-->

terça-feira, 30 de março de 2010

A lambança do QUIPTXT: Lições de (não) privacidade e (in) segurança.

Para quem não conhece (eu não conhecia até ontem), QUIP é (ou era) um programa de um dólar para iPhone que tinha como finalidade permitir que os usuários do telefone pudessem mandar fotos uns para os outros (possivelmente para qualquer telefone com browser), já que pelo menos em algumas redes (ou modelos de iPhone) não havia como usar MMS.Edit: Mesmo telefones com suporte a MMS podiam tirar proveito do QUIP.

Pelo que eu entendi, funcionava assim:
  • O usuário tira uma foto com o QUIP (ou escolhe uma qualquer em sua biblioteca);
  • Usando qualquer conexão à internet disponível no telefone (3G, WiFi, etc), o QUIP posta essa foto em um endereço "criptografado" no site QUIPTXT (já está fora do ar), com o nome cadastrado do remetente;
  • O QUIP envia uma mensagem para o destinatário com o endereço "criptografado" da foto. Basta clicar e ver no browser do iPhone.
O gigantesco problema estava na "criptografia".

Para "criptografar" o endereço, o serviço simplesmente gerava um nome de 5 caracteres alfanuméricos para a foto. Digamos que o nome gerado fosse "sfffb". A foto então era hospedada desse jeito:

http://pic.quiptxt.com/sfffb (era um cachorrinho, mas não adianta mais clicar)

Um leigo pensa (se der tempo de pensar alguma coisa) que não há como alguém adivinhar esse endereço. Mas qualquer um com algum conhecimento de programação percebe imediatamente que há algo potencialmente muito errado aí. E havia.

Os (mais óbvios) erros dos programadores:

  • Não criaram senha para acessar a página;
  • Não criaram um "digito verificador" (o último caractere deveria depender do checksum dos quatro anteriores). Assim qualquer pessoa que recebesse um link para "sfffb", poderia tentar "sfffa" ou "sfffc" que esbarraria numa foto de outra pessoa, porque todas as combinações estavam disponíveis. Em sistemas com dígito verificador apenas algumas combinações são válidas;
  • Não criaram nenhum mecanismo de proteção contra download massivo das imagens. Assim quando a falha acima foi descoberta e criaram scripts para gerar todas as combinações possíveis de strings com cinco caracteres para baixar as fotos, o servidor de QUIPTXT não notou nada de errado e permitiu que milhares de fotos fossem baixadas pelo mesmo endereço IP, como se fosse possível isso acontecer no uso real.
Alguns apontam o fato de que eles usaram "apenas" cinco caracteres como parte do problema, mas não é bem assim. Eles poderiam ter usado trinta, mas se atribuíssem as combinações seqüencialmente como fizeram com cinco e/ou não bloqueassem tentativas sucessivas de download de fotos diferentes vindas do mesmo IP, não iria fazer qualquer diferença.

O resultado disso tem potencial para ser (não sei quantas fotos vazaram) a maior coleção "pública" de pornô amador não-intencional da história.

Como se não bastasse, cada página de foto mostrava também o nome do usuário que a enviou. Assim essa já é a maior violação de privacidade da história do iPhone e, quem sabe, da história da telefonia. Sabendo os nomes das pessoas e com alguma pesquisa, muitas fotos constrangedoras foram linkadas aos perfis do Facebook de quem as tirou. Alguns desses perfis já saíram do ar por conta disso.

Os erros dos usuários:
  • Confiar em uma aplicação de telefone qualquer para postar fotos de sua privacidade. Ainda que isso não tivesse sido descoberto, os criadores de QUIP e qualquer pessoa com acesso ao servidor podiam a qualquer tempo observar cada foto postada no serviço, com nome de quem enviou. Os criadores de QUIP adicionalmente sabiam até o telefone. Ainda que o serviço tivesse alguma segurança contra observadores externos, seus criadores ainda teriam acesso a isso tudo.
  • Não perceberem que as fotos estavam em servidores web. Não era uma coisa "de ceular para celular" como um MMS autêntico; 
  • Provavelmente, muita gente achou que o programa era "seguro" e seus autores "confiáveis" porque baixaram o programa da Apple Store. Grande erro. 
Se todo mundo retratado nas fotos que vazaram fosse adulto eu pensaria. "Ahhhhh... que manda fotos de si mesmo pelado é exibicionista mesmo e a maioria nem deve ligar muito para isso". Mas várias fotos lá são evidentemente de adolescentes. E aí o bicho pega. Vai pegar com certeza para os autores desa m**da colossal.
 
