terça-feira, 31 de julho de 2012

#FISL 13: Ferramentas de auditoria de redes sem fio

A palestra do Rafael Soares, da Clavis, foi muito interessante e informativa. Ele mostrou as ferramentas da suite Aircrack-NG, utilizada para análise e ataques a segurança de redes sem fio, e falou de algumas outras ferramentas que vale a pena mencionar.

  • A suite Aircrack-NG permite desde a detecção de redes, captura e injeção de pacotes, até quebra de chaves;
  • Kismet - ferramenta para detecção de redes e análise do ambiente, com localização geográfica através de GPS;
  • Karma - permite fazer ataques de FakeAP, identificando redes buscadas no ambiente e se identificando de acordo;
  • Karmetasploit - foi descontinuado, mas funcionava como FakeAP com o diferencial de enviar exploits automaticamente com base nas características dos dispositivos conectados. Nunca foi tão fácil atacar redes sem fio!
  • Beholder - desenvolvido por um brasileiro, funciona como WIDS e detecta o Karma enviando probes para redes exdrúxulas, inexistentes, se alguém responde é porque tem o Karma ativo.

A palestra do Rafael pode ser encontrada aqui. Recomendo conferir!

Postado por às Nenhum comentário:
Marcadores: ,

#FISL 13: Agilidade e software livre na globo.com

Assim como no ano passado, o pessoal da Globo.com fez uma ótima palestra. O Demetrius Arraes Nunes mostrou como migraram das soluções proprietárias para livres, comentando ainda sobre o processo de adoção de métodos ágeis para a gestão das equipes e seus resultados. Vamos aos detalhes.

  • Até 2002, utilizavam software proprietário, desde o hardware de balanceamento de carga até o servidor web e de banco de dados;
    • Servidores Sun com Solaris, Oracle Weblogic, Vignette e Java (antes de ser open source);
  • Atualmente, a maior parte da estrutura é baseada em software livre, restando ainda o banco de dados, onde a Oracle ainda mantém "uma perninha";
    • Linux nos servidores (HP, Dell e IBM), Apache e NGINX, MySQL, MongoDB, REDIS, Virtuozzo, Ruby, PHP, Python, Django, Wordpress, GloboCMS, Varnish;
    • Destaque para o appliance com Varnish que eles montaram, que escalou melhor que soluções proprietárias, e rendeu um prêmio no Cisco Networkers de 2010;
  • É esta estrutura baseada em software livre que suporta  os 5 bilhões de pageviews/mês e 220 milhões de vídeos vistos;
  • O Demetrius fez questão de comentar que a Globo.com usa software livre porque é melhor;
  • Assim como no ano passado, fizeram questão de comentar sobre a transmissão da copa de 2010, que registrou pico de 302 mil transmissões simultâneas e chegou a ser responsável por 15% da banda no país;
  • São mais de 300 profissionais envolvidos;
  • O vídeo das empreguetes teve 7 milhões de visualizações somente na 1ª semana, e o BBB é o maior site da internet brasileira, com 380 milhões de visitas e 220 milhões de vídeos visualizados por mês (triste isso...);
  • Eles têm uma preocupação muito grande com a experiência do usuário (UX - User Experience);
  • São mais de 15 milhões de linhas de código, mais de 2000 servidores;
  • Utilizam métodos ágeis (SCRUM com ciclo de 2 semanas), o que permitiu desfazer a separação entre criação e tecnologia que havia antes, de forma que hoje as equipes trabalham com maior interação. Mostraram um time lapse de um dia de trabalho da equipe;
  • Buscam transparência nas equipes;
  • Todos têm notebooks (mobilidade);
  • O "Espaço Lounge" oferece jogos, integração, etc;
  • O RH promove atividades de integração, que incluem um dia para ser o que quiser na empresa, ocupar o cargo que desejar e fazer o trabalho "pra valer", numa técnica chamada FedEx Day que visa promover inovação, e incentivam qualificação (MBA, Mestrado, participação em eventos, etc);
  • Agile e Software Livre: tudo a ver!
    • Princípios ágeis
      • Software funcionando;
      • Mudanças são bem vindas;
      • Releases frequentes;
      • Colaboração com cliente;
      • Auto-organização;
      • Auto-motivação;
      • Excelência técnica (aspecto destacado pelo Demetrius sobre os profissionais que trabalham com software livre);
  • 3 lições
    • Money Talks - 50% de redução nos custos;
    • Open Source é menos arriscado;
    • Open Source significa mais qualidade - péssima experiência com suporte da Oracle, ótima experiência com comunidades;
  • Retribuindo
    • Mais de 30 projetos ativos;
    • Thumbor - processamento de imagens para portais;
    • Splinter - testes de interface;
    • Stewie - monitoramento de anomalias;
    • Tsuru - computação em nuvem;
    • Bootstrap - front-end accelerator;
    • nginx-push-stream - HTTP streaming;
    • http://github.com/globocom

Sem querer chover no molhado, mas penso que podemos inferir pela experiência da Globo.com que não é necessário ser xiita ou lunático pra perceber as vantagens do software livre. Parabéns pra eles!

Postado por às Nenhum comentário:
Marcadores: , , , ,

#FISL 13: Modelos de Negócio em Open Source - Tendências do mercado e visão de futuro

Nesta mesa redonda estavam simplesmente Cezar Taurion e Roberto Cohen, além do diretor da PROCERGS e um jornalista da região, o Luiz Queiroz. As falas do Taurion e do Cohen, que pude assistir, trataram de questões importantes como a mudança de paradigma que a indústria de software vem passando nos últimos anos, e como empresas como IBM e 4HD estão lidando com isso. Muito interessante. Vamos aos detalhes.

