Twitter sofre ataque XSS

Impressionante como cada tecnologia que se cria logo se usa alguma ferramenta para o mal. Isso acontece em todas as áreas, desde sistemas operacionais até simples APIs de sites de relacionamento.

A última vítima, hoje pela manhã, foi o microblog Twitter, que teve um ataque que partiu do usuário @test_nau e foi confirmado pela equipe do Twitter próximo às 11 horas de hoje (horário de Brasília).

O script de site transverso (Cross-Site Script ou XSS) é uma função bem legal, onde tu podes rodar um script que está hospedado em outro site dentro de teu blog, por exemplo, e é muito usado para divulgações virais utilizando-se sites de relacionamento (como Orkut, Facebook, Twitter e outros). Graças a essa tecnologia, pessoas não precisam ser programadores ou terem acesso direto à hospedagem do site para incluírem funções legais aos seus blogs ou sites, como, por exemplo, meu post sobre o DebianDay deste ano, onde rodo um script hospedado em outro site para fazer os balões festivos do Debian.

No entanto, isso abre uma brecha de segurança, como ocorreu no Twitter, pois o script pode ser malicioso. E no caso no Twitter foi mais fácil, pois grande parte das pessoas utilizam a interface Web para colocar seus “O que estou fazendo?”, logados e com toda a interface bem conhecida à disposição de quem conhece a ferramenta como programador. Criar um script que force os leitores a retwittar tornou-se algo simples.

Mas o ocorrido hoje pela manhã expõe algo muito mais grave, pois esse script inocente que obriga os usuários do Twitter a retwittar uma mensagem poderia, por exemplo, fazer com que a máquina do usuário fosse infectada por algum vírus, gerar mensagens de spam sem controle ou até capturar dados particulares das vítimas.

Felizmente a equipe de desenvolvimento do Twitter agiu rapidamente e acabou com a possibilidade de XSS nos twits. Ganha-se em segurança, mas perde-se parte da capacidade de divulgação viral que tornou essa ferramenta tão conhecida. Como dizia o tio do Piter Parcker: “Grandes poderes requerem grande responsabilidade…”

WordPress e Twitter

Estou testando alguns plugins de Twitter para o WordPress, mas até agora não consegui um que fizesse seu serviço bem. Vou continuar analisando para encontrar um que funcione legal. O TwitterTools na versão 2.4 está bugado e não parece funcionar direito, apesar de ter gente que votou como funcional… Sei lá… pode ser que eu esteja fazendo algo errado.

LTSP5 em Debian Squeeze – Uma solução viável

A nova versão do Debian já está no forno, falta pouco para ser lançada – questão de alguns meses -, e vejo que essa, como as anteriores, será a melhor versão de Debian já lançada.

Pois é, todas as versões de Debian são as melhores já lançadas até seu lançamento, mas essa tem uma questão realmente interessante e muito forte: Velocidade na inicialização da máquina.

Recentemente fui contratado pelo Sindicato dos Bancários para efetuar a instalação e configuração de um sistema LTSP em substituição do existente devido a, entre outras coisas, reduzir drásticamente o tempo de Boot das estações (estavam levando até 3 minutos para inicializar) e alguns problemas com navegador Firefox em um sistema interno.

Bem, realmente a situação era alarmante. Parecia algo bem complicado, mas pensei bem e concluí: por que não? Afinal, conheço bem o sistema, conheço a estrutura do cliente e conheço os limites onde posso levar minhas exigências de carta branca…

Pois peguei o servço e decidi usar o Debian Squeeze, mesmo estando na fase testing, para ver o que daria em um ambiente de testes. Como era para testes preliminares, achei que poderia dar muitos problemas de estabilidade, mas me espantei ao ver como o Squeeze já está estável. E mais, rápido demais.

Nesse teste simples, tirando a questão de virtualização do meio, com Squeeze (o que não é o mais recomendado – usar um S.O. beta para um projeto de tamanha importância), reduziu-se o tempo de Boot das estações a, pasmem, 1 minuto e meio (isso mesmo, quase pela metade do que eles tem em produção), com uma performance de audio e vídeo excelentes.

