Category: tech

Blog do Windows 7

A Microsoft está com um blog que torna mais transparente o processo de desenvolvimento do Windows 7. No blog eles também incluem outros posts sobre assuntos correlatos. Alta qualidade técnica. Vale a pena visitar. Alguns posts que achei interessante:

From Idea to Feature: A view from Design (como é o processo de decisão das funcionalidades até a implementação?

Engineering 7: A view from the bottom (como se estrutura o desenvolvimento de um software do tamanho do Windows? O autor tem mais de 15 anos de Microsoft e um dos bons blogs que leio com frequência. Adoro conhecer a razão histórica das decisões de arquitetura que convivemos até hoje. Sempre existe uma boa razão e um tradeoff sério que foi feito)

Windows Desktop Search (boa discussão sobre a forma de implementação do Desktop Search. preste atenção sobre os tradeoffs que são feitos numa decisão como esta)

Economia da segurança

(mais um da série relembrar é viver)

Existe sistema seguro? Na minha opinião, não. Existe sistema economicamente inviável de quebrar, sempre vivendo um eterno jogo de gato e rato. O ponto básico nesta discussão é que o problema técnico vem a reboque de um problema econômico. Por mais que nós, técnicos, fiquemos apaixonados com a idéia de colocar biometria em todos os computadores ou token-based autenthication para todos os usuários, temos que justificar isso economicamente.

Um exemplo de como o incentivo econômico muda o padrão de uso de segurança: os bancos no Brasil estão submetidos ao Código de Defesa do Consumidor – apesar de eles terem brigado muito contra – e por causa disso eles são, em linguagem de advogado, responsáveis objetivamente pelos vícios do sistema. Podem ser entendidos os vícios do sistema como erros de segurança. Nos EUA, o banco também é responsável. Já na Inglaterra, Noruega e nos Paises Baixos, é o cliente quem deve provar o erro do sistema. A depender de quem pagar a conta no caso de erro, há padrões de fraude e de investimentos completamente diferentes.

Outro exemplo: os ataques de DDOS. Caso os usuários detentores das máquinas capturadas fossem responsabilizados por participar dos ataques e tivessem que sofrer uma penalidade por isso, com certeza a incidência destes ataques diminuiria (considerações a parte sobre a transferência desta responsabilidade para uma Microsoft da vida).

Mais um exemplo: bugs de segurança em sistemas operacionais. Vamos analisar do ponto de vista de retorno. Caso você fosse um hacker com o objetivo de ganhar reconhecimento, iria trabalhar em cima de um bug do Windows, do Linux ou do MacOS? Qual daria maior retorno do ponto de vista de impacto? E se fosse do ponto de vista de retorno financeiro? Qual seria a decisão?

É uma briga complicada, semelhante à situação dos bandidos e da polícia do Estado de São Paulo. É muito mais simples atacar que defender. Se a Microsoft colocar 100 pessoas procurando bugs e do outro lado tiver um único hacker, a probabilidade das 100 pessoas acharem o mesmo bug que o hacker é pequena. Caso este hacker consiga achar um único bug, independentemente do esforço das 100 pessoas da Microsoft, o estrago está feito. É semelhante a polícia do Estado de São Paulo com cem mil homens e os bandidos com um número absurdamente inferior que conseguem espalhar o terror a toda população.

Hoje a Microsoft tem segurança como um dos pontos críticos. Dois anos atrás, ela parou todo o desenvolvimento durante um mês para retreinar todos os desenvolvedores no assunto segurança. Isso deve ter feito sentido econômico para ela. Para conhecer uma comparação entre bugs de vários sistemas, pode-se olhar aqui.

Analisando o caso do primeiro XBox, era um PC que estava sendo vendido com um custo menor que o de fabricação. A Microsoft colocou uma série de medidas de segurança, que foram quebradas por um hacker usando pouco dinheiro. Ele teve que monitorar a bus do chip gráfico, local em que se armazenava a chave de criptografia da primeira versão. O que mais preocupou a Microsoft não foi o sistema ter sido quebrado, mas ter sido quebrado com pouco dinheiro.

