HaX by Pedro

RFID (Radio-frequency Identification, ou Identificação por Rádio-Freqüência) é uma dessas tecnologias que tem um grande hype em volta, como o bluetooth ou a biometria, mas que é, também como esses, amplamente furada em termos de segurança.

Além dos problemas óbvios de privacidade, de se ter um cartão dentro do bolso transmitindo o teu nome e possivelmente o número do teu cartão de crédito para quem quiser ler, a criptografia normalmente empregada é nada mais do que precária. Há pouco tempo o Reino Unido resolveu implantar RFID nos seus passaportes. Em menos de 48 horas a criptografia foi quebrada e passaportes falsos foram feitos.

Este vídeo do BoingBoingTV explica muito bem a situação:

Estes cartões, por sinal, estão sendo distribuídos no Brasil, com a mesma (falta de) criptografia.

Obviamente, qualquer um que pretenda usar um cartão de crédito vai se manter bem longe da American Express. Mas a Visa e outras companhias já têm suas versões também.

Um leitor de RFID pode ser encontrado no ebay por 8 dólares, mais o frete para o Brasil, no máximo 25 dólares. E nem passa da cota, muito provavelmente nem imposto será cobrado. Então qualquer jaguara com 40 pila e um notebook pode roubar um cartão desses.

Como o tio ali no vídeo disse, as empresas não estão preocupadas em criar um sistema seguro, mas sim um sistema que pareça seguro para o consumidor. É importante estar alerta disso ao aderir a uma nova tecnologia.

Todas essas empresas estão cientes dos riscos da tecnologia, mas preferem esconder tudo.

Adam Savage, dos Mythbusters falou sobre isso na HOPE, uma conferência Hacker há pouco tempo:

[Link para quem lê o feed]

RFID não é de um todo mau. A tecnologia é excelente para marcar gado, por exemplo. Mas eu não usaria nem mesmo para comanda de restaurante. Onde há seres humanos, há risco de segurança.

Posts Similares

• Linux MCE - HAL 9000 para sua casa (2)
• Webcam do HP Pavillion no ubuntu (7)
• Mulheres preferem chocolate à segurança (1)
• Jaqueta Não-Me-Toque (2)
• Fita Taser: Chocantemente grudenta (0)

De vez em quando a gente cruza por algo que parece maravilhoso à primeira vista, mas logo em seguida, depois que o efeito wow passou, a gente tem certeza de que isso é uma bela porcaria.

Este é um lindo exemplo:

Estragador de Discos

Aparentemente a idéia é boa. Você tem aquele DVD de putaria backups que deve ser destruído. Basta colocar nesse negócio, fazer o que o manual diz, e, pronto, seu DVD estará irrecuperavelmente riscado.

Por 15 dólares, não parece nada mau.

Até você se dar conta de que uma lixa faria o mesmo efeito, e custa centavos. Ou que seu microondas também pode atingir os mesmos resultados, mas de uma maneira muito mais bonita.

[Via Lifehacker]

Posts Similares

• Velharia Tecnológica Tocando Radiohead (1)
• Hackeando RFID, se incomodando com a American Express (1)
• Guia rápido de manutenção de servidores por ssh (1)
• Webcam do HP Pavillion no ubuntu (7)
• Mulheres preferem chocolate à segurança (1)

Porque engenheiros não fariam uma coisa dessas.

Aliás, dizem que arquitetos são aqueles que não foram afetados o suficiente para serem designers, nem homem o suficiente para serem engenheiros.

Posts Similares

• Jaqueta Não-Me-Toque (2)
• Urnas Livres: Orgulho nacional (1)
• Mesa portátil, em papelão (1)
• Hackeando RFID, se incomodando com a American Express (1)
• Webcam do HP Pavillion no ubuntu (7)

O ssh (secure shell) já salvou a minha vida mais de uma vez. É muito mais prático do que FTP quando se quer fazer alterações nos arquivos do servidor e não é necessário subir ou baixar nenhum arquivo. Além disso, existe o sshfs, que é uma grande facilidade para nós usuários do Linux, que podemos montar uma pasta ssh como se fosse um sistema de arquivos local, e ter todo o conforto de editores de texto gráficos e bonitinhos 100% online.

