Blog do MAV

Técnicas de Ataque: SYN Flood

2010-08-09T09:08:00.000-03:00

Navegar na internet sem um sistema de segurança pode ser perigoso. Uma dica básica, mas importante, para se obter maior segurança na navegação é melhorar a percepção que se tem sobre quais são os riscos envolvidos. Esse é um dos artigos da série sobre técnicas de ataque pela Internet, que publico hoje no blog MAV.

O ataque SYN Flood é mais um na grande categoria de ataques de negação de serviço, ou DOS (Denial-of-Service). O nome “SYN” representa uma das flags do cabeçalho do protocolo TCP, com o significado de abrir uma nova conexão. Já “Flood” vem do inglês “inundação”. Em um ataque de SYN Flood o atacante envia para o servidor alvo uma grande quantidade de pacotes SYN.

Ao receber um pacote SYN, o sistema operacional sinaliza a conexão ao programa que deverá tratar da mesma. O programa então inicializa threads e uma quantidade de memória para cuidar da conexão. Com o número grande de conexões sendo abertas, todos os recursos de hardware do servidor são consumidos e os usuários reais/autenticos não conseguem acessar o servidor. Daí a negação de acesso ao serviço.

Normalmente nestes ataques a negociação da abertura da conexão não se completa. Ficam faltando a troca de outros dois pacotes da rede. Isso se deve ao fato de que é muito mais eficiente enviar apenas o primeiro pacote, que já isso já faz o servidor aceitar a conexão. Um segundo ponto que acontece normalmente neste ataque é que o IP de origem do pacote é camuflado (spoofed), tornando impossível tanto uma negociação completa quanto a identificação do autor do ataque.

No MAV 5.0 – Internet Gateway existe uma solução específica para o caso de ataques de DOS do tipo SYN Flood. Na ocasião de um ataque como este os usuários da rede não tem o acesso negado ao serviço. A questão é que qualquer proteção no nível do gateway da rede não impede que seu link de internet fique cheio devido ao ataque.

A conclusão, como sempre, é que temos que proteger os usuários da rede da empresa das ameaças da Internet. Não podemos contar com a certeza de que o usuário da rede esteja ciente de todos os tipos de ataques e problemas. Para evitar prejuízos ao patrimônio digital da empresa, devemos ter um sistema de segurança de Internet: instalado e bem configurado.

Um abraço e tenham um bom dia.

Técnicas de Ataque: Man in the Middle

2010-06-09T11:27:00.003-03:00

Navegar na internet sem um sistema de segurança pode ser perigoso. Uma dica básica, mas importante, para se obter maior segurança na navegação é melhorar a percepção que se tem sobre quais são os riscos envolvidos. Esse é um dos artigos da série sobre técnicas de ataque pela Internet, que publico hoje no blog MAV.

A tradução literal do nome desse ataque é "homem no meio". Existem várias formas de sofrer o ataque, mas todas têm o mesmo princípio: o usuário está acessando um sistema semelhante ao autêntico, que na verdade é somente uma camada intermediária entre ele e o sistema autêntico. Esta camada intermediária tem acesso a todas as informações do usuário, que são enviadas ou recebidas do sistema. Normalmente o usuário tem dificuldade de identificar o ataque.

Um exemplo comum seria quando um usuário entra num site da web cujo endereço é semelhante ao do site original devido a um erro de digitação. O site falso pode agir como intermediário, com 100% da funcionalidade preservada, tendo acesso completo a tudo que o usuário enviar ou receber no site.

Outro ataque equivalente acontece quando o usuário é direcionado, por um link, ao site cujo endereço é parecido com o site original; o resultado é o mesmo. Nos dois casos pode acontecer do certificado SSL (o do cadeado no canto da tela) para o site ser válido, porém emitido em nome de outra empresa parecida com a autêntica.

Alguns vírus que roubam senhas de bancos o fazem abrindo uma tela por cima do navegador do usuário quando é solicitada a senha. O mesmo vale para alguns dos vírus que roubam senhas de e-mails, redes sociais e instant messenging.

A conclusão, como sempre, é que temos que proteger os usuários da rede da empresa das ameaças da Internet. Não podemos contar com a certeza de que o usuário da rede esteja ciente de todos os tipos de ataques e problemas. Para evitar prejuízos ao patrimônio digital da empresa, devemos ter um sistema de segurança de Internet: instalado e bem configurado.

Um abraço e tenham um bom dia.

Técnicas de ataques: Cross-Site Request Forgery

2010-04-15T18:15:00.001-03:00

Navegar na internet sem um sistema de segurança pode ser perigoso. Uma dica básica, mas importante, para se obter maior segurança na navegação é melhorar a percepção que se tem sobre quais são os riscos envolvidos. Esse é um dos artigos da série sobre técnicas de ataque pela Internet que publico hoje no blog MAV.

Muito se fala dos riscos de se visitar sites falsos: um problema comum. Porém, mesmo quando o usuário está no site correto ainda corre o risco de ter um prejuízo devido à ação de hackers. Uma das técnicas usadas por eles para atingir esse objetivo é chamada de Cross-Site Request Forgery.

Por exemplo: suponhamos que você esteja acessando o seu webmail, usando endereço correto. Nesse momento, o nível de acesso que o seu browser terá no servidor do webmail lhe permite operações usuais: listar as mensagens da caixa de entrada, ler e-mails, enviar e-mails, criar pastas, listar/gerenciar contatos e etc. Qualquer requisição que o browser enviar será executada.

No ataque em pauta, o usuário é direcionado de alguma forma a um site malicioso: pode ser por um e-mail, que lhe pede para visitar um site interessante, ou qualquer outra técnica de engenharia social. A partir daí o site malicioso, supondo que o usuário esteja acessando o webmail neste momento, envia requsições ao servidor do webmail como se ele fosse a própria página do webmail.

Daí o nome do ataque: em português, "Requisição Falsa Entre Sites". O site falso manda requisições que o usuário não fez para o site que ele está acessando.

Só que, para o servidor do webmail, a requisição tem os parâmetros corretos e vem do browser/ip correto. Pela lógica, ele (o servidor) deve aceitar essa requisição. E, normalmente, é o que ele faz.

Um ataque bem sucessido pode ter diversos efeitos: desde do simples uso do seu webmail para envio de spams, a operações mais sofisticadas, tais como acessar informações confidenciais no seu webmail, realizar alterações no sistema de ERP, via web, ou até mesmo trocar o endereço de entrega de uma compra online.

A solução para esse tipo de ataque não é simples. As requisições autênticas enviadas pelo browser para o servidor precisam conter alguma informação secreta, que permita autenticá-la. Normalmente a ação envolve a construção de um sistema de comunicação sofisticado, no site e no servidor. O problema é que a maioria dos desenvolvedores de aplicações web não implementam esse tipo de segurança em seus sistemas.

A conclusão, como sempre, é que temos que proteger os usuários da rede da empresa das ameaças da Internet. Não podemos contar com a certeza de que o usuário da rede esteja ciente de todos os tipos de ataques e problemas. Para evitar prejuízos ao patrimônio digital da empresa devemos ter um sistema de segurança de Internet: instalado e bem configurado.

