FLISCORNO

Quando uma empresa que vende 35 milhões de euros por ajuste directo ao Estado português fala em oferecer software de "transparência", só pode estar a referir-se ao celofane que envolve as caixas dos DVD  do Office e do Windows.

«E caso o governo português siga o ritmo dos restantes executivos europeus, passa a gravar e armazenar dados públicos dos cidadãos na "nuvem" controlada pela Microsoft, através da "plataforma Windows Azure".» [ionline]

Gostava de saber quais são esses «executivos europeus» e porque razão estão a confiar o controlo de dados potencialmente sensíveis a uma empresa.

Finalmente, há a questão dos preços de licenciamento.

Sim, apesar do título da notícia dizer «Microsoft oferece software de "transparência" ao governo"», no corpo da notícia é sublinhado o uso da plataforma Windows Azure, a qual tem uma forma de licenciamento muito pouco transparente, baseado num modelo de consumo. A própria Microsoft afirma ser muito difícil estimar os custos operacionais da plataforma!

É pena que esta questão não tenha sido aprofundada na notícia, aproveitando o acesso aos porta-voz da empresa. Agora uma coisa é certa: isto nada tem de oferta, como sugere a notícia.

Clicando no homenzinho dos óculos, passa-se ao street view em 3D. Alternativamente, pode-se ir directamente ao lugar :-)

Portal Novas Oportunidades não foi alvo de ataque informático
2010-03-08

Os meios de comunicação social e outras entidades produtoras de conteúdos na área das tecnologias da informação divulgaram hoje, dia 8 de Março, uma notícia de acordo com a qual o portal da Iniciativa Novas Oportunidades, gerido pela Agência Nacional para a Qualificação, I.P. (ANQ), teria sido alvo de um ataque informático de defacing, desde o dia 6 de Março.

Em resposta a esta notícia, a ANQ esclarece que o Portal da Iniciativa Novas Oportunidades não foi alvo de qualquer ataque informático.

Os problemas identificados ocorreram unicamente num site autónomo, que incluía testemunhos de formandos e ex-formandos da Iniciativa Novas Oportunidades, criado especificamente no âmbito das acções de divulgação de uma campanha publicitária de sensibilização da população adulta para a importância da qualificação, desenvolvida no final de 2008. (…)

A estratégia é negar sempre. A questão é que as vulnerabilidades descobertas permitiram o acesso à BD, logo a questão não é se o site foi ou não atacado (foi) mas sim se foram ou não roubados dados da BD do site.

Outro aspecto mirabolante é pretender que o subdomínio onde o SQL injection ocorreu é um site autónomo, como se isso fosse menos grave ou com danos controlados.

A atitude honesta seria comunicar que foi encontrada uma vulnerabilidade e que ela foi usada para mudar os conteúdos da base de dados do site. Claro que isto logo levaria à questão sobre a origem da vulnerabilidade e logo se perceberia que esta é absolutamente trivial (falta de validação dos parâmetros usados para fazer interrogações à base de dados). Algo com que qualquer aluno de licenciatura chumbaria num trabalho de curso. Daí que se opte por negar. Básico mas desonesto.

Relacionado:

• Negar sempre, até ao fim *
• Site Novas Oportunidades aloja o Fliscorno

 

Foram roubados dados do site Novas Oportunidades?

veja a resposta a seguir

 

Ontem foi divulgada uma falha de segurança no site Novas Oportunidades.

Problemas identificados no site "Testemunhos"
08 Mar 2010

O site Novas Oportunidades foi desactivado, em resultado de problemas de "defacing" identificados. Os mesmos não têm qualquer relação com o Portal Novas Oportunidades.

(…)  a ANQ esclarece que o Portal da Iniciativa Novas Oportunidades não foi alvo de qualquer ataque informático.

Os problemas identificados ocorreram unicamente num site autónomo, que incluía testemunhos de formandos e ex-formandos da Iniciativa Novas Oportunidades, criado especificamente no âmbito das acções de divulgação de uma campanha publicitária de sensibilização da população adulta para a importância da qualificação, desenvolvida no final de 2008. (…)

Defacing? ó 'migos isso pode parecer um termo muito sofisticado mas não chega para disfarçar a porta escancarada que tinham para que se entrasse no vosso site.

