sábado, 30 de outubro de 2010

"Portas do cavalo" escondidas no hardware

Não resisto a traduzir esta pequena entrada de Quartertime no slashdot, porque me faz sentir um pouco menos paranóico. Há gente muito mais paranóica do que eu. Paranóica não, realista.
"Lembram-se de Reflexões sobre confiar na confiança, o clássico 'paper' que descreve a forma como esconder uma quase indetectável porta do cavalo num compilador de C? Aqui está uma peça interessante sobre como esconder uma quase indetectável porta do cavalo dentro do hardware. Este 'post' descreve como instalar uma porta do cavalo na ROM de expansão de uma placa PCI, que durante o arranque do computador aplica um patch ao BIOS que por sua vez aplica um patch ao grub, que aplica um patch ao kernel, para dar a quem controla acesso remoto como root. Como a porta do cavalo está de facto alojada no hardware, mesmo que a vítima reinstale o sistema operativo a partir de um CD, a porta do cavalo não desaparecerá. Pergunto-me se a China, com a sua posição dominante no negócio da assemblagem do hardware, terá já usado esta técnica para espionagem. Isto talvez explique porque é que a NSA tem a sua própria fábrica de chips."

Para o pessoal mais leigo, convém explicar que uma "porta do cavalo" é um acesso não autorizado a um computador, deixado por alguém que esteve envolvido na construção do sistema (ou de uma parte dele), para mais tarde poder aceder, manipular os seus dados e/ou comportamentos.

E, com a possibilidade de uma simples placa de expansão (um controlador de vídeo genérico, por exemplo) poder abrir uma porta do cavalo na máquina em que foi instalado, qualquer um dos nossos computadores pode ser manipulado facilmente a partir de qualquer ponto do mundo, se estiver de alguma maneira ligado à net.

Não admira que os espiões da NSA construam os seus computadores de raiz...

"O único computador realmente seguro é um computador desligado."

segunda-feira, 25 de outubro de 2010

Urgente é acabar com o desperdício, a dependência e a inércia

O Município de Benavente lançou um Concurso Público Urgente para pagar €120.000,00 em licenciamento de software diverso de uma muito conhecida multinacional norte-americana.

O que é que é Urgente nisto?

É urgente deixar de pagar por software que não se usa ou se usa muito pouco.

É urgente deixar de pagar por software caro que tem alternativas gratuitas ou muito mais baratas.

É urgente aplicar o pouco dinheiro que temos de forma a reduzir a nossa dependência tecnológica e não a aumentá-la.

É urgente parar com o desperdício de verbas em licenciamento de software quando uma pequena parcela dessas despesas pode ser aplicada a comprar serviços a empresas portuguesas para mudar este estado de coisas.

O Município de Benavente só faz o que vê os outros fazerem. E nem sequer é dos que esbanjam mais, de certeza. Só que me passou pela frente agora mesmo e achei que era altura de desabafar sobre isto.