Esse tipo de "excesso de confiança" dos usuários não é incomum. A cada rede social nova que aparece, não faltam usuários que voluntariamente fornecem nome de usuário e senha de suas contas de e-mail para "facilitar" o envio de convites para todos os seus contatos. Uma comodidade que pode lhes custar muito caro um dia, como aconteceu agora para muitos usuários do QUIP.

sábado, 27 de março de 2010

Gmail implementa "detecção de atividade suspeita" nas contas.

Mas isso está longe de ter a utilidade que poderia ter.

O nome é enganador. Na verdade a Google agora monitora se as contas são usadas fora de sua região geográfica habitual e dispara um aviso na própria conta (esse é o problema). Isso obviamente depende da pessoa que teve acesso à minha conta não ter mudado minha senha.

O que realmente me deixaria confortável seria poder optar por bloquear qualquer atividade na minha conta fora de minha região geográfica. Caso eu fosse viajar, removeria o bloqueio antes. Adicionalmente a Google me avisaria dessas tentativas de acesso. Então se eventualmente eu fosse vítima de um keylogger qualquer, o safado precisaria estar em Recife para tirar proveito e eu saberia que em algum lugar minha senha foi comprometida, tendo algum tempo para mudá-la antes que o %$#@$ arrumasse um cúmplice em Recife.

Eu gostaria que isso também existisse para cartões de crédito e bancários.

sexta-feira, 26 de março de 2010

Cuidado: SmartDevicesBrasil.com.br é fraude.

Um esperto registrou o domínio SmartDevicesBrasil.com.br


Vejam que ele até pegou a logomarca original e apagou o ".com.cn". Vejam como é a original hoje:


Apropriar-se da logomarca é um passo natural. Afinal ele afirma no site que representa a Smart Devices (fabricante do SmartQ5 e SmartQ7) no nosso país:
Somos uma representação da SmartDevices no Brasil.
Iniciamos nossa atividades muito discretamente no MercadoLivre, consulte nossa reputação: http://perfil.mercadolivre.com.br/BUTAH

Reputação essa de apenas 38 pontos (eu tenho mais de 200 e não represento PN!) e no anúncio do SMARTQ V7 que a "empresa" faz no Mercado Livre, há o seguinte texto (o negrito é dele):

1) VENDA DIRETA: Produto IMPORTADO direto do fabricante. Vem muito bem embalado e protegido. Após a confirmação do pagamento você receberá um número de rastreio pela Internet para saber onde está o produto.

2) Existe um probabilidade de imposto de importação. Caso seja necessário pagar, é de resposabilidade do COMPRADOR.

3) Pagamento é antecipado, ou seja não trabalhamos com empréstimos nem pagamos juros bancários. Motivo pelo qual o pagamento deve ser antecipado

Representante apenas intermediando importação? Imposto não é incluso no preço e se ocorrer é por conta do comprador?

E tem mais:
Garantia 6 meses direto com o fabricante. produto novo, testado.

Garantia direto com o fabricante na China? Mesmo com representante no Brasil?

Tudo que ele faz é pegar o seu dinheiro e comprar o produto por você. O produto custa US$274 na Dealextreme. Juntando com um cartão SD de 4G custando US$14 (o brinde que ele oferece) ele desembolsa US$288 (cerca de R$520), tendo embolsado R$740.

São R$220 de lucro só para emprestar o cartão de crédito internacional. Edit: esqueci de levar em conta a comissão do ML, que no pior caso é de 10% (R$74). O lucro dele é de pelo menos R$150.
  
É preciso ser otário para cair nessa. Mas como não faltam otários no mundo...

O SPAM em blogs

O artista tem usado pelo menos duas identidades diferentes para fazer propaganda de sua operação em blogs. Eu consegui identificar duas personas que vou chamar aqui de "Persona M" e "Persona G"  A certeza disso pode ser obtida nas duas imagens seguintes. Veja como dois minutos após "Persona G" escrever no primeiro blog, "Persona M" escreveu exatamente a mesma coisa no outro blog.



