terça-feira, 31 de julho de 2012

#FISL 13: Ferramentas de auditoria de redes sem fio

A palestra do Rafael Soares, da Clavis, foi muito interessante e informativa. Ele mostrou as ferramentas da suite Aircrack-NG, utilizada para análise e ataques a segurança de redes sem fio, e falou de algumas outras ferramentas que vale a pena mencionar.

  • A suite Aircrack-NG permite desde a detecção de redes, captura e injeção de pacotes, até quebra de chaves;
  • Kismet - ferramenta para detecção de redes e análise do ambiente, com localização geográfica através de GPS;
  • Karma - permite fazer ataques de FakeAP, identificando redes buscadas no ambiente e se identificando de acordo;
  • Karmetasploit - foi descontinuado, mas funcionava como FakeAP com o diferencial de enviar exploits automaticamente com base nas características dos dispositivos conectados. Nunca foi tão fácil atacar redes sem fio!
  • Beholder - desenvolvido por um brasileiro, funciona como WIDS e detecta o Karma enviando probes para redes exdrúxulas, inexistentes, se alguém responde é porque tem o Karma ativo.

A palestra do Rafael pode ser encontrada aqui. Recomendo conferir!

#FISL 13: Agilidade e software livre na globo.com

Assim como no ano passado, o pessoal da Globo.com fez uma ótima palestra. O Demetrius Arraes Nunes mostrou como migraram das soluções proprietárias para livres, comentando ainda sobre o processo de adoção de métodos ágeis para a gestão das equipes e seus resultados. Vamos aos detalhes.

  • Até 2002, utilizavam software proprietário, desde o hardware de balanceamento de carga até o servidor web e de banco de dados;
    • Servidores Sun com Solaris, Oracle Weblogic, Vignette e Java (antes de ser open source);
  • Atualmente, a maior parte da estrutura é baseada em software livre, restando ainda o banco de dados, onde a Oracle ainda mantém "uma perninha";
    • Linux nos servidores (HP, Dell e IBM), Apache e NGINX, MySQL, MongoDB, REDIS, Virtuozzo, Ruby, PHP, Python, Django, Wordpress, GloboCMS, Varnish;
    • Destaque para o appliance com Varnish que eles montaram, que escalou melhor que soluções proprietárias, e rendeu um prêmio no Cisco Networkers de 2010;
  • É esta estrutura baseada em software livre que suporta  os 5 bilhões de pageviews/mês e 220 milhões de vídeos vistos;
  • O Demetrius fez questão de comentar que a Globo.com usa software livre porque é melhor;
  • Assim como no ano passado, fizeram questão de comentar sobre a transmissão da copa de 2010, que registrou pico de 302 mil transmissões simultâneas e chegou a ser responsável por 15% da banda no país;
  • São mais de 300 profissionais envolvidos;
  • O vídeo das empreguetes teve 7 milhões de visualizações somente na 1ª semana, e o BBB é o maior site da internet brasileira, com 380 milhões de visitas e 220 milhões de vídeos visualizados por mês (triste isso...);
  • Eles têm uma preocupação muito grande com a experiência do usuário (UX - User Experience);
  • São mais de 15 milhões de linhas de código, mais de 2000 servidores;
  • Utilizam métodos ágeis (SCRUM com ciclo de 2 semanas), o que permitiu desfazer a separação entre criação e tecnologia que havia antes, de forma que hoje as equipes trabalham com maior interação. Mostraram um time lapse de um dia de trabalho da equipe;
  • Buscam transparência nas equipes;
  • Todos têm notebooks (mobilidade);
  • O "Espaço Lounge" oferece jogos, integração, etc;
  • O RH promove atividades de integração, que incluem um dia para ser o que quiser na empresa, ocupar o cargo que desejar e fazer o trabalho "pra valer", numa técnica chamada FedEx Day que visa promover inovação, e incentivam qualificação (MBA, Mestrado, participação em eventos, etc);
  • Agile e Software Livre: tudo a ver!
    • Princípios ágeis
      • Software funcionando;
      • Mudanças são bem vindas;
      • Releases frequentes;
      • Colaboração com cliente;
      • Auto-organização;
      • Auto-motivação;
      • Excelência técnica (aspecto destacado pelo Demetrius sobre os profissionais que trabalham com software livre);
  • 3 lições
    • Money Talks - 50% de redução nos custos;
    • Open Source é menos arriscado;
    • Open Source significa mais qualidade - péssima experiência com suporte da Oracle, ótima experiência com comunidades;
  • Retribuindo
    • Mais de 30 projetos ativos;
    • Thumbor - processamento de imagens para portais;
    • Splinter - testes de interface;
    • Stewie - monitoramento de anomalias;
    • Tsuru - computação em nuvem;
    • Bootstrap - front-end accelerator;
    • nginx-push-stream - HTTP streaming;
    • http://github.com/globocom

