O fato de a responsabilidade não estar "terceirizada" para a Microsoft também obriga a não ficar se bobeando. Já auxilia o auto-cuidado com as nossas ações.
On 31 de maio de 2014 09h05min04s BRT, Antonio Novaes <antonionovae...@gmail.com> wrote: >Segurança é um estado, não uma característica. Você esta seguro até >encontrarem uma brecha. Então... Quanto mais rápido de corrigi uma >falha >mais rápido o estado de segurança se restabelece. >Em 30/05/2014 23:47, "Listeiro 037" <listeiro_...@yahoo.com.br> >escreveu: > >> >> >> Muitas empresas preferem software de código fechado porque se der >algum >> problema elas tem quem responsabilizar, quem apontar e culpar. Entre >a >> M$ e qualquer outra menor, qual nome pesa mais? >> >> Ok, temos Red Hat e a Oracle, mas não é apenas sistema operacional. >Há >> mais programas para manter suporte e culpar alguém em caso de falha. >> >> Tem uma matéria que saiu há um tempo na Linux Magazine de um desses >> gurus do open source que me fugiu o nome. Perguntado sobre o mesmo, >> sobre se software livre é mais seguro, ele respondeu (na prática foi >um >> não) que apenas se aumentava a chance de se localizar e corrigir mais >> rapidamente falhas. >> >> >> Em Fri, 30 May 2014 22:18:42 -0300 >> Antonio Novaes <antonionovae...@gmail.com> escreveu: >> >> > Olá Rubens! >> > >> > Sobre a pergunta: Vcs acham q softwares livres estão + vulneráveis >pra >> > espionagem pelo governo? Sei q softwares proprietários geralmente >> > espionam seus usuários. >> > >> > A resposta é não: o código é auditado por muita gente e >praticamente o >> > trabalho não pára. Enquanto os brasileiros vão dormir, os japoneses >> > continuam trabalhando. >> > >> > A M$ costuma liberar atualizações importantes de segurança na >> > terça-feira, ou seja.. se foi descoberta na quarta, espere até >terça >> > para ficar "seguro". Mas o que foi pior é a falha de segurança que >> > afetou os navegadores IE do 7 à 10. >> > >> > O OpenSSL foi corrigido em uma velocidade impressionante. >> > >> > Qual o problema? SL trabalha por prazer e para fazer o melhor. Pago >> > trabalha para ganhar seu salário no final do mês e manter sua >> > clientela. Note que são episódios isolados. Não são frequentes como >é >> > o caso de outros órgãos. >> > >> > Quando há uma vulnerabilidade é lançada a correção muito rápido. >> > Lembre-se que o código que auditado muito e também estudados por >todo >> > tipo de pessoa. >> > >> > Terça-feira da M$: >> > >> > O termo *Patch Tuesday* é um pacote de atualizações da Microsoft >para >> > os seus produtos. Estes pacotes vêm pelo Windows Update >> > <http://pt.wikipedia.org/wiki/Windows_Update> atualmente, e são >> > lançados em todas as segundas Terça-Feira >> > <http://pt.wikipedia.org/wiki/Ter%C3%A7a-Feira> de cada mês. >> > >> > O Patch Tuesday é lançado aproximadamente entre 17:00 e 18:00 (UTC >> > <http://pt.wikipedia.org/wiki/UTC>). Às vezes, há alguns patches de >> > segurança lançados em mais de uma terça-feira no mês. >> > >> > Aparentemente a Microsoft tem um padrão de liberação de um maior >> > número de atualizações em meses pares, e menos nos meses ímpares. >> > >> > Fonte: http://pt.wikipedia.org/wiki/Patch_Tuesday >> > >> > >> > Att, >> > Antonio Novaes de C. Jr >> > Analista TIC - Sistema e Infraestrutura >> > Pós-graduando em Segurança de Rede de Computadores >> > LPIC-1 - Linux Certified Professional Level 1 >> > Novell Certified Linux Administrator (CLA) >> > ID Linux: 481126 | LPI000255169 >> > LinkedIN: Perfil Público >> > <http://www.linkedin.com/pub/antonio-novaes/50/608/138> >> > >> > >> > >> > Em 30 de maio de 2014 19:49, Listeiro 037 ><listeiro_...@yahoo.com.br> >> > escreveu: >> > >> > > >> > > >> > > Quais são as melhores estratégias de segurança a serem >> > > implementadas? Não clicar em links de phishing é uma delas. >> > > >> > > Há o manual que vem no pacote harden. É suficiente? >> > > >> > > Ultimamente pesquisei sobre portscans e políticas de segurança. O >> > > que mais há de possível para eu implementar/inventar? >> > > >> > > * Configurar firewall com proteção contra os portscans mais >comuns; >> > > * Forçar o firewall a permitir que a máquina apenas se conecte >com >> > > mirrors durante o update/upgrade; >> > > * Configurar um proxy; >> > > * Desinstalar ferramentas de desenvolvimento e outros pacotes >> > > desnecessários (gcc, binutils etc.); >> > > * Alterar todos os arquivos com suid ativado para execução sem >este >> > > bit; >> > > * Manter certos diretórios do sistema montados com 'nodev', >> > > 'noexec', 'nosuid'. Ex: /usr/..., /tmp, /var/...; >> > > * usar chattr em arquivos-chave de configuração para mantê-los >> > > imutáveis; >> > > * Mudar o arquivo de configuração do APT para não dar erro com >> > > alguma dessas configurações; >> > > * Configurar o loopback para barrar com endereços de sites de >> > > propaganda, adware...; >> > > * Usar SELINUX; >> > > >> > > Há certo exagero. Li um comentário dizendo que SELINUX não >resolve >> > > certos problemas. Deve ser pela /N/S/A/. >> > > >> > > Muita coisa não deve ser necessária, mas onde encontrar algo que >> > > funcione, se há um sociopata me monitorando? >> > > >> > > Bem, hoje após mandar essa mensagem, *"coincidentemente"* recebi >uma >> > > enxurrada de tópicos da debian-secur...