Para este post eu também vou presumir que o leitor é no mínimo alguém que tem um entendimento básico das peças do seu computador. Dito isso, vamos adiante.

Uma coisa em comum sobre os dois últimos posts é que eles se baseiam sobre o trabalho de um pesquisador chamado Steve Gibson, fundador da Gibson Research Corporation. Gibson ganha o pão de cada dia vendendo um software chamado Spinrite, que corrige defeitos de discos rígidos. Por programar em Assembly, Steve tem um profundo conhecimento do funcionamento de nível mais básico de qualquer computador existente, aquilo que faz um computador ser o que ele é.

Aconteceu que a vida fez com que Steve se envolvesse com segurança da informação. A primeira identificação de um spyware foi feita por ele. A seis anos atrás, Gibson se juntou ao radialista Leo Laporte para fazer um podcast sobre segurança na TWiT.tv, chamado “Security Now!”. O podcast pode ser obtido gratuitamente no endereço http://twit.tv/sn.

Desses seis anos eu pude acompanhar quase dois. A estrutura é mais ou menos a seguinte:

• Episódios ímpares:uma hora de notícias, mais 45 minutos dedicados a um tópico, como foi o LastPass e ao Password Haystacks. Outros tópicos já abordados foram “como computadores funcionam” e “como a internet funciona”.
• Episódios pares: uma hora de notícias, mais 45 minutos dedicados a responder 10 perguntas enviadas ao Steve durante as duas semanas anteriores, escolhidas por ele. Muitas vezes os ouvintes dão informações importantes que o Steve nem sabia antes de ser mencionados.

Existem outros podcasts sobre segurança da informação, mas o Security Now! é o único que é capaz de explicar um assunto de forma simples o suficiente para um iniciante compreender, e complexo o suficiente para um profissional da área poder aplicar no seu dia-a-dia. Eu recomendo a todos que escutem/assistam os mais de trezentos episódios, se for possível, pois os tópicos abordados a seis anos atrás continuam relevantes para a maneira que os computadores e sistemas operacionais funcionam em 2012.

Por exemplo, em 9/3/2006, no episódio 30, Steve começou a explicar como a criptografia funciona. Nos episódios 31, 33, 34, 35 e 37 o assunto foi aprofundado. Desde lá, toda discussão sobre criptografia foi baseada no que foi explicado naqueles episódios de 2006.

Os episódios antigos, junto com anotações e transcrições — para deficientes auditivos, e àqueles que não são muito bons em inglês falado, mas entendem bem inglês escrito — podem ser encontrados em http://www.grc.com/securitynow.htm.

No vídeo que eu havia enviado anteriormente sobre o Lastpass, Steve Gibson havia dito que seria melhor que todas as senhas que você crie senhas de mais ou menos 10 caracteres, porque algum dia você pode estar longe de um computador com o Lastpass e terá de usar uma dessas senhas. Após muita pesquisa para um projeto diferente, ele percebeu que essa abordagem estava errada.

Como construir uma boa senha?

Você tem três defesas contra hackers, segundo Steve Gibson.

A primeira é nunca usar palavras simples, mesmo que levemente modificadas. Não é porque uma palavra é longa que ela é segura. “Anticonstitucionalissimamente” é uma palavra que se encontra em um dicionário que não levaria muito tempo para ser tentada, apesar de ter 29 caracteres.

A segunda é que o hacker nunca saberá quantos caracteres a sua senha tem. Ele saberá apenas se a senha que ele tentou é certa ou errada. Se a sua senha tiver 47 caracteres, todos “a”, e presumindo um ataque de cem trilhões de tentativas por segundo, um hacker levaria 10.55 milhões de trilhões de trilhões de trilhões de séculos para descobrir a sua senha. Isso se ele sequer se dê ao trabalho de procurar por senhas acima de 20 caracteres. Afinal de contas, é bem provável que até que ele descubra uma senha tão longa, vocês dois já tenham virado petróleo ou a Terra não exista mais.

