sugestões.

Advisory! Se decidir batizar o serviço de advisory, digite advisory corretamente. Já vi alguns advisories Brasileiros com nome Advisore, Adivisory e por aí vai. Ninguém vai respeitá-lo assim.
Use um identificador único. É mais fácil para referência e transmite mais organização. Para Conviso poderia ser algo como CONV-2011-001, para a Tempest poderia ser TSI-2011-001. Verifique antes se não há outra organização utilizando o mesmo padrão.
Divulgue os advisories de forma consistente. A Tempest tem divulgado seus advisories somente por listas. Observe que não há um link para uma versão web do advisory, o que não é bom para quem precisar fazer referência. Se possível use um URL que contenha o ID do advisory.
CVE. Adote identificadores CVE, se possível oficialmente por meio do processo "CVE Adoption and Compatibility Process".
Simplicidade. Não complique a leitura dos advisories: website, nada de PDFs ou coisas do tipo.
Consistência no formato. Escolha as seções de seus advisories e mantenha-se fiel ao formato.
CVSS. Se possível utilize também CVSS, um padrão de classificação de vulnerabilidades coordenado pelo FIRST. Ponto para a Conviso.
Remetente padrão. Se possível divulgue os advisories a partir de uma conta de email específica para este fim. Mais impessoal, mais profissional.
PGP. Se possível assine os advisories com PGP. É uma maneira elegante de garantir que o advisory foi de fato criado por sua organização. Gerencie adequadamente o acesso à chave privada e comunique comprometimentos, novas chaves.
Feed RSS. Muitas pessoas acompanham advisories somente por RSS. Um feed será útil também para divulgar seu serviço - muitos websites tem agregadores de feeds e o seu pode fazer parte da lista.

Estas sugestões se aplicam a qualquer um que queira iniciar um serviço de advisories.

Chave PGP revogada

noreply@blogger.com (Ronaldo) — Mon, 28 Mar 2011 21:27:24 PDT

Gostaria de informar aqueles que tem minha chave PGP em seu keyring que revoguei minha chave em 27/03/2011. Estes são os dados da chave que foi revogada:

ID: 01CC0662
Fingerprint: E1AB 248B 30A1 BF03 674D DE50 CCDF A690 01CC 0662

A chave não foi comprometida. A razão da revogação foi a substituição por uma nova chave.

Se você deseja obter a nova chave por favor entre em contato.

Fraude Nota Fiscal Paulista - Agora me senti um vidente

noreply@blogger.com (Ronaldo) — Wed, 02 Feb 2011 04:59:51 PST

Acho que agora estou capacitado para fazer previsões do próximo ano em segurança.

Em Outubro de 2010 fui entrevistado pelo Altieres Rohr a respeito de falhas segurança. Citei o "security mindset", o modo de pensar "paranóico no bom sentido" que compartilho com vários profissionais da área. Ele me pediu um exemplo de aplicação em que eu particularmente via problemas e citei o website do Nota Fiscal Paulista (NFP), programa do governo do estado de São Paulo que permite o reembolso de parte do imposto pago.

Boas intenções de programadores podem criar falhas de segurança (G1 04/10/2010)

Coincidência ou não, alguns dias depois da publicação desta matéria duas pessoas foram presas por fraudes envolvendo o programa NFP.

Presos em São Paulo hackers que fraudavam Nota Fiscal Paulista (Estadao.com.br 21/10/2010)

Hoje li a notícia informando que as regras para resgate de créditos NFP foram mudadas para combater fraudes.

SP muda programa Nota Fiscal Paulista para combater golpes online (IDG Now! 02/02/2011)

Não posso afirmar que as fraudes tenham começado por causa do meu "heads up". Também não posso afirmar que os responsáveis pelo NFP resolveram "dar uma olhada" depois que leram a matéria do G1. É possível também que vários contribuintes do estado de São Paulo tenham se dado conta da possibilidade de fraude e resolveram consultar o sistema NFP depois de ter lido a matéria do G1. A sequência de fatos certamente é interessante.

O fato é que pesquisadores de segurança tem alguma influência sobre a sociedade em volta deles - sobre os outros pesquisadores de segurança em particular. Quando um pesquisador divulga, por exemplo, dados reveladores sobre um esquema de phishing ou "monetização" de cibercrime, bancando o patrulheiro virtual, é possível que não pense que os próprios fraudadores possam estar seguindo seu perfil no Twitter, acompanhando seus blog e lendo os slides de suas palestras. Isto é contra-inteligência, não é nenhuma novidade.

Divulgar certas informações pode causar a mudança no comportamento dos criminosos, o que por consequência afeta o trabalho de outros pesquisadores ou até mesmo o trabalho policial. Mais uma vez, não posso afirmar que foi meu "heads up" que causou a sequência de eventos, mas isto me fez pensar sobre ter cuidado ao divulgar informações.

Fim da lista Jobs SecurityGuys

noreply@blogger.com (Ronaldo) — Mon, 31 Jan 2011 12:32:14 PST

Repassando a mensagem que enviei para a lista Jobs arroba lists.securityguys.com.br. É possível que alguns assinantes não a tenham recebido.