Posso afirmar com conhecimento de causa que algumas das falhas de segurança no site Novas Oportunidades são detectadas por um programador iniciado em coisas web (tais como XSS e não validação de parâmetros) e outras menos óbvias (injecção de SQL) mas inadmissíveis num produto profissional como se espera que seja um site governamental. Aqui pode ver os detalhes das falhas de segurança por quem as analisou primeiro.

Quanto ao comunicado propriamente dito, são desvalorizadas as falhas. Compreendo que quem não as sabe evitar também não compreende o potencial dos problemas que delas pode advir. Mas não é por isso que deixam de ser graves. Além disso, é dito que estas "ocorreram unicamente num site autónomo", o que é manifestamente falso. Basta observar que é o domínio principal que está em causa. Estando este comprometido, todo o site fica vulnerável. Outro aspecto que não completamente exacto é a informação de que o "este site [qual?] já se encontra desactivado". Com efeito, como se pode ver pela imagem ao lado (clicar para ampliar), às 23h37m do dia 8 de Março de 2010 continua a ser possível fazer aparecer outros sites dentro do Novas Oportunidades. O sub-domínio http://testemunhos.novasoportunidades.gov.pt está de facto temporariamente desactivado mas o mesmo não acontece com o endereço principal http://www.novasoportunidades.gov.pt, já que isso significaria fechar o site.

Sobre o domínio desactivado, http://www.novasoportunidades.gov.pt, onde ocorria a falha mais grave (SQL injection), pouco importa se é um sub-domínio (ou "site autónomo" como lhe chamam, mas de forma incorrecta), em causa está uma vulnerabilidade que afecta todo o site novasoportunidades.gov.pt, pois passou-se a ter acesso à base de dados de suporte do site.

Há ainda esta questão a colocar: foram roubados dados do site Novas Oportunidades? É uma questão pertinente e plausível mas que ficaremos sem resposta excepto se alguém se acusar. Creio até (mais do que crer, aposto) que nem o dono do site tal saberá.

É isto o Estado da Arte do Simplex? Uma coisa é certa, se eu tivesse apresentado um trabalho destes durante a licenciatura teria chumbado. Mas estamos noutro patamar, no das empresas contratadas de forma maciça pelo Governo.

 

Ler também (muito recomendado): O consumidor protegido jamais será, por João José Cardoso

 

(*) mesmo quando se for apanhado com as calças na mão

Ups, queria dizer, o próximo Classmate PC:

Intel’s New Convertible Classmate PC Doubles as E-Reader

Aqui:

A Grande Revolução Do Início Deste Século É A De Que ‘O Pequeno É Bonito’.

Um slideshow das novidades no Consumer Electronics Show.

Na imagem: Polaroid PIC 1000

 

Vai por aí um sururu (ver notícia no i e no Público) quanto aos "tablet PC" (como se traduzirá isto?), com Apple iTablet (ou talvez se chame iSlate), com HP slate PC (ainda sem nome) e sem esquecer o interessante e já existente Asus Eee PC T91 (465,30 €), pelo que se antevê aqui uma possível área de aposta comercial para o próximo Natal.

Com uma ou outra nuance, a grande diferença para o PC normal está no potencial de novas formas de interagir com o computador que o incluído ecrã táctil proporciona.

Mas para mim, o entusiasmo vai mesmo para a possibilidade de desenhar e trabalhar as fotografias directamente no ecrã. E neste aspecto, o gadget que me alicia mesmo é este:

O Wacom Cintiq 21UX é em simultâneo um monitor de 21 polegadas e uma mesa digitalizadora. Desenha-se directamente na imagem, como se fosse papel. Tem é 2,129 enormes inconvenientes: o preço! Mas há o irmão (Wacom Cintiq 12WX) mais modesto nas performances e no preço (1,149€, 999 dólares nos states!!!) que também tem os seus encantos:

 

É também uma questão de esperar um ano que isto baixe para metade do preço :)

Segundo o WSJ, o Apple iTablet será lançado em Março:

Apple to Ship Tablet Device in March

Daqui a três meses? Quando ainda nem as especificações são conhecidas? Certo... Estamos mesmo na onda do vaporware.

