Curso On-line: VPN SSL no Linux e pfSense

Acaba de ser publicado no Sys Squad e na íntegra o Curso VPN SSL na Prática. Nele, você aprende a configurar VPNs SSL no Linux e no pfSense – Usando OpenVPN e outras soluções mais inovadoras e atreladas ao ambiente de cloud computing usando como cenário a AWS.

Através de aulas totalmente hands-on, ao final deste treinamento, você será capaz de conceber VPNs SSL cliente-to-site e site-to-site usando as melhores metodologias e ferramentas independentemente das necessidades e tamanho do seu cenário computacional.

aula_heitor

Durante as 3 aulas que compõe mais este excelente treinamento, produzido em parceria com o amigo Heitor Lessa, você aprenderá sobre as diferenças entre o OpenVPN Community e a versão Access Server, vai entender em detalhes como implementar túneis SSL com automação de procedimentos no Linux e como configurar o OpenVPN com autenticação e revogação de certificados no pfSense.

Este é o penúltimo curso da Carreira VPN. Conheça os demais cursos que compõe esta trilha no Sys Squad e torne-se um especialista em VPNs e interconexões híbridas. Para saber mais sobre o Sys Squad, basta clicar aqui.

Microsoft se torna o primeiro patrocinador gold do OpenBSD

logo_openbsd_57Este é mais um sinal dos novos tempos. A Microsoft se tornou nada menos que o primeiro patrocinador gold do OpenBSD, é mole? :)

Mas esta ação, ao meu ver, não deve ser interpretada como uma simples forma de ‘reconhecimento’ pelos trechos de códigos advindos dos BSDs e utilizados ao longo dos anos (como o ftp e o telnet incluídos desde o Windows NT, por exemplo). Assim como a Apple, que faz algo parecido com o FreeBSD, é na prática, uma forma ‘barata’ (existem incentivos fiscais e tudo mais) de manter bons desenvolvedores trabalhando em coisas que lhe interessam ‘indiretamente’, por fora da sua folha de pagamento oficial, digamos assim.

De todo modo, é sempre ótimo perceber o reconhecimento técnico e não apenas filosófico por parte das gigantes em relação a sistemas de código-fonte aberto. Mesmo dizendo que a colaboração é referente ao projeto OpenSSH e não diretamente ao sistema operacional, um cheque que varia entre US$ 25.000-50.000 (o valor exato não foi divulgado oficialmente) vem muito bem à calhar, não?!?

Vem aí o Kali Linux 2.0

Todos que estudam ou estudaram nos últimos anos segurança e auditoria de redes e sistemas de informação já devem ter usado o (antigo) BackTrack ou o (atual) Kali Linux. Ambos foram desenvolvidos pela Offensive Security e na prática são distribuições Linux com foco nas áreas de pentest (testes de penetração e invasão de sistemas) e auditoria.

O extinto BackTrack surgiu há quase 10 anos atrás, em 2006. Ele foi o antecessor do Kali, este último baseado no Debian Linux e lançado em 2013. Agora, os desenvolvedores prometem a versão 2.0 da ferramenta para o próximo dia 11 de Agosto. A distro trás uma série de novidades estéticas, de usabilidade e funcionais. Suportes mais avançados aos novos dispositivos wi-fi e a arquitetura ARM devem ser o ponto alto do lançamento.

Confira o vídeo de pré-lançamento da nova versão [teaser] acima e veja o que esperar do Kali Linux 2.0

pfSense 2.2.3 disponível

pfsense_logoÉ com muita satisfação que o core team do projeto anuncia o lançamento do pfSense 2.2.3. Esta release conta com uma série de correções e algumas atualizações de segurança importantes.