---------- Forwarded message ----------
From: SecurityGuys
Date: Mon, 31 Jan 2011 16:33:41 -0200
Subject: Fim da lista Jobs
To: Jobs

Prezados,

A lista Jobs será desativada nesta noite. A decisão é final. A principal razão é a queda gradual na oferta e qualidade das vagas. A lista Jobs sempre foi uma lista de vagas "entry level", com exceções. Outros canais assumiram o lugar de listas para vagas - Twitter, LinkedIn - além do próprio "QI", que prevalece nas vagas de nível mais alto. Motivos pessoais também me levaram a esta decisão.

Desde já agradeço a todos que apoiaram a lista nestes 7 anos, seja divulgando, recomendando ou com contribuição para a manutenção do hosting 2009, 2010. Pretendo continuar com as outras iniciativas SecurityGuys.

A lista de 1.863 inscritos não será repassada para outra pessoa - por isso estou finalizando a lista em vez de trocar de gerência. Meu compromisso de respeitar a lista de inscritos é o mesmo desde acriação da lista, em Outubro de 2003.

Abraço,
Ronaldo

Top 5 2010 BrainSniffer

noreply@blogger.com (Ronaldo) — Sun, 02 Jan 2011 09:09:22 PST

2010 foi um ano bem fraco no BrainSniffer. Apenas 4 posts. Várias razões, entre elas o nascimento de meu primeiro filho, Twitter que me tirou um pouco o foco do blog e duas mudanças de emprego.

De qualquer forma, vamos lá. Top 5 2010 (todos os posts anteriores a 2010).

Vou te ensinar a usar melhor o Twitter

noreply@blogger.com (Ronaldo) — Tue, 03 Jan 2012 18:30:14 PST

Há alguns anos trabalho com informação e posso afirmar que Twitter é uma das mais importantes fontes que tenho hoje. Feeds RSS, listas, sites, LinkedIn são algumas outras fontes que fazem parte do meu cockpit.

Assim como toda ferramenta, Twitter pode ser usado de diversas maneiras. Twitter pode se tornar facilmente um "log de reclamações ao vento" ou um resumo de suas refeições. Quem pensa que Twitter é apenas isto e está fora por preconceito está perdendo muito da Internet hoje. Eu diria até que você está perdendo empregos estando fora do Twitter.

Antes de qualquer coisa, acho interessante escolher o público de seu perfil. O público de meu perfil no Twitter é minha rede social profissional e minhas dicas a seguir são para este perfil.

Use um cliente Twitter. Sua experiência no Twitter será bem mais proveitosa desta forma. Sugestões de clientes.

Para BlackBerry sugiro o cliente oficial mesmo;
Para smartphones com Symbian (Nokia) sugiro Gravity, provavelmente a única aplicação decente que vi para este sistema operacional;
Para desktop (Windows, Linux, Mac OS X) sugiro TweetDeck;

Quando estiver usando Twitter pelo celular marque os tweets interessantes como 'favorite'. Desta forma você pode abrir os links no desktop, que quase sempre é bem mais confortável para leitura que celular.
Considere ter mais de um perfil no Twitter. Alguns amigos tiveram sucesso com esta estratégia. Clientes como Gravity e TweetDeck permitem mais de uma conta simultânea.
Faça limpezas periódicas na lista de pessoas que você segue, uma vez ao mês por exemplo.

Se você segue um perfil por razões profissionais deixe de segui-lo se os tweets pessoais começarem a aumentar. Você não quer saber dos problemas pessoais, de suas últimas compras, etc.
Se você segue um perfil por razões pessoais é igualmente inconveniente receber atualizações sobre assuntos profissionais da pessoa que não lhe interessam nem um pouco. Reconsidere seguir.
Siga por volta de 150 pessoas no máximo. Tente manter este número mágico, que na minha experiência pessoal é o que é humanamente "seguível". Se você gosta de ler a maioria dos tweets dos perfis que segue esta dica é para você.
É duro, mas às vezes é necessário deixar de seguir amigos. Seja imparcial.
Não siga perfis que enviam muitas atualizações seguidas. Estas pessoas atrapalham o seu fluxo de leitura, especialmente na interface limitada de celulares. Já deixei de seguir diversas pessoas que até me interessavam profissionalmente por isto.

Use o recurso de 'Direct Message', um tweet privativo que funciona quase como um SMS. Se usa Twitter no celular configure o cliente para avisá-lo quando receber este tipo de tweet. Lembre-se de que um perfil só pode lhe enviar uma DM se os perfis se seguem mutuamente, ou seja, você segue a pessoa e ela segue seu perfil.

Segurança

Toda vez que você fizer login usando a conta do Twitter em um site terceiro você concede acesso permanente a seu perfil. Esta autenticação é feita pelo protocolo 'OAuth' e normalmente você é levado a um website com endereço dentro do domínio 'twitter.com'. Muita atenção.
Ao autorizar uma aplicação terceira a ter acesso a seu perfil no Twitter você concede a ela um 'token', uma espécie de cartão de acesso livre a seu perfil que pode ter acesso completo (leitura e escrita - read and write access) ou restrito (somente leitura - read access). Esta aplicação, seja um site ou um dos clientes Twitter que citei anteriormente, terá acesso a seu perfil fornecendo o 'token' e não a senha.
Sugiro que você revise periodicamente a lista de aplicações externas que tem acesso a seu perfil Twitter. Para isto, visite Applications em https://twitter.com/settings/applications . O mais comum é ter nesta lista Tweetdeck, Twitter for BlackBerry, LinkedIn. Estas aplicações não guardam sua senha para login automático - seu token OAuth é usado para cada login e atividade.
Se fornecer as credenciais Twitter a um site terceiro revogue o acesso logo depois usando a página 'Applications'.
Ao usar seu cliente Twitter em redes abertas (WiFi em um aeroporto por exemplo) revogue o acesso assim que possível e autorize novamente usando uma rede segura. Uma pessoa maliciosa que capture seu 'token' pode ter acesso de leitura e escrita a seu perfil, que é o tipo de acesso concedido a clientes Twitter.
É possível fazer backup do Twitter por algumas aplicações terceiras. Meu preferido é Tweetake pela simplicidade. Lembre-se de revogar o acesso logo depois do backup (Connections). O backup pode ser interessante especialmente depois que seu perfil passa dos 3.600 tweets - o número máximo que a API do Twitter permite no 'pull' inicial.