Mas você não deveria usar “a” 47 vezes seguidas, porque a sua terceira proteção é a entropia, ou seja, a aleatoriedade dos caracteres: o uso de minúsculas, maiúsculas, números e símbolos. Se o hacker decidir procurar pela letra “a” repetida várias vezes, a 47ª tentativa — algo muito rápido na informática — vai estar correta. Já 47 caracteres aleatórios criarão uma complexidade maior que previne que o hacker possa contornar o problema do número de caracteres.

Mas isso não torna as senhas imemoráveis?

Faz. E por isso Steve Gibson percebeu que a segunda proteção é mais importante do que a terceira. Para isso ele utilizou duas senhas diferentes, com o número de anos necessários para quebrar essa senha (presumindo uma centena de trilhões de tentativas por segundo):

• D0g………………… (24 caracteres): 9,38 centenas de bilhões de trilhões de séculos;
• PrXyc.N(n4k77#L!eVdAfp9 (23 caracteres): 9,88 bilhões de trilhões de séculos.

A entropia (complexidade) da primeira senha é muito menor comparada com a segunda senha. Contudo, isso não importa para a sua proteção. O hacker não sabe a sua senha, não sabe qual é o tamanho dela, e precisa testar todas as combinações de senhas possíveis que incluem maiúsculas, minúsculas, números e símbolos dentre esse número desconhecido (para ele) de caracteres.

Com 24 caracteres, usando maiúsculas, minúsculas, números e símbolos, existem exatamente 295.095.290.555.142.625.648.321.021.999.764.315.625.454.517.120 combinações possíveis. Ou 2,95 x 10⁴⁷.

É como procurar uma agulha num palheiro

O importante é que as duas senhas tem as mesmas possibilidades de serem descobertas. Então não há motivo para usar aquela que você sabe que não vai conseguir lembrar. Desde que a sua senha tenha maiúsculas, minúsculas, números e símbolos, é só uma questão de torná-la longa.

“EuSecretamenteAcred1toEmPapa!N0el” é uma senha mais segura (1.86 x 10⁶⁵) do que “eusecretamenteacreditoempapainoel” (5.14 x 10⁴⁶). As duas são fáceis de lembrar, mas a primeira é muito mais segura.

Não lembrar de senhas é algo mágico, se você sabe como recuperá-las. E só há uma forma de poder recuperar senhas que você não se lembra: com um gerenciador de senhas.

Desde que eu conheci o programa Lastpass eu mudei minha maneira de lidar com senhas. Invariavelmente eu acabava com variações óbvias que, no fundo no fundo, não me davam tranquilidade. A proposta do Lastpass, como o próprio nome diz, é ser a única senha que você precisa lembrar.

O que faz ele seguro é que a encriptação dos dados acontece no computador do cliente, e não nos servidores da Lastpass. Quando qualquer informação chega nos servidores da Lastpass, é indecifrável. Eles ainda criam mais barreiras uma vez que o usuário e senha chegam na Lastpass: ao invés de verificarem o bloco de 256 bits que é gerado no seu computador contra uma cópia lá, eles mesmos geram outro bloco de 256 bits que eles combinam com o seu bloco de 256 bits, encriptam novamente, e aí sim eles verificam se tudo está correto. Dessa forma eles nunca mantém uma cópia do seu usuário e senha, mesmo que encriptado, dentro dos servidores deles.

Caso queiram um exame melhor do software, vejam abaixo o vídeo do podcast Security Now! que explica a infraestrutura do serviço. A parte que trata do Lastpass começa em 52:44.

Obrigado ao Seth Godin por mais uma pérola de inspiração.

A melhor maneira de descrever o serviço.