Um abraço e tenham um bom dia.

MAV 5.0 - Mail Security bloqueando 99,85% dos spams no MPU

2010-03-08T19:45:00.006-03:00

O maior cliente, em volume de e-mails, do MAV 5.0 - Mail Security atualmente é o Ministério Público da União, instituição federal que compreende: o Ministério Público Federal (MPF), o Ministério Público do Trabalho (MPT), o Ministério Público Militar (MPM) e o Ministério Público do Distrito Federal e Territórios (MPDFT). Toda a segurança de e-mails para os Procuradores da República do Brasil é provida pelo MAV 5.0.

Recentemente nós atualizamos o produto instalado nos servidores do MPU com a nova versão de Março/2010 do nosso algoritmo antispam (antes a versão era de Setembro/2009). Para verificar a melhora, e como o MPU é um cliente com volume de e-mails/spam bastante alto, nós fizemos um estudo estatístico para analisar a melhoria do produto em duas questões:

Dos e-mails que chegam ao usuário, qual é a proporção de spams?
Dos spams que chegam ao servidor, qual proporção é bloqueada?

A primeira pergunta reflete a qualidade percebida pelo usuário no antispam. O usuário não conhece o que ele deixou de receber, vê apenas o que passou. A segunda reflete a eficiência real do produto no bloqueio de spams, mostra o que aconteceria caso o produto fosse desativado/retirado.

Originalmente, 9,80% dos e-mails que chegavam para os usuários eram spams e este foi o fato que gerou a urgência da atualização e a necessidade do estudo em questão.

Resultados

A melhoria foi realmente bacana, caindo de 9,80% para apenas 2,4% do que o usuário final recebe ser spam. Uma redução de 75%!

O que foi fantástico descobrir é que com a nova versão 99,85% dos spams foram bloqueados! Ou seja, a cada 660 spams que foram enviados ao servidor apenas 1 passou. Não há como expressar o nível de satisfação que eu sinto com o resultado do novo produto, ainda mais por ter sido medido em um ambiente real e complexo como o do MPU.

Para os curiosos, com a versão de Setembro/2009 o produto estava bloqueando "apenas" 99,37% dos spams, deixando passar 1 a cada 150.

A equipe de desenvolvimento da MAV Tecnologia tem uma pessoa com dedicadação exclusiva a este modulo e é sensasional observar um resultado tão bacana.

Um abraço e tenham um bom dia.

Parasoft C++Test: um Salto de Qualidade de Software na MAV Tecnologia

2010-02-26T19:14:00.002-03:00

É inegável o efeito que falhas de software têm no dia-a-dia das empresas. E a questão é simples: todo software falha! O que diferencia cada empresa e cada projeto é a frequencia com que as falhas ocorrem e o tempo de respostas a elas.

Na MAV nós temos rotinas de testes de software implantadas que buscam cercar toda a lógica do produto, principalmente nos módulos de baixo nível, que tem maior complexidade. Infelizmente todos os testes de unidade, testes de sistemas e testes de interface do mundo juntos não identificariam todos os erros de um software. A causa disso são os erros de implementação. A lógica estaria correta mas existe uma falha na utilização da memória ou um caso de erro não verificado no código. Por exemplo, há um mês identificamos e corrigimos um bug no MAV 5.0 que só acontecia quando o servidor de DNS da rede estava indisponível.

Para resolver este problema a MAV Tecnologia concluiu nesta semana o processo de compra do software C++Test Server Edition da empresa americana Parasoft. A funcionalidade de interesse, chamada BugDetective, é simplesmente fantástica. O BugDetective do C++Test analisa todo o código fonte de um software procurando por erros de implementação. O software analisa cada possível valor de variável, cada possibildade de resultado para cada if/while/for, cada alocação de memória, cada chamada de função chamada e cada possível retorno. O software trilha todos os caminhos possíveis que a execução do software pode ter procurando por condições que levam o software a falhar.

O resultado foi simplesmente incrível. Nós analisamos o código fonte do MAV 5.0 e foram encontradas um número muito grande de situações raras que levariam horas, se não dias, para depurar e identificar a causa. O software identificou situações que eu, com 13 anos de experiência com programação, fui surpreendido. Identificou casos que dependem de uma análise tão profunda e tão longa que é praticamente impossível que um revisor de código humano visualize.

Para mim esta aquisição representa um marco, um salto na nossa qualidade de software. A união de testes de unidade, testes de sistema e testes de interface com a análise estática de código fonte realizada pelo C++Test garantem o nível de qualidade que nós e nossos clientes esperam dos produtos da MAV.

Um abraço e tenham um bom dia.

RBLs (SpamCOP, CBL, SpamHaus e Sorbs): uma análise probabilística

2009-05-24T22:55:00.007-03:00

Hoje em dia o ponto de partida na luta para bloquear spams são as RBLs. Computadores que são detectados enviando spams na internet são cadastrados pelos sistemas que administram estas listas. Na maioria dos casos todos podem consulta-las para rejeitar o spam antes mesmo que ele seja recebido e analisado pelo servidor, o que geraria um custo computacional e de banda de internet desnecessário.

Agora imagine uma situação onde após a entrada de um novo vendedor na empresa é criada uma conta de e-mail para ele. O novo funcionário divulga seu e-mail, que passa a ser usado normalmente. Um dia depois, ao analisar uma mensagem direcionada a ele, verifica-se que o IP do remetente está bloqueada em uma RBL. Neste ponto eu faço duas perguntas:

Qual a probabilidade deste e-mail ser um spam?
Qual o risco que a empresa correrá de descartar uma mensagem autêntica se descartar este e-mail?

Este exemplo mostra que é necessário fazer uma análise estatística e probabilística em cada RBL disponível na internet para entendermos exatamente os riscos e os ganhos que nós estamos lidando.

Eu analisei o tráfego de e-mails do Supramail durante uma manhã para fazer estas análises. Uma porproção das mensagens que chegaram foram sorteadas para o teste. Eu testei 8 RBLs: SpamCOP, Sorbs DNSBL, Sorbs SPAM, CBL, SpamHaus SBL, SpamHaus PBL, SpamHaus XBL e NjaBL. Para ter certeza dos dados eu solicitei que o Filipe, novo desenvolvedor da MAV com foco exclusivo no antispam, analisasse a lista de e-mails manualmente (pelo assuntos) para não haver erros nos resultados. Vou citar aqui alguns resultados interessantes.

De cara 3 listas foram imediatamente descartadas: a Sorbs SPAM, a SpamHaus SBL, utilizada atualmente pelo MAV 4.4 - Mail Security, e a NjaBL. As três apresentaram uma taxa de detecção de spams baixa tendo um nivel de falsos positivos comparável com o das outras.

A análise mostrou que se as cincos listas tivessem sido utilizadas cegamente nós acabaríamos tendo um falso positivo superior a 2%. Por "cegamente" entenda descartar uma mensagem quando o IP do remetente estiver bloqueado em qualquer uma delas. Por cegamente também entenda "o procedimento normal utilizado por todos os softwares que eu conheço que consultam RBLs", inclusive o MAV 4.4. Se bem que o MAV 4.4 tem diversos recursos que detectam falsos positivos de forma separada. De qualquer forma, 2% de chance de descartar uma mensagem autêntica é um risco extremamente alto na minha opinião.

