Re: (off) militares hackers

[Jacques de Beijer]

Sim, lembro disso, uma brecha no recovery de senha, que permitia injetar
códigos php. Algo assim.
Agora virar root lá? Ai já é demais.
Há uma enorme diferença entre você executar um `ls -al` via php em uma
máquina integrante de um cluster continental a qual você esteja logado.
Agora virar root de todo um cluster de máquinas




Em 26 de junho de 2014 13:17, André Nunes Batista 
escreveu:

> On Wed, 2014-06-25 at 17:09 -0300, Jacques de Beijer wrote:
> [snip]
> > Lembro que o facebook utiliza mysql e até hoje não foi exposto, a Sony
> usa
> > Oracle e foi exposta. Então, varia de como você os utiliza.
>
> O fb não foi exposto? AFAIK, no começo desse ano um aluno do ITA virou
> root por lá, resolveu ser camarada com a empresa e ganhou um
> dinheirinho.
>
> --
> André N. Batista
> GNUPG/PGP KEY: 6722CF80
>
>


-- 
Atenciosamente,

Jacques de Beijer
Belem -  Para -  Brasil

Re: (off) militares hackers

[André Nunes Batista]

On Wed, 2014-06-25 at 17:09 -0300, Jacques de Beijer wrote:
[snip]
> Lembro que o facebook utiliza mysql e até hoje não foi exposto, a Sony usa
> Oracle e foi exposta. Então, varia de como você os utiliza.

O fb não foi exposto? AFAIK, no começo desse ano um aluno do ITA virou
root por lá, resolveu ser camarada com a empresa e ganhou um
dinheirinho.

-- 
André N. Batista
GNUPG/PGP KEY: 6722CF80



signature.asc
Description: This is a digitally signed message part

Re: (off) militares hackers

[Jacques de Beijer]

Sobre o Exército estar recrutando uma equipe para tal finalidade, eu penso
logo: "Porque não solicitar apoio inter-agências com ABIN, Serpro, RNP e
Polícia Federal?"

Ao meu ver é muito Hoax.
Uma coisa que me arrepia é a galera achar que por um firewall na borda e
umas acl's resolve todo problema de segurança. Isso já batido e nenhum
hacker decente explora tal finalidade, claro que toda empresa TEM QUE TER
uma infra segura. Mas não podemos deixar segurança nas mãos dos
programadores, sendo que hoje as brechas nas aplicações são os alvos de
ataques. Até hoje eu lembro do caso da SUDAM aqui no Pará onde foi "Atacada
por hackers", quando na verdade o web designer deixou o login e senha do
ftp comentados no código html da página.

Eu prefiro mil vezes usar um Linux, do tipo Oracle Enterprise Linux do que
um Windows 2012. Não confio na microsoft sobre como trata minhas
informações.

Sobre os softwares Open vs Proprietários No Open o código está ali,
exposto para quem quiser olhar o que o código fará, claro que você irá
baixar do desenvolvedor oficial e irá utilizar md5. No Proprietário, você
não sabe o que ele faz, mas sim, pode culpar caso o mesmo dê problema.

Lembro que o facebook utiliza mysql e até hoje não foi exposto, a Sony usa
Oracle e foi exposta. Então, varia de como você os utiliza.


Em 17 de junho de 2014 11:44, Tiago Passos  escreveu:

> PostgreSQL tem suporte pago: EnterpriseDB. Se funciona, na prática, eu não
> sei...
>
>
> --
> Tiago Passos
> Projeto Web - Hospede quantos sites quiser por R$5,95/mês
> www.projetoweb.info
>
>
> Em 27 de maio de 2014 17:06, Rubens Junior  escreveu:
>
>>
>> Prezados,
>>
>> No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre esse
>> assunto e que o exercito brasileiro estava criando/reestruturando uma
>> unidade para esse fins, principalmente por causa da Copa/2014 e
>> Olimpiadas/2016.
>>
>> Achei incrivel a pontinha do iceberg descrito neste site e tbm daquele
>> ex-agente americano q dedurou as atividades do governo americando
>> http://glo.bo/1husb0s
>>
>> E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60
>>
>> Ja escutei pessoas do meu trabalho q preferem usar 100% software
>> proprietario por causa do suporte e recentemente abriram uma area pra
>> linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar, nao
>> tem suporte pago especializado. Eh aquele caso, preferem terceirizar os
>> problemas: culpa deles e cobrar SLA, termo q esta na moda.
>>
>> Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
>> governo? Sei q softwares proprietarios geralmente espionam seus usuarios.
>>
>> Ocorreram duas situacoes q me levaram e refletir melhor sobre o tema (nao
>> quer dizer q sou a favor de software proprietario): 1) o site kernel.org
>> ficou fora do ar por um tempao por causa de um "hacker" e a equipe, pelo
>> que eu li, ficou analisando os codigos-fontes pra saber se nao foram
>> adulterados; 2) Aquele bug do openssl. Ou eu li sites nao confiaveis e me
>> "perdi"...
>>
>> Saudacoes...
>>
>>
>>
>>
>> --
>> Atenciosamente,
>> Rubens S. O. Jr
>>
>>
>


-- 
Atenciosamente,

Jacques de Beijer
Belem -  Para -  Brasil

Re: (off) militares hackers

[Tiago Passos]

PostgreSQL tem suporte pago: EnterpriseDB. Se funciona, na prática, eu não
sei...


-- 
Tiago Passos
Projeto Web - Hospede quantos sites quiser por R$5,95/mês
www.projetoweb.info


Em 27 de maio de 2014 17:06, Rubens Junior  escreveu:

>
> Prezados,
>
> No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre esse
> assunto e que o exercito brasileiro estava criando/reestruturando uma
> unidade para esse fins, principalmente por causa da Copa/2014 e
> Olimpiadas/2016.
>
> Achei incrivel a pontinha do iceberg descrito neste site e tbm daquele
> ex-agente americano q dedurou as atividades do governo americando
> http://glo.bo/1husb0s
>
> E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60
>
> Ja escutei pessoas do meu trabalho q preferem usar 100% software
> proprietario por causa do suporte e recentemente abriram uma area pra
> linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar, nao
> tem suporte pago especializado. Eh aquele caso, preferem terceirizar os
> problemas: culpa deles e cobrar SLA, termo q esta na moda.
>
> Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
> governo? Sei q softwares proprietarios geralmente espionam seus usuarios.
>
> Ocorreram duas situacoes q me levaram e refletir melhor sobre o tema (nao
> quer dizer q sou a favor de software proprietario): 1) o site kernel.org
> ficou fora do ar por um tempao por causa de um "hacker" e a equipe, pelo
> que eu li, ficou analisando os codigos-fontes pra saber se nao foram
> adulterados; 2) Aquele bug do openssl. Ou eu li sites nao confiaveis e me
> "perdi"...
>
> Saudacoes...
>
>
>
>
> --
> Atenciosamente,
> Rubens S. O. Jr
>
>

Re: (off) militares hackers

[Artur Bernardo Mallmann]

 Esta história de MITM me assustou agora.Nunca tinha me dado conta disto,
mas as conexões com os mirrors são feitas sem criptografia, bom ao menos o
protocolo é http e/ou ftp, sem o s? Se for concordo que nem mesmo um
checksum pode ser barreira para quem deseja atacar :-O . Outro ponto
polêmico é. Podemos confiar nos ips q os servidores dns nos levam?