Um produto que ainda não existe no mercado e cujo nome também não é conhecido:

• Preço: inferior a $1000 USD.
• Ecrã:  10 polegadas, multi-zona
• Inclui: vídeo conferência, ligação móvel, gráficos 3D e teclado virtual
• Parece um Kindle multimédia, portanto

Isto parece o tempo do Microsoft Vaporware mas atendendo ao estrondoso sucesso do iPhone, não surpreende a imensidão de rumores sobre o produto.

Já agora, o meu dispositivo ideal teria estas características:

• teclado completo (eventualmente separado da prancha) para uma escrita confortável;
• captação de foto, vídeo e som incluídas;
• Wi-Fi e Internet móvel incluídas;
• ecrã sensível ao toque que nele permita desenhar directamente com uma caneta;
• capacidade de processamento equivalente a um computador de gama média actual;
• flexível (que possa ser dobrado como um caderno).

Isto é, no fundo, o que muitos portáteis já oferecem mas num formato mais conveniente. Especialmente considerando a questão do ecrã.

fontes:

• aqui, aqui e aqui. via memoria virtual
• e aqui também

A Google anunciou num webcast algumas características do que será o Google Chrome OS:

• Sistema operativo baseado em Linux
• Completamente aberto
• Corre aplicações apenas no browser
• Guarda todos os dados na web

Está disponível imediatamente para developers. Mais detalhes aqui.

Algumas imagens, tiradas do webcast, tiradas daqui:

A arquitectura:

 
O aspecto:

Note-se que as aplicações correm dentro do browser. Isto significa que não há aplicações específicas para o computador, uma vez que estas são descarregadas da web. Portanto, não importa se se está a correr um PC, um MAC, uma Playstation.

E um vídeo a explicar o que é o sistema operativo:

 

Até aqui passámos por algumas fases na computação:

• 60’s e 70’s: a distinção entre aplicação e sistema operativo era dúbia;
• 80’s: as aplicações foram-se tornando autónomas do sistema operativo
• 90’s e 2000’s: as aplicações passaram a ter o mesmo aspecto dentro do mesmo sistema operativo.

Na actual tendência, as aplicações estão a fugir ao sistema operativo, ficando para este reservado o papel de gerir o equipamento. Como se o computador passasse a um telemóvel com mais capacidade de processamento. Nem tudo são rosas nesta abordagem. Se por um lado o utilizador deixa de se preocupar com instalar e manter software, por outro perde o controlo sobre as suas aplicações já que estas passam a ser disponibilizadas nos termos (e preços) que o fornecedor entenda. E que o legislador autorize, já agora. Exagero? Repare-se então na fome de controlo que têm os EUA e a UE relativamente aos conteúdos audiovisuais. Tudo tem um preço. Veremos até onde vai o slogan da Google «Do no evil».

Leitura adicional: no Público.

No i, um artigo sobre as 50 maiores invenções de 2009. Numa delas, fala-se de «escrever no programa Twitter apenas através do pensamento». Para os curiosos, aqui fica o link para a notícia:  Twitter Telepathy: Researchers Turn Thoughts Into Tweets.

* Piada de ocasião: isto é fácil, um tweet apenas tem 140 caracteres. E para algumas pessoas é mesmo trivial: basta manda uma mensagem vazia.

Este texto podia ser breve, resumindo-se aos pontos 2 e 4. Mas para quê simplificar se se pode complicar? :-) Bom, os parágrafos 2 e 4 são para os apressados e os restantes para os curiosos.


1. Introdução
Dei por uma falha de segurança que afecta os utilizadores que acedam ao Gmail usando o Chrome ou qualquer outro browser que mantenha um histórico de páginas visitadas com amostras de texto.

2. Breve descrição
Usando a funcionalidade do Chrome "Search your history" (Procurar no seu histórico), o browser inclui nos resultados da pesquisa pedaços de texto de mensagens do Gmail, mesmo depois de o utilizador ter terminado a sessão. Isto permite que quem tenha acesso ao computador leia pedaços de mensagens que, supostamente, seriam confidenciais.

3. Descrição técnica
As páginas cujo endereço (URL) comece por https são páginas que se pretendem seguras e, por essa razão, depois de o utilizador deixar uma tal página, os browsers não guardam em disco o seu conteúdo. Por outro lado, as páginas com URL começado por http são páginas sem informação sensível. Por isso o browser guarda-as em disco para que, num próximo acesso, o browser não precise de descarregar os items que não tenham mudado (fotografias, texto, etc.).