A RBL que se saiu melhor nos testes foi a Sorbs DNSBL. A probabilidade de que um e-mail recebido de um IP bloqueado na Sorbs DNSBL fosse spam foi de 99,94%. Ou seja, o risco de falsos positivos foi de 0,06% (ou 1 em 1667 mensagens).

Outro resultado super interessante é que combinar as listas obtém resultados completamente confiáveis. Na média, apenas 1 em 32000 mensagens serão bloqueadas incorretamente se a mensagem for descartada quando o IP do remetente estiver bloqueado em 2 as 5 listas. Subindo o número para três a proporção sobe para 1 em 14 milhões. O mais interessante é que ao exigir o bloqueio em pelo menos 2 das 5 listas a taxa de bloqueio de spams cai apenas 9%.

Para mim, qualquer taxa de erro inferior a 1 em 20.000 vale o mesmo que não errar. Neste nível um usuário médio teria cerca de 60% de chance de não ver nenhuma mensagem autêntica descartada incorretamente durante 6 meses.

No final das contas o correto é considerar todas as informações com uma análise probabilística. O antispam do MAV 5.0 é completamente baseado neste direção. Nenhum parâmetro é suficiente para bloquear ou liberar uma mensagem por conta própria. E-mails enviados para usuários que recebem pouco spam são tratados de forma completamente diferente de e-mail enviados para usuários que recebem muito spam. Os 25% dos usuários que recebem menos que 10% de spam não podem ter e-mails analisados com as mesma força dos 25% dos usuários em que mais de 70% dos e-mails que recebem são spams.

Só é uma pena que, devido a característica proprietária da informação, eu não possa discutir as diferenças entre os métodos que são bons para identificar e-mails autênticos que não necessariamente identificam spams bem, comparando-os com os métodos que identificam spams bem mas não são bons para identificar e-mails autênticos. Pessoalmente, eu tive surpresas muito curiosas nos estudos que nós temos desenvolvido há alguns meses nesta área.

Um abraço e tenham um bom dia.

O Virus Conficker

2009-04-01T11:52:00.002-03:00

Este primeiro de Abril está sendo um dia preocupante para os administradores de redes de todo o mundo. Hoje é o dia em que o virus Conficker ativa sua nova formula de atualização dos computadores já infectados. Eu vou explicar por que esse é o virus mais avançado que já se espalhou na internet até hoje, esse sendo o motivo da preocupação que os especialistas estão demonstrando na mídia.

A forma de infecção do virus é séria mas sem muita novidade. As primeiras variantes (A, B e C), exploravam uma falha de segurança do Windows 2000, Windows XP, Windows 2003, Windows Vista e Windows 2008. A Microsoft corrigiu a falha de segurança em outubro passado, mas ainda temos muitas máquinas vulneráveis. A falha é séria pois a instalação do virus é automática, não requer nenhuma ação do usuário ou do administrador da rede. As variantes B e C também se espalham procurando compatilhamentos de rede com senhas fracas e por pendrives USB. A versão D não se reproduz, o que tecnicamente lhe faria perder o status de virus.

A novidade do Conficker no quesito se espalhar é que cada vez que ele se reproduz seu arquivo é recompactado e recriptografado utilizando parâmetros e senhas diferentes. O resultado é simples: nenhum arquivo do virus é igual ao outro. Como a maioria dos antivirus funciona procurando assinaturas de virus nos arquivos apenas eles não conseguem identificar os arquivos do virus . Os produtos Norman e MAV (que utiliza as tecnologias da Norman), procuram assinaturas no padrão de execução do arquivo também. Somos um dos poucos a identificar os arquivos do Conficker.

O sistema de atualização automática do virus também é interessante. Os virus anteriores no máximo tinham uma lista de poucos sites em que eles procuravam suas atualizações. Era relativamente fácil desabilitar dos estes sites e garantir que o virus não se atualizasse. Hoje entrou em funcionamento um novo sistema em que o virus gera uma lista de 50.000 sites por dia (a lista muda todos os dias), cada máquina infectada escolhe 500 para tentar baixar sua nova atualização. Esses 50.000 sites estão espalhados em vários TLDs de vários países. Fica virtualmente impossível desabilitar tantas possibilidades todos os dias para impedir que o virus se atualize nas máquinas infectadas.

Além disso, a variante D do virus também tem um avançado sistema de P2P para espalhar novas versões do virus. Uma vez que alguma máquina é atualizada com sucesso (o método acima atualizaria 1% das máquinas por dia no máximo), essa máquina começa a conversar com outras máquinas infectadas para espalhar a nova variante.

Outro ponto interessante é que a nova versão é assinada digitalmente utilizando a mesma tecnologia que a Microsoft e todas as outras usam para assinar suas atualizações. Isso impede que terceiros tentem sequestrar as máquinas infectadas colocando no ar uma falsa atualização que desabilite o virus, o que já havia sido feito anteriormente com outros virus.

Como desenvolvedor de softwares de segurança não há como não ficar impressionado com a sofisticação do Conficker. Ele realmente foi o que chegou mais perto do que eu imagino ser um "virus perfeito". Não chegou lá, mas chegou perto.

Vale citar também que tamanha sofisticação não parece obra de apenas um programador. Na minha opinião ele foi criado por uma equipe de hackers realmente conhecedora. Não seria simples montar uma equipe como esta.

Vale a preocupação? Sim. Ele realmente tem o potencial de gerar um estrago enorme. Estimativas indicam que exitem entre 4 e 10 milhões de computadores estão infectados e não me parece que serão limpos tão cedo. Controlando essa quantidade de computadores seria possível até mesmo parar a internet. Sem exageiro.

O que fazer?

Mantenham os sistemas operacionais dos computadores sempre atualizados.
Não utilize senhas fracas para nada. Use uma frase com no mínimo quatro palavras ou um conjunto de letras, números de caracteres especiais (@#$%^&*...). No caso das frases seja criativo, "Ordem e progresso", "Quando o sol bater na janela do meu quarto" e outras são conhecidas e não contam.
Mantenha seus servidores atrás de um firewall. Se der para fazer uma DMZ é melhor. O MAV 5.0 - Internet Gateway está para ser lançado e seu firewall é bem avançado (explicarei depois no blog os porquês).
Tenha um antivirus de qualidade nos servidores e nas estações. Em questão de qualidade, ninguém bate a Norman e a Kaspersky para antivirus de estação (as duas detectam o Conficker).

Um abraço e tenham um bom dia.

Três milhões de vírus e a tecnologia Norman DNA Matching

2009-03-13T11:24:00.007-03:00

Em outubro de 2007 eu havia postado uma notícia aqui no blog falando que o número de vacinas no banco de dados da Norman havia passado de um milhão. Bem, acabamos de passar de três milhões de vacinas! Para ser exato, a versão liberada hoje cedo tem 3.000.002 vacinas contra vírus.

