sexta-feira, julho 30, 2010

Links Comentados #10 - Privacidade na Internet

Na volta desta seção ao blog: proteção para a vulnerabilidade dos atalhos, usuários do Facebook (mais) expostos e aplicação suspeita encontrada no Android Market.

Proteção Para a Vulnerabilidade dos Atalhos

Enquanto a Microsoft não publica uma correção para a vulnerabilidade em atalhos (shortcuts) que eu já mencionei por aqui, os autores de malware estão fazendo a festa.

A Sophos anunciou um utilitário grátis para detectar e bloquear ataques a esta vulnerabilidade:

http://www.sophos.com/blogs/gc/g/2010/07/26/shortcut-exploit-free-tool/


Detalhes PÚBLICOS de 100 Milhões de Usuários do Facebook Distribuídos em Torrents

Sim, as notícias falam em 100 milhões e sim, os dados estão circulando por aí. Mas não se trata de nenhuma violação de segurança, simplesmente um "pesquisador" fez um script para coletar informações públicas dos usuários do facebook. Como disse um outro especialista: "informações que você coloca na internet ficam disponíveis na internet".

É claro que não ajuda o fato do Facebook incentivar o compartilhamento de informações. Depois do "seguro por padrão" é hora do "privativo por padrão".

http://www.theregister.co.uk/2010/07/29/facebook_user_data_published/
http://www.sophos.com/blogs/gc/g/2010/07/29/details-100-million-facebook-users-exposed-internet/

Aplicativo Suspeito no Android Market

Um aplicativo de papel de parede está sendo acusado por uma firma de segurança de coletar informações do usuário e enviá-las para um site na China.

Esta acusação realça as discussões sobre as diferenças de filosofia entre as lojas de aplicativos da Google e da Apple. Pessoalmente não compartilho a opinião de que a loja da Apple seria totalmente segura. Tenho muitas dúvidas sobre a profundidade da análise da Apple (lembrar que eles não tem o código fonte para análise) e nenhuma dúvida sobre a competência de alguns em esconder o funcionamento de programas. Eu gosto da liberdade de instalar o que quiser nos meus computadores. Aliás, este é o modelo dos computadores pessoais e a existência de trojans é um preço que estou disposto a pagar.

http://www.theregister.co.uk/2010/07/29/suspicious_android_app/
http://www.sophos.com/blogs/gc/g/2010/07/29/details-100-million-facebook-users-exposed-internet/

terça-feira, julho 27, 2010

Um Relógio Muito Louco - Eletrônica

O hardware para este projeto não é complexo: basta um microcontrolador com 3 saídas digitais (uma para controlar o servomotor e duas para controlar os LEDs) e 2 entradas digitais (para os botões de ajuste do relógio). Como já vimos antes, o clock do microcontrolador precisa permitir um controle adequado do servomotor.

Para o desenvolvimento vou utilizar a minha placa protótipo PIC com o PIC 16F688 (que não por coincidência é o mesmo circuito que eu usei no teste do servomotor).


Os botões estão ligados diretamente aos pinos do PIC, usarei os resistores internos (weak pullups). No caso dos LEDs basta um resistor em série, o PIC é capaz de fornecer a corrente necessária.

Na montagem definitiva vou utilizar o PIC16F676, que tem a mesma pinagem que o 16F688 exceto por não ter a porta serial (ele também tem menos memória, mas não deverá ser problema). Uma segunda diferença será a alimentação: a placa protótipo usa uma bateria de 9V e um regulador para 5V, na montagem definitiva usarei três pilhas de 1,5V:

Na próxima parte vamos ver alguns testes iniciais do circuito.

domingo, julho 25, 2010

quinta-feira, julho 22, 2010

Um Relogio Muito Louco - Design

O meu design"definitivo" surgiu quando eu encontrei este "Porta caneta Retrato" em uma loja da rede Pegue Faça:


A caixa será usada de ponta cabeça, com o mostrador na janela do porta retrato e o servomotor e a eletrônica na parte interna. Dois botões permitirão acertar a hora; um LED indicará "PM" e outro o modo "Ajuste".


O mostrador na foto acima foi feito com um programa de desenho e impresso em um papel fotográfico fosco que eu tinha sobrando em casa. O ponteiro é um fio rígido com capa vermelha. A montagem acima está bem tosca, fruto da minha inabilidade manual. De qualquer forma, este é o protótipo, eu comprei duas caixas já sabendo que ia fazer estragos na primeira.

Na próxima parte vamos ver a eletrônica.

quarta-feira, julho 21, 2010

Siemens Recomenda Não Trocar Senha Comprometida

Já está à solta um malware usando a vulnerabilidade nos atalhos do Windows que eu comentei outro dia. O alvo do "bichinho" são sistemas industriais baseados no SCADA da Siemens, cuja senha da base de dados circula há anos na internet.