Privacidade

Se você deseja privacidade não habilite 'Add a location to your tweets'. Desta forma cada tweet armazenará sua localização aproximada no momento que escreveu.
Muitas pessoas tentam se promover no Twitter seguindo todos os perfis possíveis dentro de sua rede para aumentar sua visibilidade, por meio de scripts. Para controlar melhor quem tem acesso a seu Twitter use a opção 'Protect my tweets'.
Lembre-se de que proteger seu Tweets não evita que alguns tweets escapem por meio de retweets (RT). Pense duas vezes antes de atualizar seu perfil com assuntos particulares, Twitter não é o melhor lugar para isto.
Lembre-se de que você deverá efetuar login pela Web (navegador) periodicamente para ver se alguém pediu para seguir você. Clientes Twitter normalmente não informam quando há pedidos pendentes.

Comportamento

Evite atualizar o Twitter pelo Foursquare ou Youtube. É inconveniente para a maioria das pessoas - nem todos querem saber que você virou o prefeito do posto de combustível em que você abastece o carro - e atrapalha o fluxo de leitura da mesma forma que tweets em excesso. É possível filtrar tweets vindos do Foursquare por clientes Twitter. No TweetDeck:

Settings > Global Filter
Digite 'foursquare' (sem as aspas) no campo 'From sources'. TweetDeck é capaz de filtrar pelo cliente Twitter usado, Foursquare neste caso.

Não seja mais um @migrainehacker, @caodadepressao, @bomdiaporque da vida. Twitter é um lugar interessante para espalhar sua ira, mas isto pode tornar seu perfil inconveniente. O propósito deles é perturbar, o seu provavelmente não.

Não use seu perfil para propaganda política ou religiosa. Deixei de seguir diversos perfis no período das Eleições 2010 que provavelmente não voltarei a seguir.
Se você criou o perfil com um propósito mantenha-se fiel a ele.
Use DM quando quiser entrar em contato com alguém em particular. Todos os seus seguidores nem sempre precisam saber que você está chegando no bar em que marcaram um happy hour.
Não agradeça RT. É inconveniente, faça isto por DM.
Não agradeça por Follow Friday. É inconveniente, faça isto por DM.
Não faça do Twitter um chat. Quando a troca de 'reply' no Twitter se tornar mais intensa passe para DM, e-mail ou para IM mesmo.

Considere este post dinâmico, vou atualizá-lo se me lembrar de outras dicas.

23rd Annual FIRST Conference - Call for Speakers

noreply@blogger.com (Ronaldo) — Mon, 22 Nov 2010 02:40:28 PST

Em nome do Comitê de Programa da 23rd Annual FIRST Conference convido mais uma vez os interessados a submeter suas propostas para a conferência anual de 2011. O tema desta edição é: Security Lessons: What Can History Teach Us?

O Call for Speakers está aberto desde 1 de Setembro e será fechado em 10 de Dezembro. A conferência acontecerá de 12 a 17 de Junho de 2011 em Viena, Áustria.

Datas Importantes

01/09/2010: Publicação do Call for Speakers

10/12/2010: Prazo de Submissão

01/02/2011: Aviso de Aceitação

03/06/2011: Prazo Final de Submissões

12-17/06/2011: 23rd Annual FIRST Conference no hotel Hilton Vienna

Mais Informações

Não espere para submeter sua proposta na última hora, o prazo expira em menos de 20 dias. Não há prorrogações de prazo.

Em caso de dúvidas por favor entre em contato com o responsável pelo Comitê de Programa pelo endereço first-2011chair arroba first.org ou se preferir entre em contato comigo.

Mais uma idéia de segurança na linha do Boneco Wilson

noreply@blogger.com (Ronaldo) — Sun, 31 Oct 2010 11:34:38 PDT

Em 2009 escrevi um pouco do que penso sobre algumas concepções erradas de segurança no post 'Boneco Wilson'. Agora encontrei outro produto do mesmo tipo.

Este é o FakeTV, um 'dispositivo para deter ladrões'.

Minha família e várias outras que conheço costumam deixar a TV ligada quando viajam, para passar a impressão de uma casa ocupada. Outras técnicas 'avançadas' de enganação são deixar uma lâmpada externa ligada, pedir que vizinhos recolham os jornais entregues (antigamente - não sei se as pessoas ainda assinam jornal impresso). Todos esses cuidados e 'Adoro Londres!' em seu perfil Twitter aberto, Fotos de viagem no Orkut / Facebook. Enfim.