Sem querer chover no molhado, mas penso que podemos inferir pela experiência da Globo.com que não é necessário ser xiita ou lunático pra perceber as vantagens do software livre. Parabéns pra eles!

#FISL 13: Modelos de Negócio em Open Source - Tendências do mercado e visão de futuro

Nesta mesa redonda estavam simplesmente Cezar Taurion e Roberto Cohen, além do diretor da PROCERGS e um jornalista da região, o Luiz Queiroz. As falas do Taurion e do Cohen, que pude assistir, trataram de questões importantes como a mudança de paradigma que a indústria de software vem passando nos últimos anos, e como empresas como IBM e 4HD estão lidando com isso. Muito interessante. Vamos aos detalhes.

  • Modelos de Negócio em Open Source - Tendências do mercado e visão de futuro - Cezar Taurion
    • IBM - SW proprietário + SW Livre - não são modelos antagônicos, mas complementares;
    • Open Source -> Inovação do processo de desenvolvimento -> novo modelo de negócios;
    • "O maior feito de Linus não foi a criação do Linux, mas a invenção do modelo de desenvolvimento do Linux". A Catedral e o Bazar;
    • Modelos de Negócio Open Source
      • Android - gerar tráfego -> gerar receita com propaganda;
      • Red Hat - serviços, suporte, integração;
      • Mozilla - faturamento vinculado a uso do Google como site de busca;
      • Eclipse - IBM atua com aporte financeiro, ajudando a criar outros produtos, incluindo Rational;
      • MySQL - dual license (GPL e comercial), diz-se que o objetivo era ser vendida - funcionou!
    • Modelo tradicional de software
      • Investir para desenvolver o software, cobrar para remunerar acionistas;
    • Modelo do software livre
      • Impacto inicial: redução de receitas;
      • Resposta da indústria: redução de preços (mas há limites);
    • Competir com software livre não é interessante;
    • Valor percebido pelo mercado x Custo de P&D
      • Chega um momento em que há "excesso de funcionalidade";
      • Investimento não recuperável;
    • O investimento da IBM de 1 bi no Linux em 2001 foi importante para a indústria do software livre
    • Amplitude de utilização -> interesse da comunidade;
    • Código aberto não é suficiente, é necessário ter padrões abertos;
    • IBM gasta ~100 milhões de dólares no Linux Technology Center;
    • Recebe de volta 3 bilhões (valor econômico do Linux), além de gerar economia com o uso em diversas áreas;
    • Disponibilizar um software com licença livre não é fácil
      • Aspectos legais (patentes, etc), tecnológicos (reescrever código, se necessário), regras para a comunidade, infraestrutura, etc;
  • Empurrando a vaquinha do penhasco - Roberto Cohen
    • Por que a 4HD abandonou sua "vaquinha" Fireman para criar um novo software de Helpdesk (Quaizer) ?
    • "É necessário aprender a abandonar produtos campeões" - Peter Drucker;
    • Paradoxo da escolha
      • 90% das iniciativas de seleção de software são abandonadas;
      • Angústia da necessidade de escolher (muitas opções, cada vez mais);
      • Depois, acha que fez má escolha;
    • Quaizer (Service Management Engine)
      • Baseado em Drupal;
      • Motor para gerenciamento de serviços;
      • Drupal suporta cerca de 150 idiomas;
      • Preencher o espaço deixado pelo OCOMON, que ficou órfão;
      • Expectativa de faturar 1 milhão no 1º ano;
      • Idéia é criar um ecossistema em torno do software;
      • http://quaizer.org.