Eu removi os sobrenomes propositalmente e não vou usar os nomes por extenso aqui, por causa do nome que aparece no registro.br, mas basta clicar nas imagens para você conferir o nome completo na origem. Não cite os nomes diretamente nos comentários, ou terei que vetar.

Clicando aqui você poderá constatar que "Persona M" se cadastrou no eletronicoblog só para fazer propaganda.

Outros exemplos:



Neste o nome "Norio" tem um link para smartdevicesbrasil.com.br (para conferir, clique na imagem):


Aqui, as duas "personas" do artista novamente se manifestam no mesmo blog:

quarta-feira, 17 de março de 2010

Um cliente meu é vítima do "Golpe da Lista Telefônica".

Esse golpe é uma variação do Golpe da Publicidade Não Solicitada, que denunciei aqui

Eu estava de passagem pela empresa do cliente quando entrei na sala da secretária para ver se ela precisava de algo e fiquei esperando enquanto ela terminava uma ligação telefônica. O que eu a ouvi falar me deixou alerta, então eu comecei a gesticular para ela que "era golpe".

Ela terminou a ligação e me explicou o ocorrido. Tinha sido convencida por uma empresa que dizia representar a Listel (ou assim ela entendeu) de que ela precisava confirmar uma figuração em lista telefônica de R$198 em 12 parcelas cobradas na conta telefônica. Figuração esta que segundo os pilantras já havia sido paga, por isso não havia com o que se preocupar.

Convenceram-na a fazer o dono da empresa assinar um fax com o contrato e passar de volta. Eu olhei o contrato assinado rapidamente e está lá escrito que são doze parcelas mensais de R$198 (R$2376).  O danado é que o contrato é confuso, propositalmente difícil de entender. E os pilantras apontaram uma cláusula que falava de gratuidade, só que essa cláusula falava de gratuidade de distribuição da lista. Estelionatários, assim como os mágicos, sempre sabem como fazer a pessoa prestar atenção a algo enquanto a mágica ocorre em outro lugar.

A empresa se apresenta como BRList, com endereço em São Paulo.

A secretária estava agoniada, porque havia convencido o chefe a assinar, dizendo que estava tudo bem. Eu disse a ela que não fizesse nenhum pagamento (por sorte, não tinham pago nada ainda) e ignorasse as ameaças da tal BRlist. Mostrei para ela um site falando sobre o assunto, com recomendações do Procon também para que não fosse feito nenhum pagamento. E que o modus operandi da operação é mesmo agir com grosseria (a pessoa estava sendo grosseira com ela) e fazer ameaças de protesto da dívida.

Aliás, essa era a maior preocupação da secretária (os golpistas sabem disso), porque seria ruim para os negócios da empresa estar com um título protestado. Eu disse a ela que desse queixa na delegacia do consumidor e deixasse que eles a orientassem, mas que não pagasse de jeito nenhum. Também avisei que o próximo passo deles poderia ser pedir um cancelamento com firma reconhecida, para conseguir uma assinatura ainda melhor.

Mais aliviada, ela disse que na próxima ligação ela ia mandar eles tomarem no [beep]

segunda-feira, 15 de março de 2010

Doideira no Google Buzz: Leitor de cartões e striptease.

Eu estava dando uma olhada nos posts do meu Buzz quando me deparei com isto:


WTF?!

Então eu abri o Buzz pelo Google Chrome e estava normalizado:


Erro do cache do Firefox? Se foi, é a primeira vez.

sábado, 13 de março de 2010

Experimentando novos templates para o blog.

Nos próximos dias o blog pode mudar selvagemente de aparência de uma hora para outra e ficar esquisito por horas ou dias. Sou eu testando opções com minha "pressa" habitual (ou seja: nenhuma).

Depois de "Everything" suas buscas de arquivos nunca mais serão as mesmas.

Pode acreditar: você vai ficar impressionado. Eu até agora estou de boca aberta.

Desde o Windows XP a capacidade de buscar arquivos embutida no Windows só vem piorando. O mecanismo de busca do Windows 9X era (ou é) 100% confiável e foi substituído pelo mecanismo do XP (burro, mas aprendi a consertar) e em seguida pelo mecanismo do Vista (estúpido) e pelo do Seven (patético).

