Jack.eti.br

Palestra sobre IPSec na VI Semana Acadêmica da Unoesc Joaçaba

É nesta semana, mais precisamente na quinta-feira (23/10), que farei uma pequena palestra (no formato de bate-papo mesmo) na VI Semana Acadêmica de Engenharia de Computação da Unoesc Joaçaba. A convite dos Profs. Daniel Calixto Moraes e Rogéria Ramos, falarei sobre a temática: “IPSec: Criptografia e VPN agora e no futuro!”

A minha fala dar-se-á das 21h às 22h30 e o evento está marcado para o Auditório da Saúde (bloco da Odontologia) Campus II da Unoesc. Se você é aluno da instituição ou quer obter maiores informações, entre em contato com a organização do evento através do e-mail engcomputacao.jba em unoesc.edu.br.

Se você está lendo este post e gostaria de aprender de fato sobre o protocolo IPSec e como utilizá-lo para interconectar as filiais da sua empresa, sua empresa à cloud, seus funcionários entre si ou seus home-offices através de VPNs IPSec, não deixe de cursar os cursos da Carreira VPN no Sys Squad. Ela vem sendo produzida pelo amigo Heitor Lessa, um dos maiores especialistas no assunto que eu conheço – hoje engenheiro de suporte da Amazon AWS na Irlanda. ;)

Atualização 21/10/2014: Acabei de ser comunicado pela organização do evento que o mesmo é aberto. Qualquer interessado pode participar das palestras, bastando para tanto, levar 1kg de alimento não perecível que será doado a entidades carentes da cidade de Joaçaba.

Atualização 24/10/2014: Gostaria de registrar meus agradecimentos em especial aos Profs. Calixto e Rogéria pela absoluta atenção com que me receberam na Unoesc Joaçaba. Da mesma forma, agradeço a todos os alunos de todas as instituições e público em geral que se fizeram presentes durante a minha fala (o auditório estava cheio). O evento foi muito bem organizado e a plateia atenta e participativa. Também foi mais uma oportunidade de divulgar o OeSC-Livre junto com o Eliezer Bernart para acadêmicos que não conheciam o grupo e rever alguns velhos amigos. Para baixar os slides da palestra, basta clicar aqui.

Quer cursar uma Pós em Administração de Redes Linux?

Quem acompanha o blog, sabe que ainda neste primeiro semestre de 2014 a Universidade do Contestado – Campus Concórdia, lançou matrículas para uma Pós-Graduação Presencial em Administração de Redes Linux. Por motivos diversos a pós acabou não fechando turma, mas a Universidade abriu uma pesquisa de intenção para, em caso de haver número suficiente de interessados, lançar a primeira turma em 1/2015. Portanto, se você se interessa pelo curso, não deixe de responder a pesquisa marcando a respectiva opção.

Com um ementário totalmente focado na sua área de concentração e um corpo docente composto por especialistas e mestres, professores com vasta experiência de mercado e acadêmica, o curso ofertará, a priori, apenas 25 vagas. Acima, repito neste post um pequeno vídeo gravado pelo amigo e professor da Pós, titular da disciplina de Kernel Linux, Fábio Olivé.

Inove: Programa de aceleração para startups da Senior

Particularmente fiquei muito feliz hoje com o contato do ex-aluno e amigo Anderson Benetti (anderson.benetti em senior.com.br). Ele veio divulgar o “Inove”, que é um programa de aceleração de startups da Senior Sistemas de Blumenau/SC. Fiquei feliz não só pelo contato dele, mas especialmente em saber que uma empresa com um perfil conservador na área de TI, como é o caso da Senior – e aqui, “conservador” não é uma palavra pejorativa, mas sim no sentido de consolidada e reconhecida – investe de fato e pesado em startups.

É óbvio que o investidor espera lucro. Portanto, devem ser classificadas ideias que tenham apelo de mercado e com potencial de escalabilidade global. Mas o fato é que um programa de aceleração de statups, com capital privado, dentro de uma companhia séria e tradicional, que desenvolve alguns dos ERPs e softwares de gestão mais consumidos no Brasil, é sempre motivo de comemoração para quem trabalha na área de TI.