2014-05-29 23:01 GMT-03:00 Listeiro 037 :

>
>
> Esse sou eu. (clap clap clap)
>
>
> Em Thu, 29 May 2014 21:10:29 -0300
> jacksonrb  escreveu:
>
> > Um mané com linux na mao tem mais chance de ter sua privacidade
> > violada que alguem de bom senso (sem piadas, pfvr) com windows.
>
> --
> Encryption works. Properly implemented strong crypto systems are one of
> the few things that you can rely on. Unfortunately, endpoint security
> is so terrifically weak that NSA can frequently find ways around it. —
> Edward Snowden
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> https://lists.debian.org/548316.82233...@smtp106.mail.ne1.yahoo.com
>
>

Re: (off) militares hackers

[Jack Jr]

O fato de a responsabilidade não estar "terceirizada" para a Microsoft também 
obriga a não ficar se bobeando. Já auxilia o auto-cuidado com as nossas ações.

On 31 de maio de 2014 09h05min04s BRT, Antonio Novaes 
 wrote:
>Segurança é um estado, não uma característica. Você esta seguro até
>encontrarem uma brecha. Então... Quanto mais rápido de corrigi uma
>falha
>mais rápido o estado de segurança se restabelece.
>Em 30/05/2014 23:47, "Listeiro 037" 
>escreveu:
>
>>
>>
>> Muitas empresas preferem software de código fechado porque se der
>algum
>> problema elas tem quem responsabilizar, quem apontar e culpar. Entre
>a
>> M$ e qualquer outra menor, qual nome pesa mais?
>>
>> Ok, temos Red Hat e a Oracle, mas não é apenas sistema operacional.
>Há
>> mais programas para manter suporte e culpar alguém em caso de falha.
>>
>> Tem uma matéria que saiu há um tempo na Linux Magazine de um desses
>> gurus do open source que me fugiu o nome. Perguntado sobre o mesmo,
>> sobre se software livre é mais seguro, ele respondeu (na prática foi
>um
>> não) que apenas se aumentava a chance de se localizar e corrigir mais
>> rapidamente falhas.
>>
>>
>> Em Fri, 30 May 2014 22:18:42 -0300
>> Antonio Novaes  escreveu:
>>
>> > Olá Rubens!
>> >
>> > Sobre a pergunta: Vcs acham q softwares livres estão + vulneráveis
>pra
>> > espionagem pelo governo? Sei q softwares proprietários geralmente
>> > espionam seus usuários.
>> >
>> > A resposta é não: o código é auditado por muita gente e
>praticamente o
>> > trabalho não pára. Enquanto os brasileiros vão dormir, os japoneses
>> > continuam trabalhando.
>> >
>> > A M$ costuma liberar atualizações importantes de segurança na
>> > terça-feira, ou seja.. se foi descoberta na quarta, espere até
>terça
>> > para ficar "seguro". Mas o que foi pior é a falha de segurança que
>> > afetou os navegadores IE do 7 à 10.
>> >
>> > O OpenSSL foi corrigido em uma velocidade impressionante.
>> >
>> > Qual o problema? SL trabalha por prazer e para fazer o melhor. Pago
>> > trabalha para ganhar seu salário no final do mês e manter sua
>> > clientela. Note que são episódios isolados. Não são frequentes como
>é
>> > o caso de outros órgãos.
>> >
>> > Quando há uma vulnerabilidade é lançada a correção muito rápido.
>> > Lembre-se que o código que auditado muito e também estudados por
>todo
>> > tipo de pessoa.
>> >
>> > Terça-feira da M$:
>> >
>> > O termo *Patch Tuesday* é um pacote de atualizações da Microsoft
>para
>> > os seus produtos. Estes pacotes vêm pelo Windows Update
>> >  atualmente, e são
>> > lançados em todas as segundas Terça-Feira
>> >  de cada mês.
>> >
>> > O Patch Tuesday é lançado aproximadamente entre 17:00 e 18:00 (UTC
>> > ). Às vezes, há alguns patches de
>> > segurança lançados em mais de uma terça-feira no mês.
>> >
>> > Aparentemente a Microsoft tem um padrão de liberação de um maior
>> > número de atualizações em meses pares, e menos nos meses ímpares.
>> >
>> > Fonte: http://pt.wikipedia.org/wiki/Patch_Tuesday
>> >
>> >
>> > Att,
>> > Antonio Novaes de C. Jr
>> > Analista TIC - Sistema e Infraestrutura
>> > Pós-graduando em Segurança de Rede de Computadores
>> > LPIC-1 - Linux Certified Professional Level 1
>> > Novell Certified Linux Administrator (CLA)
>> > ID Linux: 481126 | LPI000255169
>> > LinkedIN: Perfil Público
>> > 
>> >
>> >
>> >
>> > Em 30 de maio de 2014 19:49, Listeiro 037
>
>> > escreveu:
>> >
>> > >
>> > >
>> > > Quais são as melhores estratégias de segurança a serem
>> > > implementadas? Não clicar em links de phishing é uma delas.
>> > >
>> > > Há o manual que vem no pacote harden. É suficiente?
>> > >
>> > > Ultimamente pesquisei sobre portscans e políticas de segurança. O
>> > > que mais há de possível para eu implementar/inventar?
>> > >
>> > > * Configurar firewall com proteção contra os portscans mais
>comuns;
>> > > * Forçar o firewall a permitir que a máquina apenas se conecte
>com
>> > >   mirrors durante o update/upgrade;
>> > > * Configurar um proxy;
>> > > * Desinstalar ferramentas de desenvolvimento e outros pacotes
>> > >   desnecessários (gcc, binutils etc.);
>> > > * Alterar todos os arquivos com suid ativado para execução sem
>este
>> > > bit;
>> > > * Manter certos diretórios do sistema montados com 'nodev',
>> > > 'noexec', 'nosuid'. Ex: /usr/..., /tmp, /var/...;
>> > > * usar chattr em arquivos-chave de configuração para mantê-los
>> > >   imutáveis;
>> > > * Mudar o arquivo de configuração do APT para não dar erro com
>> > > alguma dessas configurações;
>> > > * Configurar o loopback para barrar com endereços de sites de
>> > >   propaganda, adware...;
>> > > * Usar SELINUX;
>> > >
>> > > Há certo exagero. Li um comentário dizendo que SELINUX não
>resolve
>> > > certos problemas. Deve ser pela /N/S/A/.
>> > >
>> > > Muita coisa não deve ser necessária, mas onde 