Páginas como as de homebanking, sites de compras e de email devem estar associadas a endereços https ou então, estando acessíveis por http, devem dar instruções explícitas ao browser para não as guardar em disco.

No caso do Gmail, quem aceder ao mail pelos endereços http://gmail.com ou http://www.gmail.com virá o conteúdo das mensagens que escrever acessível pelo mecanismo de pesquisa do Chrome. Isto constitui uma falha de segurança. Acedendo ao mail por um destes URL, primeiro chega-se à página de autenticação, a qual tem um URL começado por https. Mas depois de inseridas as credenciais, todas as páginas do Gmail têm URL começado por http, tornando-as passíveis de ser guardadas para uso futuro por parte do browser. Mas acendendo ao Gmail pelo endereço https://mail.google.com, as páginas seguintes continuam a estar em endereços começados por https e, como tal, não serão arquivadas pelo browser.

4. Forma de contornar o problema
Para contornar o problema, aceda ao email sempre pelo endereço https://mail.google.com (no Chrome, digitar também o https:// ).

5. Teste prático
Seguem-se os passos para reproduzir o problema.


a) Primeiro, limpar todo o histórico.





b) De seguida entrar no mail com o endereço https://mail.google.com (digitar também o https://) Enviar um email como por exemplo da figura:
assunto: Loose secrets
mensagem: Don't write if reading is out of question.


c) Terminar a sessão do Gmail e clicar no ícone para abrir um novo separador. Na caixa de pesquisa à direita procurar o texto Loose. A pesquisa não deve devolver resultados.


d) Volte a entrar no mail mas pelo endereço http://gmail.com. Responda à mensagem anterior com: Well, are loose secrets important?



e) Termine novamente a sessão do mail e volte a abrir um separador. Volte a pesquisar o texto Loose e repare como agora a pesquisa devolve texto do mail.



6. Conclusões
O Gmail já foi dado pela Google como um produto estável há algum tempo. Claro que isto nunca impediu que os problemas existissem na mesma. Neste caso, a gravidade do problema depende do que esta inconfidência revelar e a quem o revelar. Imagine que está num local público e dados privados seus são revelados. Ou que o seu email é tornado público. Ou simplesmente, que uma mensagem comprometedora, como esta que preparei na imagem do lado, cai nas mãos erradas!

Há ainda um pormenor adicional. Repare-se que na versão do Gmail em que se entra pelo https não há anúncios mas estes já existem quando se entra pelo http. Isto é compreensível, já que os endereços https não podem incluir conteúdos exteriores ao próprio domínio, como seriam os anúncios que a google disponibiliza através do seu servidor de anúncios (mas que tem outro endereço).

Finalmente, é muito fácil corrigir este problema. Basta na página do mail instruir o browser para não arquivar conteúdos das páginas do mail. Algo que se faz desde o tempo dos primeiros browsers. Esquecimento? É possível. Se bem que é um erro básico.


Adenda 19-07-2009
Reportei a falha de segurança ao Google. É de correcção realmente fácil, logo espero que a corrijam rapidamente.

Uma vulnerabilidade que permite, com um SMS, usar o iPhone para saber a localização física do aparelho, ligar o microfone e que também permite adicionar o iPhone a um botnet (rede de dispositivos "zombies", geralmente computadores, controlados remotamente por um outro dispositivo).

A notícia

APDSI Fórum de Executivos na Sociedade da Informação Prof Dias de Figueiredo 24 de Setembro de 2008 Ordem dos Engenheiros

O professor Dias de Figueiredo, orador deste vídeo, é um comunicador nato. É uma lufada de ar fresco ouvir alguém competente dizer o que tem que ser dito. Os apressados podem saltar para o minuto 12. Mas vale bem a pena ouvir a palestra na totalidade. Mesmo que seja apenas para se ter uma perspectiva diferente da "verdade oficial".

via Miguel Pinto, do outrÒÓlhar

Impressionante. Quando pensamos que já vimos tudo, acabamos logo de seguida atropelados pela realidade. Por outro lado, quanto mais nos afastamos do ano de 1984, mais 1984 se aproxima.

via Certamente

iPhone 3G S

Site da CNE em baixo num dos dias mais necessários para que funcionasse.

Bing, o novo (outro!) motor de busca da M$ e pela precisão demonstrada em encontrar a página do seu concorrente sou levando a pensar que ainda não será o último.