Depois passei para a fase seguinte: Instalar dentro da virtualização para verificar se o ambiente continua estável, firme e ágil. Tendo isso testado e aprovado, acho que posso deixar a versão Squeeze já em produção (por minha conta e risco, pois sendo um sistema em desenvolvimento, extendi o suporte até 2 meses após o lançamento do Debian Squeeze).

O ambiente mostrou pouquíssima perda de performance. O Boot das estações ficou em pouco mais de 1 minuto e 40 segundos, o que é um tempo razoável perto do que eles tinham, e o tempo de logon não passou dos 30 segundos, ficando um pouco mais rápido que o sistema que eles usam atualmente.

No entanto, nem tudo são flores. O subsistema de utilização de pen-drives e CD-ROM remotos das estações apresenta um pequeno bug, já relatado e bem documentado, e não pude colocar o sistema em produção devido a isso.

No entanto, o sistema está rodando em paralelo ao sistema antigo, atualmente com 4 beta-testers (4 estações tirando proveito das melhorias, mesmo perdendo o uso dos pen-drives) e estou aguardando a correção do bug para atualizar o sistema e definitivamente colocá-lo em produção.

Em suma, o sistema Debian Squeeze já está um ótimo sistema para uso em estações de trabalho (meu computador de casa e meu notebook utilizam-no) e até em alguns servidores de menor complexidade e importância. Agora só faltam algumas correções e BUM, teremos a melhor versão de Debian de todos os tempos!

Neste sábado inicia a preparação do FISL12.

Neste sábado ocorrerá em Porto Alegue o início da organização do 12° Fórum Internacional do Software Livre, que ocorrerá entre os dias 29 de Junho e 2 de Julho de 2011.

Apesar de se ter pouco mais de 2 meses do final do evento deste ano, a Associação SoftwareLivre.Org dará início às tratativas de organização do FISL12 neste final de semana, em sua sede em Porto Alegre, reunindo toda a comissão organizadora do evento em um Seminário de 4 horas de duração.

Nesse período espera-se definir questões importantes para que o FISL12 seja um evento sem igual.

Mais informações em breve.

Neste sábado ocorrerá em Porto Alegue o início da organização do 12° Fórum Internacional do Software Livre, que ocorrerá entre os dias 29 de Junho e 2 de Julho de 2011.

Apesar de se ter pouco mais de 2 meses do final do evento deste ano, a Associação SoftwareLivre.Org dará início às tratativas de organização do FISL12 neste final de semana, em sua sede em Porto Alegre, reunindo toda a comissão organizadora do evento em um Seminário de 4 horas de duração.

Nesse período espera-se definir questões importantes para que o FISL12 seja um evento sem igual.

Mais informações em breve.

Um dia para comemorar o Projeto Debian

Hoje ocorreu o Debian Day 2010 Porto Alegre, um evento um tanto intimista da distrubuição GNU/Linux Debian.

Com 17 anos de vida o Projeto Debian comemorou seu aniversário em Porto Alegre chamando amigos para um bate papo e ums sessão de “cinema” na Casa dos Bancários, sede do Sindicato dos Bancários de Porto Alegre.

Debian Day Porto Alegre 2010Hoje ocorreu o Debian Day 2010 Porto Alegre, um evento um tanto intimista da distrubuição GNU/Linux Debian.

Com 17 anos de vida o Projeto Debian comemorou seu aniversário em Porto Alegre chamando amigos para um bate papo e ums sessão de “cinema” na Casa dos Bancários, sede do Sindicato dos Bancários de Porto Alegre.

O evento iniciou-se com uma pequena abertura, com participação de Sady Jacques, Embaixador do FISL e sócio fundador da Associação Software Livre, e seguiu com minha palestra “Não sou programador, como posso ajudar o Projeto Debian?”, que explica o que é o projeto Debian, como ocorre seu desenvolvimento, apresenta alguns motivos que me levam a usar Debian e como que cada um, com seu conhecimento e sua vontade pode ajudar o projeto a continuar se desenvolvendo.

Na sequência, Sady Jacques foi o “dono do microfone”, criando um ambiente descontraído de conversa para falar sobre as necessidades dos movimentos de software livre.

Após um pequeno intervalo, André Felipe Machado entrou com um conhecimento mais profundo sobre sistemas de arquivos e como fazer um ajuste fino para obter a máxima produtividade, agilidade e performance em sistemas de arquivos mais usados em pequenas empresas.

