Existem neste momento uma petição online de modo a pressionar a FIFA a incluir a língua portuguesa no Site do Mundial de 2006.

A FIFA actualmente apenas disponabiliza o seu site nos idiomas Inglês, Alemão, Francês e Espanhol, a petição tenta demonstrar que existe uma vasta comunidade online que possuí o português como língua materna que justifica a sua inclusão no site. Espera-se uma boa receptividade á iniciativa na medida em que no Mundial irão estar representadas as Selecções de Portugal, Brasil e Angola.

Ontem o país foi ás urnas votar para as autárquicas e o resultado não trouxe surpresas de maior já que foi em tudo idêntico à 4 anos atrás, ou seja, o PSD é o partido que o portugueses mais elegem para governar o poder local. A partícularidade destas eleicões estava voltava para os canditatos que estão abraços com a justiça nomeadamente, Valentim Loureiro, Fátima Felgueiras, Isaltino Morais, e Ferreira Torres e para espanto nacional (ou não tanto para quem seguisse as sondagens) todos eles ganharam a câmara excepto Ferreira Torres que tinha em sua desvantagem o facto de se estar a candidatar uma câmara nova e não numa recandidatura como todos os outros. Portugal se é uma república de bananas, é porque grande parte do seu povo não passa de trogloditas sem 2 neurónios capazes de pensarem por si próprios e se deixarem levar pela cantiga do bandido. Havia tanto a reflectir sobre esta matéria, mas de momento a azia faz-me parar por aqui.

O outro lado das autárquicas que desperta a minha curiosidade é a nível tecnlológico, e aqui as coisas realmente não correram pelo seu melhor. O ITIJ com o STAPE e a IBM montaram a infraestrutura que permitia aceder aos resultados pela internet. Sem estar muito por dentro da infraestrutura, acho que podemos avançar que se tratava de mainframes com DB2 que disponabilizavam Web Services via SOAP de modo a que terceiros podessem implementar o cliente.

Não existem muitos pormenores sobre o que correu mal ao ponto do sistema estar 3 horas sem disponabilizar informação, o que fazia que os clientes desenvolvidos pelos media não apresentassem quaisquer resultados. A minha suspeita vai mesmo para as Bases de dados e algum sistema de backups que pode ter interferido com as mesmas, já que ao nível de largura de banda tudo parecia minimamente dimensionado. Talvez o facto do webservice ter sido projectado de modo a disponabilizar a informação especifica levasse a demasiados pedidos ao servidor consumindo demasiados recursos, algo como um pedido que recebesse toda a informação e deixa-se depois ser o cliente fazer o parse da mesma teria sido mais prudente, mas isto são tudo conjecturas, e o melhor será esperar pelo o esclarecimento de alguém da parte técnica do projecto.

UPDATE(11/10/05): Acabei de ver o noticiário da SIC onde Màrio Valente em representação do ITIJ esclareceu quais os problemas técnicos verificados. O problema, tal como eu suspeitava, deveu-se á sobre-carga da máquina onde estava instalada a Base-de-Dados pois verificou-se uma média de 150 transacções por segundo. Apesar de terem várias máquinas na infraestrutura, umas para receber informação outras para a disponabilizar, havia um elo comum a ambas as operações, a máquina da base de dados.

Apesar do Mário Valente ter sido bastante explicíto que o problema técnico foi identificado e que a culpa é do ITIJ (apesar de pessoalmente achar que o nome da IBM está a ser protegido neste caso) o Ministério da Justiça nomeou uma comissão da faculdade do Minho para averiguar o problema de modo a não acontecer no futuro. Perante este cenário pergunto-me, será que os técnicos da IBM e do ITIJ não têm conhecimentos técnicos suficientes para solucionar o problema já que este está identificado? Visto a infraestrutura estar fisicamente em Lisboa será preciso ir a Braga buscar os técnicos, faculdades como o IST, FCUL, Nova, ISEL não estão á altura do desafio?

Já à muito que prentendia implementar o campo "Contact" quando se comenta uma reflexão de modo a ser mais evidente quem está por detrás de tais palavras. Sendo assim o visitante terá agora a opcção de colocar o seu mail ou site pessoal no campo "Contact" aquando de um comentário. No caso do visitante optar pela colocação do seu mail foram usadas medidas de obscuridade do mesmo através de um HTML encode de modo a prevenir os bots de SPAM.

A nível técnico esta alteração teve repercussões ao nível das tabelas de SQL tal como do código php de querys á mesma, mas fez-me bem olhar outra vez para o código que já estava um bocado esquecido, tenho que pensar em fazer uns /*comentários*/. O HTML foi mesmo a parte mais pacífica.

A SecurityFocus é o site por excelência para os interessados em segurança informática. Nele existe muita informação para absorver sobre o assunto, desde as mais variadas mailing lists como a carismática Bugtraq, notícias e artigos técnicos sobre as últimas novidades.

No entanto o site já viveu melhores dias já que por vezes sou confrontado com artigos técnicos que de novo nada possuíem. È o caso deste artigo intitulado "Cisco SNMP configuration attack with a GRE tunnel".

Os Autores pretendem demonstrar como é trivial sniffar uma rede explorando o protocolo SNMP. È sabido que o SNMP assenta sobre UDP e este tipo de transporte não possuí mecanismos de sincronização ou controlo como é o caso do TCP onde existem valores de SEQ/ACK que se têm de se "respeitar". Portanto, spoofar um pacote UDP já se faz à 2 décadas e não se precisa de aplicações externas como editores de hexadécimal e geradores de pacotes para se o conseguir, apenas 5 minutos de código.

Mas de todo o cenário montado para a demonstração há algo deveras muito teórico, é que para fazer o request da nova configuração do router ao servidor TFTP o atacante tem de saber a string da community que possuí permissões de escrita e quais os IP´s da rede interna (tendo em conta a access-list da community). Os autores ainda tentar disfarçar este "pormenor" com esta frase:

"The skeptics among us are probably saying, "How would the attacker know about the access list / SNMP RW community name in the first place?" This could be done with a simple brute force attack, not only with SNMP community names, but also with source IP addresses, and such a tool already exists."

A ferramenta existe, gostava era de saber a taxa de sucesso da mesma sobre um SNMP configurado com a segurança em mente. Mas ataques bruteforce podem-se fazer a todos os serviços não?

Também nao percebi porque é que os autores produziram o ataque usando 2 laptops e um cisco dando a ideia que é preciso algum investimento no hardware. Um laptop com um linux instalado com ip-alias e um tunnel GRE configurados teria o mesmo efeito.
Na minha opinião os Autores andaram estes anos todos a tirar demasiadas certificações da Cisco e perderam alguns tópicos básicos de segurança durante esses anos.