Autor: Vox Leone

Programador, Desenvolvedor, Analista de Sistemas, trabalhando (e estudando) na intersecção da Análise/Ciência de Dados, Aprendizado de Máquina e Segurança.
Publicado em in Internet, tecnologia

Ano do Jubileu para o FTP

O dia 16 de abril de 1971 não é apenas a data em que os Rolling Stones lançaram Brown Sugar, mas também é lembrado, no mundo da Tecnologia da informação, pela publicação da RFC 114 marcando o dia do nascimento do FTP [File Transfer Protocol – Protocolo de Transferência de Arquivo].

Naqueles dias, este bloguista, infante, ainda achava que o mundo era mágico. A guerra do Vietnã estava na vanguarda das notícias; o TCP/IP ainda não existia; Jimi Hendrix tinha morrido há 6 meses; o Telnet era o novo “cool kid” e alguns dos artistas de rock’n’roll mais influentes estavam perto de lançar inesquecíveis obras-primas [Imagine, John Lennon, e.g.] – enquanto o FTP ainda usava um protocolo de rede chamado NCP [Network Control Protocol].

FTP – O mais popular protocolo de transferência de arquivo

Ao longo dos anos, o protocolo FTP foi refinado com 16 revisões diferentes[1], adicionando suporte com TCP/IP, uma extensão segura também conhecida como FTPS – que aproveita a mesma tecnologia que o HTTPS – e adições mais recentes, como suporte IPv6.

Cinquenta anos após o seu início, o protocolo ainda está muito forte, com milhões de servidores FTP ainda expostos na internet, o que é bastante surpreendente, considerando a má publicidade que recebe de algumas pessoas, empresas e instituições, que escrevem sobre o quão ruim o FTP está sendo ao vender o protocolo como um produto completo [mesmo que em muitos casos, o mais próximo que certos críticos chegaram do FTP é alguma API proprietária muito menos inteligente, que só pode ser usada se os distintos forem gentis o bastante para te dar uma chave].

Debian Linux, por exemplo, é um dos críticos e alega que desativou seus serviços de Protocolo de Transferência de Arquivos Públicos (FTP) em 2017, porque quase ninguém os usava mais e eles são difíceis de operar e manter. “Nosso próprio instalador não ofereceu FTP como uma maneira de acessar espelhos por mais de dez anos”, disseram.

As razões são bem simples: O colaborador do Debian Cétric Boultier diz que “servidores FTP não têm suporte para cache ou aceleração”, o que provavelmente significa que o Debian tem que jogar mais hardware no FTP do que seria sensato. Ele também observa que a maioria das implementações de software clientes “estagnaram e são desajeitadas de usar e configurar… O protocolo é ineficiente e requer adições de improvisações desajeitadas a firewalls e daemons de balanceamento de carga”.

De qualquer maneira, em 2021, o que parece ser reconhecido como progresso toma a forma de protocolos proprietários, feitos a portas fechadas e sem qualquer RFC [Request For Comment]. Em vez disso, o que sobra aos desenvolvedores que desejam criar servidores concorrentes é fazer a engenharia reversa dos kits de desenvolvimento de software.

Na verdade, em um mundo ideal não deveria importar qual ferramenta se usa, mas sim se essa ferramenta é fácil de usar, se vovó pode transferir as fotos que ela deseja compartilhar, abrir vídeos e fazer todas as outras coisas que não deveriam exigir dela conhecimentos sobre protocolos – pois nosso trabalho como engenheiros de dados é abstrair todas essas coisas complicadas para que, pela magia da abstração, alguém acessando sua conta bancária no conforto de seu lar não tenha que entender de criptografia ao usar SSL.

[1] FTP ao longo dos anos:

  • RFC 114 (abril de 1971)
  • RFC 697 (julho de 1975): Comando CWD
  • RFC 765 (junho de 1980): TCP / IP
  • RFC 959 (outubro de 1985): Protocolo de transferência de arquivos
  • RFC 1579 (fevereiro de 1994): FTP compatível com firewall
  • RFC 1635 (maio de 1994): Como usar o FTP anônimo
  • RFC 1639 (junho de 1994): FTP Operation Over Big Address Records
  • RFC 1738 (dezembro de 1994): Uniform Resource Locators
  • RFC 2228 (outubro de 1997): Extensões de Segurança FTP
  • RFC 2389 (agosto de 1998): Mecanismo de negociação de recursos para o protocolo de transferência de arquivos
  • RFC 2428 (setembro de 1998): Extensões para IPv6, NAT e modo passivo estendido
  • RFC 2577 (maio de 1999): Considerações de segurança de FTP
  • RFC 2640 (julho de 1999): Internacionalização do Protocolo de Transferência de Arquivos
  • RFC 3659 (março de 2007): Extensões para FTP
  • RFC 5797 (março de 2010): Registro de Comando e Extensão FTP
  • RFC 7151 (março de 2014): Comando HOST do protocolo de transferência de arquivos para hosts virtuais.