E a Microsoft está novamente envolvida em um caso como esse. No caso do Flex Go, plataforma da Microsoft para venda de PC´s baseados em assinaturas, já está sendo vendido no Magazine Luiza e o sistema de segurança é baseado em um hardware específico. Olhe o que a própria Microsoft coloca em um dos slides de uma apresentação sobre este assunto:
People

  • Good News à Most people are honest users
  • Bad News à A small minority of people in the world may want to circumvent the payment structure

Considerations

  • It is never possible to have a tamper-proof system
  • It is our desire to work with industry partners to make tampering with FlexGo systems inconvenient and uneconomic

No slide abaixo, vemos isso com maior detalhamento, as várias opções e as suas considerações:

  • O custo de quebrar o sistema deve ser superior ao valor das parcelas que ainda faltam ser pagas. Ex: um computador equivalente a R$ 1.000,00, em que as parcelas que ainda faltam ser pagas custam R$ 850,00, o custo de quebra do sistema deve ser superior a R$ 850,00, para tornar a opção inviável;
  • O valor de revenda dos componentes removíveis deve ser menor que o valor das parcelas restantes. Ex: a soma dos valores de revenda do HD e da memória deve ser de R$ 500,00, enquanto você ainda tem que pagar R$ 800,00.

E quando envolve muito dinheiro? Vamos imaginar um caso do sistema de tv paga via satélite. Todo ele é baseado em smartcards que são colocados no set top box e funcionam como chave. Se por acaso alguém quebre este sistema de smartcard, todo o modelo econômico vem por água abaixo.

Uma subsidiária (NDS) ligada à segurança da News Corp do Murdoch já foi acusada de ter contratado um hacker para quebrar o sistema da Vivendi, que, por causa deste feito, abriu um processo judicial contra a NDS no valor aproximado de um bilhão de dólares. A NDS, publicando esta informação na Internet, acaba com o modelo de negócios da Vivendi. Existem teorias da conspiração que indicam que um hacker envolvido no caso foi morto na Alemanha. Se tiver mais curiosidade sobre o caso, veja isso aqui e aqui. [o caso foi finalizado. olhe o resultado aqui]

Isso não acaba por aqui. A própria IBM foi acusada de tentar quebrar os sistemas de um escritório de advocacia que trabalha para um concorrente.

Em resumo, não vale a pena comprar um cofre de R$ 5.000,00 para proteger algo de R$ 500,00. Mas se houver muito dinheiro envolvido, de acordo com o padrão antes comentado de que é muito mais fácil atacar do que defender, nenhuma quantia seria suficiente e, neste caso, o máximo que se poderia fazer é gerenciar os riscos envolvidos.

JusBrasil Notícias Jurídicas

A empresa de busca baiana Goshme lança essa semana o JusBrasil Notícias Jurídicas (www.jusbrasil.com.br/noticias) um buscador vertical para notícias do direito brasileiro. Nele o usuário pode ver as notícias mais relevantes do dia, atualizadas minuto a minuto, e buscar por entre mais de 100 fontes especializadas.

O JusBrasil Notícias é o primeiro passo em direção a um projeto ainda maior, o JusBrasil Busca Jurídica, a ser lançado ainda esse ano, e que irá agregar em um só local não só notícias da área mas também todas as outras esferas da informação jurídica: legislação, jurisprudência, doutrina, informação dos diários oficiais e dicionários jurídicos.

América Latina para trás

Do blog do Luis Nassif

“(…) 1) Muitos latino-americanos acreditam que suas grandes universidades estatais são excelentes, mas na realidade elas são medíocres.

(…) 2) À medida que o número de alunos asiáticos nas faculdades dos EUA aumenta, o número de latino-americanos cai. A Índia tem 84 mil estudantes em faculdades americanas; a China, 68 mil; a Coréia do Sul, 62 mil. E a porcentagem de alunos asiáticos subiu 5% em 2006. Já o México tem apenas 14 mil alunos nas faculdades americanas. O Brasil tem 7 mil e a Venezuela, 4.500. Além disso, o número de estudantes latino-americanos caiu 0,3% no ano passado.

3) Enquanto os países asiáticos e do Leste Europeu estão produzindo engenheiros e cientistas em massa, a América Latina produz um grande número de psicólogos, sociólogos e cientistas políticos.”

Veja aqui