O Google+ é uma ferramenta recém lançada pela Google, em fase de testes, que para nós serve como uma alternativa robusta ao Facebook, mas é um pouco mais. Para uma visão geral do projeto, dê uma olhada em http://gplusproject.appspot.com/static/pt.html. Os vídeos possuem legendas em português — é só clicar no botão “CC”. Eu não possuo um telefone Android, então avaliarei as partes do serviço que funcionam na web.

Stream

Campo de compartilhamento do Google+, fechado.

O Mural do Google+ é chamado Stream. A caixa de envio é igual à do Facebook, como pode ser visto acima. Contudo, o Facebook lhe dá opções limitadas para decidir quem deve receber uma mensagem. As opções são as seguintes: todos, amigos de amigos, somente amigos, e “personalizar”, que permite excluir indivíduos para coisas como festa surpresa, mas não permite incluir seletivamente indivíduos! Já o Google+ dá controle completo para que você decida quem deve receber uma mensagem ou compartilhamento seu. Você pode enviar a mensagem publicamente, ou a um ou vários círculos, ou a uma ou várias pessoas. Isso elimina a necessidade da antiga separação entre mensagens privadas e mensagens no mural, pois ambas podem ser feitas da mesma interface.

Note que a caixa de baixo diz "círculos ou pessoas". É possível enviar compartilhamentos até para quem não tem o Google+, por e-mail!

Círculos

O gerenciamento dos contatos é muito parecido com o que o Twitter e o FriendFeed possuem: você não precisa seguir quem lhe segue e vice-versa. Os Círculos são a maneira do Google+ de categorizar pessoas. O Windows Live Messenger (pelo menos) na sua última versão tem um modelo similar: você pode fazer com que um contato seu esteja em vários círculos ao mesmo tempo, baseados em atividades que vocês fazem juntos, a quanto tempo se conhecem, em seu grau de relacionamento, ou qualquer categoria que você quiser.

É mais complicado explicar do que fazer.

Hangouts

O mais importante: Hangout.

Mesmo assim, nada do que eu mencionei antes é o suficiente para que usuários do Facebook adotem o Google+. Mas o Google Hangouts é.

Ligação simultânea, com vídeo, entre até 10 pessoas.

Deixe eu repetir.

Ligação simultânea, com vídeo, entre até 10 pessoas. Gratuitamente. Exatamente o mesmo número de pessoas que o Skype Premium dá, mas tendo de pagar.

Sem pagar um tostão pelo serviço, um professor particular pode dar aula para mais de um aluno remotamente. Uma pequena empresa pode fazer conferências, mesmo que os funcionários trabalhem em home offices. Não há, neste momento, um produto que dê essa mesma funcionalidade de graça.

Coisas para geeks

Dos pés à cabeça, o Google+ usa conexão segura (https), o que dá uma certa proteção para quem o usa em hotspots. O Comitê para Proteção de Jornalistas adorou isso e fala sobre outras questões de privacidade onde o Google+ fez o dever de casa direitinho. O Google+ é lotado de atalhos de teclado, como todo bom produto da Google. A melhor forma de organizar Círculos que vi até agora foi da Gina Trapani, ex-Lifehacker.

Tira da xkcd sob licença Creative Commons BY-NC 2.5. A imagem do Hangouts é de Eddie Codel, sob licença Creative Commons BY-NC-SA 2.0.

Post do Jarvis na Buzz Machine.

Tem duas coisas que eu aprendi sobre uma carreira profissional. A primeira, é que você precisa estar preparado para o futuro. A segunda é que você nunca sabe o futuro. Estar preparado significa ser flexível.

O que o Sarkozy quer, talvez até com aquelas boas intenções da qual o inferno está cheio, é ajudar o presente a moldar o futuro. O que Jarvis e Lessig querem é que o futuro não seja moldado pelo presente.

Estamos caminhando em um terreno perigoso que pode reduzir de forma significativa a nossa capacidade de nos desenvolvermos intelectualmente e culturalmente. Gostaria que não chegássemos nesse ponto.