Crédito da foto: Stryker W@SP

Ela provê uma conexão segura e encriptada a um servidor remoto, e te dá uma shell completa do sistema hospedeiro, que normalmente é unix. Conhecer a linha de comando então é mais que uma mão na roda, é obrigatório. Mas muita gente não vai muito longe do ls, cd, pwd, rm, mv.

Existem dois truques que eu uso muito em todos os sites que eu administro, e realmente facilitam muito a minha vida.

Imagina a situação: no teu site tem uma centena ou mais de arquivos de backup, simples cópias de segurança de arquivos, de antes de serem modificados, e você não precisa mais deles. Sempre ouvimos que é uma boa prática nesses casos simplesmente fazer uma cópia do arquivo, adicionando .bak ao fim do nome, mas ninguém nunca nos diz porque. Esse primeiro truque é justamente para tirar proveito disso. Tendo todos os teus arquivos de backup terminando em .bak, não importa quão espalhados eles estejam na árvore de diretórios, basta rodar este comandinho:

find . | grep .bak | xargs rm

(Antes que os xiitas venham reclamar, sim, dá pra juntar o find com um grep, mas o grep é mais rápido que o find para esse caso.)

Explicando por partes: Cada “|” (chamado de pipe) concatena comandos, passando a saída de um comando para o próximo. O primeiro comando, find ., lista recursivamente todos os arquivos do diretório atual. A saída é passada para o grep, que procura nessa lista por arquivos que contenham a expressão .bak no nome (e é uma boa rodar só os dois primeiros comandos para ter certeza de que não tá aparecendo nada extra aí). Por fim, temos o todo-poderoso xargs, que tem mais usos do que o próprio Stallman conhece, executa o comando rm em cada nome desta lista.

A segunda situação é quando precisamos fazer uma faxina no servidor, mas não sabemos o que diabos está pesando 1,5GB. Isso é facilmente resolvido com este lindo comando:

du -ch

(É fácil de lembrar dele, lê “duch”, que soa a “douche”, um xingamento em inglês).

Este comando vai também listar recursivamente todos os diretórios (mas só eles, não os arquivos), e te dar o tamanho de cada um, e o total da pasta atual no fim. Extremamente útil.

Posts Similares

• Configurando servidores no Fedora (2)
• Webcam do HP Pavillion no ubuntu (7)
• Linux MCE - HAL 9000 para sua casa (2)
• Destruidor de CDs e DVDs (0)
• Ah, a ironia (1)

Morto de cansado. Não há melhor maneira de descrever meu estado após o dia de hoje da FISL.

Nem tirei muitas fotos porque fiquei de palestra em palestra. Assisti uma especialmente boa, do Rasmus Lerdorf, criador do PHP.

Ele contou da sua experiência em portar todo o Yahoo para PHP, as dificuldades de um sistema em larga escala, como optimizar o código e principalmente como manter a segurança do sistema.

A wireless estava um pouco menos pior. Fora dos lugares mais movimentados, onde a interferência das outras redes era menor, eu pegava IP com certa facilidade, e até consegui baixar a incrível velocidade de 1MBps.

O problema, mesmo, era no meio do povo. Com cerca de 15 redes wireless, não tinha como não dar interferência. O resultado foi ligar na cabeada mesmo.

No pouco tempo que eu estive fora das palestras, vi um grupo de crianças que fazem parte de um projeto-piloto do OLPC, cada uma com seu XO. Peguei um pedaço da conversa de duas menininhas de, no máximo, 10 anos, que contavam ter blogs. Damn, competição de gatos a gente atura, mas menininhas pré-adolescentes?