Estas palestras deixaram algumas lições importantes, na minha opinião:

  • A mudança de paradigma é inevitável, e as empresas precisam se adequar;
  • Software Livre é rentável, mas é necessário escolher o modelo de negócio adequado;

É como sempre digo: quem acha que software livre é coisa de nerds malucos fanáticos está certo, mas também é mais que isso, é uma revolução na forma de pensar o desenvolvimento de software, revolução esta que já foi percebida e vem sendo aproveitada pelas empresas mais "antenadas".

E você, continua com "aquela velha opinião formada sobre tudo", inclusive software livre ?

#FISL 13: Migração para código aberto na Dataprev

A apresentação do Cláudio F. Filho foi muito interessante, pois ele apresentou a maneira correta de realizar a migração para software livre. Isso é uma das coisas mais importantes quando se trata de software livre, já que é muito comum vermos processos de migração falharem por situações que poderiam ser evitadas. No blog do Cláudio há um Guia de Migração que vale muito a pena conferir. Vamos à palestra.

  • O que migrar - usuários corporativos (servidor, desktop e notebook), usuários em geral (desktop e notebook);
  • Quando o que o usuário utiliza em casa é o que ele utiliza no trabalho, facilita muito;
  • Não focar no aspecto tecnológico (melhor x pior), mas na funcionalidade. Ele usou uma analogia muito interessante: não importa o carro em que você aprendeu a dirigir, você dirige qualquer um;
  • Migrar em camadas - hardware, sistema operacional, aplicativos (internet, escritório, específicos - negócio);
  • Entre 75 e 95% das necessidades do usuário são relacionadas a aplicativos de internet e escritório (aplicativos críticos, frequentemente tratados de forma inadequada);
  • Atentar para a interdependência entre as camadas e aplicativos. Exemplo: software de abertura de demandas baseado em ActiveX, só funciona no IE;
  • Trabalhar de cima pra baixo, a partir dos aplicativos, eliminando dependências;
  • Migrar para a nuvem é o melhor caminho, pois reduz a necessidade de aplicativos a um único: o navegador;
  • Ainda assim, não é fácil deixar de adotar o Internet Explorer, por exemplo, por conta da interdependência;
  • Aumenta a preocupação com a "maçã", por conta do aumento do uso de Mac OS X e iOS;
  • Principais aspectos: cultura, comunicação, capacitação, multiplicadores;
  • 50% dos esforços estão ligados a pessoas, 33% a aplicativos e sistemas, 17% desktops e servidores;
  • Migração tem que ser feita de cima pra baixo. Primeiro passo tem que ser convencer a alta direção, mostrar ROI, CTO, etc;
  • Classificar itens a serem migrados em fácil, moderado e difícil e projetar cronograma com base nisso - sugestão 24 meses;
  • Ferramenta: WPKG - instalação e remoção de programas em Windows;

#FISL 13: Gerenciamento de computadores no século XXI - A tecnologia #Intel vPro

A palestra do Jomar Silva (@homembit), da Intel, foi interessante para conhecer melhor os recursos oferecidos pela tecnologia Intel vPro.

  • Active Management Technology
    • KVM remoto - permite acessar a máquina remotamente, configurar BIOS e ver inicialização;
    • Serial over LAN (SoL) - permite bloquear acesso via rede e acessar servidor via serial, mas via rede, através de redirecionamento (interessante, hein ?);
    • Redirecionamento remoto de IDE para boot - permite iniciar uma máquina com problema, e ainda mapeia o HD para análise;
    • AES-NI - acelera o processamento de AES, já suportado por aplicações como Crypto++ e OpenSSL;
      • Exemplificou com o boot num ultrabook com disco criptografado em 6 segundos;
    • Intel Secure Key - instrução RDRAND para acelerar geração de números aleatórios;
    • Trusted Execution Technology (TXT) - identifica adulteração em sistema de arquivos e SO e bloqueia inicialização;
    • Virtualization Technology (VT) - isolamento de aplicativos via hardware, aumenta segurança;
    • Anti-roubo - permite desativar remotamente a máquina em caso de roubo, impedindo seu uso, mas de forma reversível;
    • Identity Protection (IPT) - implementa pinpad (teclado para digitação de informações sigilosas, senhas, etc) via hardware, evitando a captura por keyloggers, etc;
    • Informações adicionais em http://www.intel.com/vpro.