A sugestão óbvia seria a troca da senha comprometida, porém a Siemens desaconselha isto por poder "impactar as operações". Em outras palavras, a senha está fixa (hard-coded) nas aplicações.

Por enquanto o conselho da Siemens é aguardar a correção da vulnerabilidade pela Microsoft.

Fonte: http://www.sophos.com/blogs/gc/g/2010/07/20/malware-scada-password-siemens/

Em tempo: o boletim da Microsoft contém instruções para desligar a apresentação de ícones nos atalhos, o que impede a exploração da vulnerabilidade.

Um Relogio Muito Louco - Introdução

Já faz um bom tempo que eu vi o artigo "A Clock for Geeks" e meu vontade de fazer algo semelhante.


O "conceito" do projeto é fazer um relógio com aparência de um voltímetro. Por trás do mostrador, entretanto, está um servomotor controlado por um microcontrolador.

No projeto original foi usado um estojo escolar para a caixa e um microcontrolador PIC programado com o Swordfish Compiler.

A minha ideia inicial era fazer algo que parecesse criado por um cientista maluco com peças sobrando no laboratório, com um mostrador como os na figura abaixo:


No próximo post vou descrever o design que acabei utilizando.

terça-feira, julho 20, 2010

O Pequeno Mistério do System.String.Contains no .NET

Estou trabalhando atualmente em um aplicativo ASP.Net (usando Web Forms), adaptando o código de um outro aplicativo que eu fiz algum tempo atrás. Entre as várias surpresas, um pequeno mistério.

segunda-feira, julho 19, 2010

Maldito Linux Vulnerável!

Você sente inveja dos usuários Windows que recebem um sistema operacional desatualizado pré-instalado em seus micros ou em mídia imutável? O seus problemas se acabaram-se! Existe agora o Damn Vulnerable Linux, que se orgulha de ser o mais vulnerável e explorável sistema operacional.

Brincadeiras à parte, o DVL é uma distribuição que propositalmente utiliza versões antigas do Linux e aplicações, para facilitar o estudo e aprendizado de falhas de segurança.

Fonte: OSNews, artigo em geek.com

Exemplo de Série Infinita: Mais Uma Vulnerabilidade Encontrada no Windows

Foi encontrada uma vulnerabilidade no Windows, que afeta, no mínimo, do XP ao Seven. Pela demonstração mencionada abaixo, parece que basta o Explorer apresentar o ícone de um shortcut "envenenado" para disparar a execução de um código arbitrário com privilégios de administrador.

A Microsoft confirmou a vulnerabilidade, porem afirma que é necessário clicar o shortcut e que o código seria executado somente com os privilégios do usuário logado (é possível que o malware no vídeo use uma vulnerabilidade separada para fazer o aumento de privilégio).

A forma mais simples de evitar o problema é desligar a apresentação de ícones no shortcut (instruções no link acima).

O vídeo está no canal da Sophos no YouTube.

Fonte: The Register.

sábado, julho 17, 2010

Problema da Antena do iPhone 4: Encerrado?

A esta altura a coletiva de impresa de ontem já foi bastante divulgada, coloco aqui a minha opinião somente para fechar o meu post anterior.

Do ponto de vista de ações concretas, a Apple está oferecendo uma capa gratuita para os compradores do iPhone 4 e garantindo a devoluçãointegral do dinheiro para quem não se sentir satisfeito. Steve Jobs admitiu a ocorrência da atenuação do sinal quando o iPhone 4 é segurado de determinadas formas, particularmente quando se conecta a separação das duas partes da faixa de metal.

sexta-feira, julho 16, 2010

Email Falso da Amazon

Já virou costume e-mails falsos dizendo que você comprou uma alguma coisa, mas esta é a primeira vez que vejo um fingindo ser da Amazon:


Além do email ter vindo em uma conta que eu não uso nas compras na Amazon, ter apenas uma vaga semelhança com os emails verdadeiros, não conter informações como nome, endereço de entrega e lista de produtos e ter links para um site da Rússia, a aritmética é totalmente estranha. Tão estranha que talvez seja de propósito para aumentar a curiosidade e levar a vítima a clicar num dos links.

quinta-feira, julho 15, 2010

Add-on para o Firefox Roubava Senhas

A Mozilla descobriu que um add-on "experimental" para o Firefox estava interceptando logins e enviando os dados para um site remoto. A Mozilla está estudando mudar a política de anunciar e permitir o download de add-ons não analisados, pois considera que o aviso apresentado no download é insuficiente.