No geral, foi melhor que o segundo dia, mas ainda temos os mesmos problemas de sempre. E pensar que depois de 9 anos já teriam aprendido…

Posts Similares

• FISL - Terceiro dia (1)
• A dificuldade de conseguir um IP (0)
• Urnas Livres: Orgulho nacional (1)
• Segundo dia do FISL (0)
• Salsinha nórdica brinca de Mike Tyson na ilha de páscoa (0)

Incrível como mulher gosta de chocolate. Certo que homem também gosta, mas mulher tem uma necessidade que não dá pra explicar. O pior, mesmo, é que depois elas ficam atazanando a vida das pessoas em volta por causa da culpa que sentem ao comer, porque acham que estão ou vão ficar gordas, etc.

photo credit: yoppy

Um grupo de cientistas desocupados resolveu testar até que ponto vai isso: Ofereceram chocolates para mulheres e homens em Londres, em troca de suas senhas. Cerca de 45% das mulheres aceitaram a troca, enquanto somentes 10% dos homens o fizeram. Obviamente deveriam ter tentado cerveja.

Isso nos leva a uma preocupação muito grande. Nós que cuidamos de segurança digital sabemos que as piores falhas são as humanas, porque são exatamente essas que não podemos prever ou consertar. A engenharia social é uma das habilidades mais valiosas para os hackers blackhat (os hackers do mal, crackers e afins), justamente por explorar características de todos os seres humanos, como a ingenuidade e a ganância.

A equipe do google e dos bancos que o diga, aliás. Todas essas medidas de segurança que foram implantadas no Orkut e internet bankings nos últimos dois anos são exatamente por causa do excesso de ataques de engenharia social. Sempre tem um idiota que acredita que vai poder ver fotos de álbuns bloqueados se instalar aquele programinha daquela comunidade. Sempre tem um bando de idiotas que acreditam que o banco precisa da sua senha para atualizar o cadastro…

E esse é exatamente o nosso maior desafio. Nenhum sistema é perfeito quando o usuário é um idiota.

Posts Similares

• Burlando o limite mensal do Flickr (2)
• Salsinha nórdica brinca de Mike Tyson na ilha de páscoa (0)
• Prism disponível no Ubuntu Hardy (4)
• Jaqueta Não-Me-Toque (2)
• Hackeando RFID, se incomodando com a American Express (1)

Está se tornando comum ver notícias de empresas que perderam dados de clientes, normalmente porque não têm nenhuma noção de segurança digital, e muitas vezes, nem de segurança física. Largam notebooks por aí, têm máquinas com firewalls precários, deixam discos de backup atirados… O resultado é como o meu armário: tende ao caos.

A mais nova empresa a perder dados relativamente importantes de clientes, como nome, data de nascimento e detalhes de seguros foi o HSCB, na Inglaterra. O detalhe é que os dados estavam em um disquete. É, isso mesmo. Essas coisas quadradas que os mais velhos devem ter nas gavetas, e tem gente que jura que chegou a usar um uma vez.

photo credit: kalleboo

O outro problema é que eles estavam enviando o disquete. Partindo do princípio que eram dados importantes, e que eram no máximo um mega e quebrados de dados, custava mandar por email? É pra isso que existe criptografia, pombas!

Não sei porque ainda me surpreendo.

[Fonte: ZeroHora]

Posts Similares

• Urnas Livres: Orgulho nacional (1)
• Salsinha nórdica brinca de Mike Tyson na ilha de páscoa (0)
• Executivo americano quer indenização por strip tease mal-feito (1)
• Um tapinha não dói. Mas se for no bolso… (0)
• Rumor: Novo iPhone 3G a caminho (2)

As eleições no Brasil são um exemplo mundial a ser seguido, quanto a organização. E muito disse se deve ao fato de termos um sistema padronizado de votos, 100% eletrônico. Nos EUA, por exemplo, há urnas eletrônicas, mas elas são diferentes entre si, e a maioria dos lugares ainda usa cédulas de papel, aquela que se fura e ninguém acredita no resultado da contagem.

