Se você deseja dar um bookmark no Hackpalace, faça-o agora (CTRL+D).
Assim você não terá que passar novamente por todas as páginas anteriores.
|
16/10/2000 Important! Read this. As you can see, hackpalace hasn't been updated in more than 6 months (the last news update doesn't usually mean the last archive update, so there). I just don't have the time to keep it up. I don't even have the time to answer your emails. I don't plan to take the site down, but I won't update it either. By the way, this is the first and hopefully last time I've used the blink tag. 16/02/2000
"Yahoo sofre invasão e decide desligar site" (1) Esses são quatro títulos de notícias publicadas na última semana no jornal "O Estado de S. Paulo". De uma hora para outra, hackers viraram notícia, especialmente depois do ataque DoS ao Yahoo. O que me faz escrever esse texto, no entanto, não é o fato de que a mídia tenha descoberto que invasões de sistema acontecem, mas o intenso amadorismo dos jornalistas responsáveis. O Estado de S. Paulo (de agora em diante mencionado como o ESP) é, na minha opinião, o melhor jornal do Brasil. Não obstante, artigos com erros eventualmente são publicados. O que separa o Estado de S. Paulo de outros jornais é, além da qualidade de seus artigos, a quantidade de erros que publica. Apesar disso, publicou essas quatro notícias medíocres. Me pergunto se o ESP possue algum editor ou se os jornalistas responsáveis por esses textos gastaram mais de 5 minutos em ao menos pesquisar sobre o assunto tratado. O que realmente me incomoda é a ignorância endêmica que infecta esse país. Me sinto mal se um rapaz ou uma moça não pode estudar porque deve que trabalhar, mas temos milhares de auto-proclamados profissionais que não têm idéia do que fazem. Jornalistas que não sabem fazer pesquisas, médicos que não têm nem sequer bom senso, analistas de sistemas que são incapazes de trabalhar independentemente e assim por diante. Quando muito, posso me contentar em encontrar profissionais que fizeram um curso superior, já que praticamente todos julgam isso mais que suficiente. Não quero dizer que acho a instrução formal universitária algo fantástico. Acredito que o trabalho e a dedicação (dentro ou fora de uma universidade) são suficientes e imprescindíveis para o desenvolvimento intelectual. Esse desenvolvimento deve estar sempre presente em qualquer carreira. Por isso critico todos que se satisfazem com qualquer nível de instrução. Coincidentemente, os que se satisfazem mais rápido são os que menos sabem. E coincidentemente, são os que têm tempo para imaginar novas maneiras de tumultuar o mundo com seu tempo livre. Vejamos alguns exemplos do que a mídia (o ESP nesse exemplo, mas tenha em mente que outras organizações são, em geral, muito piores) faz o público geral pensar: "Yahoo sofre invasão e decide desligar site" - O Yahoo não sofreu invasão nenhuma. Tampouco as sofreram a Etrade, CNN e Amazon. O que sofreram foram ataques DoS (Denial of Service), que podem chegar a tornar seus sites inacessíveis. NÃO FORAM INVADIDOS. Teria ficado indignado com o ESP se fosse o administrador de qualquer desses sites, porque meu trabalho responsável estaria sendo diretamente ridicularizado. No parágrafo seguinte do mesmo artigo, o autor cita que "aparementente um grupo de pessoas trabalhou em conjunto para impedir o acesso aos seus serviços", o que constitue exatamente um ataque de Distributed DoS. Essa contradição ocorre em praticamente todos os artigos do ESP, e vale a pena notar que esse artigo a que me refiro agora foi traduzido do New York Times e do San Franciso Chronicle. Não sei se os erros foram devidos à tradução, mas tampouco me interesso em saber. A minha indignação é suficiente sabendo que um dos maiores jornais do mundo cometeu o erro. Não me interessa saber que vários