++Um pouco sobre muita coisa;
Há 20 anos, Larry Wall dava ao mundo sua maior contribuicão em software : nascia a linguagem Perl. Quem programa sistemas Unix sabe que há um certo senso de comunidade nesse ramo. Os programadores Unix se unem em torno de projetos, mesmo que isso não lhes renda um centavo de lucro. O sistema operacional Linux, o servidor Apache(e outros projetos da fundacão Apache) e vários outros projetos nasceram desse grupo de hackers(no sentido correto da palavra hacker).
Larry Wall é mais que um hacker comúm vindo do mundo Unix.
Especialista em linguística e exímio programador, Wall decidiu pegar todas aquelas pequenas ferramentas de manipulacão de texto que ele utilizava no ambiente Unix e recriá-las organizadamente para terminar um trabalho de geracão de relatórios que lhe foi delegado por seu patrão na época.
O resultado foi um sistema para automatizar a saída de centenas, milhares de páginas listradas de relatórios em barulhentas impressoras matriciais. Para isso era preciso fixar as colunas, extrair e tabular os dados de alguma fonte, preparar o formato e jogar a saída no dispositivo correto. O resultado foi a Linguagem Prática de Extracão e Relatórios, no inglês PERL.
Diz a lenda que Larry Wall trabalhou no projeto Guerra nas Estrelas do governo de Ronald Reagan. Tenho certeza que o software desse projeto era impecável, porém não podemos dizer o mesmo do resto do SDI(o nome formal do Guerra nas Estrelas era “Strategic Defense Initiative”) visto que Reagan jogou fora trilhões de dólares e o sistema é incapaz de interceptar um mosquito de Febre Amarela. Esse tipo de projeto era onde havía bom dinheiro para programadores nos EUA nos anos 1980. Os melhores programadores da época eram ligados à area militar seja pelo trabalho com criptografía e área-fim do Pentágono ou para desenvolvimento de sistemas administrativos. Segundo diversos especialistas, era assim também na URSS.
Enfim, foi nesse contexto que nasceu a linguagem Perl. O espírito da comunidade Unix foi preservado, e configura a maior vantagem dessa linguagem sobre tantas outras. As bibliotecas Perl são todas abertas e disponíveis para qualquer desenvolvedor. São centenas de milhares de módulos que fazem de tudo o que você imaginar.
Nos Estados Unidos há mais de uma usina nuclear que utiliza Perl em seus sistemas de controle, o Yahoo e o Google utilizam Perl em diversos sistemas de grande porte, os livros de Perl aparecem entre os mais vendidos de informática de vez em quando na Amazon e por aí vai. Tudo isso comecou há 20 anos com o trabalho de um generoso programador que doou sua contribuicão ao mundo.
Se você está configurando um servidor qualquer, evite a todo custo utilizar a porta TCP 4444.
É que essa porta foi usada pelo worm W32.BLASTER que, segundo a Symantec, tirava do ar o windowsupdate.com.
E por que estou postando isso? Bem, é que troco periodicamente as portas de alguns serviços que criei em Perl. Ontem à noite troquei alguns serviços para a porta 4444 e cometí o erro de não procurar por essa porta no Google para ver se ela já tinha sido usada por algum virus.
Hoje pela manhã tentei começar os trabalhos e não conseguia. Toda vez que tentava um acesso recebia o seguinte :
[root@jimi bin]# ssh -p4444 1.2.3.4
ssh: connect to host 1.2.3.4 port 4444: No route to host
A resposta vinha rapidamente, praticamente instantânea. A intuição me dizia que o meu modem ADSL estava barrando aquela porta por algum motivo, ou então a Brasil Telecom tinha algum filtro instalado na ponta deles do PPP com meu modem.
Acontece que, de casa, eu conseguí acessar o serviço nessa porta. Ou seja, é mais provável que seja o próprio modem que esteja barrando a porta 4444, ou então a BrT tem filtros distintos para regiões distintas de Brasília.