  • Modelos de Negócio em Open Source - Tendências do mercado e visão de futuro - Cezar Taurion
    • IBM - SW proprietário + SW Livre - não são modelos antagônicos, mas complementares;
    • Open Source -> Inovação do processo de desenvolvimento -> novo modelo de negócios;
    • "O maior feito de Linus não foi a criação do Linux, mas a invenção do modelo de desenvolvimento do Linux". A Catedral e o Bazar;
    • Modelos de Negócio Open Source
      • Android - gerar tráfego -> gerar receita com propaganda;
      • Red Hat - serviços, suporte, integração;
      • Mozilla - faturamento vinculado a uso do Google como site de busca;
      • Eclipse - IBM atua com aporte financeiro, ajudando a criar outros produtos, incluindo Rational;
      • MySQL - dual license (GPL e comercial), diz-se que o objetivo era ser vendida - funcionou!
    • Modelo tradicional de software
      • Investir para desenvolver o software, cobrar para remunerar acionistas;
    • Modelo do software livre
      • Impacto inicial: redução de receitas;
      • Resposta da indústria: redução de preços (mas há limites);
    • Competir com software livre não é interessante;
    • Valor percebido pelo mercado x Custo de P&D
      • Chega um momento em que há "excesso de funcionalidade";
      • Investimento não recuperável;
    • O investimento da IBM de 1 bi no Linux em 2001 foi importante para a indústria do software livre
    • Amplitude de utilização -> interesse da comunidade;
    • Código aberto não é suficiente, é necessário ter padrões abertos;
    • IBM gasta ~100 milhões de dólares no Linux Technology Center;
    • Recebe de volta 3 bilhões (valor econômico do Linux), além de gerar economia com o uso em diversas áreas;
    • Disponibilizar um software com licença livre não é fácil
      • Aspectos legais (patentes, etc), tecnológicos (reescrever código, se necessário), regras para a comunidade, infraestrutura, etc;
  • Empurrando a vaquinha do penhasco - Roberto Cohen
    • Por que a 4HD abandonou sua "vaquinha" Fireman para criar um novo software de Helpdesk (Quaizer) ?
    • "É necessário aprender a abandonar produtos campeões" - Peter Drucker;
    • Paradoxo da escolha
      • 90% das iniciativas de seleção de software são abandonadas;
      • Angústia da necessidade de escolher (muitas opções, cada vez mais);
      • Depois, acha que fez má escolha;
    • Quaizer (Service Management Engine)
      • Baseado em Drupal;
      • Motor para gerenciamento de serviços;
      • Drupal suporta cerca de 150 idiomas;
      • Preencher o espaço deixado pelo OCOMON, que ficou órfão;
      • Expectativa de faturar 1 milhão no 1º ano;
      • Idéia é criar um ecossistema em torno do software;
      • http://quaizer.org.

Estas palestras deixaram algumas lições importantes, na minha opinião:

  • A mudança de paradigma é inevitável, e as empresas precisam se adequar;
  • Software Livre é rentável, mas é necessário escolher o modelo de negócio adequado;

É como sempre digo: quem acha que software livre é coisa de nerds malucos fanáticos está certo, mas também é mais que isso, é uma revolução na forma de pensar o desenvolvimento de software, revolução esta que já foi percebida e vem sendo aproveitada pelas empresas mais "antenadas".

E você, continua com "aquela velha opinião formada sobre tudo", inclusive software livre ?

Postado por às Nenhum comentário:
Marcadores: ,

#FISL 13: Migração para código aberto na Dataprev

A apresentação do Cláudio F. Filho foi muito interessante, pois ele apresentou a maneira correta de realizar a migração para software livre. Isso é uma das coisas mais importantes quando se trata de software livre, já que é muito comum vermos processos de migração falharem por situações que poderiam ser evitadas. No blog do Cláudio há um Guia de Migração que vale muito a pena conferir. Vamos à palestra.

  • O que migrar - usuários corporativos (servidor, desktop e notebook), usuários em geral (desktop e notebook);
  • Quando o que o usuário utiliza em casa é o que ele utiliza no trabalho, facilita muito;
  • Não focar no aspecto tecnológico (melhor x pior), mas na funcionalidade. Ele usou uma analogia muito interessante: não importa o carro em que você aprendeu a dirigir, você dirige qualquer um;
  • Migrar em camadas - hardware, sistema operacional, aplicativos (internet, escritório, específicos - negócio);
  • Entre 75 e 95% das necessidades do usuário são relacionadas a aplicativos de internet e escritório (aplicativos críticos, frequentemente tratados de forma inadequada);
  • Atentar para a interdependência entre as camadas e aplicativos. Exemplo: software de abertura de demandas baseado em ActiveX, só funciona no IE;
  • Trabalhar de cima pra baixo, a partir dos aplicativos, eliminando dependências;
  • Migrar para a nuvem é o melhor caminho, pois reduz a necessidade de aplicativos a um único: o navegador;
  • Ainda assim, não é fácil deixar de adotar o Internet Explorer, por exemplo, por conta da interdependência;
  • Aumenta a preocupação com a "maçã", por conta do aumento do uso de Mac OS X e iOS;
  • Principais aspectos: cultura, comunicação, capacitação, multiplicadores;
  • 50% dos esforços estão ligados a pessoas, 33% a aplicativos e sistemas, 17% desktops e servidores;
  • Migração tem que ser feita de cima pra baixo. Primeiro passo tem que ser convencer a alta direção, mostrar ROI, CTO, etc;
  • Classificar itens a serem migrados em fácil, moderado e difícil e projetar cronograma com base nisso - sugestão 24 meses;
  • Ferramenta: WPKG - instalação e remoção de programas em Windows;
Postado por às Nenhum comentário:
Marcadores: ,

#FISL 13: Gerenciamento de computadores no século XXI - A tecnologia #Intel vPro

A palestra do Jomar Silva (@homembit), da Intel, foi interessante para conhecer melhor os recursos oferecidos pela tecnologia Intel vPro.