“‘Pessoalmente, Steve Jobs é responsável por matar a indústria musical. Os jovens de hoje perderam toda a cultura de colocar os fones de ouvido, aumentar o volume, fechar os olhos e se perder no álbum; além de tomar a decisão de gastar o dinheiro suado na compra de um disco sem saber ao certo as músicas gravadas ali, pegar a capa do álbum e se perder nas fotos impressas’, criticou Bon Jovi.”

Que bom! Um disco pop, como os que o Bon Jovi lança tem 3 singles, 8 músicas medianas e 3 porcarias que não servem nem para desentupir o ralo da pia. E vem sendo assim desde sempre no pop. Mas quando uma banda ou um artista solo lança um álbum tão bom que vale comprá-lo inteiro, veja só, as pessoas vão comprar!

Dinossauros como o Bon Jovi, acostumado a encher linguiça com músicas medíocres da faixa 6 à faixa 14, nunca vão compreender por que eu quero pagar só da faixa 1 até a faixa 5. O motivo é que o dinheiro que eu economizo comprando as porcarias deles eu gasto comprando as boas músicas de outros.

Agradeça que os direitos autorais no teu país perduram por um período ridiculamente longo, Bon Jovi, para que tu aproveites ao máximo os lucros das vendas de Bed Of Roses, mas não venha me dizer que a maneira que nós consumíamos música nos últimos 110 anos era a maneira correta. Porque, honestamente, até a iTunes Store tem falhas, mesmo sendo melhor do que o modelo antigo.

Esta opinião foi emitida por um autor que comprou These Days e o album solo dessa criatura. Eu gosto das músicas dele, mas o homem mesmo anda intragável.

Vai fazer 7 anos agora no início de março que eu fiz minha primeira palestra. Em fevereiro de 2004 eu fui convidado com duas semanas de antecedência a fazer uma palestra sobre a vida do autor J.R.R. Tolkien promovida na Livraria Cultura de Porto Alegre e eu recusei, pois eu não pensava ter conhecimento suficiente para fazê-la: como alguém que nem leu a biografia do autor poderia falar com propriedade sobre o assunto? E mesmo se eu tivesse lido, como eu possivelmente poderia me preparar em apenas duas semanas? Diante da minha recusa, a tarefa caiu sobre o colo de um amigo meu.

Quando chegou o dia da palestra, sentei na plateia e assisti ao meu amigo dizer absolutamente tudo que eu já sabia, e talvez menos. Esse era um amigo com conhecimento vasto de medievalismo, cursando Direito, infinitamente mais rápido para pensamento e fala do que eu. Mas neste assunto, por mais que eu quisesse me convencer do contrário através de todos os truques mentais que a minha baixa autoestima pudesse inventar, eu tinha mais conhecimento e eu deveria estar naquele palco. Na saída me perguntaram se eu gostaria de fazer uma palestra em março, e eu aceitei.

Eu escolhi um assunto que me parecia “interessante, embora trivial”: evolução das línguas élficas. Um assunto que eu poderia cobrir em “mais ou menos uma hora”. Me preparei o melhor que pude. Criei slides. No dia, saí mais cedo do trabalho. Preparei minhas anotações, testei os slides e aguardei as pessoas entrarem no salão. Fui apresentado e comecei a palestra, passados alguns minutos das 19hs.

Não demorou muito para eu perceber duas coisas. A primeira é que a minha mão direita tremia, mas minha esquerda não. A segunda é que olhar para o cabelo das pessoas é bem mais confortável do que olhar para os olhos delas. Ao longo da palestra eu ganhei confiança. Até demais. E é aí que o perigo mora.

Ao chegar na hora de explicar a pronúncia do <G>, eu falei: “No élfico, o som do <G> é como na palavra ‘gato’, nunca como na palavra ‘geito’.”

E todos na plateia congelaram e olharam para a pessoa ao lado com espanto.