Re: (off) militares hackers

[Antonio Novaes]

Segurança é um estado, não uma característica. Você esta seguro até
encontrarem uma brecha. Então... Quanto mais rápido de corrigi uma falha
mais rápido o estado de segurança se restabelece.
Em 30/05/2014 23:47, "Listeiro 037"  escreveu:

>
>
> Muitas empresas preferem software de código fechado porque se der algum
> problema elas tem quem responsabilizar, quem apontar e culpar. Entre a
> M$ e qualquer outra menor, qual nome pesa mais?
>
> Ok, temos Red Hat e a Oracle, mas não é apenas sistema operacional. Há
> mais programas para manter suporte e culpar alguém em caso de falha.
>
> Tem uma matéria que saiu há um tempo na Linux Magazine de um desses
> gurus do open source que me fugiu o nome. Perguntado sobre o mesmo,
> sobre se software livre é mais seguro, ele respondeu (na prática foi um
> não) que apenas se aumentava a chance de se localizar e corrigir mais
> rapidamente falhas.
>
>
> Em Fri, 30 May 2014 22:18:42 -0300
> Antonio Novaes  escreveu:
>
> > Olá Rubens!
> >
> > Sobre a pergunta: Vcs acham q softwares livres estão + vulneráveis pra
> > espionagem pelo governo? Sei q softwares proprietários geralmente
> > espionam seus usuários.
> >
> > A resposta é não: o código é auditado por muita gente e praticamente o
> > trabalho não pára. Enquanto os brasileiros vão dormir, os japoneses
> > continuam trabalhando.
> >
> > A M$ costuma liberar atualizações importantes de segurança na
> > terça-feira, ou seja.. se foi descoberta na quarta, espere até terça
> > para ficar "seguro". Mas o que foi pior é a falha de segurança que
> > afetou os navegadores IE do 7 à 10.
> >
> > O OpenSSL foi corrigido em uma velocidade impressionante.
> >
> > Qual o problema? SL trabalha por prazer e para fazer o melhor. Pago
> > trabalha para ganhar seu salário no final do mês e manter sua
> > clientela. Note que são episódios isolados. Não são frequentes como é
> > o caso de outros órgãos.
> >
> > Quando há uma vulnerabilidade é lançada a correção muito rápido.
> > Lembre-se que o código que auditado muito e também estudados por todo
> > tipo de pessoa.
> >
> > Terça-feira da M$:
> >
> > O termo *Patch Tuesday* é um pacote de atualizações da Microsoft para
> > os seus produtos. Estes pacotes vêm pelo Windows Update
> >  atualmente, e são
> > lançados em todas as segundas Terça-Feira
> >  de cada mês.
> >
> > O Patch Tuesday é lançado aproximadamente entre 17:00 e 18:00 (UTC
> > ). Às vezes, há alguns patches de
> > segurança lançados em mais de uma terça-feira no mês.
> >
> > Aparentemente a Microsoft tem um padrão de liberação de um maior
> > número de atualizações em meses pares, e menos nos meses ímpares.
> >
> > Fonte: http://pt.wikipedia.org/wiki/Patch_Tuesday
> >
> >
> > Att,
> > Antonio Novaes de C. Jr
> > Analista TIC - Sistema e Infraestrutura
> > Pós-graduando em Segurança de Rede de Computadores
> > LPIC-1 - Linux Certified Professional Level 1
> > Novell Certified Linux Administrator (CLA)
> > ID Linux: 481126 | LPI000255169
> > LinkedIN: Perfil Público
> > 
> >
> >
> >
> > Em 30 de maio de 2014 19:49, Listeiro 037 
> > escreveu:
> >
> > >
> > >
> > > Quais são as melhores estratégias de segurança a serem
> > > implementadas? Não clicar em links de phishing é uma delas.
> > >
> > > Há o manual que vem no pacote harden. É suficiente?
> > >
> > > Ultimamente pesquisei sobre portscans e políticas de segurança. O
> > > que mais há de possível para eu implementar/inventar?
> > >
> > > * Configurar firewall com proteção contra os portscans mais comuns;
> > > * Forçar o firewall a permitir que a máquina apenas se conecte com
> > >   mirrors durante o update/upgrade;
> > > * Configurar um proxy;
> > > * Desinstalar ferramentas de desenvolvimento e outros pacotes
> > >   desnecessários (gcc, binutils etc.);
> > > * Alterar todos os arquivos com suid ativado para execução sem este
> > > bit;
> > > * Manter certos diretórios do sistema montados com 'nodev',
> > > 'noexec', 'nosuid'. Ex: /usr/..., /tmp, /var/...;
> > > * usar chattr em arquivos-chave de configuração para mantê-los
> > >   imutáveis;
> > > * Mudar o arquivo de configuração do APT para não dar erro com
> > > alguma dessas configurações;
> > > * Configurar o loopback para barrar com endereços de sites de
> > >   propaganda, adware...;
> > > * Usar SELINUX;
> > >
> > > Há certo exagero. Li um comentário dizendo que SELINUX não resolve
> > > certos problemas. Deve ser pela /N/S/A/.
> > >
> > > Muita coisa não deve ser necessária, mas onde encontrar algo que
> > > funcione, se há um sociopata me monitorando?
> > >
> > > Bem, hoje após mandar essa mensagem, *"coincidentemente"* recebi uma
> > > enxurrada de tópicos da debian-secur...@lists.debian.org sobre MITM
> > > em debian mirrors. Pelo menos umas 40 mensagens até agora que lerei
> > > com calma.
> > >
> > > Não compreendi o que poder

Re: (off) militares hackers

[Listeiro 037]

Muitas empresas preferem software de código fechado porque se der algum
problema elas tem quem responsabilizar, quem apontar e culpar. Entre a
M$ e qualquer outra menor, qual nome pesa mais? 

Ok, temos Red Hat e a Oracle, mas não é apenas sistema operacional. Há
mais programas para manter suporte e culpar alguém em caso de falha. 

Tem uma matéria que saiu há um tempo na Linux Magazine de um desses
gurus do open source que me fugiu o nome. Perguntado sobre o mesmo,
sobre se software livre é mais seguro, ele respondeu (na prática foi um
não) que apenas se aumentava a chance de se localizar e corrigir mais
rapidamente falhas.