Eu sou um caso complicado para mecanismos de busca. Eu tenho online (isto é: nos meus HDDs e não em backups) centenas de milhares de arquivos, que mudam de lugar freqüentemente. E semanalmente outras dezenas de milhares vem e vão, de HDDs de clientes, CDs de drivers, etc. Nunca consegui aguentar o mecanismo de indexação embutido no Windows (que eu regularmente desligo) e o Google Desktop Search, pelo menos na última vez que dei uma chance a ele (faz tempo), não valia o incômodo. Qualquer busca em todos os meus HDDs costuma ser algo que eu só faço quando não tenho pressa, porque demora bastante.

Foi por isso que quando o leitor BSD, neste post do meu blog Seven, recomendou o Everything, eu fui conferir armado do meu habitual ceticismo. Inicialmente eu não vi nada de diferente na descrição do programa, mas quando eu li no FAQ que ele supostamente podia indexar 1.000.000 de arquivos em um minuto (isso mesmo: um milhão) eu pensei: "HA! Isso eu tenho que ver!".

E é verdade. Quando rodei o programa pela primeira vez ele passou cerca de um minuto e meio indexando e no final disse que tinha indexado um milhão e meio de objetos.

Eu continuei sem acreditar, claro; porque a diferença para o habitual é espantosa. Então fiz alguns testes para me certificar de que todos os meus arquivos realmente estavam no índice, porque não adianta nada ser rápido e não ser preciso.

E estavam. Estou testando há cinco dias e Everything ainda não falhou.

E sabe o tempo que leva para achar um arquivo no índice? Instantâneo. Quando você termina de digitar a última letra, a busca já terminou.

Eu preparei uma comparação. Procurei por "netmeter" no mesmo computador usando os seguintes mecanismos:
  • A busca padrão do Windows XP, com indexação desligada,
  • A busca padrão do Seven, com indexação default;
  • Everything, depois da indexação de 1min30s no XP;. 
Veja os resultados:
  • Windows XP: 13min24s - Localizou 135 objetos;
  • Windows Seven: 14min49s - Localizou 137 objetos (a busca do Seven também olha conteúdo dos arquivos indexados e não dá para desligar isso);
  • Everything: 0min0s - Localizou 135 objetos.

Limitações de Everything:
  • Só indexa partições NTFS. Isso quer dizer que ele também não faz buscas na rede;
  • Não faz busca por conteúdo, data, etc. Só encontra arquivos pelo nome. Mas com essa velocidade, você vai ver que isso se torna irrelevante.
Mas apesar de Everything não fazer buscas em drives de rede se você instalá-lo nos outros computadores da sua rede pode fazer buscas remotas através do recurso "servidor ETP/FTP" do programa. Você simplesmente se conecta ao programa rodando no outro PC e faz uma busca instantânea no conteúdo dos arquivos que estão lá.

Problemas

  • O programa por default refaz seu índice toda vez que o Windows é iniciado, mas isso pode não ser boa idéia, pois ele vai provocar um acesso intenso ao HDD justamente quando normalmente já está ocorrendo acesso intenso ao HDD (inicialização). Você pode desligar isso mas então ele fará a indexação na primeira vez que for evocado. No meu PC (que é anormal) isso leva 1min30s, mas ainda é muito melhor do que buscar usando outros mecanismos. Um meio termo ideal seria atrasar a inicialização de Everything durante o boot para que ele só crie o index depois que a atividade de disco tiver acabado, assim há uma chance de que o usuário nem note o que está havendo.
  • O fato de que Everything não faz busca por conteúdo pode ser um grande problema, mas como o programa pode exportar a lista de arquivos encontrados (instantaneamente) para um arquivo texto eu estou tentando localizar um programa de busca em conteúdo que possa aceitar essa lista e informarei em outro post quando encontrar.

Lembre-se de que estou usando um Celeron E3200 com 2GB de RAM. Computadores mais modestos podem não mostrar resultados tão bons.

Edit: Não deixe de ler a página de suporte do programa. Algumas possibilidades da busca não são evidentes e requerem que você saiba como "redigir" a busca. Por exemplo, se você escrever "*.jpg" o programa vai mostrar cada arquivo com a extensão *.jpg em cada HDD seu. Para buscar apenas os arquivos jpg no drive D: você busca por "D:\ *.jpg" (sem as aspas).

domingo, 7 de março de 2010

Como imprimir em impressoras USB a partir de programas DOS.