Brasileiros são incoerentes, nada preocupados com privacidade e ao mesmo tempo pensam que Internet e redes sociais são um privilégio da classe média. Nada disso. Orkut é a maior prova da inclusão digital, uma incrível parcela da população "tem Orkut" e fazem nossa vida mais alegre com Pérolas do Orkut. Mesmo aqueles que não tem um computador, que não é o caso do seu ladrão.

FakeTV pelo menos consome menos energia elétrica. Melhor que deixar sua TV LED de 42 polegadas ligada. Economizar com bens roubados e gastar o dobro de energia elétrica não parece mesmo muito inteligente.

Pensando pelo outro lado, o do ladrão, fico imaginando o que se passa pela cabeça dele quando vê estas coisas:

"Mas essas vítimas de assalto são idiotas mesmo! Merecem voltar de viagem com a casa vazia."
"Não entrarei nesta casa. Há um Jabba (The Hutt) colado no sofá, comendo toda a dispensa, assistindo TV há 96 horas consecutivas com fone de ouvido." (pelo que vi FakeTV não emite sons)
"Rá, esses medioclassistas são idiotas mesmo. Quem assiste TV hoje em dia?"

Wi-Fi

Comentar sobre assaltos me lembra outro problema moderno: Wi-Fi.

Hoje em dia é muito comum ter um router wireless em casa. Se eu fosse um ladrão, faria wardriving. Não porque seria um ladrão nerd, mas para encontrar alvos interessantes de roubo. Onde há um roteador há laptops, celulares com Wi-Fi, Media Centers com Wi-Fi, Wii, PlayStation 3 e várias outras coisas interessantes. E não adianta esconder o SSID porque Kismet descobre. Aliás, Kismet descobriria também o que está se associando a este roteador. Pelo prefixo MAC daria para descobrir até que tipos de dispositivo a possível vítima tem e avaliar qual casa é mais interessante.

Abordar a pessoa com uma arma e simplesmente ir lá conferir é mais rápido, também é uma opção, mas a abordagem tecnológica é mais assertiva, como meus amigos de MBA gostam de falar.

Sim, sou paranóico. Ganho a vida com isso.

Inesperada seleção de itens hacker em site de compras

noreply@blogger.com (Ronaldo) — Fri, 20 Aug 2010 23:59:21 PDT

Existe um site de Hong Kong que comercializa produtos baratos com shipping grátis chamado DealExtreme. Ainda não entendo como uma caixa que cruza o planeta (em pelo menos 2 semanas é verdade) tem shipping grátis e um SEDEX pequeno entre Sudeste e Nordeste do Brasil custa mais de R$40, mas este não é o assunto do post.

São várias bugigangas, muita coisa inútil e de má qualidade, muita coisa "honesta" (boa pelo preço) e tudo descrito com o famoso engrish.

Um dia desses encontrei vários itens interessantes que eu colocaria na categoria hacker ou pelo menos interessantes:

Toda uma categoria de Lock Picks & Tools com uma grande variedade de kits, até kits para automóveis específicos.
Vários bloqueadores de sinal de celular link
Vários bloqueadores de sinal de controle remoto de alarme de carro link
Bloqueadores de GPS para os espiões, para os que querem burlar os controles da locadora de carros ou para os paranóicos de plantão link
Vários "Spy Bug" detectors link
Um mini servidor que com um dongle USB pode servir de rogue em uma rede atacada link

Isto é tudo que me lembro agora. Dicas: compre itens de até $50, use PayPal, as encomendas demoram mas chegam.

Spam curioso no LinkedIn

noreply@blogger.com (Ronaldo) — Mon, 21 Jun 2010 03:33:43 PDT

Recebi 2 solicitações de conexão LinkedIn estranhas na última semana.

Esta recebi ontem:

Todos tem este padrão: Foto de mulher bonita, o período de "estudos" sempre de 2000 a 2005.

Colega

Estou a aumentar a minha rede entre os colegas da (escola em que estudou) onde me graduei em 2005.

Estou de volta ao Brasil após uma temporada na Europa.

Espero que seja uma relação de benefício mútuo.

Cumprimentos

(Nome de Mulher)

Pela foto tentaram uma carreira de modelo (ou ...) na Europa e não deu certo.

Não investiguei nada, mas ainda não entendi o propósito disto. Alguém?

Top 5 2009

noreply@blogger.com (Ronaldo) — Sat, 26 Dec 2009 02:17:37 PST

Posts mais lidos de 2009.

Feliz 2010!

@ronaldotcom

Lista de discussão SANS GIAC

noreply@blogger.com (Ronaldo) — Fri, 18 Dec 2009 09:20:36 PST

Na semana passada criei a lista de discussão sansgiac@lists.securityguys.com, mais uma das listas SecurityGuys.

O propósito desta lista é:

Propósito da lista: promover as certificações SANS GIAC no Brasil, arranjos de exame com proctors brasileiros, divulgação de novos cursos no Brasil (SANS Mentor), etc.;
Não moderada (apenas em casos de abuso);
Lista de assinantes não pública;
Histórico da lista disponível somente para assinantes.

Já temos pelo menos 3 proctors (indivíduos que aplicam exames SANS GIAC) na lista, o que pode ser interessante para quem precisar fazer um exame.

O atual estado da segurança em smartphones

noreply@blogger.com (Ronaldo) — Mon, 14 Dec 2009 05:17:36 PST

Bastante tempo ausente do blog. Mais uma vez digo que é culpa do Twitter (@ronaldotcom), que faz idéias de posts virarem microposts.