Em Fri, 30 May 2014 22:18:42 -0300
Antonio Novaes  escreveu:

> Olá Rubens!
> 
> Sobre a pergunta: Vcs acham q softwares livres estão + vulneráveis pra
> espionagem pelo governo? Sei q softwares proprietários geralmente
> espionam seus usuários.
> 
> A resposta é não: o código é auditado por muita gente e praticamente o
> trabalho não pára. Enquanto os brasileiros vão dormir, os japoneses
> continuam trabalhando.
> 
> A M$ costuma liberar atualizações importantes de segurança na
> terça-feira, ou seja.. se foi descoberta na quarta, espere até terça
> para ficar "seguro". Mas o que foi pior é a falha de segurança que
> afetou os navegadores IE do 7 à 10.
> 
> O OpenSSL foi corrigido em uma velocidade impressionante.
> 
> Qual o problema? SL trabalha por prazer e para fazer o melhor. Pago
> trabalha para ganhar seu salário no final do mês e manter sua
> clientela. Note que são episódios isolados. Não são frequentes como é
> o caso de outros órgãos.
> 
> Quando há uma vulnerabilidade é lançada a correção muito rápido.
> Lembre-se que o código que auditado muito e também estudados por todo
> tipo de pessoa.
> 
> Terça-feira da M$:
> 
> O termo *Patch Tuesday* é um pacote de atualizações da Microsoft para
> os seus produtos. Estes pacotes vêm pelo Windows Update
>  atualmente, e são
> lançados em todas as segundas Terça-Feira
>  de cada mês.
> 
> O Patch Tuesday é lançado aproximadamente entre 17:00 e 18:00 (UTC
> ). Às vezes, há alguns patches de
> segurança lançados em mais de uma terça-feira no mês.
> 
> Aparentemente a Microsoft tem um padrão de liberação de um maior
> número de atualizações em meses pares, e menos nos meses ímpares.
> 
> Fonte: http://pt.wikipedia.org/wiki/Patch_Tuesday
> 
> 
> Att,
> Antonio Novaes de C. Jr
> Analista TIC - Sistema e Infraestrutura
> Pós-graduando em Segurança de Rede de Computadores
> LPIC-1 - Linux Certified Professional Level 1
> Novell Certified Linux Administrator (CLA)
> ID Linux: 481126 | LPI000255169
> LinkedIN: Perfil Público
> 
> 
> 
> 
> Em 30 de maio de 2014 19:49, Listeiro 037 
> escreveu:
> 
> >
> >
> > Quais são as melhores estratégias de segurança a serem
> > implementadas? Não clicar em links de phishing é uma delas.
> >
> > Há o manual que vem no pacote harden. É suficiente?
> >
> > Ultimamente pesquisei sobre portscans e políticas de segurança. O
> > que mais há de possível para eu implementar/inventar?
> >
> > * Configurar firewall com proteção contra os portscans mais comuns;
> > * Forçar o firewall a permitir que a máquina apenas se conecte com
> >   mirrors durante o update/upgrade;
> > * Configurar um proxy;
> > * Desinstalar ferramentas de desenvolvimento e outros pacotes
> >   desnecessários (gcc, binutils etc.);
> > * Alterar todos os arquivos com suid ativado para execução sem este
> > bit;
> > * Manter certos diretórios do sistema montados com 'nodev',
> > 'noexec', 'nosuid'. Ex: /usr/..., /tmp, /var/...;
> > * usar chattr em arquivos-chave de configuração para mantê-los
> >   imutáveis;
> > * Mudar o arquivo de configuração do APT para não dar erro com
> > alguma dessas configurações;
> > * Configurar o loopback para barrar com endereços de sites de
> >   propaganda, adware...;
> > * Usar SELINUX;
> >
> > Há certo exagero. Li um comentário dizendo que SELINUX não resolve
> > certos problemas. Deve ser pela /N/S/A/.
> >
> > Muita coisa não deve ser necessária, mas onde encontrar algo que
> > funcione, se há um sociopata me monitorando?
> >
> > Bem, hoje após mandar essa mensagem, *"coincidentemente"* recebi uma
> > enxurrada de tópicos da debian-secur...@lists.debian.org sobre MITM
> > em debian mirrors. Pelo menos umas 40 mensagens até agora que lerei
> > com calma.
> >
> > Não compreendi o que poderiam ser estes poderes divinos (ou prá
> > dizer a verdade, satânicos): acesso à linha telefônica, provedor,
> > operadora, algum departamento de alguma estatal enxerida, /A/B/I/N/
> > etc. Falta do que fazer não falta.
> >
> > A partir do momento que no meu tráfego, dependendo do que pesquiso,
> > revelam-se indiretas sobre quem (eu) usa esse nick estranho, eu não
> > posso confiar nem no MD5, nem no SHA de arquivos, mirrors, tarballs,
> > image

Re: (off) militares hackers

[Antonio Novaes]

Olá Rubens!

Sobre a pergunta: Vcs acham q softwares livres estão + vulneráveis pra
espionagem pelo governo? Sei q softwares proprietários geralmente espionam
seus usuários.

A resposta é não: o código é auditado por muita gente e praticamente o
trabalho não pára. Enquanto os brasileiros vão dormir, os japoneses
continuam trabalhando.

A M$ costuma liberar atualizações importantes de segurança na terça-feira,
ou seja.. se foi descoberta na quarta, espere até terça para ficar
"seguro". Mas o que foi pior é a falha de segurança que afetou os
navegadores IE do 7 à 10.

O OpenSSL foi corrigido em uma velocidade impressionante.

Qual o problema? SL trabalha por prazer e para fazer o melhor. Pago
trabalha para ganhar seu salário no final do mês e manter sua clientela.
Note que são episódios isolados. Não são frequentes como é o caso de outros
órgãos.

Quando há uma vulnerabilidade é lançada a correção muito rápido. Lembre-se
que o código que auditado muito e também estudados por todo tipo de pessoa.

Terça-feira da M$:

O termo *Patch Tuesday* é um pacote de atualizações da Microsoft para os
seus produtos. Estes pacotes vêm pelo Windows Update
 atualmente, e são lançados em
todas as segundas Terça-Feira
 de cada mês.

O Patch Tuesday é lançado aproximadamente entre 17:00 e 18:00 (UTC
). Às vezes, há alguns patches de
segurança lançados em mais de uma terça-feira no mês.

Aparentemente a Microsoft tem um padrão de liberação de um maior número de
atualizações em meses pares, e menos nos meses ímpares.