Nota: Este post começou a ser rascunhado em 24/06/08. Vou publicar sem dar os "polimentos" que eu queria na época (e não encontrei tempo para fazer nestes meses todos) porque pode ser útil para alguém assim mesmo.

Eu recebi essa "missão" de um novo cliente. Ele deixou claro que não aguentava mais os transtornos provocados por suas impressoras matriciais, a saber:
  • Viviam com problemas mecânicos;
  • Custo alto de manutenção;
  • Já voltavam do conserto com problemas;
Nem mesmo pagar cento e poucos reais de aluguel mensal por uma impressora LX-810 estava servindo de refresco, porque a impressora alugada vivia apresentando problemas também.

Isso sem contar com o barulho irritante e a lentidão, que hoje são difíceis de aguentar depois que você se acostuma com laser e jato de tinta.

Em geral uma empresa só fica presa a impressoras matriciais quando emite notas fiscais em múltiplas vias, mas esta empresa está presa a um burocrático sistema DOS também (até hoje) para imprimir etiquetas e relatórios.

Depois de muita pesquisa (em 2008) eu encontrei duas soluções por software. Infelizmente não gratuitas:

  • DOS2USB - É o mais fácil de instalar e configurar, mas não oferece o ajuste fino no posicionamento de impressão que Printfil tem.
  • Printfil - Mais complicado para instalar, se você estiver usando Windows 9X. Porém tem recursos de ajuste na impressão, preview e reimpressão que valem a pena.

Os dois programas funcionam muito bem e tem resolvido o problema do cliente nos últimos 20 meses. DOS2USB está instalado em várias máquinas rodando Windows XP com impressoras USB variadas. E Printfil está instalado em um K6/2-500 rodando Windows 98 conectado pela USB a uma HP P1018. É usada basicamente para imprimir etiquetas e relatórios.

P.S. Na época eu comecei a estudar o funcionamento de Printfil para ver se não dava para fazer pelo menos uma parte do trabalho (ou uma gambiarra) com programas gratuitos, mas fiquei sem tempo para estudar isso.

quarta-feira, 3 de março de 2010

O brasileiro não tem o direito de discutir e questionar as normas da ABNT?

Aparentemente, não.

Talvez você não saiba, mas é procedimento comum que normas técnicas sejam tratadas como material sigiloso, apesar de muitas vezes afetarem uma nação inteira. É assim com as normas da IEC e é assim com as normas da ABNT. Quer uma cópia da norma para poder analisar? Você pode adquirir, desembolsando uma quantia "modesta". O preço estipulado para a NBR14136, por exemplo, que afeta cada brasileiro que tenha energia elétrica em casa, é de R$68,80 ( é um valor quase simbólico para a renda do brasileiro médio, não?). Isso na versão para leitura online, porque se eu quiser impressa só de frete vou ter que pagar mais R$32 do Sedex (não há outra opção).

E isso porque a ABNT é uma entidade privada sem fins lucrativos.

Eu até tentei comprar a norma assim mesmo, de tão irritado que estou com ela e com seus defensores. A gota d'água foi um e-mail que recebi do leitor Tom T. com uma discussão entre ele e um representante da PIAL onde este afirma que a NBR14136 não determina qual é o pino neutro na tomada 2P+T.

O que disse o representante da Pial Legrand:
Até onde sei, não existe nenhuma norma vigente no Brasil que diga que o lado direito é do condutor fase e o esquerdo do condutor neutro. Caso você conheça alguma norma NBR que diga isso, por favor, nos avise.

Sou só eu que interpreta assim, ou isso foi bem desaforado?