Em Outubro palestrei no FIRST TC Chile sobre segurança em smartphones. Celulares não são mais simples telefones. Sistemas Operacionais complexos (Android, iPhone OS, Symbian, Windows Mobile), aplicações de terceiros, conectividade o tempo todo (3G, Wi-Fi, Bluetooth) e GPS fazem do smartphone uma plataforma de ataques ótima, com novas possibilidades. Nesta apresentação mostro uma visão geral de estratégias de ataque conhecidas, uma visão sobre o que aconteceu nas conferências hacker recentes no campo de ataques a celulares e alguns possíveis e realistas cenários futuros.

The current state of mobile security

View more presentations from ronaldotcom.

Desinstalando Aplicações no Mac OS X

noreply@blogger.com (Ivo Peixinho) — Thu, 12 Nov 2009 15:30:56 PST

Sim! Comprei um Macbook Pro 13''. Virei um Macmaníaco (ou um MacTARD, como diz o Ronaldo). Realmente não tem como se apaixonar pelo conjunto: Design incrível, sensor de luminosidade, teclado luminoso, rápido, tela LED, trackpad multi-toque e por aí vai.

Estou usando chegando a dois meses de uso, e queria aproveitar e fazer o primeiro post a respeito, sobre umas experiências que tive a respeito da instalação e desinstalação de aplicações. Todo usuário Windows que se preze vai procurar no painel de controle aquele velho icone de desinstalar aplicativos, e vai se surpreender quando descobrir que ele simplesmente não existe. Aí vem a pergunta: como raios vou desinstalar essa aplicação que eu não quero mais? A resposta padrão do seu guru Mac da esquina vai ser: "Não precisa desinstalar, é só jogar a aplicação na lixeira". Será que é só isso?

Para aplicações simples, realmente jogar na lixeira resolve 99% do problema (o resto são as preferências das aplicações, que normalmente ficam na sua conta de usuário, no diretório ~/Library/Preferences, com o nome de .plist, ou no diretório /Library/Preferencies, se for uma preferência global do sistema para aquela aplicação. As aplicações normalmente tem os nomes parecidos com classes em Java, algo do tipo: com.apple.nome da aplicação.plist. Não é dificil descobrir quais são os arquivos de preferência neste caso. Caso você seja muito preguiçoso para fazer isso, pode usar uma aplicação que faz isso por você. Segue abaixo algumas que achei na net:

. AppTrap
. AppZapper
. AppCleaner

Para aplicações simples, daquelas pequenas que você baixa na Net, este procedimento resolve bem o problema. Porém para aplicações maiores e mais complexas, a lista de arquivos que é instalada, é muito maior do que arquivos de preferências. Um bom exemplo são aplicações que mexem com audio e vídeo, que normalmente vêm com muitas bibliotecas de imagens, videos e audio. Normalmente essas bibliotecas possuem diversos arquivos e podem ocupar muito espaço no seu disco e você nem estar sabendo. Então, como descobrir todos os arquivos que um programa instala?

Para responder essa pergunta, temos que aprender como funciona o processo de instalação de aplicações no Mac OS X. Existem basicamente três formas de instalação de programas no OS X:

. Copia da aplicação para o diretório de aplicações (/Applications): Esta é a forma mais simples e é muito comum para pequenas aplicações que baixamos da Internet. Nestes casos desinstalar é muito fácil, bastando jogar no lixo e apagando as preferências.

. Uso do Installer.app. O Installer é uma aplicação de instalação da própria Apple, que instala programas no formato .pkg. Normalmente você abre um CD/DVD, ou um arquivo de imagem baixado (.dmg, .cdr, .iso, .toast) e executa o arquivo ,pkg que automaticamente chama o Installer. Este irá perguntar onde vai instalar a aplicação, e depois irá copiar os arquivos.

. Instaladores proprietários. Um bom exemplo deste tipo de aplicação é o Microsoft Office. Nestes casos, junto com a instalação vem uma opção de desinstalar.

Existem outras formas de instalação (ports, etc), mas estas não serão cobertas aqui. A partir da lista acima, podemos ver que o maior problema são as aplicações que usam o Installer. Como saber tudo que ele copiou? Depois de muito pesquisar, descobri as seguintes informações, que são muito importantes:

Ao instalar uma aplicação, o installer guarda dois arquivos no diretório /private/var/db/receipts. Nesse diretório temos 2 arquivos para cada aplicação: um arquivo .bom e um arquivo .plist. O arquivo plist é um arquivo de preferências (Property List) das instalação, que pode ser aberto no Property List Editor. Ele contem informações sobre a instalação do aplicativo, como data de instalação, que aplicação instalou, nome do pacote, identificador, versão, etc. O arquivo bom (Bill Of Materials), contem todos os arquivos que foram instalados pelo pacote. Para visualizar o conteúdo, basta usar o comando "lsbom" em uma janela de terminal. Vamos tomar como o exemplo o NMAP, que instalei recentemente. No diretório /private/var/db/receipts temos os seguintes arquivos:

. org.insecure.nmap500.nmap.pkg.bom
. org.insecure.nmap500.nmap.pkg.plist

Abrindo o plist no Property List Editor, temos:

Listando o arquivo bom, temos:

. 40755 501/20
./usr 40755 0/0
./usr/local 40755 0/0
./usr/local/bin 40755 501/20
./usr/local/bin/nmap 100755 501/20 2865496 3830514557
./usr/local/share 40755 501/20
./usr/local/share/man 40755 501/20
./usr/local/share/man/man1 40755 501/20
./usr/local/share/man/man1/nmap.1 100644 501/20 175621 1607134230
./usr/local/share/nmap 40755 501/20
./usr/local/share/nmap/nmap-mac-prefixes 100644 501/20 309349 4022722137
[...]