Fonte: http://pt.wikipedia.org/wiki/Patch_Tuesday


Att,
Antonio Novaes de C. Jr
Analista TIC - Sistema e Infraestrutura
Pós-graduando em Segurança de Rede de Computadores
LPIC-1 - Linux Certified Professional Level 1
Novell Certified Linux Administrator (CLA)
ID Linux: 481126 | LPI000255169
LinkedIN: Perfil Público




Em 30 de maio de 2014 19:49, Listeiro 037 
escreveu:

>
>
> Quais são as melhores estratégias de segurança a serem implementadas?
> Não clicar em links de phishing é uma delas.
>
> Há o manual que vem no pacote harden. É suficiente?
>
> Ultimamente pesquisei sobre portscans e políticas de segurança. O que
> mais há de possível para eu implementar/inventar?
>
> * Configurar firewall com proteção contra os portscans mais comuns;
> * Forçar o firewall a permitir que a máquina apenas se conecte com
>   mirrors durante o update/upgrade;
> * Configurar um proxy;
> * Desinstalar ferramentas de desenvolvimento e outros pacotes
>   desnecessários (gcc, binutils etc.);
> * Alterar todos os arquivos com suid ativado para execução sem este bit;
> * Manter certos diretórios do sistema montados com 'nodev', 'noexec',
>   'nosuid'. Ex: /usr/..., /tmp, /var/...;
> * usar chattr em arquivos-chave de configuração para mantê-los
>   imutáveis;
> * Mudar o arquivo de configuração do APT para não dar erro com alguma
>   dessas configurações;
> * Configurar o loopback para barrar com endereços de sites de
>   propaganda, adware...;
> * Usar SELINUX;
>
> Há certo exagero. Li um comentário dizendo que SELINUX não resolve
> certos problemas. Deve ser pela /N/S/A/.
>
> Muita coisa não deve ser necessária, mas onde encontrar algo que
> funcione, se há um sociopata me monitorando?
>
> Bem, hoje após mandar essa mensagem, *"coincidentemente"* recebi uma
> enxurrada de tópicos da debian-secur...@lists.debian.org sobre MITM em
> debian mirrors. Pelo menos umas 40 mensagens até agora que lerei com
> calma.
>
> Não compreendi o que poderiam ser estes poderes divinos (ou prá dizer a
> verdade, satânicos): acesso à linha telefônica, provedor, operadora,
> algum departamento de alguma estatal enxerida, /A/B/I/N/ etc. Falta do
> que fazer não falta.
>
> A partir do momento que no meu tráfego, dependendo do que pesquiso,
> revelam-se indiretas sobre quem (eu) usa esse nick estranho, eu não
> posso confiar nem no MD5, nem no SHA de arquivos, mirrors, tarballs,
> imagens iso e outros via http(s).
>
> Engraçado que eu percebi o https ser transparente nessa sabotagem. E de
> repente me aparecem o Heartbleed?
>
> Isto tem nada a ver com a responsabilidade do Projeto Debian, qualquer
> outro projeto ou algum colaborador. Mas eu percebo que esse meu
> problema pessoal pode sim significar neutralização de políticas de
> segurança. Tenho procurado compreender até onde os métodos de segurança
> alcançam, por mais que sinta insegurança pessoal.
>
> E como lidar com esse tipo de profissional que faz questão de esfregar
> na cara o quanto está visível para ele qualquer atividade minha na
> internet? Tendo recursos infinitos? Todo o suporte possível? Todo tempo
> do mundo?
>
>
>
> Se a parte pessoal dessa história é questionável, pelo menos gostaria
> de aprimorar na parte técnica para contrabalancear esta *covardia*.
> Sinto-me tão seguro quanto num Windows 98.
>
>
>
> Em 

Re: (off) militares hackers

[Listeiro 037]

Quais são as melhores estratégias de segurança a serem implementadas?
Não clicar em links de phishing é uma delas. 

Há o manual que vem no pacote harden. É suficiente?

Ultimamente pesquisei sobre portscans e políticas de segurança. O que
mais há de possível para eu implementar/inventar?

* Configurar firewall com proteção contra os portscans mais comuns;
* Forçar o firewall a permitir que a máquina apenas se conecte com
  mirrors durante o update/upgrade;
* Configurar um proxy;
* Desinstalar ferramentas de desenvolvimento e outros pacotes
  desnecessários (gcc, binutils etc.);
* Alterar todos os arquivos com suid ativado para execução sem este bit;
* Manter certos diretórios do sistema montados com 'nodev', 'noexec',
  'nosuid'. Ex: /usr/..., /tmp, /var/...;
* usar chattr em arquivos-chave de configuração para mantê-los
  imutáveis;
* Mudar o arquivo de configuração do APT para não dar erro com alguma
  dessas configurações;
* Configurar o loopback para barrar com endereços de sites de
  propaganda, adware...;
* Usar SELINUX;

Há certo exagero. Li um comentário dizendo que SELINUX não resolve
certos problemas. Deve ser pela /N/S/A/.

Muita coisa não deve ser necessária, mas onde encontrar algo que
funcione, se há um sociopata me monitorando?

Bem, hoje após mandar essa mensagem, *"coincidentemente"* recebi uma
enxurrada de tópicos da debian-secur...@lists.debian.org sobre MITM em
debian mirrors. Pelo menos umas 40 mensagens até agora que lerei com
calma.

Não compreendi o que poderiam ser estes poderes divinos (ou prá dizer a
verdade, satânicos): acesso à linha telefônica, provedor, operadora,
algum departamento de alguma estatal enxerida, /A/B/I/N/ etc. Falta do
que fazer não falta.

A partir do momento que no meu tráfego, dependendo do que pesquiso,
revelam-se indiretas sobre quem (eu) usa esse nick estranho, eu não
posso confiar nem no MD5, nem no SHA de arquivos, mirrors, tarballs,
imagens iso e outros via http(s). 

Engraçado que eu percebi o https ser transparente nessa sabotagem. E de
repente me aparecem o Heartbleed?

Isto tem nada a ver com a responsabilidade do Projeto Debian, qualquer
outro projeto ou algum colaborador. Mas eu percebo que esse meu
problema pessoal pode sim significar neutralização de políticas de
segurança. Tenho procurado compreender até onde os métodos de segurança
alcançam, por mais que sinta insegurança pessoal.

E como lidar com esse tipo de profissional que faz questão de esfregar
na cara o quanto está visível para ele qualquer atividade minha na
internet? Tendo recursos infinitos? Todo o suporte possível? Todo tempo
do mundo?



Se a parte pessoal dessa história é questionável, pelo menos gostaria
de aprimorar na parte técnica para contrabalancear esta *covardia*.
Sinto-me tão seguro quanto num Windows 98.