Há um certo tempo já é publico que identificar vírus baseando-se apenas em vacinas é um trabalho cada vez menos eficiente. Nos últimos 18 meses foram criadas 2 milhões de vacinas contra vírus, ou seja, uma vacina contra vírus a cada 2 minutos.

A razão para tal é que uma vacina de vírus normalmente consegue capturar apenas uma ou poucas variantes do vírus. Vírus modernos laçam variantes na ordem das centenas por vez. O Conficker, por exemplo, está sempre se re-compactando e re-criptografando com parâmetros aleatórios antes de se reenviar, fazendo com que os arquivos que estão se espalhando na internet sejam sempre diferentes.

A MAV sempre contou com a tecnologia Norman Sandbox para detectar vírus anasilando as ações que ele toma quando executado em uma máquina virtual. Conta também com o sistema próprio de Assinatura Dinâmica de Vírus, que identifica novos virus sendo enviados por e-mail automaticamente. Essas barreiras nos garantem um sucesso muito grande na luta contra vírus.

Atualmente estão sendo desenvolvidos na MAV Tecnologia alguns projetos internos para o MAV 5 que objetivam a identificação de computadores infectados na rede interna da empresa sem a necessidade de obter uma vacina para o vírus (dentre outros). A detecção é automática e imediata. Isso possibilitará, por exemplo, retirar o computador da internet ou até mesmo da rede interna para minimizar os problemas causados pelo vírus.

Nesta semana a Norman lançou uma nova tecnologia de detecção de vírus também muito moderna. A tecnologia é chamada Norman DNA Matching. Graças a esta tecnologia produtos que utilizam a engine da Norman (como o MAV) tem conseguido identificar o Conficker com sucesso. O Norman DNA Matching utiliza dados obtidos da execução do vírus na máquina virtual Norman Sandbox para criar um DNA das instruções e códigos executados pelo vírus. Esse DNA, que não muda mesmo quando o vírus é re-compactado ou re-criptografado, é utilizado para identificar o vírus. Esse com certeza é um passo que leva a identificação de vírus por vacinas para um outro nível.

Um abraço e tenham um bom dia.

II Semana da Matemática Computacional UFMG

2009-03-11T10:50:00.002-03:00

Hoje a MAV Tecnologia participou da II Semana da Matemática Computacional na UFMG. O objetivo foi mostrar aos calouros do curso como são aplicados no mercado de trabalho os conhecimentos que serão adquiridos.

O desenvolvedor Leandro Nunes, aluno da Matemática Computacional na UFMG, demostrou alguns métodos matemáticos que nós utilizamos no MAV 5.0 para identificação de spams, sites de conteúdo adulto, computadores infectados na rede interna, e etc.

Na minha opinião, na do Leandro e na dos organizadores do evento, a participação atingiu os objetivos de todos. Com certeza foi muito interessante conhecer os futuros possíveis desenvolvedores da equipe.

Um abraço e tenham um bom dia.

MAV 5.0 - Web Security Beta: participe do desenvolvimento.

2009-03-02T21:44:00.006-03:00

Cerca de 15 meses de desenvolvimento depois chegou a hora de anunciar a versão Beta do MAV 5.0 - Web Security. Nós convidamos nossos clientes e parceiros para participar mais uma vez do desenvolvimento do MAV 5.0.

Durante todo o desenvolvimento do MAV 5.0 inovação foi sempre uma palavra chave. Nós inovamos para achar a melhor solução para os problemas de segurança de internet enfrentados pelas empresas hoje.

A melhor solução nem sempre ficou próximo do que já existia. Para criar o MAV 5.0 nós primeiro criamos uma linguagem de programação chamada Integral, baseada em Lua, especializada na criação de softwares de segurança de Internet. O Integral é a base sólida de todos os produtos que nós começamos a lançar a partir de agora.

As novidades do MAV 5.0 são muitas. Para falar de todas aqui seria necessário escrever um texto realmente grande de se ler. Uma que nós terminamos recentemente é o NetView do Web Security. NetView significa visualizar o que está acontecendo no sistema em tempo real. No MAV 5.0 - Web Security isso significa visualizar os downloads que estão acontecendo em tempo real (nome do arquivo, usuário, tamanho, velocidade, quando vai acabar, etc...) e também um sumário de todo o tráfego de web como na tela abaixo:

Assim como ficou definido no MAV Developers' Day, em Setembro passado, nós criamos uma lista de discussão cujo tema é o desenvolvimento do MAV 5: discutir formas de implementar algumas funcionalidades, a ordem em que nós vamos entregar novas funcionalidades aos nossos clientes, etc. Participarão da lista os clientes interessados e todos os desenvolvedores do MAV 5. A lista não foi criada antes pois o MAV 5.0 é tão diferente do MAV 4.4 que não faria muito sentido discutir sobre ele sem estar usando, ou pelo menos sem ter uma cópia instalada.

Clientes interessandos em testar o MAV 5.0 - Web Security devem entrar em contato com o Célio Coti no nosso suporte técnico para que seja feito seu cadastro na lista de discussão do MAV 5. Na lista nós falaremos de mais detalhes do beta. A versão beta será liberada na próxima segunda-feira, dia 9 de Março.

A versão beta do MAV 5.0 - Internet Gateway, MAV 5.0 - Mail Security e MAV 5.0 - IM Security, devem sair, respectivamente, em abril, maio e junho próximos. A versão oficial será liberada quando o produto estiver estável.

Meus parabéns para a equipe de desenvolvimento e meu muito obrigado a todos os clientes.

Um abraço e tenham um bom dia.

Seja o primeiro a conhecer o MAV 5.0, no MAV Developer's Day

2008-09-09T17:53:00.001-03:00

No início do próximo mês o desenvolvimento do MAV 5.0 completará um ano. Hoje o MAV 5.0, em desenvolvimento, é muito maior e mais abrangente do que o projeto iniciado há quase um ano. Em toda a história do MAV a opinião do cliente sempre teve muita influência sobre o desenvolvimento do produto. Muitas das várias implementações aditadas ao MAV vieram de sugestões de clientes. Com o MAV 5.0, isso não será diferente.

Na próxima semana acontecerá o MAV Developer's Day. Neste evento, o MAV 5.0 será apresentado pela primeira vez aos clientes. O objetivo é mostrar o produto em desenvolvimento e obter dos nossos clientes respostas às necessidades reais advindas dos problemas em que nós vamos atuar. É claro que o evento também é uma ótima oportunidade para os clientes conhecerem a equipe de desenvolvimento do produto, atualmente composta por sete profissionais.

Quatro produtos se encontram em fase de criação para o MAV 5.0. Todos têm a mesma base de configuração, regras controle de acesso, autenticação e administração. Essa base será apresentada em detalhes, pois são componentes muito importantes, que definirão como todos os produtos funcionarão. Nossos dois produtos principais hoje (o MAV Mail Suite e MAV Web Suite) receberão melhorias significativas, que também serão apresentadas no evento. As grandes novidades do MAV 5.0 são o MAV IM Suite e o MAV Linux Suite (nomes provisórios).