Eu parei. Pensei no que eu tinha falado. Acabou de ocorrer o que eu mais temia no mundo, que eu cometesse uma gafe tão absurda que a falsidade do meu expertize fosse descoberta e as pessoas fugissem, indignadas, do auditório. Que uma fenda se abrisse sob meus pés e me engolisse no momento em que eu dissesse algo incoerente ou estúpido.

Ninguém fugiu. Ninguém se indignou. Nenhuma fenda se abriu.

Eu olhei para o teto, cocei meu queixo com a outra mão e disse de forma sarcástica “Err, espera um minuto…” E todos riram. E eu ri. E o resto da palestra foi tranquilo.

De fato, a palestra foi tão longa, mas tão longa, que eventualmente minha mãe da plateia levantou uma placa dizendo apenas “20:45″. Em 15 minutos aquelas pessoas estariam sentadas na minha frente por duas horas, escutando pacientemente (algumas talvez com interesse!) sobre o assunto que eu abordava e era hora de finalizar a palestra. Terminei o resto em 5 minutos e abri um período para perguntas. A primeira pergunta foi de uma menina demonstrando um certo espanto no rosto: “Onde você aprendeu tudo isso?”

Como a maior parte das coisas boas na vida, eu percebo elas só depois de muito tempo. Essa pergunta, do jeito que foi feita, na ocasião em que foi feita, talvez tenha contribuído mais para a minha confiança do que muito do que eu tenha feito ou dito. Eu saí de lá muito feliz comigo mesmo e pronto para fazer mais uma palestra no outro dia, se alguém me pedisse.

A quase 3 anos atrás.

Acontece que quando eu comprei o computador, eu não percebi que ele era o último que eu ia precisar. Eu comprei pensando em trocá-lo mais ou menos em 2011. Mas agora é 2011 e não há nada que eu possa fazer de upgrade que afete a performance do meu trabalho de forma positiva. Minha placa mãe, meu processador, minha RAM e minha placa de vídeo não limitam minha produtividade. Do ponto de vista de performance pura, apenas minha conexão de internet poderia melhorar, e eu precisaria de poucos megabits a mais por segundo para torná-la ideal.

O que afeta minha produtividade estes dias? Minha cadeira. Meu teclado. Meu mouse. Meu(s) monitor(es). A ergonomia do meu escritório me afeta muito mais agora do que o número de instruções por minuto que minha máquina consegue processar.

A TED lançou ontem a TED Conversations e uma das perguntas iniciais foi feita pelo grande Tim O’Reilly:

William Gibson disse “O futuro está aqui, só não foi distribuído igualmente ainda’. Quais futuros você viu que estão aqui, mas que não foram reconhecidos?

A minha resposta é o que eu escrevi neste post.

Foi o caso do meu amigo: ele gastou $100 para que um programador fizesse o trabalho de um técnico de hardware. O picareta formatou o PC inteiro, perdeu todos os dados do meu amigo e não resolveu o problema.

Desde o Windows XP, uma Tela Azul da Morte é um evento que merece atenção. Não o ignore! Dificilmente o problema nesses casos é causado por má codificação da Microsoft. De fato, eu não lembro da última vez que eu encontrei um problema desses onde a Microsoft fosse culpada ou que algum componente do sistema, como um driver, também fosse. Os meus últimos encontros com Tela Azul da Morte foram placas de RAM e vídeo defeituosas ou mal encaixadas.

Nesse caso não foi diferente. Quando eu disse “RAM” meu amigo disse: “É, você acertou em cheio! Eu tirei e encaixei novamente a RAM no banco de memória e não tive mais Telas Azuis.” Eu ainda não recomendaria a uma pessoa que não sabe mexer dentro de um PC tentar verificar se ele está com todas as peças bem encaixadas, mas definitivamente eu creio que o passo número um é verificar o hardware com um técnico especializado nessa área.