  • Active Management Technology
    • KVM remoto - permite acessar a máquina remotamente, configurar BIOS e ver inicialização;
    • Serial over LAN (SoL) - permite bloquear acesso via rede e acessar servidor via serial, mas via rede, através de redirecionamento (interessante, hein ?);
    • Redirecionamento remoto de IDE para boot - permite iniciar uma máquina com problema, e ainda mapeia o HD para análise;
    • AES-NI - acelera o processamento de AES, já suportado por aplicações como Crypto++ e OpenSSL;
      • Exemplificou com o boot num ultrabook com disco criptografado em 6 segundos;
    • Intel Secure Key - instrução RDRAND para acelerar geração de números aleatórios;
    • Trusted Execution Technology (TXT) - identifica adulteração em sistema de arquivos e SO e bloqueia inicialização;
    • Virtualization Technology (VT) - isolamento de aplicativos via hardware, aumenta segurança;
    • Anti-roubo - permite desativar remotamente a máquina em caso de roubo, impedindo seu uso, mas de forma reversível;
    • Identity Protection (IPT) - implementa pinpad (teclado para digitação de informações sigilosas, senhas, etc) via hardware, evitando a captura por keyloggers, etc;
    • Informações adicionais em http://www.intel.com/vpro.
Postado por às Nenhum comentário:
Marcadores: ,

#FISL 13: #BI simplificado com #Pentaho

O André Luís Coelho da Silva (@andrewise), da Caixa, fez uma palestra bem interessante, mostrando a experiência dele na Caixa com soluções de BI. Vamos às observações.

  • Grandes iniciativas falharam - BI, DW, DM, Business Objects, Hyperion não deram o resultado esperado;
  • Faltou estratégia - gestores de produto/negócio não sabem o que querem!
  • É difícil encarar o chefe do chefe do chefe e dizer: você está viajando!
  • O problema não estava na TI, nem na ferramenta;
  • O que está errado ?
    • Não sabemos (TI) perguntar!
    • Temos dados demais;
    • Gestores não gostam das respostas;
  • Soluções de BI obrigam gestores a agir, ao revelar os fatos! Alguns gestores não querem isso;
  • Dicas
    • Começar pequeno;
    • Atenção a dados dormentes - "dormem" no banco de dados, ninguém usa, e podem chegar a 80%;
    • Equipe técnica qualificada;
    • Suporte (no caso da CAIXA, fornecido pela 4Linux);
  • Pentaho
    • Uma ferramenta, vários usos: ETL, Estatística, Redes Neurais, Big Data;
    • O usuário não quer um sistema, quer informação para tomada de decisão;
    • Case:
      • Programação em COBOL para extrair dados do mainframe;
      • Dados distribuídos para gestores (Pentaho + PostgreSQL);
      • Há relatórios pré-formatados, mas não são o foco principal;
      • Gestores usam diretamente a ferramenta, pois ELES entendem do negócio, e querem construir suas próprias visões e análises dos dados;
      • Usam ferramenta proprietária de ETL por conta do volume de dados (petabytes!), mas estão testando o Pentaho;
      • Aproveitaram conhecimento dos "micreiros" da CAIXA que estavam na área fim;
      • 3 áreas com cerca de 500 profissionais desenvolvendo software, mais 9 contratos de fábrica de SW;
      • BI descentralizado (nichos) usando Pentaho;
      • BI centralizado ainda usa Business Objects e Hyperion, mas também Pentaho;
      • BI personalizado usando Pentaho e outros;
  • Resumo
    • Dividir necessidades de informação em conjuntos menores, verticalizando, buscando minimizar erros;
    • Pentaho oferece versatilidade;
    • Simplificar para facilitar as perguntas e respostas dos gestores;
    • Suporte da Pentaho para projetos maiores.

O recado foi claro: o Pentaho é versátil, e pode substituir soluções comerciais reconhecidas no mercado e facilitar o uso do BI pelos gestores.

Siga-nos no Twitter!

Curta nossa página no facebook!

Receba os textos via e-mail ou RSS!

Confira outros textos sobre o tema!

Postado por às Nenhum comentário:
Marcadores: , , ,

#FISL 13: #SSH: dicas e truques sensacionais que (quase) ninguém conhece

A palestra do Álvaro Justen (turikas) e Flávio Amieiro foi muito legal, os caras são umas figuras, e mostraram como utilizar o verdadeiro canivete suiço que é o SSH para fazer algumas coisas bem mirabolantes. Nem vou comentar os detalhes aqui, pois a palestra pode ser conferida no site do Turikas. Enjoy!

ps: não resisti, vou dizer só uma coisinha que o software que eles criaram, SBC, permite. Imagine editar um arquivo em um servidor remoto com um software que está instalado na sua máquina, através de uma conexão ssh, de forma que a tela do editor é exibida na sua máquina, mas o editor é executado no servidor remoto. Confuso, né ? Mas funciona! E é útil! Vale conferir.

