18/05/2009

FAQ Ronaldo: 2. Por que você instalou anti-vírus no celular?

Essa é uma boa pergunta mesmo. Por causa de um SMS bizarro como este:

Data: 24/04
De: +558587141153

WEB:EXPLOSAO DE PREMIO 2009 (SBT),seu aparelho foi o 5 ganhador de 1FIAT PUNTO OKM.lig gratis de 1fixo, vc tem menos de 24hrs! P/0318/596/498/135/SBT!!,

Podem me chamar de paranóico, fiquem à vontade, mas acho que este será o próximo grande problema. E não estou falando de ataques teóricos e em condições ideais por Bluetooth, mas o bom e velho SMS / Torpedo.

Os anti-vírus e filtros de Spam de e-mail já estão bem razoáveis e cada vez mais difíceis de burlar. Fraudadores vivem de brechas e buscam maneiras de explorar novas maneiras de mandar texto para as pessoas. Foi assim com e-mail, comentários de blog, Orkut, Twitter.

SMS tem ainda uma facilidade: "warsmsing", wardialing de SMS. Prefixos de área são previsíveis, prefixos de operadora são previsíveis. Além disso as pessoas fornecem seu número de celular sem imaginar que ele será usado para SMS. Recentemente comecei a receber comunicados de indisponibilidade no Net Virtua por SMS. Muito bonito, mas não pedi.

Se você tem um celular convencional então sinto muito, não há muito o que fazer. Se você tem um smartphone você pode instalar um anti-vírus que, além de obviamente proteger contra vírus, oferece filtro de Spam (por whitelist). Você ainda tem recursos interessantes, ativados por comandos enviados por SMS. Bloqueio do aparelho, limpeza total de dados do usuário, notificação de outro celular do número do SIM card da pessoa que roubou seu aparelho. Coisa de Missão Impossível, para paranóico nenhum botar defeito.

Minhas sugestões são F-Secure Mobile Security e Kaspersky Anti-Virus Mobile. Gostei mais do funcionamento do Kaspersky no Nokia e71 (Symbian S60), mas ambos os fornecedores tem grande experiência em segurança mobile.

05/05/2009

Encerramento do Calendar de Eventos

Encerrei o calendário de conferências de segurança e conferências hacker que mantinha desde 2006. As razões são várias, não vale a pena entrar em detalhes. O calendário estava disponível em:
Agradeço a todos que colaboraram nestes 3 anos!

04/05/2009

FAQ Ronaldo: 1. Por que você comprou um Mac?

Por que deu vontade.

Comprei um MacBook em fevereiro. Sim, aquela loja com entrada em forma de cubo de Nova York me seduziu. Mas minhas razões são outras.

Nos últimos 10 anos tenho tido períodos com experiências radicais, como me forçar a usar somente Linux como desktop em casa por longos períodos. Nos últimos 2 anos tive somente Linux em um laptop Toshiba, mas isto aconteceu porque não queria usar o Windows Vista que acompanhou o produto e me cansei de procurar drivers para Windows XP (driver SATA para o boot já foi difícil). Com Ubuntu tudo simplesmente funcionava (com exceção da interface 802.11 como sempre).

Linux é legal, Ubuntu é um Linux superior, mas me cansei da vida difícil. Linux tem conceitos incríveis, como os dados de aplicação em diretórios do seu home (aplicações prontas para usar depois de uma reinstalação). Me cansei de:
  • OpenOffice. Ainda não confio nele para editar um arquivo MS Office. Provavelmente nunca vá confiar.
  • Som. Inúmeros problemas com som, desde microfone em aplicações que usam Adobe Flash até confusões entre a interface de som embutida e a USB de um fone de ouvido USB. Ainda me sinto um pouco como na época do DOS4GW e configurações de Sound Blaster para jogos no DOS. Mais de 10 anos e som no Linux ainda não é perfeito. Cansei de ser o cara da reunião por Adobe Connect que interrompe tudo para mudar de desktop porque o Linux + ALSA + Adobe Flash não se entendem.
  • Compilar o VMware toda vez que é lançada uma versão nova.
  • Outros atrasos de vida.
E como já sou um power user (não apenas no tipo de usuário do sistema) de Windows e Linux resolvi experimentar algo novo, que me fizesse perder ainda menos tempo com bobagens. Por isso Mac. Outras razões para Mac:
  • Hardware previsível, kernel otimizado direto da caixa. Isto resulta em coisas interessantes como autonomia incrível de bateria e previsão realista de duração da mesma bateria;
  • Sistema Operacional com interação bem projetada e ao mesmo tempo leve;
  • Acabamento superior de hardware. Faz meu antigo Toshiba (que nem era tão antigo assim) parecer um computador feito em uma feira de artesanato;
  • O Standby realmente funciona e sem drenar a bateria;
  • VMware Fusion é realmente muito interessante, especialmente a chamada de aplicações dentro de uma VM (recurso Unity);
  • Dissipação de calor melhor do que a de qualquer laptop que tive.
Não vou desapontá-los e dizer que comprei Mac porque o Mac OS X é mais seguro. Isto não é verdade, é apenas uma questão de estatística. Costumo dizer que o SO mais seguro é aquele que você domina bem. No momento ainda domino mais Windows e Linux.