O MAV IM Suite é um servidor de mensagens instantâneas baseado no protocolo XMPP. O protocolo XMPP está para mensagens instantâneas assim como o SMTP está para o e-mail: é o protocolo aberto que o mundo inteiro está escolhendo, para que cada um possa ter seu servidor de mensagens instantâneas, com a possibilidade desses servidores conversarem entre si.

O MAV IM Suite também se conectará com a rede do Windows Live Messenger (ex MSN), permitindo a interação com a maior rede de mensagens instantâneas no Brasil. Os sistemas de mensagens instantâneas têm assumido grande importância nas empresas, na comunicação interna e com os clientes. O MAV IM Suite implementa essa tecnologia com segurança: todos os arquivos trocados passam por um antivírus e as conversas ficam registradas em um sistema de auditoria, além de ter um rígido sistema de controle de acesso.

O MAV Linux Suite tem duas funções: a de ser o gateway da rede da empresa para a Internet e de ser o servidor de e-mail e páginas da empresa. O MAV Linux está sendo desenvolvido com a utilização de alguns paradigmas e princípios de design e de organização diferentes do que nós normalmente vemos no mercado. O diagrama de configuração e documentação da estrutura de rede do cliente é um exemplo de funcionalidade proveniente destes princípios. Operações como “configurar a rede”, “criar VPNs”, “colocar o servidor em alta-disponibilidade”, entre outras, serão todas resolvidas de forma muito simples e inteligente pela intranet do produto. O resultado será um produto que nós acreditamos apresentar-se mais poderoso e simples de usar dos que nós observamos hoje no mercado.

Todas essas tecnologias em desenvolvimento abrem muitas possibilidades para o que podemos fazer, e também para as formas como podemos fazer. No MAV Developer's Day vamos apresentar esses sistemas, as escolhas feitas por nós e ouvir dos nossos clientes (quem realmente entende de como usar o MAV) o que podemos melhorar para nos adequar melhor às suas necessidades.

Todos os nossos clientes estão convidados. O evento acontecerá no dia 17 de setembro de 2008, das 14h às 17h, no Ouro Minas Palace Hotel. O endereço é Av. Cristiano Machado, 4001 (em frente ao Minas Shopping).

Os clientes interessados devem confirmar a presença com a Bárbara pelo telefone (31) 3211-7735 ou pelo e-mail barbara@mav.com.br.

Um abraço e tenham um bom dia.

Por que provedores deveriam usar o MAV Mail Suite? (Parte 2)

2008-04-07T08:00:00.000-03:00

Continuando a seqüência iniciada em um post anterior, agora eu vou falar de antivírus para servidores de e-mail.

Em primeiro lugar, é desnecessário lembrar a importância de ter um bom antivírus no servidor de e-mail. Vale lembrar também que ter um antivírus que resolva 99% dos seus problemas é o mesmo que não ter um antivírus, pois basta a passagem de um vírus para a qualidade do serviço da rede cair drasticamente.

No caso de provedores wireless, apenas um cliente infectado por vírus consegue facilmente fazer a qualidade da rede wireless, entre os clientes e o provedor, cair a um nível de perda de pacotes suficiente para tornar a navegação na internet completamente inviável.

Instalar um antivírus gratuito em um servidor de e-mail com Qmail é relativamente simples também. Basta instalar e configurar o Clamav e integrá-lo com o Qmail, utilizando o qmail-scanner ou qualquer outra ferramenta semelhante. Qualquer mensagem que chegar com um vírus (dado que a vacina já tenha sido liberada) o Clamav vai identificar (ele realmente é bom nisso) e bloquear o vírus, impedindo que a mensagem infectada chegue ao usuário. A principio o resultado seria o mesmo que usando o MAV.

Toda a diferença reside no fato de que é público e notório que a tecnologia de bloquear vírus por vacinas já não é mais suficiente: há um bom tempo. O MAV não confia toda a sua qualidade somente neste sistema desde a versão 4.0.

Um primeiro exemplo deste problema é o que aconteceu em Janeiro de 2007, quando o vírus Storm/Tempestade lançou vários ataques muito peculiares. Em cada ataque, durante um período de tempo que variava entre dois e três dias, uma nova variante do vírus era lançada a cada 10 minutos. Esse tipo de ataque faz com que a detecção de vírus por vacinas seja bastante ineficiente, já que o ciclo para o lançamento de uma nova versão do arquivo de vacinas dura, em média, três horas. É claro que esse ataque fez um estrago enorme por todo o Brasil. Em virtude dele, duas camadas extras do antivírus do MAV se fizeram valer: o sistema Sandbox v2 da Norman, e o sistema de Assinatura Dinâmicas de Vírus, que nós desenvolvemos na MAV.

O Norman Sandbox v2 executa, de forma segura, todos os arquivos executáveis que chegam ao servidor de e-mail em uma máquina virtual, analisando o comportamento do arquivo. Mais de 60% dos vírus novos são detectados por esse sistema, mesmo que não haja uma vacina para ele. E a taxa de falsos positivos é nula.

Para os vírus que, ainda assim, não são detectados, entra em ação um sistema de colaboração do MAV, chamado "Assinaturas Dinâmicas de Virus". Todos os clientes do MAV se reportam a esse sistema sempre que um arquivo executável é recebido (apenas uma "impressão digital" do arquivo é enviada). Quando o sistema detecta que várias pessoas estão enviando o mesmo arquivo executável para várias outras, este é marcado como vírus, e uma assinatura é criada para ele automaticamente. Em menos de uma hora todos os clientes do MAV estão protegidos.

Entre 22 e 24 de Janeiro de 2007, o sistema bloqueou 87 variantes diferentes do worm Tempestade muito rapidamente.

Em último caso, o MAV Gerente identifica arquivos executáveis, mesmo que estejam compactados e renomeados. Por exemplo: mesmo que você pegue um executável “hello.exe”, renomeie-o para hello.txt e ainda crie um arquivo ZIP hello.zip com ele lá dentro, o MAV Gerente consegue abrir o arquivo ZIP e aponta a existência de um arquivo executável que foi renomeado. Como 98% dos vírus que chegam por e-mail são arquivos executáveis, ao ativar esse bloqueio de executáveis no MAV Gerente, está praticamente eliminada a chance de passar um vírus por e-mail para a rede.

Sinceramente, eu não me lembro da última vez que foi reportado ao nosso suporte técnico, que um vírus que tenha passado pelo MAV. Ao mesmo tempo é muito fácil lembrar da última vez que o sistema de vacinas não foi capaz de segurar um vírus rapidamente. A diferença é que nós não contamos apenas com essa camada para gerar segurança.

O segundo exemplo de que o sistema de vacinas não é mais suficiente é que, por ser uma tarefa computacionalmente complexa analisar e verificar a existência de uma vacina para um arquivo em um banco de dados com mais de um milhão e meio delas, é comum, quando há um grande ataque de vírus na internet, alguns servidores não suportarem a carga necessária para receber e excluir tantos e-mails infectados ao mesmo tempo. Há casos em que o sistema de e-mail simplesmente pára. Para resolver o problema o MAV tem a MAV BL.