Quando o assunto é ‘startup’, sempre lembro do amigo Elton Minetto. Ele possui muito mais vivência do que eu nesta matéria, haja vista que fundou e participou de vários programas de incentivo e aceleração de crescimento de startups. Quem sabe ele não se manifesta nos comentários aqui deste post? Coloque sua visão sobre iniciativas do gênero e compartilhe um pouco da sua experiência?

De todo modo, se você tem uma ideia, um projeto de aplicativo ou software, pode ser uma grande chance de impulsioná-la aliando-se enquanto ‘sócio’ (no sentido de partilhar do trabalho e dos louros) de uma companhia já estruturada e que pode lhe apoiar na execução. A verdade é que se metade dos APPs ‘pensados’ fossem de fato desenvolvidos e colocados no mercado, teríamos muito mais empreendedores de sucesso na indústria nacional de tecnologia e, não raras vezes, o que falta é apoio prático.

POODLE: Vulnerabilidade no SSLv3

poodlebleedRecentemente uma falha de segurança consideravelmente grave foi descoberta na versão 3 do protocolo SSL. A falha é inerente ao SSLv3 mas torna-se ainda mais notória, embora não seja uma exclusividade, pra quem usa a família OpenSSL (muito comum em servidores Linux e *NIX) para implementá-lo.

O protocolo SSLv3 é extensivamente utilizado para criptografar conexões em sites e serviços de e-mail na Internet, dentre outros. Esta vulnerabilidade permite que um atacante utilize a técnica de man-in-the-middle (o homem do meio) para interceptar e decifrar conexões seguras como no acesso a contas bancárias, compras e pagamentos via Internet. Para saber mais sobre o bug, acesse o poodlebleed.com.

Só para contextualizar, o SSL foi criado na década de 90 pela Netscape e sua última versão é exatamente a 3.0. Já há vários anos a IETF acabou homologando como um padrão mundial de fato o TLS, que é uma espécie de evolução do SSL (embora ambos não inter-operem entre si). Por isso a recomendação atual é jamais usar SSL e só permitir TLS nos seus clientes e servidores seguros. Neste ponto, vale seguir as dicas e sugestões da Equipe de Segurança da Mozilla (OpSec).

Como testar?

Pra saber se o seu servidor Linux está vulnerável a este bug, utilize o shell script abaixo. Este código é uma contribuição da Red Hat.

#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect
"${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
  if echo "${ret}" | grep -q 'Cipher.*0000'; then
    echo "SSL 3.0 disabled"
  else
    echo "SSL 3.0 enabled"
 fi
else
  echo "SSL disabled or other error"
fi

Como posso me proteger?

Se você não é um sysadmin e simplesmente utiliza “serviços seguros” na web (HTTPS) ou quer proteger a ponta do usuário final, o ideal é desabilitar o uso do SSL nos navegadores (e outros clientes). Cada browser possui um caminho específico para fazer isso, mas tanto no Internet Explorer, quanto Mozilla Firefox e Chrome, por exemplo, procedimento é bastante simples.

Agora se você é um sysadmin e o script acima resultou em um “SSL 3.0 enabled”, está na hora de desativar o protocolo, ficar de olho no site oficial do sistema operacional ou distribuição utilizada e realizar updates de segurança tão logo eles saiam.

Nem tudo que está na nuvem é ouro!

baby_cry É claro que aplicativos office e de compartilhamento de arquivos, hospedados em nuvem (cloud computing – tão em voga hoje em dia), são uma realidade e um caminho sem volta. Eles agilizam muito nosso cotidiano e permitem que nossas organizações ganhem produtividade e alta-disponibilidade. Entretanto, o fator segurança da informação precisa ser levado em consideração quando da escolha por este tipo de plataforma – especialmente em serviços gratuitos.