Em Fri, 30 May 2014 13:41:18 -0300
André Nunes Batista  escreveu:

> On Thu, 2014-05-29 at 23:01 -0300, Listeiro 037 wrote:
> > 
> > Esse sou eu. (clap clap clap)
> > 
> > 
> > Em Thu, 29 May 2014 21:10:29 -0300
> > jacksonrb  escreveu:
> > 
> > > Um mané com linux na mao tem mais chance de ter sua privacidade
> > > violada que alguem de bom senso (sem piadas, pfvr) com windows.
> 
> Talvez muitos assuntos sendo condensados?
> 
> José Manuel é usuário sem noção, diferente de Manuel José que adota
> estratégias de segurança. Qual a chance de ambos de terem sua
> privacidade violada? Depende.
> 
> Se o adversário for casual ou passivo, Manuel José terá chances de
> manter sua privacidade e, talvez, perceber quando for violada. José
> Manuel certamente terá sua privacidade violada em algum momento.
> 
> Se o adversário for ativo e tiver conexões divinas e posicionamento
> estratégico na rede, ambos terão, a não ser que se unam.
> 


-- 
Encryption works. Properly implemented strong crypto systems are one of
the few things that you can rely on. Unfortunately, endpoint security
is so terrifically weak that NSA can frequently find ways around it. —
Edward Snowden


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/104742.62355...@smtp221.mail.ne1.yahoo.com

Re: (off) militares hackers

[André Nunes Batista]

On Thu, 2014-05-29 at 23:01 -0300, Listeiro 037 wrote:
> 
> Esse sou eu. (clap clap clap)
> 
> 
> Em Thu, 29 May 2014 21:10:29 -0300
> jacksonrb  escreveu:
> 
> > Um mané com linux na mao tem mais chance de ter sua privacidade
> > violada que alguem de bom senso (sem piadas, pfvr) com windows.

Talvez muitos assuntos sendo condensados?

José Manuel é usuário sem noção, diferente de Manuel José que adota
estratégias de segurança. Qual a chance de ambos de terem sua
privacidade violada? Depende.

Se o adversário for casual ou passivo, Manuel José terá chances de
manter sua privacidade e, talvez, perceber quando for violada. José
Manuel certamente terá sua privacidade violada em algum momento.

Se o adversário for ativo e tiver conexões divinas e posicionamento
estratégico na rede, ambos terão, a não ser que se unam.

-- 
André N. Batista
GNUPG/PGP KEY: 6722CF80



signature.asc
Description: This is a digitally signed message part

Re: (off) militares hackers

[Listeiro 037]

Esse sou eu. (clap clap clap)


Em Thu, 29 May 2014 21:10:29 -0300
jacksonrb  escreveu:

> Um mané com linux na mao tem mais chance de ter sua privacidade
> violada que alguem de bom senso (sem piadas, pfvr) com windows.

-- 
Encryption works. Properly implemented strong crypto systems are one of
the few things that you can rely on. Unfortunately, endpoint security
is so terrifically weak that NSA can frequently find ways around it. —
Edward Snowden


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/548316.82233...@smtp106.mail.ne1.yahoo.com

Re: (off) militares hackers

[jacksonrb]

Boa noite...
Tenho um ponto de vista menos tecnologico no caso de quebra de privacidade
eletrônica.
Discordo do China no ponto "usuarios inadequadamente treinados", são
usuarios ABSOLUTAMENTE NADA treinados. E ai está o grande furo de segurança
de qualquer lugar, o ser humano.
Nunca acessaram minha conta e roubaram dinheiro, talvez por eu nao ter
mesmo, ou talvez pelo fato de eu nao acreditar que sou o usuário 1.000.000
e ganhei trilhoes de libras esterlinas.
O comportamento humano em casa ou na empresa fura qualquer tipo de
segurança que se pense em inventar.

Windows tem falha, Linux tem falha, Android tem falha, tudo que é feito por
um ser humano tem falha, e se o que for feito por um ser humano for
utilizado por outro, a falha é somada.

Um mané com linux na mao tem mais chance de ter sua privacidade violada que
alguem de bom senso (sem piadas, pfvr) com windows.

Falta principalmente de legislação aplicada a informatica (não aquela
legislação pra prender quem faz errado, mas aquela que regulamenta o
profissional), faz com que cada vez mais "micreiros" virem administradores
de rede, e se um desses micreiros passarem num concurso publico, por
exemplo, e cairem na TI de um orgao federal, pronto, ta feita a lambança

Li algo uma vez e nunca mais esqueci: "Viva a engenharia social, pois não
existe patch para a imbecilidade humana".

Jackson


Em 29 de maio de 2014 14:26, André Nunes Batista 
escreveu:

> On Tue, 2014-05-27 at 23:24 -0300, Rubens Junior wrote:
> > Prezado China,
> >
> > Saudacoes.
> >
> > Ha coisas q nao sao divulgadas e apenas os "mais fracos" sao divulgados
> na
> > midia, isso ocorre em qualquer orgao publico e/ou privado, vide o exemplo
> > dos furtos decorrentes de internet banking e/ou cartoes de creditos. O
> > grande exemplo, saindo do mundo virtual, eh o numero exato de
> assassinatos
> > ou furtos q ocorrem ou acidentes em rodovias, a PM/PC e a PRF somente
> > divulgam os casos registrados e os q interessam pra "ficar bem na foto".
> > Isso eh minha opiniao.
> >
> > Ate q me provem o contrario, o governo brasileiro infelizmente esta muito
> > exposto.
> >
> > Caso queira continuar o coloquio, peco q envie o email somente pra mim.
> >
> > Abracos.
> >
> >
> > Em 27 de maio de 2014 19:23, China  escreveu:
> >
> > > Quando leio coisas tipo "o governo brasileiro foi hackeado dinovo" eu
> > > até arrepio. Um orgão teve um sistema interno de leitura de telegramas
> > > exposto por scammers que usaram técnica de pishing e usuários clicaram
> > > nos links e já vira "o governo brasileiro foi hackeado dinovo" .
> > >
> > > O que aconteceu no Itamaraty acontece em qualquer lugar onde não
> > > existe infra de TICs adequada, administração de sistemas adequado e
> > > usuários inadequadamente treinados, isso seja com software livre ou
> > > proprietário. Simples assim.
> > >
> > > Porque não invadem o Serpro? Lá estão Imposto de Renda, Passaporte,
> > > Renavan, SISCOMEX, SIconv, a conta única do tesouro, a folha de
> > > pagamento de TODOS os servidores públicos federais...
> > >
> > > Em 27 de maio de 2014 17:06, Rubens Junior 
> escreveu:
> > > >
> > > > Prezados,
> > > >
> > > > No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre
> esse
> > > > assunto e que o exercito brasileiro estava criando/reestruturando uma
> > > > unidade para esse fins, principalmente por causa da Copa/2014 e
> > > > Olimpiadas/2016.
> > > >
> > > > Achei incrivel a pontinha do iceberg descrito neste site e tbm
> daquele
> > > > ex-agente americano q dedurou as atividades do governo americando
> > > > http://glo.bo/1husb0s
> > > >
> > > > E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60
> > > >
> > > > Ja escutei pessoas do meu trabalho q preferem usar 100% software
> > > > proprietario por causa do suporte e recentemente abriram uma area pra
> > > > linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar,
> nao
> > > tem
> > > > suporte pago especializado. Eh aquele caso, preferem terceirizar os
> > > > problemas: culpa deles e cobrar SLA, termo q esta na moda.
> > > >
> > > > Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
> > > > governo? Sei q softwares proprietarios geralmente espionam seus
> usuarios.
>
> Não. O que não significa que Software Livre seja invulnerável. As
> táticas para sabotar um e outro é que são distintas. Podem haver
> programadores pagos por agenciazinhas produzindo código malicioso
> disponibilizando ou não os fontes. Porém, quando não têm o dever de
> disponibilizar, ganham uma camada adicional de proteção.
>
> A publicidade do processo de criação de software livre pelo menos deixa
> o código e seus contribuidores a mostra para julgamento por qualquer
> interessado em estudar o assunto.
>
> Por outro lado, isto não quer dizer que este seja o caminho seguido por
> quem quer testar as promessas de um software. Para isto, um binário é
> suficiente. A comparação seria alguém que lê sobre uma onça e alguém que
> a vê ca