Postado por às Nenhum comentário:
Marcadores: ,

#FISL 13: Lei de Acesso a Informação - Dados Abertos

Nesta palestra, membros da Casa Civil do governo do RS apresentaram as ações que têm sido encaminhadas no governo, em decorrência da necessidade de atender à Lei de Acesso a Informação sancionada no ano passado pela presidente Dilma Roussef. Algumas observações da palestra:

  • O governo precisa aprender a se relacionar com a sociedade através das redes sociais;
  • O governo já controla o cidadão (através do Imposto de Renda, por exemplo), agora o cidadão deve ser capaz de controlar o governo;
  • Iniciativas de Governo Aberto no RS
    • Participação cidadã, gabinete digital, infovia RS, sala de gestão, RS móvel, inclusão digital;
    • Maratona de dados abertos (1º Decoders-RS) - durante o FISL, um concurso premiou as melhores soluções desenvolvidas para disponibilizar informações ao cidadão, a partir de um conjunto de dados disponibilizados pelo governo;
  • O Governo Federal criou uma Infraestrutura Nacional de Dados Abertos (INDA - MPOG), que estabele diretrizes para a disponibilização de informações ao cidadão;
  • A Juliana Botelho Foernges explicou a implementação da L.A.I. no RS;
    • Grupo de Trabalho formado por 14 órgãos do estado;
    • Normatização, incluindo classificação da informação, e regulamentada através do decreto estadual 49.111/2012;
    • Divulgação de informações, solicitações de acesso mediante formulário em http://www.acessoainformacao.rs.gov.br;
  • O major da PM/RS falou sobre dados abertos na segurança pública
    • Explicou a necessidade de disponibilizar dados de segurança para o cidadão;
    • Trouxe diversos exemplos de dados sobre morte de jovens, violência contra a mulher, entre outros.

Acredito que a experiência do RS pode servir como fonte de informação (e, por que não, inspiração) para outros estados.

Postado por às Nenhum comentário:
Marcadores: ,

#FISL 13: #Scrum com #Kanban - pequenos ajustes, grandes melhorias

O Paulo  Caroli (@paulocaroli) fez uma palestra interessante, "Scrum com Kanban - pequenos ajustes, grandes melhorias", onde mostrou como as duas técnicas podem ser aplicadas em conjunto com ótimos resultados. Vamos às observações.

  • A idéia do KANBAN é garantir uma experiência mais visual do fluxo de trabalho (workflow);
  • Limitar trabalho em andamento (WIP - Work in Progress) é interessante pois melhora os resultados, aumentando as entregas, uma vez que a equipe não inicia mais tarefas do que consegue concluir;
  • A idéia do SCRUM é estabelecer um processo de desenvolvimento iterativo e incremental, com ciclos ou sprints (2 semanas é comum), e tem origem com Frederick Taylor, cujas idéias influenciaram Henry Ford e definiram uma maneira de administrar empresas aplicada até hoje, que inclui a idéia de linha de produção/montagem e workflow (sequência de passos executada por uma pessoa ou time para atingir um objetivo);
  • User stories - conceito que se refere aos requisitos gerais de projeto, quebrados em partes menores visando facilitar a entrega;
  • Workflow visível - exibir num quadro branco uma tabela com as fases do workflow, onde cada coluna é populada com post-its relativos a cada user story, ou seja, ficam visíveis as tarefas "não iniciadas", "em andamento", "em teste", etc;
  • O modelo tradicional de desenvolvimento segue a lógica "Push the Work", em que alguém "atribui" as tarefas, "empurrando" o trabalho para os profissionais;
  • O modelo recomendado, segundo o Paulo, é o "Pull don't Push", em que o profissional decide o que quer fazer depois que termina cada tarefa;
  • Algumas estatísticas interessantes obtidas usando Scrum com Kanban:
    • Lead Time - tempo para terminar um trabalho;
    • Cycle time - intervalo entre duas entregas consecutivas;
    • WIP - controlar número máximo de tarefas em andamento;
    • Quanto maior o Lead Time, pior a qualidade, e quanto menor (mais rápido), mais qualidade (curioso, não ?);
    • WIP é proporcional ao Lead Time médio, e limitar o WIP permite equilibrar o workflow, pois alguém de uma "coluna da tabela" pode ajudar na outra. Exemplo: um desenvolvedor (coluna "em andamento") pode ajudar um testador ("em teste") caso haja muitas entregas a testar, aumentando a quantidade de entregas prontas;
    • Filosofia: "Stop starting, start stopping"

Como completo ignorante em SCRUM, a palestra foi bem instrutiva pra mim, e achei bem interessante a idéia de usar SCRUM com KANBAN.

Postado por às Nenhum comentário:
Marcadores: , , , ,

#FISL 13: Escalabilidade em aplicações

O Flavio Torres, do IG (agora Oi Internet), fez uma palestra bem interessante onde mostrou quais aspectos são importantes na hora de criar aplicações verdadeiramente escaláveis. Ele falou sobre arquitetura de aplicações, servidores web, cache, monitoramento, entre outros aspectos descritos abaixo.

  • Para ele, desenvolver "em casa" dá mais flexibilidade, não limitando uso de tecnologias dominadas pelos fornecedores, e comentou algumas experiências ruins com funcionários com visão muito limitada em se tratando de aplicações escaláveis;
  • Uso de Message Queue para escalabilidade;
  • A solução proposta para ter aplicações escaláveis pode envolver o uso das seguintes soluções:
    • MySQL;
    • Hadoop (para fazer o Map/Reduce);
    • Elasticsearch (para índices);
    • Nodejs (javascript do lado servidor);
    • APIs REST;
    • Python, Java, PHP;
    • Memcache (cache de objetos em memória - tendência);
    • Jetty
    • Varnish (cache web muito, muito rápido!);
    • Mongodb e Apache Couchdb (BDs NoSQL otimizados para busca de documentos);
    • Apache Cassandra e HBase (BDs NoSQL estruturados em coluna);
    • Sones e neo4j (BDs NoSQL estruturados em grafo);
    • Phoenix;
    • Apache e NGINX (servidores web);
    • REDIS (armazenamento chave/valor);
    • Framework rack::cache (pra quem usa Ruby on Rails);
    • Zabbix, JMX, Perf4J, Graylog2, Nagios,  Zenoss (monitoramento).

