WGA: um abuso com o consumidor e um absurdo para a segurança

Tentei instalar uma atualização de segurança hoje. Mas a Microsoft não me permite fazer o download da atualização sem que o Windows Genuine Advantage (WGA) esteja instalado. O FAQ do WGA diz o seguinte:

P: As atualizações de segurança exigem validação?
R: As atualizações de segurança não fazem parte do WGA ou do OGA. Você pode instalar atualizações de segurança com o recurso Atualizações Automáticas do Windows ou baixá-las do Centro de Download.

Mentira! Não há como abaixar a atualização que apontei acima. Em resumo, sempre me recusei a instalar o WGA simplesmente por que ele não me agrega nenhum benefício. Agora, a Microsoft me nega a possibilidade de realizar uma atualização de segurança importante. Me sinto ultrajado.

Em tempo, meu Windows não é pirata, eu pagei à Microsoft por ele.

Um backupzinho vez em quando é bom

Nesta nota, a T-Mobile e a Microsoft praticamente não deixam esperança de recuperação dos dados dos clientes no serviço T-Mobile Sidekick. É impressionante como as organizações continuam a não implementar, ou implementam de forma deficiente, controles para mitigação de riscos básicos porem de grande impacto. Neste caso específico, aparentemente faltou gestão de mudança e backup.

DEAR valued T-Mobile Sidekick customers:

T-Mobile and the Sidekick data services provider, Danger, a subsidiary of Microsoft, are reaching out to express our apologies regarding the recent Sidekick data service disruption. We appreciate your patience as Microsoft/Danger continues to work on maintaining platform stability, and restoring all services for our Sidekick customers.

Regrettably, based on Microsoft/Danger’s latest recovery assessment of their systems, we must now inform you that personal information stored on your device – such as contacts, calendar entries, to-do lists or photos – that is no longer on your Sidekick almost certainly has been lost as a result of a server failure at Microsoft/Danger. That said, our teams continue to work around-the-clock in hopes of discovering some way to recover this information. However, the likelihood of a successful outcome is extremely low. As such, we wanted to share this news with you and offer some tips and suggestions to help you rebuild your personal content. You can find these tips at the T-Mobile Sidekick Forums (http://www.t-mobile.com/sidekick ). We encourage you to visit the Forums on a regular basis to access the latest updates as well as FAQs regarding this service disruption.

In addition, we plan to communicate with you on Monday (Oct. 12) the status of the remaining issues caused by the service disruption, including the data recovery efforts and the Download Catalog restoration which we are continuing to resolve. We also will communicate any additional tips or suggestions that may help in restoring your content.

We recognize the magnitude of this inconvenience. Our primary efforts have been focused on restoring our customers’ personal content. We also are considering additional measures for those of you who have lost your content to help reinforce how valuable you are as a T-Mobile customer.

We continue to advise customers to NOT reset their device by removing the battery or letting their battery drain completely, as any personal content that currently resides on your device will be lost.

Once again, T-Mobile and Microsoft/Danger regret any and all inconvenience this matter has caused.

http://www.sidekick.com/

Por que não se pensou nisso antes?

• Helping users keep plugins updated

Declaração de quitação anual de débitos

Esta é uma lei (muito) boa.

Fora Sarney!

http://twitter.com/forasarney

Em casa de ferreiro ...

O pessoal da Microsoft precisa aprender a usar o corretor ortográfico (o grifo é meu):

Voo 447, Crimes Hediondos e Engenharia Social 3.0

Há algum tempo bloquei sobre o fenômeno Conficker e fiz uma comparação com o worm Morris, evento de mais de 20 anos de idade e o quanto aprendemos (ou não aprendemos) desde então.

Com a recente tragédia no voo 447, começaram a "chover" emails falsos de toda a sorte, com iscas do tipo "fotos exclusivas do acidente", "sobreviventes encontrados" entre muitos outros. Um chamariz perfeito para usuários menos treinados ou mais curiosos.

Rios de dinheiro tem sido gastos com ferramentas e novas tecnicas de proteção contra esse tipo de ameaça, mas sera que estamos escolhendo os campos de batalha corretos?

Aprendemos cada vez mais o papel do usuário nesse tipo de incidente, mas aparentemente não aprendemos o suficiente para cuidar dos usuários.

No acidente aéreo ocorrido no Brasil no ano passado quando duas aeronaves colidiram no ar, até mesmo fotos falsas (provenientes de uma serie de TV onde ocorre um acidente logo no primeiro episódio) para chamar a atenção de usuários incautos.

Essas não exatamente novas, mas certamente bem criativas formas de se utilizar engenharia social requerem cuidados ligados a conscientização e constante esforço junto aos usuários. Antivirus de forma isolada não são suficientes (embora uma verificação ortográfica integrada pudesse ser uma boa idéia - Muitos desses emails são maravilhas da engenharia social mas ataques violentos a lingua portuguesa). "Vazou OS videos do Desastre" é um bom exemplo disso. A construcao desses emails ainda é bem arcaica, mas com o uso de logotipos e imagens surrupiadas de sites de noticias e outros artificios como links falsos (como no exemplo onde o email sugere que o link é da FAB mas na verdade aponta para um site que hospeda o código malicioso)

Vale a pena conscientizar os usuários sobre esses "fenômenos" e manter máquinas atualizadas e processos bem definidos para monitorar mudanças de configuração, aderência a políticas de segurança corporativas entre outras medidas importantes. Crimes hediondos recentes, tragédias que circulam a mídia: A temática central muda, mas a engenharia social só se aperfeiçoa. QUando surge uma nova manchete, golpistas certamente usaram esse artifício para melhorar os resultados de sua "pesca".

A cada incidente temos que aprender não apenas as questões técnicas envolvidas mas tambem como nossos usuários reagem para que os mecanismos de defesa possam aprender com cada experiência.

Aylton Souza

http://blogs.technet.com/risco/archive/2009/06/23/voo-447-crimes-hediondos-e-engenharia-social-3-0.aspx

Um artigo para a geração Você S.A.

• Coisas que me irritam e espero que mudem (by Wagner Elias)