Os fabricantes de equipamentos ativos de rede(Cisco, D-Link, Cyclades, etc) podem tomar esse tipo de atitude quando um vírus com enorme potencial funciona em determinada porta. Inserindo um filtro de fábrica o equipamento impede que o usuário desavisado cause danos fora de sua rede – o modem, então, não roteia qualquer tráfego tentando sair do seu PC e que pareça ser originado no vírus.
Como não podemos controlar o roteador alheio, o melhor que se faz é pesquisar o Google sempre antes de escolher uma porta para um serviço personalizado. Desde já aviso: evite a porta 4444!
PS >> E você talvez esteja se perguntando, como foi que resolví o problema? Através do MidpSSH no Blackberry conseguí me conectar ao servidor de um amigo à partir do qual a porta 4444 não estava bloqueada. E de lá fiz as correções necessárias! Esse pequeno aplicativo abre um terminal Secure Shell de dentro de qualquer telefone celular que tenha as bibliotecas Midp do Java relativamente recentes. Se você administra uma rede onde há SSH não deixe de baixar esse programa e tê-lo sempre à mão(literalmente!).
Hoje recebí uma cartinha do Itaú. É uma cópia escrita de alguns termos apresentados através da Internet, os quais eu aceitei simplesmente clicando no botão para poder ir adiante e pagar minhas contas. Todos os ítens pareciam bastante óbvios, coisas do tipo “você não vai contar sua senha pra ninguém, né?”. Então passei a desconfiar…se é tão óbvio, para que me pediram pra aceitar via Internet e ainda me enviaram uma carta que lhes custou tempo para redigir, papel, impressão e envio? Percebí então do que se tratava: cada ítem traz um pedaço, um detalhe, daquilo que eles não tiveram coragem de colocar em uma frase só porque ninguém ia topar.
O resumo da carta é o seguinte: “não nos responsabilizamos por cibercrimes contra sua conta, confira seu extrato todo día porque fraudes são responsabilidade sua, não nossa”. Fiquei surpreso com isso. De bancos que só atendem ao público de 11 às 16 eu esperava que fossem, no mínimo, responsáveis pela integridade de minha conta.
Voltei para o trabalho e, como o Itaú não aceita borderôs de multas de trânsito nem Seguro(?) Obrigatório(!!!) eu precisava pagar tudo via Banco do Brasil.
Abro o bb.com.br, vou pagando algumas contas e, para minha surpresa, descubro que “estourei” o limite de R$ 100,00(ou R$ 200,00, não tenho certeza) para pagamentos sem cadastro do computador.
O “cadastro de computadores” do BB é uma tentativa de identificar que a máquina de onde o cliente está operando é deveras sua máquina. Para isso o BB gera uma assinatura de várias características de sua máquina e a armazena em seu servidor central. Se alguma coisa mudar na sua máquina, se ela não “aparentar” mais ser aquela que gerou o Digest original, o Home Banking deixa de funcionar para valores acima de R$ 100,00(ou algo próximo disso). É mais uma tentativa do BB de dificultar as fraudes que vemos pela imprensa praticamente todo ano. São vândalos que roubam dezenas de milhões de Reais pela porta da frente do banco, sem armas, sem assaltos cinematográficos. Apenas roubam as senhas de clientes, entram, sacam e saem felizes da vida. Para combater isso, o BB implanta essa quantidade de gambiarras tecnológicas. E não é injustiça chamar de gambiarras….é um fato.
Tecladinho virtual em Java, cadastro de computadores, 3 letrinhas que temos que decorar, senha diferente para o acesso eletrônico e para o cartão. Enfim, num mundo dinâmico onde todo mundo vive com 200 coisas para cuidar ainda temos que decorar um monte de códigos porque o BB simplesmente não consegue vencer os vândalos.