Aualmente, porém, há um único probleminha. As urnas rodam windows. O problema não é o windows em si, as urnas funcionam muito bem com ele, mas a legislação eleitoral determina que todos os programas utilizados na votação e na contagem dos votos sejam abertos à fiscalização. Embora o programa em si seja, o sistema operacional não é. Num esforço para mudar isso, o TSE autorizou a substituição do sistema em todas as 430 mil urnas para o Linux, e a compra de mais 50 mil. A economia imediata com lisenças também influenciou a decisão, claro. A expectativa é de uma economia imediata de 3 a 4 milhões de reais.

photo credit: malagent

Além disso, o Linux está sendo implantado também nos sistemas de contagem de votos, transmissão de dados e publicação de resultados. O nosso sistema eleitoral será, finalmente, totalmente livre. Isso vale também para todos os programas desenvolvidos pelo governo para rodar nas urnas e nos processos posteriores: Técnicos credenciados da OAB e do Ministério Público poderão testar o sistema contra fraudes desde já, e por até dois anos após essas eleições.

A nossa urna eletrônica não é algo que se mostra sob sigilo. O que desejo firmar é que nós estamos com um sistema totalmente aberto para acompanhamento por aqueles que tenham interesse legítimo. Não há o que esconder, não há o que escamotear.

Disse o presidente do TSE, Marco Aurélio Mello.

Isso também ajudará na implantação das urnas biométricas, completando assim a segurança do sistema eleitoral. Com urnas biométricas a possibilidade existente atualmente de uma pessoa votar por outra será anulada.

É nessas horas que eu tenho orgulho de ser brasileiro.

[Fonte: ZeroHora]

Posts Similares

• Salsinha nórdica brinca de Mike Tyson na ilha de páscoa (0)
• Reinventando a roda (3)
• HSBC parou no tempo (0)
• FLAC no iPod (1)
• Um tapinha não dói. Mas se for no bolso… (0)

Man, paranóia tem limites. Mas mesmo assim, eu queria uma dessas:

Segundo a fabricante, a No-Contact Jacket é uma vestimenta que quando ativada, libera 80 mil volts a uma baixa amperagem (logo, não mata) e em pulsos, como uma cerca elétrica, por todo o exterior da jaqueta.

Se ela fosse verde, eu diria que foi feita pelo Blanka.

Acompanha um carrinho de mão para carregar a bateria.

Posts Similares

• Soltaram os Velociraptors - O HD mais rápido do mundo (2)
• Finalmente bons fones bluetooth (4)
• Webcam do HP Pavillion no ubuntu (7)
• Urnas Livres: Orgulho nacional (1)
• Reinventando a roda (3)

O iPhone é obviamente um quebrador de padrões. Tela touch, etc. Inovações não faltam nele.
Mas faltam algumas coisas básicas, e 3G é uma delas. Na verdade, um dos motivos para eu não ter comprado um (além do preço).

Mas isso agora vai mudar. O Kevin Rose, criador do digg.com, da revision3 e do pownce contou no seu podcast, o diggnation, que ouviu de fontes seguras que haverá uma nova versão do iPhone em breve, com suporte à rede 3G.

Segundo ele, o maior motivo para a apple ter bloqueado aplicativos rodando em background na nova iPhone SDK não é por questôes de segurança, mas sim porque eles não querem um concorrente ao novo cliente de mensagens instantâneas que será incluido no firmware 2.0.
Além disso, uma nova câmera frontal será incluída no iPhone, para suportar vídeo-chamada, como em qualquer bom telefone 3G.

Agora sim teremos um iPhone que valha a pena. 3G é essencial ultimamente, a rede EVDO é simplesmente lenta demais para ser utilizável. Só falta mesmo as operadoras brasileiras baratearem a tarifa dos planos, mas isso é outra história.
photo credit: Kévin Froissard

Posts Similares

• Novo eeePC com trackpad multi-touch (1)
• FLAC no iPod (1)
• Urnas Livres: Orgulho nacional (1)
• Transmitindo dados a 16.4Tbps por 2000KM (0)
• Review do Rockbox (3)