Dessa forma podemos saber exatamente quais foram os arquivos instalados e removê-los. Por fim, não testei todos os "desinstaladores", mas não acredito que seja dificil encontrar o bom correspondente a uma aplicação, listar e remover os arquivos. Para reinstalar aplicações, basta apagar o .bom e o .pslist, que o installer não vai mais detectar a aplicação como instalada.

UPDATE: o comando pkgutil --pkgs lista os pacotes instalados, e o comando pkgutil --unlink aparentemente desinstala o pacote, porém pelos testes que fiz, não parece ser algo muito confiável.

GTS-13, YSTS 3.0, FIRST Conference Kyoto e mais

noreply@blogger.com (Ronaldo) — Sun, 09 Aug 2009 03:52:41 PDT

Até que enfim escrevendo de novo no blog!

Twitter está sabotando meu blog. Muitas das idéias de posts morrem com um twit de 140 caracteres.

Resumo do que aconteceu de interessante recentemente:

Comecei a fazer MBA na FGV. MBA em Tecnologia da Informação Aplicada à Gestão Estratégica de Negócios (TIGEN). Isto mesmo, podem dar risada, o mesmo Ronaldo que zombava dos corporates :-) A idéia é ser um gerente melhor (do que alguns que tive na minha carreira) quando isto acontecer e ter conhecimentos para abrir um empresa com competência, sem aventuras.
Mais uma vez palestrei pelo CAIS no GTS-13, um evento do CGI.br. A primeira vez foi no GTS-9. O título foi "Um ano do Catálogo de Fraudes RNP - Números, tendências e próximos passos". O assunto da palestra é o Catálogo de Fraudes RNP. Slides disponíveis no site do evento;
Mais uma vez tive o privilégio de ir ao YSTS, passaporte VIP. Mais uma vez uma conferência honesta, bom conteúdo, boa experiência. Ainda é o melhor do Brasil. Não sei se vale escrever sobre ela com quase 2 meses de atraso, outras pessoas já devem ter escrito. 3 badges YSTS na coleção, 2 deles VIP, não pude comparecer apenas à YSTS 1.0;
Fui na 21st FIRST Conference em Kyoto, Japão. Excelente conferência, ótima oportunidade de networking com os principais CSIRTs do mundo;
Caminhei até o topo do Monte Fuji. 17km ida e volta a partir da base 5, 14 horas de caminhada;
Tive dias de Velozes e Furiosos com meus amigos japoneses.
Mudança. Ainda em Campinas/SP.

Acho que foi isso que aconteceu de notável nos últimos meses. Estou voltando ao blog.

Tirando o máximo dos seus gadgets

noreply@blogger.com (Ivo Peixinho) — Sun, 12 Jul 2009 13:19:05 PDT

Tem um tempinho que não posto nada (desculpe Ronaldo, muitos projetos pessoais :). Resolvi postar hoje pois tive uma experiência interessante e queria compartilhar. Eu sempre gostei de ter "facilidades" no bolso (celular, mp3, GPS, etc.), mas sempre achei ruim ter que carregar muitas coisas. Nessa linha, eu tenho ficado de olho nos lançamentos na área de celulares, pois meu sonho é ter um aparelho só para:

1- Aquele acesso à Internet rapidinho, sem precisar buscar laptop, tirar do modo de espera, etc.
2- Ter um GPS à mão, com mapas offline e comandos de voz.
3- Tocar música em casa, no carro, na rua, etc.
4- Um Skype móvel, para cortar custos com celular.
5- Acesso rápido em qualquer lugar (Wi-fi e 3G).

Como sou fã de ipod (tenho umas caixinhas JBL em casa e o som do carro com entrada pra ipod), minha escolha natural seria o iPhone, especialmente com o lançamento próximo do TomTom pra ele. Mas como o preço ainda está alto (não quero me "prender" em uma operadora), continuo esperando a oportunidade certa :)

Enquanto isso... recebi esses dias um celular com linha da empresa que trabalho (ai meu deus! mais um trambolho...), um nokia 6120 classic. Quem não o conhece, pode vê-lo aqui. Ele tem uma cara de celular basicão, exceto pelas duas câmeras e o fato de ser 3G (na verdade ele foi um dos primeiros celular 3G que as operadoras lançaram). Hoje você consegue ele por míseros 15 reais em alguns planos.

Bom, vamos ao que interessa... ontem tava com um tempo livre e resolvi investir no aparelho. Já tinha instalado um cliente twitter, gmail, google maps e o eBuddy para as necessidades básicas, e já tinha usado ele pra acessar a Internet via bluetooth uma ou duas vezes. Logo de cara vi que a Nokia tinha um programa bem espertinho para gerenciar o celular, o Nokia PC Suite. Em poucos minutos consegui conectar os meus 2 celulares via bluetooth, sincronizar meus contatos do outlook do trabalho (eu sincronizo com o google calendar usando o plugin que a google fornece, para acessar de qualquer lugar), fazer backup, gerenciar contatos, fotos, SMS, etc.