Tomei algumas medidas básicas que sempre tomo em qualquer dispositivo. Desativar serviços que não utilizo é uma das primeiras, especialmente o mDNSResponder que estava me incomodando.

Como tudo na vida, o encanto total termina rápido:
  • Não há saída VGA, é necessário comprar um adaptador.
  • Apenas duas portas USB, e com uma distância muito pequena entre elas. Esperava algo mais inteligente da Apple.
  • O layout do teclado tem sido inconveniente para VMware Fusion, com uma VM Windows XP. Ainda não resolvi este problema.
  • Não há porta Firewire.
Não vou me transformar num Mactard, da mesma forma como não era um Freetard usando Linux.

Próxima pergunta do FAQ Ronaldo: Como você arranja tanto tempo para ler notícias, saber das novidades?

Quem pergunta isto nas entrelinhas está dizendo "você é um desocupado" ou "sou ocupado demais para isto". E eu digo que você não sabe se informar. Eu não gasto muito tempo, simplesmente sou eficaz na minha "ronda de notícias" e na construção das minhas fontes de notícias. Vou falar sobre isto no próximo post do FAQ.

19/04/2009

Um pouco de terror mobile

Já faz alguns meses que não vejo nada de interessante sobre segurança em Wi-Fi. Os problemas continuam existindo, muitas ferramentas, somente Kismet continua firme, forte e popular. Hora de mudar.

Acho que agora encontrei um assunto mais interessante, segurança em celulares.

Antes de comprar um smartphone minha visão de segurança em celular era apagar o histórico de chamadas regularmente, apagar os SMS enviados e recebidos, definir uma senha para o SIM, backup periódico, não manter fotos armazenadas por mais do que algumas horas, não salvar senhas nas poucas aplicações web que utilizava, não associar grau de parentesco aos contatos do celular. Resumindo, eu tentava apenas redizir o impacto da perda (sou muito distraído) ou roubo do celular. Com um smartphone as coisas são bem diferentes.

Comprei um Nokia e71 recentemente. Uma das primeiras aplicações que instalei foi o Kaspersky Mobile. Muito interessante, daqueles softwares que merecem ser comprados. Atendeu a algumas das minhas preocupações paranóicas:
  • bloqueio do celular pelo envio de um SMS com código;
  • limpeza total de dados de usuário (também por SMS);
  • recurso que aponta quem roubou seu celular. Você define dois números de celular que receberão um SMS avisando qual o número do SIM inserido.
Fiz várias outras coisas interessantes no e71, devo escrever sobre isto em breve.

O e71 tem o Symbian s60 como sistema operacional. Depois de anos no mercado achei que este SO tinha uma boa participação no mercado, mas me enganei.


Nesta pesquisa divulgada em março de 2009 pela Net Applications me senti usando o Linux dos smartphones. Menos bonito, com mais aplicações open source, mais "hackeável" e com baixo market share também. O iPhone é o Windows dos smartphones, por outro lado.

Sendo o Windows dos smartphones imagino que também será o Windows das vulnerabilidades pra celular. Li as principais apresentações da CanSecWest sobre mobile security e conclui que o SO mais preparado para problemas de segurança é Android, do Google.
(não sei você mas eu já me cansei desses títulos com "(in) security")

Os slides das outras apresentações da CanSecWest estão disponíveis aqui.

Concluindo o post de terror sobre smartphones, uma descoberta sobre o comportamento de alguns celulares Nokia.

01/04/2009

Posts Dia da Mentira BrainSniffer

Não estava inspirado para posts de 1 de abril neste ano, mas estava em alguns anos anteriores:
Por favor não caia na brincadeira da passagem da Azul por R$100,00 ida e R$1,00 volta.

Por favor não caia na brincadeira do Google:
Bom Dia da Mentira!

Atualização 02-abr-2009: mais alguns.