Em geral especialistas aconselham caminhar para modelos de clouds híbridas (parte da infraestrutura de TI permanece interna e parte em nuvem) e para soluções onde há contratos e garantias de confidencialidade. Isso evita perda de propriedade intelectual, roubo de dados, vazamento de informações e diminui a dependência dos links de acesso à internet no core business do seu negócio (já pensou 1 dia inteiro sem acesso à web?). Apostar totalmente ou integralmente em uma cloud pública – onde todos os seus serviços e servidores (dados sigilosos e críticos) estão alocados em um fornecedor externo – compartilhando recursos em um datacenter – pode ser um equívoco estratégico. Ao mesmo passo, muitas aplicações marginais podem ser levadas à cloud com muita tranquilidade e assertividade.

Um dos últimos casos que podem ilustrar muito bem esta questão é a recente notícia de que as senhas de mais de 7 milhões de usuários do Dropbox, serviço de backup em nuvem (com versões gratuitas e pagas), podem estar nas mãos de hackers, de acordo com o site The Next Web. Até o momento, 400 nomes de usuário e senhas foram divulgados na web e os crackers pedem doações em bitcoins para liberar o resto do material. Em comunicado, o Dropbox negou que seus servidores tenham sido invadidos, mas confirmou que as senhas foram furtadas a partir de serviços de terceiros. Para saber mais sobre este incidente leia esta matéria no site da Veja.

Portanto, é sempre muito importante projetar e medir impactos antes de qualquer alteração brusca na sua estratégia de TI ou na hospedagem de dados sigilosos em aplicativos gratuitos em nuvem e sem acordos de sigilo. Isso pode se transformar numa grande dor de cabeça pra você e sua empresa e, aquilo que era pra ser algo que só lhe traria inovação e tranquilidade, pode lhe trazer prejuízos e inoperância.

2º Café com Software Livre

Anúncio enviado por Eduardo Adriano (eduardo em openti.info),

A comunidade Blumenauense de Software Livre anuncia a 2ª edição do evento Café com Software Livre que vai ocorrer no dia 25/10 em Blumenau, com o apoio da instituição de ensino IBES Sociesc.

O evento vem ao encontro com a missão da comunidade, que é de fomentar a cultura do SL na região e colocar a cidade no roteiro de SL nacional.

2cafe_sl

Contamos com a presença de todos os tipos de públicos, desde experientes profissionais que já atuam com softwares livres, até de pessoas que tem interesse em descobrir esse novo mundo. Todos palestrantes já confirmaram presença e irão abordar temas como ECM e GED, Shell Script, IPV6, Kernel, Jenkins e outros.

Será emitido certificado para os participantes presentes e enviado posteriormente por e-mail.

A inscrição tem um valor de investimento de R$10,00 até o dia 15/10 e após passará a custar R$20,00. O evento possui vagas limitadas, por isso faça já a sua inscrição e garanta a sua vaga!

Se você quer mudar o mundo, o Software Livre pode ser o meio!

Maiores informações: www.blusol.org
Facebook: www.fb.com/comunidadeblusol
Twitter: @BlusolSL

1º Congresso On-line de TI

Fiquei sabendo deste evento pelo amigo, e também um dos palestrantes, Elton Luis Minetto. Pelo pouco que li, a iniciativa realmente parece ser bacana e algumas palestras possuem uma temática bem interessante.

Não sei exatamente se há alguma empresa por trás do evento (o que é bem provável) ou se é uma iniciativa pessoal. Também não conheço todos os palestrantes convidados, mas alguns deles são figuras bem conhecidas. Portanto, ao que tudo indica, vale a pena se inscrever e participar do Congresso On-line de TI. ;)

Shellshock: Hora de atualizar seu Linux, OS X ou outro *NIX

Recentemente um bug sério e antigo da shell (interpretador de comandos) Bash, largamente utilizada em distribuições Linux e no OS X (sistema operacional da Apple), foi divulgado. Especialistas garantem que milhões de usuários já estão em franca situação de insegurança e correm sério risco de terem seus dados violados a partir de servidores na Internet (especialmente os movidos a Linux) ou até mesmo seus desktops invadidos. Aliás, não são apenas os servidores na Internet que estão desprotegidos – basicamente qualquer equipamento que contenha o pacote Bash instalado está inseguro.