Junto com o PC Suite, descobri um software de mapas (Nokia Maps, ou Ovi Maps na versão mais nova). Nele consegui baixar os mapas do Brasil (de graça). Infelizmente na hora de interligar ele com meu GPS Bluetooth eu descobri que tinha que pagar para ter as funcionalidades de direção com o GPS. 38 reais depois eu estava usando ele (infelizmente por 3 meses, espero que a Nokia reduza os preços ou mude a política). Fiz um teste dirigindo aqui em Brasília, e achei ele quase tão funcional quanto meu TomTom que roda no iPAQ.

Descobri ainda um gerenciador de músicas, estilo iTunes. Ele veio com um cartão de 512mb e já estou sentindo falta um cartão maior :). Coloquei umas mp3 da gravação da banda para ouvir. Decobri ainda um atualizador do firmware. Atualizei do 3.68 para o 6.1.

Voltando pro carro, resolvi testar tudo de uma vez :) Já tinha ligado o telefone no viva-voz bluetooth do rádio do carro, mas dessa vez resolvi judiar do coitado... conectei no viva-voz, conectei no audio bluetooth do carro (A2DP), coloquei ele pra tocar uma lista de mp3 em background, liguei o software de mapas, conectei com o GPS bluetooth e saí dirigindo (achando que o celular ia derreter...). Mas não é que ele deu conta? Tocou as músicas via bluetooth no carro, fez o roteamento via GPS (inclusive as indicações de voz saem pelos auto-falantes do carro) e ainda consegui atender uma ligação com tudo isso funcionando!

Depois disso, voltei nas especificações do aparelho, e vi que ele não é tão bobo assim:

. Processador de 369 MHz
. Symbian 9.2 S60 3.1
. Suporte a SHDC (até 4Gb)

Bom, é isso :). O recado que deixo é: não subestime seus gadgets, eles podem fazer muito mais por você do que se imagina.

Ah sim! Já ia esquecendo... hoje instalei o fring e consegui fazer chamadas skype através dele.

FAQ Ronaldo: 2. Por que você instalou anti-vírus no celular?

noreply@blogger.com (Ronaldo) — Mon, 18 May 2009 19:00:36 PDT

Essa é uma boa pergunta mesmo. Por causa de um SMS bizarro como este:

Data: 24/04
De: +558587141153

WEB:EXPLOSAO DE PREMIO 2009 (SBT),seu aparelho foi o 5 ganhador de 1FIAT PUNTO OKM.lig gratis de 1fixo, vc tem menos de 24hrs! P/0318/596/498/135/SBT!!,

Podem me chamar de paranóico, fiquem à vontade, mas acho que este será o próximo grande problema. E não estou falando de ataques teóricos e em condições ideais por Bluetooth, mas o bom e velho SMS / Torpedo.

Os anti-vírus e filtros de Spam de e-mail já estão bem razoáveis e cada vez mais difíceis de burlar. Fraudadores vivem de brechas e buscam maneiras de explorar novas maneiras de mandar texto para as pessoas. Foi assim com e-mail, comentários de blog, Orkut, Twitter.

SMS tem ainda uma facilidade: "warsmsing", wardialing de SMS. Prefixos de área são previsíveis, prefixos de operadora são previsíveis. Além disso as pessoas fornecem seu número de celular sem imaginar que ele será usado para SMS. Recentemente comecei a receber comunicados de indisponibilidade no Net Virtua por SMS. Muito bonito, mas não pedi.

Se você tem um celular convencional então sinto muito, não há muito o que fazer. Se você tem um smartphone você pode instalar um anti-vírus que, além de obviamente proteger contra vírus, oferece filtro de Spam (por whitelist). Você ainda tem recursos interessantes, ativados por comandos enviados por SMS. Bloqueio do aparelho, limpeza total de dados do usuário, notificação de outro celular do número do SIM card da pessoa que roubou seu aparelho. Coisa de Missão Impossível, para paranóico nenhum botar defeito.

Minhas sugestões são F-Secure Mobile Security e Kaspersky Anti-Virus Mobile. Gostei mais do funcionamento do Kaspersky no Nokia e71 (Symbian S60), mas ambos os fornecedores tem grande experiência em segurança mobile.

Encerramento do Calendar de Eventos

noreply@blogger.com (Ronaldo) — Tue, 05 May 2009 06:29:13 PDT

Encerrei o calendário de conferências de segurança e conferências hacker que mantinha desde 2006. As razões são várias, não vale a pena entrar em detalhes. O calendário estava disponível em:

Agradeço a todos que colaboraram nestes 3 anos!

FAQ Ronaldo: 1. Por que você comprou um Mac?

noreply@blogger.com (Ronaldo) — Mon, 04 May 2009 20:25:56 PDT

Por que deu vontade.

Comprei um MacBook em fevereiro. Sim, aquela loja com entrada em forma de cubo de Nova York me seduziu. Mas minhas razões são outras.

Nos últimos 10 anos tenho tido períodos com experiências radicais, como me forçar a usar somente Linux como desktop em casa por longos períodos. Nos últimos 2 anos tive somente Linux em um laptop Toshiba, mas isto aconteceu porque não queria usar o Windows Vista que acompanhou o produto e me cansei de procurar drivers para Windows XP (driver SATA para o boot já foi difícil). Com Ubuntu tudo simplesmente funcionava (com exceção da interface 802.11 como sempre).