Re: (off) militares hackers

[André Nunes Batista]

On Tue, 2014-05-27 at 23:24 -0300, Rubens Junior wrote:
> Prezado China,
> 
> Saudacoes.
> 
> Ha coisas q nao sao divulgadas e apenas os "mais fracos" sao divulgados na
> midia, isso ocorre em qualquer orgao publico e/ou privado, vide o exemplo
> dos furtos decorrentes de internet banking e/ou cartoes de creditos. O
> grande exemplo, saindo do mundo virtual, eh o numero exato de assassinatos
> ou furtos q ocorrem ou acidentes em rodovias, a PM/PC e a PRF somente
> divulgam os casos registrados e os q interessam pra "ficar bem na foto".
> Isso eh minha opiniao.
> 
> Ate q me provem o contrario, o governo brasileiro infelizmente esta muito
> exposto.
> 
> Caso queira continuar o coloquio, peco q envie o email somente pra mim.
> 
> Abracos.
> 
> 
> Em 27 de maio de 2014 19:23, China  escreveu:
> 
> > Quando leio coisas tipo "o governo brasileiro foi hackeado dinovo" eu
> > até arrepio. Um orgão teve um sistema interno de leitura de telegramas
> > exposto por scammers que usaram técnica de pishing e usuários clicaram
> > nos links e já vira "o governo brasileiro foi hackeado dinovo" .
> >
> > O que aconteceu no Itamaraty acontece em qualquer lugar onde não
> > existe infra de TICs adequada, administração de sistemas adequado e
> > usuários inadequadamente treinados, isso seja com software livre ou
> > proprietário. Simples assim.
> >
> > Porque não invadem o Serpro? Lá estão Imposto de Renda, Passaporte,
> > Renavan, SISCOMEX, SIconv, a conta única do tesouro, a folha de
> > pagamento de TODOS os servidores públicos federais...
> >
> > Em 27 de maio de 2014 17:06, Rubens Junior  escreveu:
> > >
> > > Prezados,
> > >
> > > No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre esse
> > > assunto e que o exercito brasileiro estava criando/reestruturando uma
> > > unidade para esse fins, principalmente por causa da Copa/2014 e
> > > Olimpiadas/2016.
> > >
> > > Achei incrivel a pontinha do iceberg descrito neste site e tbm daquele
> > > ex-agente americano q dedurou as atividades do governo americando
> > > http://glo.bo/1husb0s
> > >
> > > E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60
> > >
> > > Ja escutei pessoas do meu trabalho q preferem usar 100% software
> > > proprietario por causa do suporte e recentemente abriram uma area pra
> > > linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar, nao
> > tem
> > > suporte pago especializado. Eh aquele caso, preferem terceirizar os
> > > problemas: culpa deles e cobrar SLA, termo q esta na moda.
> > >
> > > Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
> > > governo? Sei q softwares proprietarios geralmente espionam seus usuarios.

Não. O que não significa que Software Livre seja invulnerável. As
táticas para sabotar um e outro é que são distintas. Podem haver
programadores pagos por agenciazinhas produzindo código malicioso
disponibilizando ou não os fontes. Porém, quando não têm o dever de
disponibilizar, ganham uma camada adicional de proteção.

A publicidade do processo de criação de software livre pelo menos deixa
o código e seus contribuidores a mostra para julgamento por qualquer
interessado em estudar o assunto.

Por outro lado, isto não quer dizer que este seja o caminho seguido por
quem quer testar as promessas de um software. Para isto, um binário é
suficiente. A comparação seria alguém que lê sobre uma onça e alguém que
a vê caída e vai cutucar pra ver se está viva, se é onça mesmo, se ruge,
mostra o dente, se é capaz de domá-la. São dois caminhos muito distintos
de se conhecer uma onça.

> > > Ocorreram duas situacoes q me levaram e refletir melhor sobre o tema (nao
> > > quer dizer q sou a favor de software proprietario): 1) o site kernel.org
> > > ficou fora do ar por um tempao por causa de um "hacker" e a equipe, pelo
> > que
> > > eu li, ficou analisando os codigos-fontes pra saber se nao foram
> > > adulterados; 2) Aquele bug do openssl. Ou eu li sites nao confiaveis e me
> > > "perdi"...
> > >
> > > Saudacoes...
> > >

A questão é: quem são os inimigos? As blue chips do silício e os espiões
aparentemente são amigos.

-- 
André N. Batista
GNUPG/PGP KEY: 6722CF80



signature.asc
Description: This is a digitally signed message part

Re: (off) militares hackers

[Rubens Junior]

Prezado China,

Saudacoes.

Ha coisas q nao sao divulgadas e apenas os "mais fracos" sao divulgados na
midia, isso ocorre em qualquer orgao publico e/ou privado, vide o exemplo
dos furtos decorrentes de internet banking e/ou cartoes de creditos. O
grande exemplo, saindo do mundo virtual, eh o numero exato de assassinatos
ou furtos q ocorrem ou acidentes em rodovias, a PM/PC e a PRF somente
divulgam os casos registrados e os q interessam pra "ficar bem na foto".
Isso eh minha opiniao.