Mesmo que você seja um simples usuário Windows, por exemplo, pode ser afetado indiretamente. O assunto vem tomando tanta atenção que até mesmo o Bom Dia Brasil da TV Globo fez ontem uma matéria especial sobre o problema (desconsidere alguns erros conceituais básicos na fala dos repórteres – a começar pelo fato de que não se trata de um vírus de computador).

Ainda de acordo com o Br-Linux.org,

Se o seu computador roda o shell Bash e não foi atualizado nos últimos dias, ele está vulnerável ao Shellshock, uma falha grave – e praticamente todos os computadores desktop e servidor com Linux e com OS X, além de aparelhos como roteadores e até eletrodomésticos conectados à Internet rodam esse software.

O bug começou a ser comentado em larga escala ontem, e aparentemente foi descoberto na semana passada. Mas ele está presente nas versões do Bash dos últimos 20 e poucos anos (exceto as atualizações posteriores à descoberta, embora elas ainda estejam sendo auditadas), então é possível que alguém já o conhecesse e fizesse uso dele, silenciosamente, há muito tempo.

Para verificar se o seu Bash está vulnerável, você pode emitir o seguinte comando:

env x='() { :;}; echo vulneravel' bash -c 'false'

Se a palavra “vulneravel” for impressa na tela, você saberá que está.

Com o bug, é possível injetar comandos para execução pelo computador, mesmo no caso de usuários sem acesso direto à shell: é possível fazer isso alterando os cabeçalhos de uma conexão a um servidor web, por exemplo, ou por meio do protocolo de monitoramento SNMP, ou ainda pela autenticação de sessões SSH, entre outros vetores de ataque já identificados.

Injetando comandos, é possível controlar um computador remotamente, seja movendo para pastas públicas arquivos que deveriam ser privados, alterando configurações, forçando o download de arquivos remotos que contenham malware, e muitas outras atividades. É bem o tipo de vulnerabilidade que se presta à distribuição automática de malware, ou seja, worms, redes zumbis, etc. – e, como este é particularmente fácil de explorar, seria possível criar uma em larga escala, até porque muitos computadores conectados à web não terão seu upgrade do Bash realizado imediatamente.

Portanto, se você ou sua empresa possui servidores ou equipamentos no perfil vulnerável, faça imediatamente a atualização do respectivo pacote. Já existem pacotes de correção para as principais distribuições Linux e também para OS X.

pfSense 2.2 agora é Beta!

pfsense_logoO pfSense 2.2 acaba de chegar ao status de Beta. A tendência natural é que o lançamento da RC final se dê em breve (até o final deste ano, provavelmente). o pfSense 2.2 trás uma série de novas features e mudanças estruturais importantes – talvez a mais importante delas, é o fato de rodar agora sob o FreeBSD 10.0!

Você já pode fazer atualização do pfSense 2.1.X para a versão 2.2 como de costume (manualmente ou através do menu “System->Firmware”), mas isso deve ser feito, por via de regra, apenas em ambientes de teste, homologação ou estudos. O pfSense 2.2 ainda não é considerado estável e não permite downgrade a partir do momento que você o atualiza. Portanto, muita calma nesta hora.

Ao testar o pfSense 2.2 você pode relatar eventuais problemas, falhas ou bugs percebidos no canal específico do fórum. Para saber mais, leia o post oficial: https://blog.pfsense.org/?p=1449

Vestibular Sistemas de Informação – UnC Concórdia

Já estão abertas inscrições para o vestibular 2015 para ingresso no Curso de Sistemas de Informação da UnC – Concórdia. Conforme encaminhado pela coordenação do curso,

O Curso de Bacharelado em Sistemas de Informação, Campus Concórdia, possui 35 vagas para o Vestibular UnC 2015/1 (Conforme Edital UnC/PRE – 030/2014) e 05 vagas para o Processo Seletivo Especial UnC de Ingresso por aproveitamento do resultado do ENEM (Conforme Edital UnC/PRE – 031/2014).