Após o encerramento oficial, foi apresentado o filme ‘The Code’ legendado, um documentário de TV que apresenta o nascimento do kernel Linux, criado por Linus Torvalds.

O evento contou com 28 participantes, que receberão certificados de participação via e-mail em breve.

Gostaria de agradecer à Associação SoftwareLivre.Org por ajudarem tanto com a comunicação do evento e a presença da Rádio e TV SoftwareLivre, ao SindBancários por essa maravilhosa parceria que permitiu que o evento ocorresse em suas dependências, à comunidade TcheLinux que teve participação no evento e a todos aqueles que deixaram suas famílias nesse sábado frio para estarem nesse maravilhoso evento.

Debian Day Porto Alegre 2010 participe você também!

Este ano a distribuição GNU/Linux Debian completará 17 anos, a comunidade Debian através do GUD-RS (Grupo de Usuários Debian do Rio Grande do Sul) com apoio da ASL (Associação SoftwareLivre.Org) e do SindBancários (Sindicato dos Bancários do Rio Grande do Sul) realizará o evento Dia Debian 2010 na cidade de Porto Alegre.

Além de divulgar o projeto Debian por meio de palestras e do clássico InstallFest este evento também irá contribuir para levar até o público em geral a filosofia do Software Livre.

Este ano a distribuição GNU/Linux Debian completará 17 anos, a comunidade Debian através do GUD-RS (Grupo de Usuários Debian do Rio Grande do Sul) com apoio da ASL (Associação SoftwareLivre.Org) e do SindBancários (Sindicato dos Bancários do Rio Grande do Sul) realizará o evento Dia Debian 2010 na cidade de Porto Alegre.

Além de divulgar o projeto Debian por meio de palestras e do clássico InstallFest este evento também irá contribuir para levar até o público em geral a filosofia do Software Livre.

Flayer Debian Day Porto Alegre 2010
Flayer Debian Day Porto Alegre 2010

Migração não é fácil… mas quem disse que seria???

Pois é… Estou oficialmente contratado por tempo indeterminado pela APCEF/RS, a Associação do Pessoal da Caixa Econômica Federal do Rio Grande do Sul, e desde o início de novembro estou cheio de coisas para fazer com o novo servidor que a associação comprou.

Pois é… Estou oficialmente contratado por tempo indeterminado pela APCEF/RS, a Associação do Pessoal da Caixa Econômica Federal do Rio Grande do Sul, e desde o início de novembro estou cheio de coisas para fazer com o novo servidor que a associação comprou.

Trata-se de um Dell PowerEdge T310 com processador Xeon QuadCore, 4 GiB de RAM, dois discos de 500 GiB em Raid e quatro interfaces de rede Gigabit Ethernet. Confesso que não é a máquina mais poderosa com a qual já trabalhei, mas, com certeza, é a máquina poderosa com a qual a APCEF/RS já trabalhou.

Assim que a recebemos, instalei um Debian Lenny x86_64 e iniciei as configurações de um servidor Samba simples. A idéia se modificou durante o mês de novembro e acabou se tornando um servidor de dados completo, sendo o principal servidor da empresa.

Meu prazo de entrega era no dia 20/11, mas devido a uma confusão e alguns eventos que precisavam de atenção especial de criação gráfica, a migração final atrasou em uma semana, sendo migrado neste último fim de semana. E aí chegamos ao título desta postagem.

Uma migração nunca é simples e, de maneira alguma, é simplesmente virar uma chave e tudo está funcionando no novo servidor. Por isso não se faz uma migração anual. Quando se prepara um servidor é para ficar durante anos… no meu caso, pelo menos 5 anos. Não que acredite que a máquina se manterá top por tanto tempo, mas acredito que se deve utilizar todo o tempo de vida da mesma a serviço da empresa, antes de poder passar por uma nova situação desta.

O problema maior desta situação é o momento em que ocorreu… Explico: um administrador de redes recém chegado, especialista em infra-estrutura de redes, encontra uma rede que está funcionando de maneira aceitável e decide que é necessário melhorar. Isso já é motivo para criar tensão entre os colegas. Mas para piorar, a migração muda levemente o fluxo de trabalho, facilitando para alguns e gerando incômodo temporário para outros.