Como sempre, você pode atualizar a partir de qualquer versão anterior ao 2.2.3. Se você já está executando qualquer versão 2.2x em produção, este upgrade trás poucos riscos em relação a eventuais instabilidades ou quebras de pacotes. Contudo, se você roda o pfSense da série 2.1.x ou versões anteriores, há uma série de mudanças significativas que podem trazer instabilidades ou quebras de pacotes. Leia mais sobre isso aqui…

Este deve ser o último release da série 2.2. O próximo lançamento deve ser mesmo o pfSense 2.3, que vai trazer significativas mudanças estruturais e estéticas. Um novo visual e um novo framework/modelo de desenvolvimento da webGUI estão programados para esta versão da ferramenta.

Wild West Web Conference na Unoesc CCO

Anúncio enviado pelo amigo Tiago Zonta (tiagoz em gmail.com),

O evento WWW – Wild West Web Conference é uma iniciativa dos cursos de Sistemas de Informação e Engenharia da Computação da Unoesc Campus Chapecó. Alinhado as necessidades e oportunidades da área de Tecnologia da Informação e Comunicação (TIC) os cursos apresentam sua nova pós de Desenvolvimento Web, Cloud e Dispositivos Móveis e para comemorar seu lançamento trará os Irmãos Piologo empreendedores utilizando a Web como meio de divulgação de suas criações ligadas a humor, o evento conta também com o professor Burnes e Er Galvão presidente da Associação Brasileira de Profissionais PHP que irá falar de mais um inovação da pós que irá disponibilizar aos participantes um voucher de 50% para certificação PHP.

cartaz_evento_www

Data: 20/06 no auditório da Unoesc.

Carga Horária: 4 horas para quem participar somente no período da manhã e 8 horas para quem participar manhã e tarde.

PROGRAMAÇÃO:
Sessão de autógrafos com os Irmãos Piologo: 08h30
Palestra com os Irmãos Piologo: 09h30
Palestra sobre desenvolvimento Responsivo e conteúdos que serão abordados na pós: 13h30
Coffee Break: 14h00
Palestra sobre PHP e certificação: 15h00

Valor: R$ 30,00

Inscrição em: http://www.unoesc.edu.br/cursos/evento-single/www.-wild-west-web-conference

ConexTI torna-se partner oficial do pfSense!

pfsense_logoDepois de quase uma década trabalhando diretamente com o projeto, seja auxiliando com código, com suporte profissional e colaborativo em listas e fóruns de discussão, escrevendo posts, apostilas, ministrando cursos e desenvolvendo produtos baseados no pfSense, conseguimos por intermédio da ConexTI, alinharmos uma parceria oficial com a ESF e a Netgate – as empresas detentoras da marca “pfSense”.

Parafraseando o post oficial,

A ConexTI hoje é seguramente uma das empresas com maior expertise em pfSense®. Além de atender a clientes em todo o território nacional, e em alguns outros países com o seu Firewall Multi-Funcional PROTEUX (solução movida e totalmente baseada em pfSense®), a ConexTI agora passa a integrar a lista de partners oficiais do projeto.

Esta parceria oficial com o pfSense® e seus “Patrons”, como a própria Netgate®, nos permitirá entregar soluções ainda mais escaláveis e com melhor TCO (custo total de propriedade) ao mercado brasileiro. A ConexTI é reconhecida não só pelos projetos de conectividade e segurança computacional com pfSense® que implementa e mantém através de subscrições de suporte especialista, nos segmentos privado e governamental, mas também pelos treinamentos sobre a plataforma que disponibiliza à administradores de redes e servidores, na modalidade EaD através do Sys Squad.

Em breve, teremos muitas novidades para nossos clientes e parceiros advindas desta parceria entre ESF, empresas Patrons e ConexTI. Aguardem…

PHP: “… Quero saber bem mais que os meus vinte e poucos anos!”

elefante_phpHoje recebi mais uma edição da Semana PHP, uma newsletter gratuita e criada/mantida pelo amigo Elton Luis Minetto. Dentre os vários posts interessantes desta edição, um em especial me chamou muito a atenção. O PHP completa hoje 20 anos de vida, ou seja, duas décadas desde que Rasmus Lerdorf anunciou em 8 de Junho de 1995 a primeira versão pública da linguagem de programação.