A MAV BL é um banco de dados capaz de listar todos os IPs que tentaram enviar vírus para clientes MAV nas últimas 24 horas. Este banco de dados é replicado de hora em hora para todos os clientes. Como uma consulta no banco de dados da MAV BL é praticamente de graça e não existe a necessidade de esperar o e-mail chegar para saber que ele é um vírus, isso gera uma economia enorme de processamento no servidor e de banda de internet. O resultado é um serviço de e-mail com uma qualidade muito superior.

Por que os provedores deveriam usar o MAV Mail Suite? Porque segurança contra vírus é coisa séria: o modelo atual de bloqueio por vacinas não é mais suficiente e o MAV enfrenta essa nova realidade da maneira correta.

No próximo post eu vou falar do monitoramento em tempo real.

Um abraço e tenham um bom dia.

Anunciando o MAV 5.0 - Dog Suite

2008-04-01T10:01:00.000-03:00

O MAV 5.0, e sua base tecnológica, o Integral, vem sendo desenvolvido desde setembro do ano passado e hoje podemos anunciar o primeiro produto do MAV 5.0 lançado: o MAV 5.0 - Dog Suite.

Nossos clientes sempre têm problemas com a segurança física de seus servidores, principalmente em feriados e finais de semana, quando os CPDs ficam vazios. Isso deixa aberta a possibilidade de acessos indevidos ao console do servidor quando ninguém está olhando.

Para resolver o problema, desenvolvemos o MAV Dog Suite.

O produto é um cachorro programado com algoritmos bayesianos, que identificam, com uma taxa muito pequena de erros, as pessoas autorizadas (ou não) a acessar o servidor. Pessoas não autorizadas são atacadas imediatamente, evitando qualquer estrago que possa ser feito ao servidor. Por utilizar um algoritmo bayesiano é muito interessante perceber que, embora a taxa de erros seja um pouco maior no início, o sistema aprende de forma extremamente rápida.

A configuração do MAV Dog Suite é bem flexível, permitindo que as regras de controle sejam feitas por pessoas ou grupos e que sejam diferentes em horários diferentes, semelhante ao o que é hoje no MAV 4.4 - Web Suite. O suporte técnico também fica responsável pela manutenção do sistema, cuidando da alimentação, higiene e horários de trabalho de cada cachorro.

O sistema está disponível inicialmente para empresas da região metropolitana de Belo Horizonte e foi planejado para cinco tipos de usuários diferentes: o Home Basic é um poodle e o Ultimate Edition é um pit bull.

Os interessados devem entrar em contato com o nossa equipe de vendas.

Um abraço e tenham um bom dia.

Sistema de CAPTCHAs do Yahoo quebrado

2008-01-31T14:43:00.000-02:00

Uma notícia, que saiu recentemente na mídia de TI, merece muita atenção para os antenados do mundo da segurança digital: a segurança do sistema de CAPTCHA do Yahoo foi quebrada.

Sabe aquela imagem, que você precisa digitar em alguns sites para enviar algumas requisições? Isso são os CAPTCHAs. O objetivo desta técnica é diferenciar humanos de computadores, certificando-se de que somente humanos "reais" conseguirão realizar alguma operação específica. No caso do Yahoo, eles querem evitar que spammers utilizem softwares robôs para criar contas de e-mails no site deles. Sem esses softwares robôs, o processo é manual e lento, inviabilizando a técnica.

A notícia anuncia que um grupo russo conseguiu desenvolver um software que consegue ler a imagem utilizada pelo Yahoo corretamente em 35% das tentativas. Como o processo pode ser executado milhares de vezes por hora, apenas 5% de eficiência já seriam mais do que suficiente. O resultado é que a reputação do domínio do Yahoo cai drasticamente. Poderemos observar spams chegando de remetentes do Yahoo e ainda
assinados digitalmente pelo padrão DKIM.

O rato escapou da armadilha e a corrida de gatos e ratos começou novamente.

Já existem outras formas de ataques a sistemas de CAPTCHAs disponíveis, mas, das que eu tenho notícia, essa é a primeira completamente automatizada.

Um abraço e tenham um bom dia.

Por que provedores deveriam usar o MAV Mail Suite? (Parte 1)

2008-01-14T16:46:00.000-02:00

No mês passado, a Mais Informática lançou um vídeo apresentando o MAV Mail Suite para provedores de acesso à Internet. Como o vídeo praticamente não tem conteúdo técnico, eu resolvi fazer uma seqüência de artigos aqui no blog, listando as minhas respostas para a pergunta: "Por que os provedores deveriam usar o MAV Mail Suite?"

O mercado de provedores de acesso sempre atraiu muito a minha atenção. Por vários motivos. O primeiro é que eu já fui o "sysadmin" de dois provedores entre 1998 e 2000. O outro é que os "sysadmins" dos provedores brasileiros têm um nível de conhecimento técnico bem acima da média, quando comparados com quem administra os servidores de empresas cujo o fim não é TI, sendo bem mais exigentes, tecnicamente, sobre o produto MAV. Para dar um exemplo, o único cliente que já modificou o funcionamento do MAV (o código fonte da intranet não é livre, mas está aberto) é administrador de um provedor de acesso.

Os provedores de acesso têm pessoal e tempo para investir no servidor de e-mail. O que eu vou fazer é comparar as alternativas de software livre, que existem no mercado, o que é possível fazer com elas, e como o MAV atua na mesma área. Como a grande maioria dos provedores de acesso que eu conheço utilizam o Qmail, vou usá-lo como base. Nos outros (Postfix, Sendmail e Exim) tudo é parecido; pelo menos no que tange aos assuntos que eu vou abordar.

Vamos começar com algo simples: Realtime Blacklists (ou RBL). O que é uma RBL? Uma RBL é uma lista de IPs bloqueados por algum motivo. Os motivos mais comuns são o envio de spam e o envio de vírus. Hoje, o MAV dá suporte a 3: a Spamcop, a Spamhaus e a SORBS.

Ativar estas listas no Qmail não tem um grau de dificuldade muito grande. Você pode aplicar um patch ao Qmail ou usar o rblsmtpd, que escuta na porta 25 e redireciona todas as conexões de IPs não bloqueados para o Qmail. Se alguém estiver bloqueado em alguma lista, então este alguém não consegue enviar nenhuma mensagem para o provedor. No máximo, acontece um pouco da negociação do protocolo SMTP. A princípio o resultado seria o mesmo do que usando o MAV.

A diferença é que o MAV Mail Suite não funciona como um monte de sistemas, que não conversam uns com os outros. O sistema de consultas a RBLs do MAV trabalha em conjunto com o sistema de SPF e com o sistema de Remetentes Confiáveis Dinâmicos. As pessoas com as quais você troca e-mails freqüentemente viram remetentes confiáveis dinamicamente no MAV.