Essa quantidade de medidas de segurança é uma admissão de que o processo de segurança dos bancos falhou, e de que nossas autoridades não deram conta do recado. O processo está falho e eles estão remendando com “teclados virtuais”, 2 ou 3 senhas diferentes, e por aí vai. Eu bloqueei meu cartão Itaú sem querer porque tenho 3 contas e cada uma tem 2 ou 3 senhas. E eu não sei mais o que tenho que digitar aonde – já virou uma salada na minha cabeça. Hoje perdí 40 minutos indo ao banco desbloquear meu cartão – lembrei que eu estava digitando a senha do BB no cartão do Itaú. Imagino se eu ainda estivesse no sul da Bahía onde o Itaú mais próximo era a 70 quilômetros…
Realmente, se o Banco do Brasil continuar exigindo 400 senhas para qualquer coisa eles vão conseguir evitar o crime cibernético, porque ninguém mais vai conseguir usar, nem mesmo os vândalos.
Pela lógica, se eu efetuei 2 ou 3 pagamentos abaixo de R$ 100,00, e ele me negou os outros acima disso, então significa que ele desconfia que esses primeiros podem ter sido fraude. Ou seja, o BB não tem um sistema que pode, ou não, ser seguro – há um meio termo aí, e isso, no mundo da segurança digital, é chamado de “derrota completa”. Eles admitem que tem furos e apenas limitam a quantía para ganhar tempo e minimizar os danos. É um tanto desconfortante saber disso, não acham?
Agora, depois de 2 horas pagando contas e dirigindo atrás de bancos, chego ao trabalho e tento efetuar alguns pagamentos pelo BB. O resultado : nada feito. Confira:
Tentei pagar o IPVA, mas o banco diz que já estourei o limite de R$ 100,00 diário para pagamentos.
Me apresentam uma cartinha pedindo para cadastrar o computador.
Tudo isto para apenas pagar meu IPVA…mais uma telinha cheia de lero.
No fim dos anos 90 a Sun e desenvolvedores de todo o mundo enxergaram que o Java seria uma excelente linguagem para aplicações de todo tipo, mas que aquela velha idéia de “applets por toda parte”, rodando em navegadores, era furada. Primeiro porque diversos applets só funcionam em alguns navegadores(quebrando o principio do Java de funcionar em toda parte) e segundo porque o runtime do Java SE é um elefante de 60 megabytes que pesa muito no navegador. O runtime Java é maior que o navegador inteiro…é um elefante na caçamba da Ford Courier. Todo mundo viu que o modelo não funcionaria. Hoje as pessoas usam o Adobe Flash em vez do Java por isso. O BB insiste no Java dentro do navegador….e o resultado é:
Pane! Clico no link fornecido para detalhar o problema e…voilà!!!!! O applet “descobriu” que ele não pode vasculhar meu computador à vontade devido à restrições de segurança do Java. Quando Jim Gosling, Bill Joy e outros 4 gigantes da informática criaram o Java, a primeira coisa que determinaram era que aplicativos Java distribuidos pela rede não poderiam acessar tudo nas máquinas dos clientes ou seria uma farra de cibervandalismo. Isso foi em 1992 ou 1993. Ou seja, desde que a linguagem Java nasceu, ela tem esse tipo de restrição – não é a linguagem correta para essa finalidade. Mas o BB insiste no Java dentro do navegador. Esse applet só funciona no Firefox se eu abrir toda a proteção que ele nos dá justamente contra essa invasão de privacidade. Por que eu daria permissão ao BB de vasculhar minha máquina via internet? É gambiarra….e não é assim que se faz segurança na Internet. E um banco que lucra bilhões de Reais às nossas custas deveria saber disso.
OK, deve haver uma saída. Há um botão oferecendo ajuda e eu clico nele.
Conclusão: os cibervândalos venceram…. E a ironía disso tudo é que eu estava apenas tentando pagar os mesmos impostos que ajudam a sustentar a estrutura faraônica do Banco do Brasil.
O Itaú, diga-se de passagem, tem um sistema tão mais inteligente, baseado em senhas de único uso(aqueles números nos cartões de segurança). Os bancos europeus adotam algo semelhante, porém o cartão virtual é um gerador de senhas únicas da RSA. É a mesma idéia, e é praticamente inquebrável. Mas o BB é estatal… Então tá explicado. Com nosso dinheiro eles se dão o luxo da ineficiência.
Ferrados estamos nós, afinal a responsabilidade pela nossa conta é nossa e se quisermos ser atendidos que seja entre 11 da manhã e 4 da tarde.