Fonte: Adaptado de filestash.app

Publicado em in Ciência

Covid-19: Um Sombrio ‘Futuro Possível’

Sou um entusiasta dos blogs (hello!) e fórums de discussão [Bulletin Boards]. Considero-os o verdadeiro repositório da informação de qualidade na Web. Os malefícios das redes sociais são recorrentes nos meus textos, sempre exortando as pessoas à expressão de seus próprios pensamentos fora das câmaras de eco das redes. Pioneiro da Web que sou, nada me é tão deprimente quanto o sufocamento da cultura dos blogs causado pelos facebooks da vida. Felizmente os verdadeiros blogs ainda pulsam com algum vigor alhures. Entre as ilhas de excelência na melancólica Web do século 21 está o blog de Bruce Schneier, eminente e influente especialista em segurança. O blog pode ser descrito como uma congregação de mentes brilhantes que discorrem com fluência e profundidade sobre segurança, privacidade e ciência da computação em geral.

Às sextas-feiras Schneier permite um ambiente mais relaxado [em seu Friday Squid Blog], em que temas mais gerais são discutidos. Durante o último ano e até agora, como não poderia ser diferente, a Covid-19 tem sido ali tema de grandes discussões, com insights instigantes sobre a natureza, curso e perspectivas para a doença. Dentre os membros do blog, o incrível Clive Robinson, que nos brinda com o texto de hoje, traz sempre uma perspectiva inteligente, sob um prisma muitas vezes original, sempre surpreendente e informativo. Às vezes também aterrador, como o futuro possível descrito neste post – que Clive gentilmente nos autoriza a reproduzir. Em minha opinião, os brasileiros precisam levar a ameaça a sério, e pensar profundamente sobre o que ela representa. A elocubração de Clive nos fornece mais um tanto de munição, na luta pela iluminação dos espíritos. Enjoy.

* * *

A respeito de :

“Imunidade de rebanho por vacinação / recuperação será alcançada no Reino Unido em 9 de abril de 2021.”

Eu moro no Reino Unido, e tenho várias doenças crônicas que me tornam “especial”, de acordo com o governo daqui, e tenho o atestado para provar… Eu colocaria esse atestado pendurado na parede em uma moldura, se eu tivesse permissão para sair e comprá-la – isso seria contravenção das “regras de bloqueio necessárias” que estão atualmente em prática …

Então, eu rolaria no chão de tanto rir dessa afirmação estúpida, se não fosse tão terrivelmente triste, de que não apenas muitas pessoas ainda sendo infectadas diariamente, mas que outras, infectadas cerca de um mês ou mais atrás, estão morrendo.

Essas mortes não estão mais nos acima de 70 anos; elas estão agora nos acima de 40, e se a [variante] Brasil P1 colocar um dedão [na Grã-Bretanha], como tem na Europa [continental], em breve serão os acima de 25.

O nível de prevalência é tal que a taxa de mutação é maior que a taxa de imunização… Em outras palavras, embora o Reino Unido tenha começado [a vacinar] muito mais cedo do que outras nações, nós estamos perdendo a corrida.

“Jabs nos braços e novas cepas nos pulmões”.

Quer dizer, o vírus de nenhuma maneira vai se tornar menos virulento com o tempo… O que diabos está acontecendo na Europa, onde a “desarmonia” na vacinação parece insuperável nas frentes politica, médica e econômica, eu não tenho ideia, mas não pode ser bom.

Eu ouço que a Brasil P1 foi encontrada na Europa… também foi encontrada na Índia, que às vezes é chamada de “farmácia do mundo” em alusão às drogas que faz. Bem, eles sabem que estão perdendo a corrida da imunização, e é por isso que eu espero que eles de fato ajam de acordo com a sua declaração, já há um ano, de que “as drogas da Índia são para a Índia”, e que as vacinas que eles têm fabricado, com problemas localizados de produção, podem não ser enviadas ao exterior, mas acabar em braços indianos. Para ser honesto, quem realmente pode culpá-los?

Voltaremos à agricultura de subsistência?