Segundo as estatísticas da Mozilla, o add-on criminoso foi baixado cerca de 1800 vezes e tinha 334 usuários ativos. O "bichinho" foi removido do site e colocado na blocklist - o Firefox irá recomendar a sua remoção quando fizer o teste de novas versões.

Pela descrição, é provável que o estrago independa do sistema operacional em que o Firefox estiver sendo executado.

Fonte: http://www.sophos.com/blogs/gc/g/2010/07/15/mozilla-pulls-passwordsniffing-firefox-addon/

Deve a Apple Fazer um Recall do iPhone 4?

A esta altura você provavelmente já ouviu falar no problema da antena do iPhone 4. Começou como um murmúrio nos tubos da internet e chegou às seções de economia. Se as primeiras menções a recall soavam como absurdos, esta opção passa a ser discutida seriamente por analistas.

O Problema Técnico

A melhor análise que vi até agora foi da AnandTech. Resumindo:
  • O iPhone 4 usa como antena uma faixa de metal na borda do aparelho. A borda está dividida em duas partes, uma para Bluetooth, WiFi e GPS e outra para GSM.
  • Esta antena externa dá ao iPhone 4 um desempenho muito melhor que a geração anterior (iPhone 3GS) em condições de sinal baixo.
  • Quando um telefone é empunhado há uma atenuação do sinal. Isto é mais perceptível no caso de antenas externas.
  • A situação do iPhone 4 é piorada pelo fato da faixa de metal não estar isolada. Um ponto crítico é a região onde existe a divisão entre as duas partes.
O problema de forte redução da qualidade da conexão quando a faixa de metal é tocada foi reproduzido de forma mais ou menos rigorosa por muita gente. Em particular o Consumer Reports (uma revista americana especializada em publicar análise de produtos) afirma ter reproduzido o problema em condições bem controladas.

O resultado é que embora o iPhone 4 possa ter, nas condições apropriadas, um desempenho melhor que outros telefones, muitos usuários acabam vivenciando um desempenho muito pior.

Algumas Soluções

Uma solução é simplesmente segurar o telefone de uma forma adequada. Embora não requeira mudança de software ou hardware requer algo mais complicado: a mudança de comportamento das pessoas. Algumas naturalmente já seguram o telefone de forma adequada, outros não. Dizer que estes últimos estão segurando de forma "errada" e obrigá-los a segurar da forma "certa" não é tarefa simples.

A solução mais óbvia é isolar a faixa de metal. Isto pode ser feito de forma grosseira (com uma fita adesiva), usando uma capa protetora ou através de algum acabamento especial (chegaram a sugerir uma camada de diamante).

Uma solução mais complexa é rever totalmente o projeto, por exemplo colocando a antena internamente.

O Problema de Relações Públicas

Até o momento a reação da Apple ao problema parece estar seguindo as listas de "não fazer" dos manuais de relações públicas. O problema foi negado. Foi dito que os usuários estavam segurando o telefone errado. Disseram que era um problema de software (indicação de sinal mais forte que o real).

A partir de um certo nível de divulgação de problemas, pesa mais a forma como o consumidor se sente tratado do que questões objetivas como a gravidade do problema. A Apple tem tirado muito proveito da força da sua marca. Milhões de unidades são vendidas em pré-venda e nos primeiros dias, antes que a qualidade dos produtos possam ter sido confirmadas. Pessoas ficam acampadas esperando a data de lançamento de um iPad porque confiam que Steve Jobs fará o produto certo.

Até o momento as vendas do iPhone 4 não foram afetadas pelo problema. Entretanto, aumenta a cada dia a possibilidade de um possível comprador escutar a pergunta "mas este aparelho não é podre?".

Os advogados já sentiram o cheiro de sangue e começaram os processos. Mais que os efeitos monetários diretos, estes processos podem consumir tempo da Apple e dificultar as soluções (já que o jurídico vai querer analisar o impacto de cada solução proposta nos processos em curso).

Recall?

Soa absurdo imaginar a Apple publicando um anúncio solicitando aos compradores de iPhone 4 levarem seus aparelhos para uma troca ou reparo, para evitar uma perda de sinal quando o produto é segurado de determinadas formas. Mas se ela seguir no rumo atual corre o risco a se obrigada a fazer isto (o que é muito pior que fazer espontaneamente).

Antes dos processos e da notícia sair das páginas técnicas dava para a Apple sair por cima dando um desconto nas capas. Agora ela precisa fazer algo mais forte. E rápido.


