BITITES

Há umas semanas, Paul Ohm deixava na Harvard Business Review um apelo às empresas para que não construíssem a "Base de Dados da Ruína". As grandes empresas, no seu esforço de competição, acumulam cada vez mais dados sobre os indivíduos. Dados que compilam dos seus serviços ou que adquirem a quem os tem para vender. Neste esforço, todos os dados parecem importantes e necessários, mas a verdade é que aumenta o risco de virem a ser divulgados factos embaraçosos ou que que as pessoas queriam manter em segredo. Chegado a certo ponto, a divulgação ou uso dos factos acumulados numa dessas bases de dados podem causar muito mal à pessoa, daí a designação de "Base de Dados da Ruína". Vem isto a propósito do Decreto-Lei  198/2012 de 24 de Agosto, que estabelece a obrigatoriedade de todas as empresas nacionais entregarem mensalmente a lista detalhada de todas as facturas que emitiram a cada um dos seus clientes. O actual ministro das finanças é um homem com pouca experiê...

Richard Stallman O grande mentor do software livre, Richard Stallman, está em Portugal esta semana. Hoje, pelas 14h, estará no Auditório A1 no Complexo Pedagógico 1 da UMinho, em Braga e amanhã, também pelas 14h, estará no Grande Anfiteatro do IST, em Lisboa. " Richard Matthew Stallman , frequentemente abreviado para 'rms ' ( Manhattan , 16 de março de 1953 ) é um famoso hacker , fundador do movimento free software , do projeto GNU , e da Free Software Foundation (FSF) ("Fundação para o Software Livre"). Um aclamado programador , seus maiores feitos incluem Emacs (e o GNU Emacs , mais tarde), o GNU Compiler Collection e o GNU Debugger . É também autor da GNU General Public License ( GNU GPL ou GPL ), a licença livre mais usada no mundo, que consolidou o conceito de copyleft . Desde a metade dos anos 1990 , Stallman tem dedicado a maior parte de seu tempo ao ativismo político , defendendo software livre e lutando contra a patente de softwares e a e...

Estão por estes dias a sair várias notícias que anunciam a chegada a Portugal de uma nova forma de pagamento baseada em RFID. Segundo a notícia do Dinheiro Vivo : "Não é preciso PIN, nem passar o cartão no terminal do multibanco. Basta acenar o cartão e, poucos segundos, a compra está feita. Os cartões com tecnologia ‘contactless' (sem contacto) vão chegar às carteiras dos portugueses até ao final do verão." Curiosamente, li ainda esta manhã uma referência a uma notícia na Forbes que relatava a demonstração da simplicidade com que este tipo de cartões pode ser falsificado, com um pequeno investimento em equipamento e alguns conhecimentos técnicos. Segundo a Forbes, a hacker Kristin Paget utilizou um leitor de cartões RFID da Vivotech que comprou no eBay por $50 para ler, sem fios, um cartão de crédito de um voluntário, em pleno palco, e obteve o número do cartão, data de expiração e o número de segurança usado para autenticar os pagamentos. Pouco depois ela u...

Só para programadores: Origem: xkcd.com

Crash da Amazon Elastic Compute Cloud (EC2) provoca perda de dados Sony pede desculpas pela exposição de 10 milhões de cartões de crédito VMWare Cloud Foundry vai abaixo pela segunda vez

TODOS OS COMPUTADORES AVARIAM. E mais tarde ou mais cedo, numa altura que será certamente muito inconveniente, os seus dados serão destruídos. Há quem se esqueça deste pequeno pormenor. E por isso foi criado o Dia Mundial do Backup, também chamado Cópia de Segurança. Lembre-se: faça backups regularmente. (sim, a efeméride vem atrasada porque a data escolhida foi 1 de Abril mas, se este post ajudar a poupar algumas dores de cabeça, confirmar-se-á o ditado: "mais vale tarde do que nunca")

É por estas e por outras que a utilização de certificados digitais não descola. Que raio de mensagem é esta? Alguma vez um utilizador se vai sentir seguro com uma mensagem feita para meter medo e não explicar o que se passa realmente? "Operações de certificado digital em seu nome"? Só mesmo alguém que é obrigado a isso é que diz que sim. :-(