@lists.debian.org sobre >MITM >> > > em debian mirrors. Pelo menos umas 40 mensagens até agora que >lerei >> > > com calma. >> > > >> > > Não compreendi o que poderiam ser estes poderes divinos (ou prá >> > > dizer a verdade, satânicos): acesso à linha telefônica, provedor, >> > > operadora, algum departamento de alguma estatal enxerida, >/A/B/I/N/ >> > > etc. Falta do que fazer não falta. >> > > >> > > A partir do momento que no meu tráfego, dependendo do que >pesquiso, >> > > revelam-se indiretas sobre quem (eu) usa esse nick estranho, eu >não >> > > posso confiar nem no MD5, nem no SHA de arquivos, mirrors, >tarballs, >> > > imagens iso e outros via http(s). >> > > >> > > Engraçado que eu percebi o https ser transparente nessa >sabotagem. >> > > E de repente me aparecem o Heartbleed? >> > > >> > > Isto tem nada a ver com a responsabilidade do Projeto Debian, >> > > qualquer outro projeto ou algum colaborador. Mas eu percebo que >> > > esse meu problema pessoal pode sim significar neutralização de >> > > políticas de segurança. Tenho procurado compreender até onde os >> > > métodos de segurança alcançam, por mais que sinta insegurança >> > > pessoal. >> > > >> > > E como lidar com esse tipo de profissional que faz questão de >> > > esfregar na cara o quanto está visível para ele qualquer >atividade >> > > minha na internet? Tendo recursos infinitos? Todo o suporte >> > > possível? Todo tempo do mundo? >> > > >> > > >> > > >> > > Se a parte pessoal dessa história é questionável, pelo menos >> > > gostaria de aprimorar na parte técnica para contrabalancear esta >> > > *covardia*. Sinto-me tão seguro quanto num Windows 98. >> > > >> > > >> > > >> > > Em Fri, 30 May 2014 13:41:18 -0300 >> > > André Nunes Batista <andrenbati...@gmail.com> escreveu: >> > > >> > > > On Thu, 2014-05-29 at 23:01 -0300, Listeiro 037 wrote: >> > > > > >> > > > > Esse sou eu. (clap clap clap) >> > > > > >> > > > > >> > > > > Em Thu, 29 May 2014 21:10:29 -0300 >> > > > > jacksonrb <jackso...@gmail.com> escreveu: >> > > > > >> > > > > > Um mané com linux na mao tem mais chance de ter sua >> > > > > > privacidade violada que alguem de bom senso (sem piadas, >> > > > > > pfvr) com windows. >> > > > >> > > > Talvez muitos assuntos sendo condensados? >> > > > >> > > > José Manuel é usuário sem noção, diferente de Manuel José que >> > > > adota estratégias de segurança. Qual a chance de ambos de terem >> > > > sua privacidade violada? Depende. >> > > > >> > > > Se o adversário for casual ou passivo, Manuel José terá chances >de >> > > > manter sua privacidade e, talvez, perceber quando for violada. >> > > > José Manuel certamente terá sua privacidade violada em algum >> > > > momento. >> > > > >> > > > Se o adversário for ativo e tiver conexões divinas e >> > > > posicionamento estratégico na rede, ambos terão, a não ser que >se >> > > > unam. >> > > > >> > > >> > > >> > > -- >> > > Encryption works. Properly implemented strong crypto systems are >> > > one of the few things that you can rely on. Unfortunately, >endpoint >> > > security is so terrifically weak that NSA can frequently find >ways >> > > around it. — Edward Snowden >> > > >> > > >> > > -- >> > > To UNSUBSCRIBE, email to >> > > debian-user-portuguese-requ...@lists.debian.org with a subject of >> > > "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> > > Archive: >> > > >https://lists.debian.org/104742.62355...@smtp221.mail.ne1.yahoo.com >> > > >> > > >> >> >> -- >> Encryption works. Properly implemented strong crypto systems are one >of >> the few things that you can rely on. Unfortunately, endpoint security >> is so terrifically weak that NSA can frequently find ways around it. >— >> Edward Snowden >> >> >> -- >> To UNSUBSCRIBE, email to >debian-user-portuguese-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> Archive: >> https://lists.debian.org/716152.65544...@smtp203.mail.ne1.yahoo.com >> >> -- E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.