#FISL 13: #BI simplificado com #Pentaho

O André Luís Coelho da Silva (@andrewise), da Caixa, fez uma palestra bem interessante, mostrando a experiência dele na Caixa com soluções de BI. Vamos às observações.

  • Grandes iniciativas falharam - BI, DW, DM, Business Objects, Hyperion não deram o resultado esperado;
  • Faltou estratégia - gestores de produto/negócio não sabem o que querem!
  • É difícil encarar o chefe do chefe do chefe e dizer: você está viajando!
  • O problema não estava na TI, nem na ferramenta;
  • O que está errado ?
    • Não sabemos (TI) perguntar!
    • Temos dados demais;
    • Gestores não gostam das respostas;
  • Soluções de BI obrigam gestores a agir, ao revelar os fatos! Alguns gestores não querem isso;
  • Dicas
    • Começar pequeno;
    • Atenção a dados dormentes - "dormem" no banco de dados, ninguém usa, e podem chegar a 80%;
    • Equipe técnica qualificada;
    • Suporte (no caso da CAIXA, fornecido pela 4Linux);
  • Pentaho
    • Uma ferramenta, vários usos: ETL, Estatística, Redes Neurais, Big Data;
    • O usuário não quer um sistema, quer informação para tomada de decisão;
    • Case:
      • Programação em COBOL para extrair dados do mainframe;
      • Dados distribuídos para gestores (Pentaho + PostgreSQL);
      • Há relatórios pré-formatados, mas não são o foco principal;
      • Gestores usam diretamente a ferramenta, pois ELES entendem do negócio, e querem construir suas próprias visões e análises dos dados;
      • Usam ferramenta proprietária de ETL por conta do volume de dados (petabytes!), mas estão testando o Pentaho;
      • Aproveitaram conhecimento dos "micreiros" da CAIXA que estavam na área fim;
      • 3 áreas com cerca de 500 profissionais desenvolvendo software, mais 9 contratos de fábrica de SW;
      • BI descentralizado (nichos) usando Pentaho;
      • BI centralizado ainda usa Business Objects e Hyperion, mas também Pentaho;
      • BI personalizado usando Pentaho e outros;
  • Resumo
    • Dividir necessidades de informação em conjuntos menores, verticalizando, buscando minimizar erros;
    • Pentaho oferece versatilidade;
    • Simplificar para facilitar as perguntas e respostas dos gestores;
    • Suporte da Pentaho para projetos maiores.

O recado foi claro: o Pentaho é versátil, e pode substituir soluções comerciais reconhecidas no mercado e facilitar o uso do BI pelos gestores.

Siga-nos no Twitter!

Curta nossa página no facebook!

Receba os textos via e-mail ou RSS!

Confira outros textos sobre o tema!

#FISL 13: #SSH: dicas e truques sensacionais que (quase) ninguém conhece

A palestra do Álvaro Justen (turikas) e Flávio Amieiro foi muito legal, os caras são umas figuras, e mostraram como utilizar o verdadeiro canivete suiço que é o SSH para fazer algumas coisas bem mirabolantes. Nem vou comentar os detalhes aqui, pois a palestra pode ser conferida no site do Turikas. Enjoy!

ps: não resisti, vou dizer só uma coisinha que o software que eles criaram, SBC, permite. Imagine editar um arquivo em um servidor remoto com um software que está instalado na sua máquina, através de uma conexão ssh, de forma que a tela do editor é exibida na sua máquina, mas o editor é executado no servidor remoto. Confuso, né ? Mas funciona! E é útil! Vale conferir.