Ate q me provem o contrario, o governo brasileiro infelizmente esta muito
exposto.

Caso queira continuar o coloquio, peco q envie o email somente pra mim.

Abracos.


Em 27 de maio de 2014 19:23, China  escreveu:

> Quando leio coisas tipo "o governo brasileiro foi hackeado dinovo" eu
> até arrepio. Um orgão teve um sistema interno de leitura de telegramas
> exposto por scammers que usaram técnica de pishing e usuários clicaram
> nos links e já vira "o governo brasileiro foi hackeado dinovo" .
>
> O que aconteceu no Itamaraty acontece em qualquer lugar onde não
> existe infra de TICs adequada, administração de sistemas adequado e
> usuários inadequadamente treinados, isso seja com software livre ou
> proprietário. Simples assim.
>
> Porque não invadem o Serpro? Lá estão Imposto de Renda, Passaporte,
> Renavan, SISCOMEX, SIconv, a conta única do tesouro, a folha de
> pagamento de TODOS os servidores públicos federais...
>
> Em 27 de maio de 2014 17:06, Rubens Junior  escreveu:
> >
> > Prezados,
> >
> > No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre esse
> > assunto e que o exercito brasileiro estava criando/reestruturando uma
> > unidade para esse fins, principalmente por causa da Copa/2014 e
> > Olimpiadas/2016.
> >
> > Achei incrivel a pontinha do iceberg descrito neste site e tbm daquele
> > ex-agente americano q dedurou as atividades do governo americando
> > http://glo.bo/1husb0s
> >
> > E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60
> >
> > Ja escutei pessoas do meu trabalho q preferem usar 100% software
> > proprietario por causa do suporte e recentemente abriram uma area pra
> > linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar, nao
> tem
> > suporte pago especializado. Eh aquele caso, preferem terceirizar os
> > problemas: culpa deles e cobrar SLA, termo q esta na moda.
> >
> > Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
> > governo? Sei q softwares proprietarios geralmente espionam seus usuarios.
> >
> > Ocorreram duas situacoes q me levaram e refletir melhor sobre o tema (nao
> > quer dizer q sou a favor de software proprietario): 1) o site kernel.org
> > ficou fora do ar por um tempao por causa de um "hacker" e a equipe, pelo
> que
> > eu li, ficou analisando os codigos-fontes pra saber se nao foram
> > adulterados; 2) Aquele bug do openssl. Ou eu li sites nao confiaveis e me
> > "perdi"...
> >
> > Saudacoes...
> >
> >
> >
> >
> > --
> > Atenciosamente,
> > Rubens S. O. Jr
> >
>



-- 
Atenciosamente,
Rubens S. O. Jr

Re: (off) militares hackers

[China]

Quando leio coisas tipo "o governo brasileiro foi hackeado dinovo" eu
até arrepio. Um orgão teve um sistema interno de leitura de telegramas
exposto por scammers que usaram técnica de pishing e usuários clicaram
nos links e já vira "o governo brasileiro foi hackeado dinovo" .

O que aconteceu no Itamaraty acontece em qualquer lugar onde não
existe infra de TICs adequada, administração de sistemas adequado e
usuários inadequadamente treinados, isso seja com software livre ou
proprietário. Simples assim.

Porque não invadem o Serpro? Lá estão Imposto de Renda, Passaporte,
Renavan, SISCOMEX, SIconv, a conta única do tesouro, a folha de
pagamento de TODOS os servidores públicos federais...

Em 27 de maio de 2014 17:06, Rubens Junior  escreveu:
>
> Prezados,
>
> No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre esse
> assunto e que o exercito brasileiro estava criando/reestruturando uma
> unidade para esse fins, principalmente por causa da Copa/2014 e
> Olimpiadas/2016.
>
> Achei incrivel a pontinha do iceberg descrito neste site e tbm daquele
> ex-agente americano q dedurou as atividades do governo americando
> http://glo.bo/1husb0s
>
> E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60
>
> Ja escutei pessoas do meu trabalho q preferem usar 100% software
> proprietario por causa do suporte e recentemente abriram uma area pra
> linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar, nao tem
> suporte pago especializado. Eh aquele caso, preferem terceirizar os
> problemas: culpa deles e cobrar SLA, termo q esta na moda.
>
> Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
> governo? Sei q softwares proprietarios geralmente espionam seus usuarios.
>
> Ocorreram duas situacoes q me levaram e refletir melhor sobre o tema (nao
> quer dizer q sou a favor de software proprietario): 1) o site kernel.org
> ficou fora do ar por um tempao por causa de um "hacker" e a equipe, pelo que
> eu li, ficou analisando os codigos-fontes pra saber se nao foram
> adulterados; 2) Aquele bug do openssl. Ou eu li sites nao confiaveis e me
> "perdi"...
>
> Saudacoes...
>
>
>
>
> --
> Atenciosamente,
> Rubens S. O. Jr
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/caema1k96+xp9_d27phfdqosfjapbfqh+q1m3gjfd5oqu8lh...@mail.gmail.com

(off) militares hackers

[Rubens Junior]

Prezados,

No CONSEGI/2012, realizado aqui em Belem, ocorreu uma palestra sobre esse
assunto e que o exercito brasileiro estava criando/reestruturando uma
unidade para esse fins, principalmente por causa da Copa/2014 e
Olimpiadas/2016.

Achei incrivel a pontinha do iceberg descrito neste site e tbm daquele
ex-agente americano q dedurou as atividades do governo americando
http://glo.bo/1husb0s

E o governo brasileiro foi hackeado dinovo http://bit.ly/ScAF60

Ja escutei pessoas do meu trabalho q preferem usar 100% software
proprietario por causa do suporte e recentemente abriram uma area pra
linux/redhat por causa do suporte tbm. Debian? Postgres? Nem pensar, nao
tem suporte pago especializado. Eh aquele caso, preferem terceirizar os
problemas: culpa deles e cobrar SLA, termo q esta na moda.

Vcs acham q softwares livres estao + vulneraveis pra espionagem pelo
governo? Sei q softwares proprietarios geralmente espionam seus usuarios.

Ocorreram duas situacoes q me levaram e refletir melhor sobre o tema (nao
quer dizer q sou a favor de software proprietario): 1) o site
kernel.orgficou fora do ar por um tempao por causa de um "hacker" e a
equipe, pelo
que eu li, ficou analisando os codigos-fontes pra saber se nao foram
adulterados; 2) Aquele bug do openssl. Ou eu li sites nao confiaveis e me
"perdi"...

Saudacoes...




-- 
Atenciosamente,
Rubens S. O. Jr