Não resisto a traduzir esta pequena entrada de Quartertime no slashdot, porque me faz sentir um pouco menos paranóico. Há gente muito mais paranóica do que eu. Paranóica não, realista. "Lembram-se de Reflexões sobre confiar na confiança , o clássico 'paper' que descreve a forma como esconder uma quase indetectável porta do cavalo num compilador de C? Aqui está uma peça interessante sobre como esconder uma quase indetectável porta do cavalo dentro do hardware . Este 'post' descreve como instalar uma porta do cavalo na ROM de expansão de uma placa PCI, que durante o arranque do computador aplica um patch ao BIOS que por sua vez aplica um patch ao grub, que aplica um patch ao kernel, para dar a quem controla acesso remoto como root. Como a porta do cavalo está de facto alojada no hardware, mesmo que a vítima reinstale o sistema operativo a partir de um CD, a porta do cavalo não desaparecerá. Pergunto-me se a China, com a sua posição dominante no negócio da assembla...

Ou melhor dito em inglês: wishful thinking. No Portal da Empresa alguém escreveu: "Graças aos certificados digitais, uma transacção electrónica realizada via Internet torna-se perfeitamente segura (...)" Era bom que houvesse alguma coisa perfeita no mundo real, para variar... :-)

Moxie Marlinspike é um programador jeitoso que está desempregado desde o ano passado. Provavelmente atrapalhado com alguma dificuldade financeira, Moxie decidiu fazer marketing pessoal: inscreveu-se como conferencista no evento Black Hat DC 2009 e foi dizer ao mundo que o SSL - sistema que toda a gente usa para garantir a segurança do acesso aos websites seguros - afinal não é seguro. E para provar isso a toda a gente, desenvolveu e publicou na net um programa chamado sslstrip que demonstra a sua teoria. Moxie Marlinspike anuncia-se ao mundo como um anarquista com tendências poéticas que gosta de viajar e fazer vela. E é também um estudioso das questões de segurança informática. Na página onde publicou a sua "bomba", Moxie sugere que quem faz download do código faça também uma doação em dinheiro, dizendo: "Se te sentes generoso fica sabendo que eu faço investigação sobre segurança por interesse pessoal e que só muito ocasionalmente publico os meus achados. Se gostas do...

Dariam a chave da vossa casa ao arrumador de carros da vossa rua? Se têm algum apreço pela casa e o que têm lá dentro, provavelmente não. Há muitas pessoas que metem estranhos em casa e nem sequer se apercebem disso. Fazem-no instalando software de origens incertas no seu PC, sem terem a mínima certeza de que os programas fazem o que prometem, e sem verificarem minimamente a credibilidade de quem o produziu. A diferença entre uma página web e um programa que se tira da web Uma página web , mesmo que tenha alguns componentes animados, está quase sempre isolada dentro do browser web ( Firefox, Internet Explorer, etc.), pelo que não pode aceder a recursos do PC como sejam a webcam , o teclado ou o écran. Mas muitas páginas web permitem fazer download de programas, que a seguir podem ser instalados no computador com um mínimo de esforço e quase automaticamente. Aí é que começa o comportamento de risco. Ao instalar o programa que se acabou de descarregar, por mais legal ou gratuito que...

O Ludwig Kripphal, no seu blogue KTreta, publicou um excelente post que ilustra as desvantagens do uso de sistemas proprietários versus o uso dos standards, focando o exemplo dos transportes públicos da Holanda e de Lisboa. É com prazer que se verifica que Lisboa ganha na comparação. Vale a pena ler " Esfrega, esfrega. "

Ron Deibert é Professor de Ciências Políticas na Universidade de Toronto e acabou de publicar um documento chamado "Ultrapassando a censura na Internet - Guia para cidadãos do mundo inteiro". Na introdução do guia, ele explica as razões que o levaram a fazer este trabalho: "Embora se tenha assumido desde o princípio que os estados não poderiam controlar as comunicações feitas pela Internet, pesquisa realizada pela iniciativa OpenNet indica que mais de 25 países praticam actualmente censura sobre a Internet. Os que têm políticas de filtragem mais agressivas bloqueiam rotineiramente o acesso a organizações de direitos humanos, notícias, blogs e serviços web que considerem de algum modo ameaçadores ou indesejáveis. [...] Este guia pretende ser uma introdução às tecnologias que permitem ultrapassar os filtros de censura e é destinado a para utilizadores não-técnicos [...]." Ao referir os países que praticam censura, o autor destaca a China, o Irão e até os EUA (numa es...