Como assim? A norma não determina quem é o neutro? Então eu fui comprar a norma para tirar isso a limpo, só para desistir ao me deparar com o Termo de Uso da ABNT (copiei na íntegra, mas o importante eu destaquei em negrito):

------ Início do Termo de Uso ------------------------------------------

Por este Termo de Uso o USUÁRIO CONCORDA COM os procedimentos a seguir informados para adquirir e visualizar o produto ABNT Catálogo (Normas visualizadas e impressas via internet sob demanda) da ABNT - A Associação Brasileira de Normas Técnicas – ABNT, com sede na Cidade do Rio de Janeiro, Estado do Rio de Janeiro, na Rua Treze de Maio, nº 13 – 28º andar, inscrita no CNPJ/MF sob nº 33.402.892/0001-06, com sede administrativa na Rua Minas Gerais, 190 – CEP 01244-010, São Paulo, SP, associação civil, sem fins lucrativos, estabelece o presente TERMO DE USO para os USUÁRIOS conforme as condições abaixo discriminadas:


1. Das obrigações da ABNT:

a. A ABNT se compromete em enviar por Sedex as normas que forem adquiridas em formato impresso em até 05 dias úteis após a compensação bancária do boleto ou a baixa eletrônica do pagamento (no caso de pagamento com cartão de credito), no endereço cadastrado pelo usuário.

b. A ABNT se compromete em até 24h úteis após a compensação bancária do boleto ou a baixa eletrônica do pagamento (no caso de pagamento com cartão de credito) a possibilitar o acesso as normas eletrônicas adquiridas, através do site www.abntcatalogo.com.br utilizando o passaporte ABNT (e-mail e senha registrados no momento da efetivação do cadastro de usuário).

c. As normas adquiridas ficarão disponíveis para impressão até sua consumação. Após esse prazo o usuário terá apenas acesso de visualização das normas adquiridas por prazo indeterminado.

d. A ABNT não fornece o arquivo eletrônico das normas em formato PDF ou qualquer outro. Seu acesso para visualização e impressão somente se dá através da instalação do software “Visualizador ABNT” , de sua propriedade.

 
2. Das obrigações do USUÁRIO:

a. Requisitos técnicos

- Configuração mínima das estações: Pentium X, 1 Gb de memória Ram.

- Sistema Operacional Windows 2000 ou superior (versão 32 bits apenas), e internet explorer 7.0 ou superior.

- Acesso à Internet preferencialmente banda larga.

- Instalação da Plataforma Microsoft .NET Framework 2.0

- Será instalado um componente (software) abnt.dll no computador do usuário, por ocasião da primeira aquisição, com a função de permitir a visualização e impressão das normas adquiridas.

- as instruções para a instalação do “Visualizador ABNT” estão contidas no endereço http://www.abntcatalogo.com.br/instalacao.aspx

3. O USUÁRIO está ciente de que:

a. É vedado modificar, copiar, distribuir, transmitir, exibir, realizar, reproduzir, publicar, disponibilizar, licenciar ou criar obras derivadas a partir das informações coletadas nas Normas Técnicas da ABNT, bem como transferir ou vender tais informações, sob pena de violação do presente termo e infração legal;

b. É vedado fazer a distribuição de cópias das Normas;

c. É vedado utilizar de qualquer forma trechos, técnica de engenharia reversa no desenvolvimento ou criação de outros trabalhos a fim de se analisar sua constituição;

d. É vedado divulgar conteúdo ou arquivos sem autorização;

e. É vedado liberar acesso a terceiros de forma ilícita;

f. Deverá completar o formulário cadastral fornecendo dados e informações verdadeiras e precisas, responsabilizando-se civil e criminalmente por sua veracidade, devendo atualizar os dados e informações sempre que houver alterações.

4. As partes elegem o foro da Comarca de São Paulo, Estado de São Paulo, como competente para dirimir quaisquer controvérsias decorrentes deste TERMO DE USO, independentemente de qualquer outro, por mais privilegiado que seja ou venha a ser.

------ Fim do Termo de Uso ------------------------------------------

Então eu pergunto: Como é que a população pode discutir as normas que afetam seu dia-a-dia engessada desse jeito?

Nos EUA a coisa também é assim, com uma pequena mas importante diferença: Normas que viram lei podem ser ao menos lidas de graça. Esse é o caso do "National Electrical Code", que tem 1000 páginas e pode ser visualizado de graça no site da NFPA através de um aplicativo java. Então mesmo que eu não possa copiar e colar trechos da norma, eu posso citar exatamente página e parágrafo que, nos EUA, qualquer um pode conferir de graça.

Na nação das/dos bananas qualquer um que queira acompanhar um raciocínio vai ter que pagar no mínimo R$68,80 à ABNT.