Quanto à “política de imunidade de rebanho”, sabíamos que seria um fracasso, como a Suécia, e agora o Brasil, provaram além de qualquer dúvida. Ainda assim alguns continuam com essa estória por várias razões… Quanto à “imunidade de rebanho natural” (Natural Herd Immunity – NHI), a resposta evolucionária para baixo na virulência, absolutamente essencial [para explicar a hipótese], obviamente não está acontecendo, devido à natureza do ciclo de infecção, portanto nada de NHI.

Pior, agora você pode ter um “double tap“[1], com uma mutação te infectando não apenas uma segunda vez, mas muito mais severamente na segunda vez, como o Brasil demonstrou. Ainda pior, mudando também as faixas etárias afetadas, além das vacinas…

Bem, ao contrário dos outros que acham que Covid estará aqui para sempre, e eu estive alertando o mesmo há quase um ano… Agora estou começando a considerar em meus momentos mais sombrios que a doença realmente não vai durar, porque nós vamos perder a corrida. Isto é, a menos que seres humanos suficientes nasçam com imunidade natural, é uma jornada ladeira abaixo para a humanidade.

A humanidade vivendo em bolsões…

Primeiro haverá uma queda substancial na idade média de morte, que irá provavelmente acabar abaixo de 45 anos no mundo ocidental e talvez 20 em áreas do terceiro mundo. Assim, a taxa de natalidade cairá significativamente, tornando o sistema de saúde algo quase impossível dentro de uma geração ou duas. A taxa de mortalidade viral, por sua vez, aumentará ainda mais.

Se a imunidade inata, ou natural, não acontecer, a humanidade cairá de volta para os números que supostamente eram atingidos sempre que grandes catástrofes planetárias aconteciam. Haverá bolsões [humanos] em lugares isolados onde o vírus não conseguir se estabelecer. Só então o virus vai se extinguir, antes dos humanos, mas não muito antes…

Claro que seria relativamente simples evitar que isso aconteça… Você só teria que ser absolutamente implacável sobre a área a ser isolada. Com efeito, um “atirar para matar” ou uma política semelhante, para as pessoas que tentassem cruzar fronteiras ilegalmente, e restrições tão severas que as fronteiras seriam efetivamente fechadas. O comércio continuaria a atravessar fronteiras, automatizado, mas os humanos não: se chegar aqui, você fica no mar, contra o vento e dá meia-volta sem entrar. As mercadorias seriam higienizadas de maneiras que já falei no passado.

Você pode apostar seus trocados que tal medida já está sendo considerada / falada em países como Nova Zelândia e Austrália. Eles descobriram da maneira mais dolorosa que a quarentena na entrada ao país nunca será confiável, especialmente à medida que o vírus se torna mais virulento e a patogenicidade aumenta.

Na Europa, sabemos por amarga experiência e muitas mortes, quão difícil é manter fora as pessoas que acham que não têm nada a perder e tudo a ganhar tentando atravessar uma fronteira. Isso é um risco 50/50 de morte ou lesão grave debilitante para eles; um risco mais do que aceitável para conseguir o que eles vêem como uma vida melhor (os saltadores de trem do túnel do Canal de Sangat, barcos da morte no mediterrâneo, etc). Alguns dizem que com uma disposição mental assim a única maneira de impedi-los é o “pare o cabra à bala” e isso muito antes de as mutações da Covid-19 aumentarem o risco da entrada ilegal para “potencialmente fatal” para toda a população da região.

Então, temos que ganhar a imunidade, não apenas no ocidente, mas em todos os lugares, antes que a mutação ganhe o mundo. Mas a estúpida política e os egoístas privilegiados, como hoje é tão comum, tornarão uma situação ruim ainda muito pior, só porque eles podem…

[1] A expressão “double tap” descreve a técnica de disparar dois tiros em rápida sequencia para desativar um adversário.

LInk para post original em inglês em Schneier on Security.

Publicado em in Blockchain, Cripto

Governos Preparam Blitz Contra as Criptomoedas

Jess Powell, CEO da Kraken, a quarta maior negociadora de criptomoedas do mundo, adverte que governos pelo planeta afora podem estar preparando uma grande blitz contra o uso de Bitcoin e outras criptomoedas. CNBC reporta:

“Acho que pode haver alguma repressão”, disse Jesse Powell em uma entrevista à CNBC. As criptomoedas dispararam em valor ultimamente, com o Bitcoin alcançando um recorde de mais de US$ 61.000 no mês passado. A moeda digital mais valiosa do mundo tem sido negociada ultimamente em torno de US$ 60.105. […] O chefe da Kraken acha que a incerteza regulatória em torno das Criptos não vai dissipar tão cedo. Uma regra contra a lavagem de dinheiro proposta pelo governo dos EUA recentemente exige que as pessoas que mantêm Criptos em uma carteira digital privada passem por verificação de identidade se fizerem transações acima de US$ 3.000. “Algo assim poderia realmente ferir as Criptos e matar o caso de uso original, que era apenas tornar os serviços financeiros acessíveis a todos”, disse Powell.