E então, se sentem mais confortáveis agora para implementar aplicações e infraestruturas escaláveis ? Eu não! :P

A apresentação dele também está no slideshare.

Postado por às Nenhum comentário:
Marcadores: ,

segunda-feira, 30 de julho de 2012

#FISL 13: usando #NOSQL no desenvolvimento de soluções inteligentes

Christiano Anderson, da Nodeware, fez uma ótima apresentação sobre NoSQL, bastante elucidativa, informativa e didática. A apresentação já está disponível no slideshare, e pontuo a seguir os aspectos que considerei mais relevantes.

  • A apresentação foi perfeita para quem não conhecia nada de NoSQL, conceituou os diversos tipos de BD "Not Only SQL", incluindo as estruturas mais adequadas a cada necessidade (documento, chave/valor, coluna, grafo, etc);
  • Apresentou diversos exemplos de bancos de dados NoSQL, com maior destaque para MongoDB e RIAK;
  • Apresentou um comparativo muito útil entre SQL e NoSQL, indicando com exemplos como fazer consultas "SQL" no MongoDB;
  • Indicou MongoDB e RIAK como a melhor forma de começar com NoSQL, uma vez que a "tradução" dos comandos SQL é mais simples, e considerando que o MongoDB possui alguns recursos dos BDs SQL, como índice e replicação;
  • Um conceito muito interessante que não conhecia foi o Sharding, que permite espalhar a informação por diversos nós, com replicação, redundância, além de maior desempenho e escalabilidade;
  • Outro aspecto de destaque da palestra foi a indicação de quando usar a tecnologia NoSQL, recomendada para situações onde há um volume de dados muito significativo, onde há uma necessidade de priorizar escrita, ou em casos onde há alteração frequente no formato dos dados, entre outros cenários apresentados.

Em resumo, a palestra foi uma excelente oportunidade de conhecer mais e melhor a tecnologia NoSQL, e entender um pouco em que cenários deve-se utilizá-la. A apresentação está muito bem feita, e recomendo que confiram na íntegra, é de leitura bem fácil.

Obs: a palestra do Suissa, Bancos de Dados NoSQL de código aberto, seguiu a mesma linha, e também está disponível no slideshare, com o diferencial de que o Suissa é uma figuraça, realmente apaixonado pela tecnologia NoSQL, especialmente pelo MongoDB. Dá gosto de ver :P

Postado por às Um comentário:
Marcadores: ,

#FISL 13: Fuzzer e buffer overflow, a dupla infernal

 

O Paulo Lamellas, do Exército, falou sobre segurança, e demonstrou o passo a passo para a construção de um malware para Windows utilizando as técnicas de Fuzzer e Buffer Overflow. Vamos às observações.

  • Fuzzer é uma técnica para manipulação da entrada ou saída de dados com o objetivo de identificar erros em aplicações;
  • A utilização de comandos como "nmap -se -sC" permite identificar informações de sistema que apontem uma possível vulnerabilidade;
  • Immumity debugger é uma ferramenta útil paara verificar o comportamento de aplicações em termos de registradores utilizados, facilitando assim o uso da técnica de Buffer Overflow;
  • A técnica Fuzzer permite testar chamadas na aplicação com diversos tamanho de buffer até que a aplicação "quebre";
  • A partir daí o trabalho é no sentido de identificar os conteúdos dos registradores e sobrescrever o EIP de modo a apontar para o payload, ou seja, o seu código, criado com o objetivo de explorar a falha na aplicação;
  • O Paulo demonstrou a exploração de uma aplicação FTP para conseguir acesso remoto ao Windows (CMD), e assim criar um usuário na máquina remotamente.

 

    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: Iguana, BI for Open Source and Commercial Systems

    O Márcio e a Rafaela, da Ambiente Livre, fizeram uma apresentação sobre o IGUANA, um projeto que pretende integrar soluções desenvolvidas pela empresa e pela comunidade utilizando Pentaho, WEKA e outras ferramentas. Vamos aos detalhes:

     

    • Eles utilizam uma série de ferramentas na área de Business Intelligence
      • Pentaho para relatórios, cruzamentos de informações, etc;
      • Hadoop para armazenamento de dados distribuídos;
      • Saiku para OLAP;
      • C*tools para criação de dashboards;
      • Open Intelligence para dashboards, OLAP, ETL, etc;
      • WEKA para mineração de dados;
      • HyperSQL para bancos de dados embarcados;

     

    A proposta do IGUANA é ser um conjunto de soluções de BI "plug and play", pré-modeladas para áreas de negócio específicas. Como exemplo, eles demonstraram uma modelagem construída para facilitar a análise das estatísticas de portais que utilizam Joomla, e há várias iniciativas em andamento, com o foco em dotProject, SugarCRM, LimeSurvey, Google Analytics e outros. A idéia é que a comunidade desenvolva mais soluções, e a Ambiente Livre está negociando com seus clientes para que eles permitam que as customizações sejam disponibilizadas como software livre.

    Achei a proposta muito interessante, é esperar que dê certo!

    Postado por às Nenhum comentário:
    Marcadores: , , ,

    #FISL 13: Forense - recovery de dados

     

    Marcus Augustus, do POASEC.org, fez uma apresentação sobre forense com foco em recuperação de dados, e apresentou algumas dicas interessantes. Vamos a elas.

    • É possível identificar a manipulacao de imagens utilizando sites como o errorlevelanalysis.com, atualmente desativado, que permitia a verificação de integridade através de algoritmos que forneciam indicação visual de áreas onde a imagem foi manipulada. Bem legal;
    • É possível recuperar arquivos e partições mesmo após sucessivas formatações, e ele demonstrou o uso do extundelete, uma ferramenta simples para recuperação de arquivos, e do foremost, ferramenta mais robusta, com a qual ele demonstrou o passo a passo para recuperar uma infinidade de imagens de uma partição formatada 3 vezes em sequência.

