Mais que um blog, uma página pessoal com conteúdo.

Existem empresas de pequeno e médio porte onde a área de TI por questões culturais é completamente esquecida. São empresas com poucos funcionários que utilizam computadores ou em que uma possível parada na rede não irá parar toda a empresa (difícil imaginar um ambiente corporativo assim nos dias atuais não é?).

No mundo das fábricas de pequeno porte (que existem aos montes no Brasil todo, por exemplo) é bem comum encontrar computadores velhos, com Windows Jack Sparrow Edition e ninguém para cuidar da área de TI.

Com alvo esse tipo de empresa, foi criada a distribuição SME Server que também é conhecida como “e-smith”. Totalmente baseado no CentOS o SME Server está chegando em sua oitava versão que ainda está em fase beta e é baseada já na versão 5 do CentOS, o que traz além de estabilidade, uma chuva de atualizações em seus pacotes, ficando mais perto das versões atuais.

Eu conheci o SME Server há um ano em uma empresa que estava trabalhando em sua customização para implantação em diversos clientes, foi uma boa experiência mas no final descobrimos que para o objetivo do projeto e com a equipe envolvida, o SME não era a melhor solução.

Deixando essa apresentação para trás, o SME ficou guardado como uma solução mais simples, que deve ser usada como vem e com o mínimo de alterações possíveis, afim de evitar problemas com atualizações (a distribuição tem também repositórios específicos, além de poder contar com os repositórios tradicionais do CentOS) e até mesmo com configurações automáticas (o que é um dos fortes do SME Server).

Um dos detalhes que mais me chamaram a atenção no SME Server é o painel de gerenciamento, totalmente configurável via WEB Browser e com uma interface simples e intuitiva (na maioria dos casos).

Entre as diversas ferramentas presentes, já com configurações básicas prontas e scripts que tornam sua instalação plug & play, temos um pacote básico que pode atender à qualquer empresa que necessite de uma rede com serviços básicos. A lista abaixo mostra alguns dos principais aplicativos disponíveis:

• SAMBA – Servidor de domínio, compartilhamento de pastas e impressoras. Aqui vale lembrar que há uma integração do Open LDAP, mas esta fica totalmente transparente para quem usa apenas a interface WEB, pois essa roda scripts que fazem tudo o que é necessário em ambos os serviços desde a criação de um novo usuário, até a adição de permissões detalhadas em pastas e arquivos.
• Apache 2, PHP5 e MySQL 4 – Com cada vez mais mini-aplicativos desenvolvidos em PHP e que podem ajudar pequenas empresas, nada melhor do que um LAMP completamente integrado já desde a instalação do S.O. e com também todo o gerenciamento através de sua interface WEB. Além de PHP o servidor já conta com bibliotecas Phyton e Perl.
• PPTPD e OpenVPN – Servidores de VPN que são fáceis de configurar e oferecem bastante segurança para esse nível de empresa.
• Qmail e Horde – Serviço interno de email que conta com toda a qualidade e robustez do Qmail, junto ao Horde, uma das mais famosas e utilizadas interfaces de webmail que existem.

Um detalhe que merece destaque é o software de Backup do SME Server, que pode ser utilizado em conjunto com o excelente BackupPC, como sempre, tudo via web.

O instalador do SME Server é o Anaconda, que também é utilizado no CentOS, Fedora e RedHat, com a interface traduzida para nossa linguagem, fica mais fácil de se trabalhar (ainda mais quando estamos falando de pessoas com pouca familiaridade com Linux).

As perguntas feitas pelo instalador não são das mais amigáveis, mas com um bom tutorial em mãos muitos conseguem montar um pequeno server com o SME. Provavelmente no futuro eu crie uma nova postagem explicando passo-a-passo como instalar essa distribuição.

As configurações iniciais do SME Server são feitas através de um Wizard que é aberto logo no final da instalação, nele você já escolhe opões como DHCP, DNS, ativa ou desativa Proxy e etc. É possível também definir um serviço de DNS Dinâmico.

Bom, resumindo podemos dizer que o SME Server cumpre bem o papel de pequeno servidor para pequenos negócios onde não existe uma pessoa ou poucas pessoas para gerenciar recursos de rede.

Em breve devo colocar maiores informações sobre como instalar e configurar algumas funções no SME.

Para saber mais sobre o projeto e fazer o download da ISO de instalação, visite aqui.

[]’s

Bom, aqui não é bem “aqui”. Aqui é logo ali numa outra aplicação nesse mesmo servidor mas fora do Word Press. Não entendeu? Não tem problema, isso não tem importância mesmo

SQL Injection para quem não sabe (ou Injeção de SQL em português) é uma técnica onde um usuário mal intencionado ou um invasor pode se aproveitar de falhas na programação de um sistema para ter elevação de permissões ou até mesmo acesso à dados confidenciais e direito de exclusão de informações.