Se algum dia algum desses for incluído em alguma RBL (com a rede infectada por algum vírus, por exemplo) o MAV sabe que este remetente é confiável e não vai bloquear a mensagem só porque um IP está listado na SpamCOP ou na SORBS. Além disso, uma mensagem que venha de um computador que é, de acordo com o sistema SPF, o responsável pelo envio de e-mails do domínio do remetente, não deveria ser bloqueada apenas porque seu IP está bloqueado em alguma RBL. É claro que todas as outras camadas do MAV continuam trabalhando para bloquear a mensagem, se ela for um spam, um vírus ou algo que o administrador tenha configurado como indesejável.

RBLs são sempre muito boas até que comecem a ter falsos positivos. Com elas é gerada uma economia enorme na utilização da banda de Internet e na utilização da capacidade de processamento dos servidores. Mas a experiência que nós adquirimos, em vários anos, ajudando a administrar centenas de servidores de e-mail em todo o Brasil, mostrou que aplicá-las cegamente gera uma quantidade de problemas que, para quem tem um tráfego de e-mail alto, é impossível de acompanhar. Utilizar o MAV Mail Suite resolve estes problemas quase que completamente. Além disso, o MAV é o único produto que tem acesso à MAV BL, uma RBL nacional que identifica IPs enviando vírus e e-mails em massa para o Brasil.

Por que provedores deveriam usar o MAV Mail Suite? Porque no MAV as consultas às RBLs são feitas da maneira certa.

No próximo post eu vou falar sobre proteção contra vírus.

Um abraço e tenham um bom dia.

Um feliz natal e um próspero ano novo a todos

2007-12-21T14:19:00.000-02:00

Aos caros amigos, parceiros e clientes eu desejo um feliz natal e um ótimo e próspero ano novo. Muita paz, saúde e felicidade a todos!

Como dica, vale lembrar que o que nos faz engordar não é o que comemos entre o natal e o ano novo, mas sim o que comemos entre o ano novo e o natal! Aproveitemos essa ótima época!

2008 será o ano do MAV 5.0. Após três meses de trabalho, o Integral, a base do MAV 5.0, já tem muita coisa e está ficando muito bacana. Em breve será possível anunciar coisas mais concretas para a próxima versão.

Um abraço e tenham um bom dia.

MAV Mail Suite rodando no FreeBSD

2007-11-08T16:31:00.000-02:00

Virtualização foi a palavra da moda de 2006. O interessante da virtualização é a possiblidade de estudar vários sistemas operacionais com bem menos trabalho, sem ter de parar de utilizar o de sua preferência.

Na noite passada, eu instalei, em minha casa, o FreeBSD, em uma máquina virtual. Foi a primeira vez que eu instalei um FreeBSD na vida. A instalação foi muito tranqüila: trabalhar com o Ports também é muito natural para quem usa o Portage do Gentoo Linux (distribuição Linux, comumente utilizado em nossa empresa).

Como diria o Dr. Martin Luther King Jr: — “Eu tenho um sonho!”. Já o meu sonho é ter o Integral (e tudo o que puder ser feito com ele, inclusive o MAV 5) rodando em Linux, FreeBSD e Open Solaris, nativamente. Para isso, toda a programação faço segue o padrão POSIX, que, a princípio, seria seguido por estes três sistemas operacionais. Eu só me pergunto quanto tempo que eu vou gastar entre testes e compilação a cada novo release...

O fato é que eu testei o MAV 4.4 - Mail Suite no FreeBSD, rapidamente, em casa. E tudo, por enquanto, funcionou normalmente. Eu utilizei o FreeBSD 6.2-RELEASE e, obviamente, tive que instalar o port emulators/linux_base-fc4 para que tudo funcionasse bem. Até o complexo sistema NORMAN Sandbox v2.0, que cria uma máquina virtual para executar aplicativos, que chegam por e-mail, funcionou bem.

O próximo passo é um beta interno. Entre hoje e amanha nós vamos instalar um servidor FreeBSD aqui na empresa e deixar o nosso e-mail sendo filtrado nele por um tempo. A última barreira ainda é: “como dar suporte técnico a clientes com FreeBSD se a nossa área de 'expertise' é o Linux”?

O importante é dar um passo por vez.

Um abraço e tenham um bom dia.

Um milhão de vírus

2007-10-04T14:43:00.000-03:00

Ontem a quantidade de vírus listados na base de assinaturas de vírus da Norman, utilizada pelo MAV, passou a marca de um milhão de assinaturas. Para ser exato, o número chegou a 1.006.155 vírus cadastrados.

Isso é mais um sintoma da nova dinâmica dos autores de vírus de liberar centenas de variantes de vírus de uma vez, tentando se espalhar o máximo possível.

Comecei a desenvolver o MAV 5 (e o Integral)

2007-10-04T11:16:00.000-03:00

No final de agosto o MAV 4 completou três anos de vida. Nesse tempo foram implementadas inúmeras funcionalidades, que deixam a primeira versão do MAV 4 bastante ultrapassada. Nem por isso vi a necessidade de chamar nenhuma das atualizações de MAV 5, já que a base é a mesma.

Para mim, mudar o primeiro número da versão deve implicar, entre outras coisas, em: incompatibilidades para atualização, mudança de alguns dos paradigmas que definem a base do software e dar soluções diferentes (melhores?) aos mesmos problemas, que são resolvidos atualmente.

Desde que o MAV 4 completou dois anos eu comecei a pensar no que deveria ser mudado para fazer um MAV 5. A maior parte das ideias superficiais foi para a versão 4.4, e algumas ainda estão guardadas. No sábado, 30 de dezembro de 2006, enquanto jogava World of Warcraft, eu tive um grande insight que realmente era essa quebra de paradigmas que eu estava procurando. Algo que justificasse realmente mudar tudo de cima para baixo para fazer melhor. E é isso que eu estou chamando hoje de Projeto Integral (provavelmente não será o nome final).

Criar um software é, também, fazer escolhas das quais os usuários serão vitimas. A Microsoft, por exemplo, escolheu colocar no Windows Vista uma proteção contra softwares que tentam quebrar DRM dela, que deixa tudo mais lento. Mesmo sendo eu, por razões óbvias, contra a pirataria, quem me dera poder escolher desativar esse sistema no único Windows Vista que eu tenho.

O Integral é uma resposta a essa questão. Ele está projetado para ser uma fábrica de MAVs. O MAV 5 será criado nele. E, como poderei fazer isso de forma muito mais organizada, a idéia é ter pelo menos duas versões diferentes do MAV 5.0: uma para empresas e outra para provedores de internet. Quando esta plataforma estiver muito bem estabilizada, será possível até abri-la para clientes que queiram fazer personalizações na forma como o produto trabalha.

É uma questão de ter escolha. Você quer um produto como a MAV Tecnologia pensou que será o melhor para você (e nós temos muita experiência nisso)? Tudo bem. Você quer algo completamente personalizado? Vai dar mais trabalho, mas tudo bem também. Um provedor pode querer, por exemplo, integrar a quarentena do MAV ao webmail, por exemplo.

Tirando essa organização de "Integral fabricando MAVs", nada está realmente definido para o produto final. E não existe, tampouco, estimativa oficial de prazo para o lançamento da próxima versão. Mas, que eu realmente estou muito empolgado com os primeiros passos do sistema aqui, isso é verdade.