    A apresentação completa está disponível no site dele.

    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: A doce arte de enganar mentes

    A palestra do Rafael Jaques foi simplesmente sensacional! Ele mostrou, de maneira bastante didática e divertida, os enormes perigos da engenharia social, que atualmente, com as redes sociais, ganhou outra dimensão. A palestra foi bem visual e informativa, e ele já disponibilizou slideshare. Recomendo conferir!

    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: Mineração livre de dados

    O Mauríco e o Adewale são baianos, estudam na UFBA, e apresentaram o software WEKA - Waikato Environment for Knowledge Analysis, uma ferramenta muito interessante para mineração de dados. Vamos às observações sobre a palestra.

    • Os palestrantes apresentaram a OxenTI, a empresa deles, que fornece serviços em mineração de dados e áreas correlatas;
    • "Lei de Moore" diz que o processamento dobra a cada 18 meses, mas a capacidade de armazenamento dobra a cada 10 meses, o que gera um descompasso entre a capacidade de produzir e tratar os dados;
    • Knowledge Data Discovery (KDD) é o processo de extração de informação de bases de dados e criação de relações de interesse não percebidas "a olho nú";
    • Tarefas envolvidas no processo de KDD
      • Associação de dados - ex:clientes que compram pão também compram leite;
      • Padrões sequenciais - ex: alguém compra um carro, e 6 meses depois compra pneus;
      • Classificação e predição;
      • Análise de clusters - agrupar informações com base em comportamentos;
      • Análise de outliers - identificar informações fora do padrão.
    • Técnicas utilizadas
      • Árvore de decisão - árvore que estabelece um processo evolutivo que leva a uma decisão com base na relação entre as informações;
      • Redes neurais;
    • O WEKA
      • Desenvolvido em Java, pela Universidade Waikato, na Nova Zelândia;
      • É também conhecido como Pentaho Data Mining;
      • Oferece recursos de data mining e machine learning, permitindo realizar análises de dados de forma simples;
      • Possui diversos módulos, e uma interface intuitiva de fácil utilização (abaixo uma tela de exemplo);
      • Há extensa documentação da ferramenta e uma lista de distribuição.

    Fiquei bem impressionado com o software, especialmente pela facilidade para importar dados a partir de arquivos CSV ou ARFF, bem como para realizar as análises, bastando selecionar os atributos de interesse e, claro, conhecer os algoritmos (são muitos!) que se aplicam ao conjunto de dados em questão. Pretendo aprofundar os estudos na ferramenta o quanto antes.

    Postado por às Nenhum comentário:
    Marcadores: , , ,

    #FISL 13: Copyrights, patentes e software livre: do advoguês ao português

     

    O professor e doutorando da USP Nelson Posse Lago, fez uma das melhores palestras que tive a oportunidade de assistir neste FISL, mostrando a origem do copyright e das patentes, criados com o objetivo de viabilizar a remuneração pelo trabalho criativo, e refletindo sobre sua aplicabilidade com relação ao desenvolvimento de software, que apresenta diversos problemas e causa prejuízos, especialmente para o processo criativo e, mais fortemente, ao desenvolvimento do software livre.

    Infelizmente, não encontrei a palestra completa do Nelson para disponibilizar aqui, mas vou continuar tentando. Assim que conseguir, atualizo aqui.

    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: Tendências web - estatísticas

    A palestra do Heitor, do NIC.BR, apresentou alguns dados interessantes, embora o apresentador não tenha sido feliz na condução da palestra.

    • Projeto "TIC WEB" do NIC.BR avalia a aderência dos sites mais acessados no mundo (top 1 milhão do Alexa) e do Brasil, e as informações são disponibilizadas em  http://labs.ceptro.br/topsites e http://labs.ceptro.br/brsites;
    • Apenas 24% dos sites do Top 1 milhão do Alexa validam W3C, cerca de 2% do Top 1000 e 3% dos sites mais acessados no Brasil;
    • Alguns padrões importantes: WCAG, ATAG e UAAG (W3C), E-MAG (Governo do Brasil);
    • Algumas ferramentas para validação: WAVE, ASES, FAE, WAEX, VISCHECK, HERA, HTML TIDY, WAT-C, WAHELPER, ACCHECKER;
    • Apenas 8% dos sites validam com relação aos padrões de acessibilidade nível 1, sendo cerca de 6% dos Top 1000, e cerca de 8% dos brasileiros;
    • Suportam IPv6 cerca de 4% dos sites, aproximadamente 16% do Top 1000, e cerca de 2% dos brasileiros;
    • Validador IPv6: validador.ipv6.br.
    Postado por às Nenhum comentário:
    Marcadores: ,

    domingo, 29 de julho de 2012

    Tomahawk, seu player integrado às redes sociais incluindo #grooveshark, #last.fm e mais!

    Comecei a testar o Tomahawk, e estou impressionado com as funcionalidades, especialmente a integração com o Grooveshark (vide abaixo) e a opção Charts, que permite conferir as músicas que estão bombando por país, com informações do iTunes, Billboard e muito mais! Acho que encontrei a forma ideal para descobrir novidades, já que antes acessava o site da Billboard ou o Grooveshark pra ouvir, mas um player com tudo isso integrado e ainda a minha biblioteca local é muito, muito melhor! E tem mais: dá pra consultar as músicas que estão fazendo sucesso no nosso Brasil também, diferente de outros sites, serviços e aplicativos, que limitavam as informações aos EUA e alguns outros países. Definitivamente, é o melhor player que já tive a oportunidade de usar!

    Alguns detalhes sobre o Grooveshark, publicados no boletim de 12/09/2011.