Como funciona

Um exemplo clássico de SQL Injection é conseguir burlar uma página de login ou de verificação de nível de acesso acrescentando uma condição sempre válida na execução de querys, por exemplo, eu tenho um sistema que para validar o login do usuário executa uma query no banco de dados da seguinte forma:

SELECT login, senha FROM users WHERE login = ‘login’ AND senha = MD5(‘senha’);

O código acima não ilustra uma linguagem especifica, apenas SQL ANSI e uma chamada à função MD5 para verificação da senha fica criptografada no banco de dados com o mesmo algoritmo. Com isso eu faço um “if” que verifica se a consulta trouxe um resultado fazendo com que uma flag se transforme em “true” e libere acesso.

Hora da Maldade

Agora que já sabemos como funciona o sistema normalmente, imaginamos se onde está posicionada a variável “login” vem o seguinte código:

‘ OR 1=1; –

Já sacou a jogada? Ainda não? Vamos montar a string completa:

SELECT login, senha FROM users WHERE login = ‘’ OR 1=1; –’ AND senha = MD5(‘senha’);

Deu pra entender agora? Com aquele código no login conseguimos fechar o espaço de igualdade do login e colocar um OR 1=1 que sempre irá retornar true, ou seja, acesso liberado ao sistema. Para evitar erro na execução da consulta colocamos os “–” que simbolizam um comentário.

Efeitos

Talvez apenas o exemplo citado acima não seja o suficiente para invadir um sistema que não tem proteção, mas em geral é! E o pior, isso abre precedentes para a execução de mais código, por exemplo:

‘ DELETE FROM users; –

Valem também consultas para obter dados de outros usuários ou até mesmo inserir informações, já que se você tiver nomes de tabelas (que geralmente não são muito criativos) você pode fazer um DELETE, nada te impede de fazer um INSERT

Como Evitar

Evitar uma injeção de SQL não é tarefa complicada nem que exige avançados conhecimentos de linguagens de programação. O simples trecho de código em PHP abaixo já serve para evitar dois dos caracteres mais perigosos, igualdade e aspa simples:

$usuario = str_replace("’", "", $_POST['username']);
$usuario = str_replace("="", "", $usuario);

Simples assim! Localize todas as aspas simples da String e remova e depois sinais de igualdade e remova! Pronto, seus dados estão prontos para serem usados e direcionados para a query.

Bom, era uma dica rápida, espero que possa ajudar quem está começando e ainda não tem muita noção de segurança em sistemas.

[]’s

Com a expansão do mercado mundial de chips, a miniaturização tem sido levada ao extremo. Hoje em dia a grande maioria dos fabricantes utilizam o Silício como semicondutor, entretanto, esse material possuí limitações físicas que implicam na redução de tamanho.

A Fujitsu anunciou recentemente o primeiro protótipo de um chip construído a base de Grafeno (Leia mais na Wikipédia) o que pode expandir horizontes no mundo da miniaturização. O Grafeno tem uma característica interessante para o meio da miniaturização, ele é a folha orgânica mais fina que pode existir, ou seja, ele tem apenas 1 átomo de espessura.

Imagem mostra uma cadeia de Grafeno que tem as ligações em formato hexagonal.

Os principais impedimentos do uso do Grafeno na fabricação de chips é o seu comportamento diante dos equipamentos utilizados hoje no processo de fabricação de chips baseados em Silício. O que a Fujitsu conseguiu fazer foi utilizar um novo material (Grafeno) no mesmo maquinário do Silício. Houve a necessidade de se baixar a temperatura de manipulação do material (de 1000°C para 650°C) que se muito elevada não permitia que o Grafeno pudesse ser utilizado em conjunto com outros materiais.

Transistores de Grafeno já haviam sido feitos anteriormente mas não em larga escala como agora. Outro fato interessante é que se pegarmos uma folha plana de Grafeno e a enrolarmos, teremos nanotubos de carbono.

Espera-se que com a utilização de Grafeno a indústria abra novos horizontes na fabricação de chips e que a miniaturização continue sendo um dos feitos da humanidade.

Falta agora a produção de produtos que irão para o consumidor (seja empresarial ou residencial) e aperfeiçoamento da tecnologia, estudos já mostram que o Grafeno é um ótimo condutor, ou seja, os elétrons conseguem se mover com grande facilidade através do material fazendo com que tensões mais baixas possam ser utilizadas. Tudo isso traz como resultado final o menor consumo de energia elétrica e operação em temperaturas mais amenas o que evita gastos com refrigeração extra.

[]’s

Via: Inovação Tecnológica