Segundo estatísticas, hoje o PHP está presente em quase 80% dos sites do mundo, desde pequenos projetos até gigantes como Wikipedia e Facebook. O Elton postou na sua news uma timeline muito bacana que ilustra a trajetória do PHP até os dias de hoje.

Particularmente, desde os anos 2005 trabalho com projetos que envolvem (direta ou indiretamente) a linguagem e preciso concordar com o Minetto quando ele diz que: “2015 tem tudo para ser um dos anos mais importantes do PHP graças ao lançamento do PHP7, a aprovação do PSR-7 e também o lançamento de novas versões dos grandes frameworks que estão previstas para o segundo semestre.”

Vida longa a linguagem do elefante! :)

Jornada Acadêmica do Curso de SI – UnC Concórdia

jornada_adm_contabeis_siNos próximos dias 19, 20 e 21 de maio, na UnC-Concórdia, acontecerá a Jornada Acadêmica dos cursos de ciências exatas do campus. A programação e o link para inscrição on-line já estão disponíveis tanto para acadêmicos quanto para o público em geral e o evento promete apresentar palestrantes com bons predicados. :)

Os destaques para quem é da área de TI ficam por conta das palestras dos amigos Flávio Zucchi Gorlin e Heitor Lessa. O Flávio vai falar sobre como utiliza recursos da TI no seu dia-a-dia como investidor no mercado de capitais. É uma fala mais abrangente que certamente vai interessar não só a quem é da área de tecnologia, mas também à profissionais de administração, contábeis e economia, por exemplo.

Já o Heitor vai usar sua experiência de mais de 5 anos trabalhando fora do Brasil, atuando na área de engenharia e arquitetura de redes da Amazon AWS na Irlanda, pra falar sobre quais habilidades e competências um profissional brasileiro precisa ter para buscar seu espaço “além do Equador”. O Heitor vai fazer esta apresentação on-line e ao vivo.

Enfim, um belo evento que na minha opinião já se justificaria só por estas duas falas! :)

BSDCon Brasil 2015 – Chamada para Trabalhos

Anúncio enviado por bsdcon em bsdcon.com.br,

logo_freebsdBSDCon Brasil é uma conferência brasileira voltada e movida para atender a comunidade BSD. Sua primeira edição ocorreu em 2005 e reuniu um grande número de desenvolvedores e usuários de sistemas de linhagem BSD, onde houve uma excelente e agradável troca de experiências durante palestras e outras atividades realizadas.

Este ano a BSDCon Brasil acontecerá durante os dias 9 e 10 de Outubro de 2015, em Fortaleza (CE).

CHAMADA OFICIAL:

É com orgulho que anunciamos nossa Chamada para Trabalhos.

Não é necessário que artigos acadêmicos/científicos sejam escritos para que você submeta uma proposta. Caso você se sinta a vontade para escrever um artigo, nós o receberemos com prazer.

Palestras apresentadas durante o evento estão previstas para durar entre 45 e 60 minutos e deve ser ministradas em Português (preferencialmente), Espanhol ou Inglês.

Aconselhamos que a apresentação de propostas seja escrita com um forte viés de conteúdo técnico.

Propostas tendenciosas para desenvolvimento de negócios, propaganda e marketing comercial não atendem as necessidades da conferência e serão recusadas!