Foto por Worldspectrum em Pexels.com

As criptomoedas como o Bitcoin têm sido frequentemente associadas a atividades ilícitas devido ao fato de que as pessoas que transacionam com ela são pseudônimas – você pode ver para onde os fundos estão sendo enviados, mas não quem os enviou ou os recebeu. “Espero que agências reguladoras americanas e internacionais não tenham uma visão muito estreita sobre o assunto”, disse Powell. “Outros países, a China especialmente, estão levando Cripto muito a sério e assumindo uma postura de muito longo prazo”.

O CEO de Kraken disse sentir que os EUA são mais “suscetíveis” às pressões de negócios tradicionais em extinção – em outras palavras, os bancos – que “vão perder se as Criptos se tornarem normalizadas”. “Eu acho também que já pode ser tarde demais”, acrescentou Powell. “Talvez o gênio já esteja fora da garrafa e tentar bani-las neste momento só vai torná-las mais atraentes. Certamente enviaria uma mensagem de que o governo as vê como uma alternativa superior à sua própria moeda.”

Link para CNBC (English)

Publicado em in tecnologia

Como a Riqueza é Gerada Hoje

Em 1960, a maioria das pessoas que começam uma startup hoje teria ido trabalhar para uma delas. Era possível ficar rico abrindo sua própria empresa em 1890 e em 2020, mas em 1960 isso não era realmente uma opção viável. Você não podia romper os oligopólios para chegar aos mercados. Portanto, a rota de prestígio em 1960 não era começar sua própria empresa, mas subir na escada corporativa em uma empresa já existente.

Transformar as pessoas em funcionários corporativos diminuiu a desigualdade econômica (e todos os outros tipos de desigualdade), mas se tomarmos como modelo de normalidade a metade do século 20, teremos em vista um modelo muito enganador. A economia das grandes corporações acabou sendo apenas uma longa fase e, a partir dos anos 1970, começou a se desintegrar.

Por que a fase acabou? Em parte por senescência. As grandes empresas que tomávamos como modelos de escala e eficiência em 1930 haviam se tornado frouxas e inchadas em 1970. Na década de 1970, a estrutura rígida da economia estava cheia de ninhos aconchegantes que vários grupos haviam construído para se isolar das forças do mercado. Durante o governo Carter, o governo federal americano percebeu que algo estava errado e começou, em um processo que chamaram de “desregulamentação”, a reverter as políticas que sustentavam os oligopólios.

Mas não foi apenas a decadência interna que quebrou a economia dos J. P. Morgans. Também houve pressão de fora, na forma de novas tecnologias, principalmente a microeletrônica. A melhor maneira de visualizar o que aconteceu é imaginar um lago com uma crosta de gelo. Inicialmente, o único caminho do fundo para a superfície é pelas bordas. Mas, à medida que a crosta de gelo enfraquece, você começa a conseguir chegar pelo meio.

As bordas do lago eram pura tecnologia: empresas que de fato se descreviam como sendo do ramo de eletrônicos ou software. Quando você usava a palavra “startup” em 1990, era isso que você queria dizer. Mas agora as startups estão avançando bem no meio da crosta de gelo e deslocando empresas já estabelecidas, como varejistas, redes de TV e montadoras.

Mas embora o colapso da economia industrial clássica tenha criado um novo mundo no sentido tecnológico, houve uma reversão ao normal no sentido social. Se apenas olharmos para meados do século 20, fica nítido que ficar rico abrindo sua própria empresa é um fenômeno recente. Mas se você olhar mais para trás, perceberá que realmente esse é o padrão natural. Portanto, o que devemos esperar no futuro é mais do mesmo. Na verdade, devemos esperar que tanto o número quanto a riqueza dos fundadores de empresas cresçam, porque a cada década fica mais fácil iniciar uma startup.

Parte do motivo pelo qual está ficando mais fácil iniciar uma startup é social. A sociedade está (re) assimilando o conceito de empreender. Se você começar um negócio agora, seus pais não vão pirar como faziam há uma geração, e o conhecimento sobre como fazer isso estará muito mais difundido. Mas a principal razão pela qual é mais fácil iniciar uma startup agora é que é mais barato. A tecnologia reduziu o custo de construção de produtos e aquisição de clientes.