Mas pessoas que usam a informática muitas vezes não percebem que a situação incômoda é temporária e que após esse momento o sistema torna-se mais estável e confiável. E aí surgem problemas de relacionamento… Bochichos sobre a pessoa e sua competência, veneninhos que se espalham como baratas pelo ambiente, escondidas e maliciosas, que podem derrubar um profissional competente que ainda não tem a confiança da diretoria.

Felizmente não foi o meu caso. Em apenas 3 meses consegui cativar um nível de confiança da diretoria que permite que tais incômodos não sejam um empecílio para a manutenção de meu cargo. Também devo acrescentar que nesse trabalho estou bem assessorado com um colega que ajuda muito na pronta solução de dificuldades e com apoio junto à diretoria.

Nos últimos 3 dias, passei a maior parte do tempo arrumando configurações em máquinas, acertando coisas que todos precisavam com muita urgência, pulando de máquina em máquina acertando a prioridade de cada um. Não foram dias fáceis… mas quem disse que seriam, né?

DebianDay2009 em Porto Alegre

Um dia para comemorar o aniversário do Projeto Debian

Chegou o grande momento. Depois de quase 2 meses de preparação, nesse sábado (22/08/2009) será a vez de Porto Alegre comemorar o aniversário do Projeto Debian Mundial, e a comemoração será em grande estilo, na sede do SindBancários (Rua Gen. Câmara, 424, no Centro de Porto Alegre).

Um dia para comemorar o aniversário do Projeto Debian

Chegou o grande momento. Depois de quase 2 meses de preparação, nesse sábado (22/08/2009) será a vez de Porto Alegre comemorar o aniversário do Projeto Debian Mundial, e a comemoração será em grande estilo, na sede do SindBancários (Rua Gen. Câmara, 424, no Centro de Porto Alegre).

Para começar, logo às 9h da manhã, teremos uma ótima oficina técnica sobre empacotamento de softwares para Debian e para quem não é tecnico, uma sessão de cinema com o filme RevolutionOS, um ótimo documentário sobre Linux, com participação de Linus Torvalds, Richard Stallman e muitos outros nerds. Após o filme um gostoso bate papo descontraído com Marcelo Branco, Sady Jacques e Mario Tesa (todos da Associação SoftwareLivre.org), Julio Vivian (diretor do SindBancários), Vitório Sassi (Sun Microsystems) e esse que vos escreve.

Depois do almoço eu faço uma palestra sobre LTSP e como instalá-lo no Debian, o André Machado emplaca duas palestras sobre migração para Debian ou BrDesktop (uma para usuários domésticos, outra para usuários corporativos) e para terminar, Moisés Lima fará uma ótima palestra para pensar os efeitos macro-econômicos do Software livre.

Hoje, às 15h estive no estúdio da RadioSL para uma entrevista sobre o evento. Como disse, esperamos cerca de 170 pessoas no evento, 80 delas para assistir ao filme. Cheguem cedo para garantir seu lugar. No cinema são apenas 80 poltronas.

Grande abraço e vejo vocês lá!

Primeiro dia do FISL

O 10o. Fórum Internacional do Software Livre (FISL10) sempre arraza em seu primeiro dia. Mostra que o trabalho dos tantos colaboradores, voluntários e organizadores não é em vão.

Claro que existem problemas. Como sempre a Wi-Fi Zone estava uma “zona”, mas não pode-se culpar a organização, pois a mesma foi aumentada de capacidade absurdamente desde o ano passado, no entanto, também aumentou o número de notebooks conectados.

Neste momento escrevo esse post usando o Wi-Fi do Centro de Eventos da PUC/RS (sim, ainda estou aqui). Estou cuidando dos macaquinhos que batalham pela banana premiada com celular G1… Sim, estou dentro da Arena de Programação.

A estrutura está bem armada e a quantidade de gente andando pela Feira de Soluções Livres é impressionante. O lugar está fervendo…

E amanhã tem mais… Muito mais… Veja algumas fotos:

Scott Balneaves e James McQuillan descansam um pouco no stand da Propus Informática LTDA.
Scott Balneaves e James McQuillan descansam um pouco no stand da Propus Informática LTDA.
Encontro do Gnu e do Guru na frente do stand da Propus.
Encontro do Gnu e do Guru na frente do stand da Propus.