Temas de interesse para a conferência incluem, mas não estão limitados a:

  • Alta Disponibilidade
  • Aplicações de Rede
  • Automação & Sistemas Embarcados
  • Controladores de Dispositivos (Drivers)
  • Controle de Aplicações de Terceiros
  • Documentação & Tradução
  • Firewall & Roteamento
  • Integração Contínua
  • Internet das Coisas
  • Introdução aos Sistemas *BSD
  • IPv6
  • Kernel & Desenvolvimento Interno
  • Melhores Práticas
  • Monitoramento & Log
  • Orchestration
  • Performance
  • Privacidade & Segurança
  • Sistemas de Arquivos
  • Sistemas de Gerenciamento de Banco de Dados
  • Transmissões Sem Fio
  • Virtualização

Estamos ansiosos para ler o que você tem à nos oferecer! Por favor, envie sua proposta para: submissoes (@) bsdcon.com.br

Mande-nos sua proposta, um pequeno resumo sobre você e, preferencialmente, nos informe sobre custos (valores) para sua viagem.

AGENDA:

Aceite de Propostas:

  • 8 de Maio de 2015 —– INÍCIO
  • 14 de Junho de 2015 — FIM

Contato com Autores de Submissões Aceitas:

  • 13 de Julho de 2015

NOTAS:

  • Caso sua proposta seja aceita, esperamos que você apresente-a pessoalmente;
  • Palestrantes não necessitam pagar pela inscrição na conferência;Podemos custear transporte e hospedagem de palestrantes;
  • Gastos envolvendo alimentação não serão custeados pelo evento;
  • Utilizaremos um projetor de vídeo para realizar as apresentações.

Segurança de websites e seus “detalhes”

crackerEstou há alguns dias para confeccionar este post, mas infelizmente o tempo disponível cada vez mais escasso somado a uma certa falta de inspiração para escrever me fez protelar. Há alguns dias atrás, o site da Câmara de Vereadores de Concórdia/SC foi ‘invadido’. Na prática, o que houve foi apenas um ataque que conhecemos como defacement, onde o invasor executa algumas pichações geralmente na página principal do site, fazendo uso de táticas como SQL Injection ou obtendo acesso privilegiado em função das senhas administrativas serem fracas.

Na ocasião uma rádio local fez uma matéria sobre o ocorrido e resolveu me entrevistar, já que o fato acabou gerando bastante polêmica na cidade e resultando inclusive em um BO. O objetivo do texto, ao qual se prestou minha entrevista, era claramente ser o mais acessível possível e justamente por isso o resultado talvez tenha ficado bastante genérico e abrangente. Neste sentido, faz-se importante esclarecer tecnicamente alguns ‘detalhes’ que ajudam a prevenir ou mesmo auditar ataques do gênero em seus servidores e aplicações web:

  1. Um ‘ataque’ aparentemente amador, pode eventualmente ter sido feito por alguém especialista. Um ataque é tão amador quanto as brechas de segurança no invadido permitem que seja;
  2. Sempre é possível se chegar ao culpado (ou ao menos próximo dele). A questão é quantos recursos (tempo e esforço) se está disposto a gastar nisso. Em muitos casos, simplesmente não vale a pena fazer ‘engenharia reversa’. Em outros, é absolutamente desejável!
  3. Comece pelo início. Há sempre a questão de senhas fracas. Por incrível que pareça, ainda hoje em dia a enorme maioria dos ataques deste tipo acontecem porque usuários mantém senhas ‘óbvias’, facilmente descobertas por ataques de força bruta (com ou sem criptoanálise) ou simples tentativa e erro!

Neste caso específico o autor da subversão aparentemente já fora identificado e deverá responder algum tipo de sanção branda. O código penal brasileiro, embora tenha recebido algumas novas leis nos últimos anos tratando exclusivamente de crimes digitais, ainda é bastante falho e completamente antigo. Os juízes e promotores, quando compreendem o que aconteceu de fato (o que já é raro hoje em dia), não conseguem enquadrar formalmente o contraventor ou criminoso.

De qualquer forma, este case é interessante porque ilustra na prática uma situação de insegurança extremamente comum em sistemas web, uma contravenção ainda mais comum hoje em dia (dafacement) e como é possível se chegar ao invasor. Especialmente quando o mesmo, aparentemente, o faz de forma amadora. 😉