Aqui há dias o Governo, pela mão do seu Secretário de Estado da Administração Interna, tomou uma decisão difícil mas necessária: as chamadas para o 112 deixam de ser anónimas. É que cerca de 90% das chamadas são brincadeira de mau gosto e o tempo que fazem perder é essencial para salvar vidas que estão mesmo em risco. Curiosamente aconteceu um caso há uns dias, nos EUA, que poderá servir de aviso contra excessos de confiança nesta solução tecnológica. Um estudante do liceu esteve 12 dias na cadeia por causa de um falso alerta de bomba. Por mais que ele dissesse que não foi ele, ninguém acreditava. Os registos da central telefónica diziam que a chamada recebida naquele momento tinha vindo do telefone dele. Ele dizia que não podia ser, porque tinha telefonado, sim, mas a outra hora. A resposta era "à americana": "Tu és um criminoso e os criminosos estão sempre a mentir, e por isso não acreditamos em ti." Felizmente alguém se lembrou que este ano houve umas alterações ...

Desta vez é em França . Há uma contestação crescente à utilização de máquinas de voto electrónico. As pessoas não têm confiança - e com razão, como se viu pela praga de problemas que infestou as eleições presidenciais nos EUA (onde só 13 dos 50 estados obrigam a auditorias à votação electrónica). A Holanda também já teve a sua quota de problemas, porque já usa estes sistemas há alguns anos. Há até uma companhia (NEDAP) que tem um quase-monopólio das máquinas usadas na Holanda. E uma história engraçada (porque é lá no país deles e não no nosso) de como um grupo de peritos conseguiu provar que as máquinas são facilmente manipuláveis por pessoas estranhas antes das eleições. Os problemas de segurança das máquinas da NEDAP, que são muito parecidos com os que apareceram nas máquinas da DIEBOLD nos EUA, têm a ver com o facto de o software poder ser manipulado para adulterar o sentido do voto. As coisas estão a correr tão mal para a DIEBOLD (cujo presidente caiu na asneira de prometer a Geor...

Deve ser por influência da onda mística do milénio. A malta parece acreditar que as tecnologias de informação são qualquer coisa de mágico. Mas, de facto, trata-se apenas de máquinas construídas por engenheiros muito espertos. :-) Em todos os ramos de engenharia sabe-se uma coisa fundamental: as máquinas avariam sempre. Mais tarde ou mais cedo. Mas sempre. Nunca falha. Se calhar, os computadores deviam ser vendidos com uma banda semelhante aos maços de tabaco, a dizer: "ESTE COMPUTADOR VAI PERDER OS DADOS QUE LÁ ESTÃO REGISTADOS E NÃO HÁ NADA QUE O POSSA IMPEDIR". Portanto façam backups. Tenham computadores de reserva. Preparem-se, porque a avaria vem aí. Só não sabemos quando. A crer na sabedoria popular e nas leis de Murphy, será na altura em que o computador faz mais falta. Vem isto a propósito de quê? É que uma organização nossa conhecida teve ontem um percalço absolutamente desnecessário: têm a base de dados corrompida por uma provável falha no hardware e o último backup...

O problema começou com a generalização da micro-informática nos anos 80 mas agravou-se enormemente com o aparecimento da Internet, o email e os sites web. Todos conhecemos demasiados casos de pessoas que passam o dia agarradas ao computador pessoal no seu posto de trabalho mas, estranhamente, o trabalho não aparece feito. ;-) Estes abusos têm duas facetas negativas: por um lado o trabalhador está a ganhar o seu salário enquanto está em actividades claramente pessoais e não produtivas e por outro, está a aproveitar-se indevidamente de recursos que lhe foram confiados para outros fins. Em todo o caso está claramente a prejudicar a empresa, os clientes e os colegas. Por causa disso os responsáveis pela informática das empresas vêem-se confrontados com a necessidade de monitorizar o uso dos recursos, o que é especialmente complexo nos ambientes tecnológicos actuais. Curiosamente "passou-me à frente" um artigo sobre estas questões (url mais abaixo) que apresentava umas estatística...