     

    Grooveshark é show!!! Só falta o Groovejaar conseguir baixar as músicas :P

    O Grooveshark é o Napster do momento. Nem precisa cadastrar, é só acessar e começar a ouvir as músicas do seu artista preferido! De quebra, criaram o Groovejaar, um aplicativo que baixa as músicas do Grooveshark. Nos meus testes não funcionou. Ainda.

    Siga-nos no Twitter!
    Curta nossa página no facebook!
    Receba os textos via e-mail ou RSS!
    Confira outros textos sobre o tema!

    Postado por às Nenhum comentário:
    Marcadores:

    sexta-feira, 27 de julho de 2012

    #FISL 13: Perícia digital com software livre


    O Evandro Della Vecchia (evandro@poasec.org), perito criminal do governo do RS, apresentou conceitos, técnicas e ferrametnas usadas em perícia digital, também chamada de forense digital. Vamos aos detalhes:
    • Post mortem x live forensics

      • Máquina desligada - sem acesso a dados da memória, somente armazenamento não volátil;
      • Máquina ligada - pode acessar dados em memória e obter melhores resultados, especialmente em casos como de criptografia de disco;
    • De dados ou equipamentos

      • Dado é mais comum;
      • Citou um exemplo de equipamento, onde foram identificadas características que permitiam determinar data e hora de impressão de documentos e modelo de impressora utilizado, a partir da versão impressa;
    • Fases
      • Identificação - mostrou situações curiosas, onde pen drives "esquisitos" poderiam passar despercebidos (ursos de pelúcia, pregadores, canetas, etc);
      • Coleta - uso de ferramentas como dd, helix, dcfldd (mostra andamento) para obter informações de discos e partições e viabilizar a análise dos dados sem comprometer os dados originais. Uso de hash para garantia de integridade;
      • Exame e Análise - uso de ferramentas como mmls para obter informação de partições,  análise do setor de boot e extração de partição com dd, excluindo os 32 setores iniciais do disco para facilitar o uso posterior. Uso de fsstat para obter informações do sistema de arquivos, e istat para detalhes de inodes, além do foremost para recuperação de arquivos, no estudo de caso imagens;
      • Conclusão - laudo com o resultado do exame e análise.
    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: Estrutura de dados abertos da Dataprev

    O Leonardo Cezar apresentou a estrutura da Dataprev para prover dados aos cidadãos, com base na Lei de Acesso à Informação, e seguindo as diretrizes da Infraestrutura Nacional de Dados Abertos (INDA). Vamos aos detalhes:
    • Soluções pesquisadas
      • Socrata.com - software proprietário, com muitos recursos, usado no data.gov;
      • CKAN
        • indexação de documentos;
        • Pesquisa por palavra chave;
        • Visualização de dados (mapas, etc);
        • API REST;
        • Livre;
        • Usado no data.gov.uk.
        • Solução escolhida pela Dataprev;
    • Plugins pra drupal e wordpress foram pesquisados também;
    • Estrutura
      • Servidor web NGINX (recomendado pelo CKAN);
      • PostgreSQL;
      • Integração com intranet (Drupal) e interrnet (Wordpress);
      • Obtém dados do BI com DardoWeb.
    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: SpagoBI

    O Miguel Koren O'Brien, da Konsultex (miguelk@consultex.com.br), apresentou o SpagoBI, uma solução que tem ganhado espaço recentemente. Vamos às anotações da palestra:
    • Usos de BI - Reporting, OLAP (análise multidimensional), Indicadores (KPIs), Business Performance Management, Mineração de Dados, Location Intelligence;
    • A Konsultex está envolvida num projeto relacionado à extinção do mico-leão dourado, que envolve a integração de BI com GIS (Location Intelligence);
    • O Open Geospatial Consortium define padrões na área de GIS;
    • A área de BI não é muito padronizada;
    • Por que BI Open Source ?
      • A solução é mais importante que o produto, mas produtos custam mais que o projeto;
      • Produtos BI são geralmente sub-utilizados;
      • Soluções são restritas devido a falta de uso generalizado;
      • Open Source permite experimentar antes de comprometer;
      • O cliente não é refém do fornecedor do software;
      • Sem custo não significa sem valor !
    • Por que empresas selecionam Open Source (BeyeNetwork - 2009)
      • Custo, independência de fornecedor e confiabilidade são as principais razões;
    • SpagoBI
      • 100% livre;
      • Suite completa, robusta, segura e escalável;
      • Solução corporativa;
      • Altamente customizável;
      • Patrocinado pela Engineering Group e comunidade (consórcio OW2);
      • Suporte técnico no Brasil;
      • integrável com inúmeras soluções, como Business Objects, OLAP, Jasper, BIRT e muitos outros, embora haja algumas limitações;
      • Possibilidade de trabalhar com visão gráfica (fluxos de processos e atividades, por exemplo), cartográfica (mapas) ou geográfica (projeção de cores sobre mapas para destacar áreas com alguma característica, por exemplo);
      • Suporta ETL através de webservices (exemplo com informações do Banco Central de indicadores econômicos - emprego, inflação, etc);
      • O SpagoBI é uma plataforma de integração, o que dá mais liberdade para construir o BI;
      • Engines para geolocalização
        • GEO Engine: informação cartográfica e gráfica;
        • GIS Engine: informação geográfica em arquivos GEOjson ou servidor GIS;
    • Exemplo
      • Uso de arquivos GEOjson, embora BI Studio do SpagoBI permita desenhar documentos analíticos;
      • Dados obtidos por fontes JDBC;

    Curta nossa página no facebook!

    Postado por às Nenhum comentário:
    Marcadores: ,

    quinta-feira, 26 de julho de 2012

    #FISL 13: IPv6: Isso é pra valer ?