Linux é legal, Ubuntu é um Linux superior, mas me cansei da vida difícil. Linux tem conceitos incríveis, como os dados de aplicação em diretórios do seu home (aplicações prontas para usar depois de uma reinstalação). Me cansei de:

OpenOffice. Ainda não confio nele para editar um arquivo MS Office. Provavelmente nunca vá confiar.
Som. Inúmeros problemas com som, desde microfone em aplicações que usam Adobe Flash até confusões entre a interface de som embutida e a USB de um fone de ouvido USB. Ainda me sinto um pouco como na época do DOS4GW e configurações de Sound Blaster para jogos no DOS. Mais de 10 anos e som no Linux ainda não é perfeito. Cansei de ser o cara da reunião por Adobe Connect que interrompe tudo para mudar de desktop porque o Linux + ALSA + Adobe Flash não se entendem.
Compilar o VMware toda vez que é lançada uma versão nova.
Outros atrasos de vida.

E como já sou um power user (não apenas no tipo de usuário do sistema) de Windows e Linux resolvi experimentar algo novo, que me fizesse perder ainda menos tempo com bobagens. Por isso Mac. Outras razões para Mac:

Hardware previsível, kernel otimizado direto da caixa. Isto resulta em coisas interessantes como autonomia incrível de bateria e previsão realista de duração da mesma bateria;
Sistema Operacional com interação bem projetada e ao mesmo tempo leve;
Acabamento superior de hardware. Faz meu antigo Toshiba (que nem era tão antigo assim) parecer um computador feito em uma feira de artesanato;
O Standby realmente funciona e sem drenar a bateria;
VMware Fusion é realmente muito interessante, especialmente a chamada de aplicações dentro de uma VM (recurso Unity);
Dissipação de calor melhor do que a de qualquer laptop que tive.

Não vou desapontá-los e dizer que comprei Mac porque o Mac OS X é mais seguro. Isto não é verdade, é apenas uma questão de estatística. Costumo dizer que o SO mais seguro é aquele que você domina bem. No momento ainda domino mais Windows e Linux.

Tomei algumas medidas básicas que sempre tomo em qualquer dispositivo. Desativar serviços que não utilizo é uma das primeiras, especialmente o mDNSResponder que estava me incomodando.

Como tudo na vida, o encanto total termina rápido:

Não há saída VGA, é necessário comprar um adaptador.
Apenas duas portas USB, e com uma distância muito pequena entre elas. Esperava algo mais inteligente da Apple.
O layout do teclado tem sido inconveniente para VMware Fusion, com uma VM Windows XP. Ainda não resolvi este problema.
Não há porta Firewire.

Não vou me transformar num Mactard, da mesma forma como não era um Freetard usando Linux.

Próxima pergunta do FAQ Ronaldo: Como você arranja tanto tempo para ler notícias, saber das novidades?

Quem pergunta isto nas entrelinhas está dizendo "você é um desocupado" ou "sou ocupado demais para isto". E eu digo que você não sabe se informar. Eu não gasto muito tempo, simplesmente sou eficaz na minha "ronda de notícias" e na construção das minhas fontes de notícias. Vou falar sobre isto no próximo post do FAQ.

Um pouco de terror mobile

noreply@blogger.com (Ronaldo) — Sun, 19 Apr 2009 17:10:13 PDT

Já faz alguns meses que não vejo nada de interessante sobre segurança em Wi-Fi. Os problemas continuam existindo, muitas ferramentas, somente Kismet continua firme, forte e popular. Hora de mudar.

Acho que agora encontrei um assunto mais interessante, segurança em celulares.

Antes de comprar um smartphone minha visão de segurança em celular era apagar o histórico de chamadas regularmente, apagar os SMS enviados e recebidos, definir uma senha para o SIM, backup periódico, não manter fotos armazenadas por mais do que algumas horas, não salvar senhas nas poucas aplicações web que utilizava, não associar grau de parentesco aos contatos do celular. Resumindo, eu tentava apenas redizir o impacto da perda (sou muito distraído) ou roubo do celular. Com um smartphone as coisas são bem diferentes.

Comprei um Nokia e71 recentemente. Uma das primeiras aplicações que instalei foi o Kaspersky Mobile. Muito interessante, daqueles softwares que merecem ser comprados. Atendeu a algumas das minhas preocupações paranóicas:

bloqueio do celular pelo envio de um SMS com código;
limpeza total de dados de usuário (também por SMS);
recurso que aponta quem roubou seu celular. Você define dois números de celular que receberão um SMS avisando qual o número do SIM inserido.

Fiz várias outras coisas interessantes no e71, devo escrever sobre isto em breve.

O e71 tem o Symbian s60 como sistema operacional. Depois de anos no mercado achei que este SO tinha uma boa participação no mercado, mas me enganei.

Nesta pesquisa divulgada em março de 2009 pela Net Applications me senti usando o Linux dos smartphones. Menos bonito, com mais aplicações open source, mais "hackeável" e com baixo market share também. O iPhone é o Windows dos smartphones, por outro lado.

Sendo o Windows dos smartphones imagino que também será o Windows das vulnerabilidades pra celular. Li as principais apresentações da CanSecWest sobre mobile security e conclui que o SO mais preparado para problemas de segurança é Android, do Google.

(não sei você mas eu já me cansei desses títulos com "(in) security")

Os slides das outras apresentações da CanSecWest estão disponíveis aqui.

Concluindo o post de terror sobre smartphones, uma descoberta sobre o comportamento de alguns celulares Nokia.