Atualização 15/7 9:20: já tem gente literalmente apostando no recall ou não recall.

terça-feira, julho 13, 2010

Vídeo: Rubens Barrichello no Top Gear

Para quem está acostumado a ver um Rubens Barrichello na defensiva enquanto é gozado sem dó, é reconfortante ver ele ser bem tratado neste programa britânico. Top Gear é um programa da BBC sobre automóveis. Um dos quadros deles é colocar pilotos de F1 pilotando um "carro barato e velho" em uma pista de provas e ver se conseguem bater o piloto de testes do programa, o misterioso Stig. Veja como o Rubinho se sai em relação aos tempos de pilotos como Mansell e Hamilton.

Obs: o vídeo foi postado invertido para evitar ser bloqueado. Quem for fluente em inglês (e diga-se de passagem que o Rubinho fala inglês muito bem) pode ver uma parte do vídeo não invertido aqui.

segunda-feira, julho 12, 2010

Dez Anos de .NET

No dia 22 de junho de 2000 a Microsoft anunciou a plataforma .NET; em 11 de julho do mesmo ano foi disponibilizada um versão "pré-beta" no evento PDC 2000 (press release aqui).

Eu comecei a conhecer para valer o .Net em 2001, com um documento (não Microsoft) entitulado "Understanding .NET". Passados dez anos, é interessante revê-lo.


domingo, julho 11, 2010

Jogo do Mês: Freedom Force vs the 3rd Reich

Mais uma coisa para atrapalhar os novos posts no blog: o jogo Freedom Force vs the 3rd Reich (que eu vou chamar aqui de FFVT3R). Eu me interessei pelo jogo quando foi anunciado no GOG e comprei assim que ficou disponível. O estilo comic book, os gráficos bons e as avaliações positivas foram os motivos desta compra impulsiva.


Este jogo é a continuação de um outro (Freedom Force). A trama tem uma certa continuidade que provavelmente deve ser apreciada por quem jogou o jogo anterior, mas é plenamente satisfatória para quem, como eu, nunca tinha ouvido falar em nenhum dos dois,.

FFVT3R é, nas palavras da Wikipedia, um "real-time tactical role-playing game". Em termos práticos:
  • Você comanda times de heróis em missões. Cada missão envolve vários objetivos, alguns primários e outros secundários, e a luta contra adversários. Esta é a parte "tática em tempo real". Durante as missões você acumula pontos.
  • Entre as missões você pode usar os pontos para recrutar novos heróis e treinar os seus heróis (melhorando as habilidades e poderes que ele tem ou acrescentando outros), assim como avançar no enredo que une as missões. É o lado "role-playing".
Existe uma boa quantidade de heróis, cada um com uma dezena de poderes. Existe também uma variedade razoável de inimigos e obstáculos. O resultado é que você deve (pelo menos em teoria) se preocupar em montar os times com os heróis mais adequados e usar os poderes certos em cada instante. Com quatro heróis no time e vários inimigos atacando simultaneamente, coordenar tudo é um grande problema. Como a "inteligência artificial" dos heróis é baixa, você vai precisar "microgerenciar" os ataques, usando e abusando da pausa.

Nunca me destaquei muito na minha habilidade em jogos de ação. Felizmente o nível mais baixo de dificuldade se mostrou adequado para mim. Para quem tem habilidade normal ou melhor existem níveis maiores de dificuldade.

O tom do jogo é (propositalmente?) exagerado. As falas dos heróis são bem grandiloquentes e os vilões uns fanfarrões.

O jogo tem um modo multiplayer, mas não investiguei isto ainda.

Estou jogando em um notebook com Windows Vista (usando um mouse externo) e o desempenho está ótimo. O único senão é que duas vezes ocorreu do jogo encerrar de forma abrupta.

Um guia bastante completo, incluindo um walkthrough, pode ser visto aqui.

Veredito: recomendado. Mesmo que você não tenha experiência com o gênero, acho que vale a pena experimentar, já que o preço é da ordem de grandeza de uma revista (US$5.99).

sábado, julho 03, 2010

Livro de Junho: ReWork

Este não é o tipo de livro que eu normalmente procuraria e a sua compra se deve a alguns "acasos". Mas o fato é que eu comprei, li e gostei de Rework, um livro com conselhos para "empreendedores" (um termo, que eu, como os autores do livro, não gosto).


sexta-feira, julho 02, 2010

Concorra a um Jogo Grátis do GOG.com

falei antes no GOG - Great Old Games (www.gog.com). Eles estão sorteando 10 jogos por dia até domingo (4/julho) - detalhes aqui.

Ao invés de falar sobre as vantagens do GOG, eu prefiro sugerir que vocês leiam o que os usuários dizem.

O único problema que eu tive com o GOG até agora é a minha falta de tempo para jogar o que comprei até agora!

quinta-feira, julho 01, 2010

Java 4-ever trailer

Não importa se você prefere Java ou .Net, o trailer abaixo é ótimo!



Fonte: Dvorak Uncensored