    O Antônio Marcos, do NIC.BR, mostrou porque devemos nos preocupar com o IPv6 e detalhou uma série de questões importantes, especialmente as situações complicadas que provedores e usuários enfrentarão à medida que o IPv4 se esgota, algo que já começou a ocorrer. Vamos aos detalhes:
    • Os testes realizados, como o World IPv6 Day e a semana de testes no Brasil em fevereiro, foram importantes para mostrar que a ativação do IPv6 deve trazer pouco impacto para os serviços atualmente em funcionamento, e abriu caminho para o World IPv6 Launch, quando muitos sites grandes, provedores e outras empresas e serviços ativaram o suporte a IPv6 emdefinitivo, com pouquíssimos problemas reportados;
    • O IPv4 já acabou na Ásia, e deve acabar no Brasil entre meados de 2013 e 2014, o que significa que novos clientes terão apenas IPv6, ou IPv4 compartilhado mediante "gambiarras";
    • O problema é que as gambiarras trazem efeitos colaterais graves, como no caso do NAT444, que é problemático para aplicações VoIP e ainda quebra a neutralidade da rede, na medida em que causa dupla tradução, e consequentemente aumenta a dificuldade no acesso a sites que utilizem esta técnica;
    • Como fica o suporte para os dispositivos do usuário: roteadores wifi, modens banda larga, etc ?
    • Smartphones: android suporta, iphone só nas versões com 4G (até o momento), alguns Nokia (N95), e só... muitos aparelhos sem suporte;
    Não esperava muito da palestra do Antônio, pois já estava ciente de algumas das questões apresentadas, e tenho me informado sobre IPv6 hpa algum tempo. Mas tive a grata surpresa de ver que a palestra, apesar do tom positivo adotado pelo Antônio, dizendo que o suporte tem evoluído bem, apresentou também questões importantes e problemáticas que precisam ser tratadas o quanto antes. Apesar de o Brasil estar em 2º lugar no mundo em quantidade de provedores que já solicitaram endereços IPv6, o recado é claro: ainda há muito a fazer, e a bomba vai estourar (em plena copa do mundo!), se as medidas devidas não forem tomadas.
    Curta nossa página no facebook!
    Postado por às Nenhum comentário:
    Marcadores: ,

    #FISL 13: Tape's not dead

    O Lucas, da IBM, mostrou porque a fita não está morta. Vamos aos detalhes:
    • Cerca de 51% dos dados do mundo estão em fita;
    • Longevidade típica de 30 anos, enquanto HDs de 7 a 10 anos;
    • SATA vs LTO-4
      • Custo por terabyte ~23:1
      • Energia ~290:1,
      • Bit Error Rate (BER) uma ordem de magnitude maior;
    • Inconvenientes de LTO
      • Não há padrão para formato (TAR é comum, mas tem problemas);
      • Não são autocontidas (dependência de banco de dados no servidor de backup, etc);
    • LTO - Linear Tape Open
      • Consórcio com grandes empresas;
      • LTO-5: 1,5 TB sem compressão, 140 MB/s, particionamento dual - duas partições podem ser criadas;
    • LTFS - Linear Tape File System
      • LGPL
      • Funciona com FUSE;
      • API permite acessar informações como índice da fita de forma mais eficiente;
      • Permite usar fita como mídia removível;
      • Usa o particionamento do LTO-5, uma partição de índice - 2 wraps, 37,5 GB, partição de dados com o restante.
    Eu achei a sacada da IBM genial! Criar um sistema de arquivos que facilite a utilização das fitas LTO, dando uma sobrevida ainda maior para os dispositivos e para o padrão, e agregando funcionaliades importantes para as inúmeras empresas que possuem legado e soluções de backup baseadas em fita.
    Curta nossa página no facebook!

    Postado por às Um comentário:
    Marcadores: , ,

    #FISL 13: Autenticação de dois fatores em Linux

    O José Damico mostrou como implementar autenticação de dois fatores em Linux, com diversos exemplos de código e demonstrações com Arduino. Vamos aos detalhes:
    • O OAUTH prevê alguns algoritmos - HMAC-based One Time Password (HOTP), Time-based One Time Password (TOTP), Chalenge Response Algorithm (OCRA);
    • Exemplos baseados em TOTP;
    • Janela de validação - tokens dentro de um certo período são aceitos. Bancos com janela de validação de 6 horas!
    • Pode ser necessário digitar dois ou três números gerados pelo token para sincronizar, por conta do período de fabricação;
    • O número de série (Oath prefix + Fabricante + serial) deve ser associado a características do usuário para efeito de associação, como identificar o token relacionado a um cliente e sua conta em determinado banco, por exemplo;
    • O Hardware / Software Module (HSM) é um aparelho inviolável utilizado para armazenar as sementes a partir das quais os códigos são gerados. Há implementações que armazenam as sementes em outros dispositivos não-HSM, motivo pelo qual há problemas de vazamento de códigos e sementes;
    • Implementação em Arduino com C++ demonstrou como sincronizar e utilizar um token "caseiro" com uma aplicação;
    • O Portable Symetric Key Container (PSKC) é um XML criptografado com a lista de sementes dos tokens a serem importados na sua estrutura, de modo a simplificar o processo de ativação e sincronização dos tokens numa empresa;
    • Diversos exemplos de código disponíveis no github - TOTP, PKSCBuilder, etc.

    A palestra do José Damico mostrou como é possível desenvolver aplicações corporativas que fazem uso de autenticação baseada em tokens de forma segura, confiável e com baixo custo.

    Siga-nos no Twitter!
    Curta nossa página no facebook!
    Postado por às 5 comentários:
    Marcadores: , , ,
    Assinar: Postagens (Atom)