O custo decrescente de iniciar uma startup, por sua vez, mudou o equilíbrio de poder entre fundadores e investidores. Antes, quando começar uma startup significava construir uma fábrica, você precisava da permissão dos investidores para fazer isso. Mas agora os investidores precisam dos fundadores mais do que os fundadores precisam dos investidores, e isso, combinado com a quantidade cada vez maior de capital de risco disponível, aumentou a valorização do setor.

Portanto, o custo decrescente de iniciar uma startup faz aumentar o número de pessoas ricas de duas maneiras: significa que a) mais pessoas iniciam uma empresa, e b) que aqueles que o fazem podem levantar dinheiro em melhores condições.

Mas também há um terceiro fator em ação: as próprias empresas são mais valiosas, porque empresas recém-fundadas crescem mais rápido do que antes. A tecnologia não só tornou mais barato construir e distribuir coisas, mas também tornou isso mais rápido.

Esta tendência já existe há muito tempo. A IBM, fundada em 1896, levou 45 anos para atingir um bilhão de dólares em receita. A Hewlett-Packard, fundada em 1939, demorou 25 anos. A Microsoft, fundada em 1975, demorou 13 anos. Agora, a norma para empresas de rápido crescimento é de 7 ou 8 anos.

O crescimento rápido tem um efeito duplo no valor das ações dos fundadores. O valor de uma empresa é função de sua receita e de sua taxa de crescimento. Portanto, se uma empresa cresce mais rápido, você não apenas atinge um bilhão de dólares em receita mais cedo, mas a empresa é mais valiosa quando atinge esse ponto do que seria se estivesse crescendo mais devagar.

É por isso que os fundadores às vezes ficam tão ricos tão jovens agora. O baixo custo inicial de iniciar uma startup significa que os fundadores podem começar jovens, e o rápido crescimento das empresas hoje significa que, se tiverem sucesso, poderão ser surpreendentemente ricas alguns anos depois.

Hoje é mais fácil do que nunca iniciar e expandir uma empresa. Isso significa que mais pessoas as iniciam, e aquelas que o fazem recebem melhores condições dos investidores e suas empresas se tornam mais valiosas. Depois de entender como esses mecanismos funcionam, e que as startups na verdade foram suprimidas durante a maior parte do século 20, você não precisa recorrer mentalmente à vaga curva à direita que os EUA deram no governo Reagan para explicar por que o coeficiente Gini da América está aumentando. É obvio que o coeficiente Gini está aumentando. Com mais gente começando empresas mais valiosas, como poderia não ser assim?

Publicado em in Internet, Presença Remota, Segurança

Nova Vulnerabilidade no Zoom

Uma vulnerabilidade “dia-zero” no Zoom, que pode ser usada para lançar ataques de execução de código remoto (Remote Code Execution, RCE), foi divulgada por pesquisadores. Pwn2own, organizado pela iniciativa Zero-Day, é um concurso para profissionais de segurança cibernética com o objetivo de descobrir falhas em software e serviços populares.

A última competição incluiu 23 participantes, em várias categorias, como navegadores Web, software de virtualização, servidores, comunicação empresarial e escalada local de privilégio.

Para os participantes bem-sucedidos, as recompensas financeiras podem ser altas – e, neste caso, os holandeses Daan Keuper e Thijs Alkemade ganharam US$ 200.000 por sua descoberta sobre o Zoom.

Os pesquisadores (da Computest) demonstraram uma cadeia de ataque consistindo de três falhas, que provocou uma Execução Remota de Código em uma máquina-alvo, sem qualquer interação do usuário.

Zoom ainda não teve tempo para corrigir essa questão crítica de segurança.

A vulnerabilidade

Atendendo aos requisitos da divulgação responsável, os detalhes completos do método são mantidos em segredo. O que sabemos é que é uma falha de execução de código remoto (RCE): uma classe de falhas de segurança de software que permitem que um ator malicioso execute o código de sua escolha em uma máquina remota sobre uma LAN, Wan ou a Internet.

Também sabemos que o método funciona na versão Windows e Mac do Zoom, mas não afeta a versão do navegador. Não está claro se os sistemas operacionais iOS- e Android são vulneráveis, já que Keuper e Alkemade não estavam analisando essa questão.

A organização Pwn2own twittou um gif demonstrando a vulnerabilidade em ação. Pode-se ver o atacante abrir a calculadora no sistema rodando o Zoom. Calc.exe é o executável que hackers usam frequentemente como prova-de-conceito para mostrar que eles podem executar códigos arbitrários em uma máquina afetada.