dos maiores jornais cometeram o mesmo erro. "Donos de sites também têm lição de casa a fazer: examinar roteadores e sistemas. Muitos matém a configuração padrão, que dá ouvidos a requisições tipo Ping e Echo, comuns em ataques de hackers" - (a) Ping e Echo são EXATAMENTE o mesmo serviço do protocolo ICMP (o nome certo é Echo -- Ping é um apelido informal); (b) a maioria dos donos de sites paga por serviços de um provedor e _nunca_ terá acesso a um roteador dedicado; (c) somente um administrador incompetente faria seu roteador ignorar pacotes ICMP, especialmente o Echo, porque são imprescindíveis para o bom funcionamento de uma rede. Novamente fica claro que os administradores de sites como o Yahoo não tiveram responsabilidade no ataque. O(s) autor(es) desses artigos colocam o profissionalismo esses funcionários de alta qualidade em jogo com argumentos ridículos mas totalmente convincentes à maioria dos leitores. "Administração rigorosa dos sistemas elimina brechas que geralmente são usadas pelo hacker" - Puxa, verdade? "Protocolos precisam ser melhorados" - os protocolos foram desenvolvidos em 1970-1980. É evidente que precisam de algumas melhoras, mas são excelentes pelo que são capazes de fazer apesar de sua idade. Desconsiderando totalmente o aspecto da compatibilidade e da troca de TODO o software de rede que temos hoje na eventual mudança de protocolos, as melhorias dos protocolos não conseguiriam evitar totalmente ataques DoS. Para tanto seria necessário um controle unificado das redes envolvidas, o que eliminaria totalmente pelo menos características desejáveis da internet: simplicidade e anonimidade. "Sites de empresas como Cisco e 3Com têm instruções para desligar a retransmissão de respostas a solicitações de Echo" - Em primeiro lugar, o autor que dizer "sites com equipamentos de empresas como...". Em segundo lugar, seria um _grande_ erro desabilitar esses serviços. "Dados de organizações internacionais põe o Brasil entre os que mais registram invasões de sites" - isso estatisticamente comprova o que já era claro: a imensa maior parte de administradores de sistemas brasileiros são incompetentes, assim como a maioria dos profissionais brasileiros. "PF descobre que um dos provedores de acesso à Internet usados pelo governo está vulnerável" - Se até a PF descobriu isso, quer dizer que a maioria ou quase todos está vulnerável. "Nos últimos levantamentos feitos pela organização Attrition [conhecida entre nós como attrition.org, publicadora da excelente e-zine F.U.C.K.], (...) o Brasil ocupava a primeira colocação, com 3,56% de todas as invasões feitas pelo mundo, ficando à frente dos Estados Unidos, com 2,56%" - Em outras palavras, o Brasil, mesmo com sua quantidade de servidores irrisória quando comparada aos EUA, tem uma grande quantidade de administradores de sistemas irresponsáveis e provavelmente uma boa quantidade de script kiddies conectados à AOL. Novamente me pergunto: quando os brasileiros vão ter vergonha do que deixam de fazer e passar (finalmente) a produzir algo para a comunidade mundial?
As seguintes notas não estão totalmente relacionadas ao assunto, mas gostaria de mencioná-las: 1. Também publicada no Estado de S. Paulo: "Mais da metade (51%) dos cursos de jornalismo do País e um quinto (21%) dos de economia não têm condições mínimas de qualidade para funcionar". Esses resultados foram obtidos na avaliação do MEC, que analisa a qualidade dos professores, seus currículos e instalações. 2. Somente 2,5% dos cursos de engenharia elétrica não têm condições mínimas de qualidade.
Fontes: (1) O Estado de S. Paulo, 9 de Fevereiro de 2000, pág. B19 (2) O Estado de S. Paulo, 16 de Fevereiro de 2000, primeira página (3) O Estado de S. Paulo, 16 de Fevereiro de 2000, pág. B1 (4) O Estado de S. Paulo, 14 de Fevereiro de 2000, pág. I1 |