Um grande abraço e tenham um bom dia.

Os processadores mais utilizados por nossos clientes

2007-06-21T10:34:00.000-03:00

Aqui, na Mais Informática, eu invisto uma quantidade considerável do meu tempo na melhoria da performance dos produtos. Uma mudança, que gerou uma melhoria absurda para nós, foi a compilação do MAV otimizado para os principais processadores do mercado. O MAV de alguns clientes de grande porte, simplesmente não agüentaria o tráfego se não tivesse sido compilado especificamente para utilizar as tecnologias que têm os processadores mais novos.

O Pentium 4, por exemplo, tem um novo grupo de instruções para tratar números de pontos flutuantes de precisão dupla, chamado SSE2, que deixa o MAV Antispam muito mais rápido, mas que não pode ser utilizado por todos os clientes, pois os processadores AMD, antes do Athlon 64, não suportam essa tecnologia. Outros detalhes, tais como o número de ciclos que cada tipo de processador gasta em cada instrução, também variam muito de processador para processador e são levados em consideração nessas compilações específicas.

Quando os clientes atualizam o MAV, é enviado um e-mail ao suporte avisando sobre esta atualização. Eu preparei esse e-mail para nos enviar, também, qual o processador utilizado pelo cliente. Como muita gente já migrou para o MAV 4.4.0 nesses últimos dias, hoje eu consegui fazer uma estatística baseada nos lista de processadores de 40% dos nossos clientes.

Como era de se imaginar, 80% dos processadores dos servidores de nossos clientes, que rodam o MAV, são Intel. Os outros 20% são AMD. Ninguém usa outras marcas (Via, etc...). Tanto a AMD como a Intel têm processadores desenvolvidos para o mercado de servidores: o Xeon e o Opteron. Dessa amostragem, 14% usam o Xeon e ninguém usa o Opteron. O mais abastado usa um dual Xeon 3.6Ghz. O pior é um Pentium II 233 Mhz, muito abaixo do mínimo recomendado de 1Ghz. O Intel Pentium 4 ainda é líder, sendo utilizado por 40% dos clientes. Apenas 9% utilizam processadores Dual Core, divididos entre Pentium D e Core 2 Duo.

Atualmente o MAV tem 4 compilações: uma i686 genérica, uma para Pentium 4 ou superior, uma para Athlon XP ou superior e uma para Athlon/Duron. Foi interessante descobrir que tem mais gente utilizando a nova família Intel Core (Core Duo, Core 2 Duo e Core 2 Quad) do que Athlon/Duron, utilizado por apenas 3% dos servidores. Como eu já fiz o download da versão nova do compilador da Intel, que gera binários otimizados para Dual Core, agora é só sentar e trabalhar. Vamos ver se até a semana que vem eu coloco todas as bibliotecas que o MAV usa compiladas para Dual Core e compilo o MAV para eles também.

Um abraço e tenham um bom dia.

Esse bug é legal

2007-06-15T18:13:00.000-03:00

Como diria o William, vendedor que trabalhou aqui na Mais Informática há um certo tempo, "todo software tem bugs, a questão é a freqüência e o tempo gasto para resolvê-los".

Hoje eu resolvi um bacana: acontece apenas uma vez a cada 42 dias (no mínimo), mas apenas se o MAV Mail Suite tiver rodado direto, sem ter sido reiniciado, durante esses 42 dias. Se você reiniciar o MAV no quadragésimo primeiro, tudo bem. Fantástico!

O que há de novo do MAV 4.4.0 - Web Suite?

2007-06-15T15:06:00.000-03:00

Errar é humano, certo? Erros de digitação, por exemplo, são muito comuns. O problema é que certos erros de digitação começaram a representar um problema de segurança para as empresas hoje em dia. Criminosos virtuais estão registrando domínios que se parecem com nomes famosos, mas digitados incorretamente. Por exemplo, se você digitar 'www.bradeco.com.br' ao invés de 'www.bradesco.com.br', ou cometer qualquer outro tipo de erro de digitação, você pode cair em um site muito parecido com o original e entrar com os dados da sua conta bancária sem nunca perceber o engano. Muitos também usam essa técnica também para espalhar seus spywares aos usuários da internet.

O MAV Web Suite, na versão 4.4.0, tem um recurso chamado "Site Errado" que foi desenvolvido exatamente para atacar este problema. Se você tentar acessar um site que pareça com um erro de digitação de um nome famoso, o Web Suite acusa a suspeita e pede uma confirmação ao usuário. Para liberar o acesso ao site suspeito o usuário precisa digitar o endereço novamente, confirmando que não há um erro de digitação. Este processo só acontece na primeira vez que alguém da rede acessar este site.

O sistema de relatórios do MAV Web Suite foram refeitos e ficaram muito mais interessantes. Os novos relatórios têm foco em dois problemas principais: o custo da navegação na Web e a perda de produtividade que isso gera. Em todos as telas é possível identificar quais os usuários que geraram um tráfego de rede maior (custo) ou que ficam mais tempo navegando na web (produtividade). Aqui na empresa, por exemplo, a pessoa que ficou mais na internet nos últimos 6 meses é o Pedro. O Pedro é um programador PHP da equipe, então ele tem que ser o que mais navega mesmo.

As regras de acesso evoluiram ficando um pouco mais flexíveis. Nossos clientes sempre pediram uma forma de retringir seus usuários à uma lista fechada de sites. Isso foi implementado nesta nova versão.

A última novidade é que agora é possível que um usuário troque sua senha a partir da própria estação de trabalho, sem precisar ir ao CPD. Essa funcionalidade foi uma idéia que o Iuri, do suporte técnico aqui da Mais, teve no segundo dia de treinamento dele aqui na empresa. Simples e funcional.

Mais uma vez, se você tiver alguma ideia para o produto, por favor envie-a para suporte@mav.com.br. Se tudo der certo, daqui a uns 2 meses eu começarei a trabalhar em uma nova geração de produtos MAV, a versão 5.0. É hora de reorganizar as soluções.

Um abraço e tenham um bom dia.

O que há de novo no MAV 4.4.0 - Mail Suite?

2007-06-15T15:05:00.000-03:00

A última quinta-feira dia de grande alegria para mim. Depois de mais de 20 dias de testes, eu liberei oficialmente os produtos MAV 4.4.0 - Mail Suite e MAV 4.4.0 - Web Suite. No total foram quase 6 meses de desenvolvimento para chegar às funcionalidades que foram liberadas.

São muitas as novidades do MAV 4.4.0 - Mail Suite. O sistema de Auditoria teve uma evolução muito grande. Ter uma ferramenta poderosa para auditoria dos e-mails hoje é muito importante. Para começar, na Auditoria agora é possível fazer o download do resultado de uma busca para um arquivo CSV. Este arquivo tem um formato simples e pode ser facilmente importado por outros aplicativos. O objetivo aqui é facilitar a vida do administrador de rede quando ele precisar de um relatório em um formato muito específico.

Se o resultado de uma busca contiver mensagens que foram armazenadas em disco, agora é possível fazer o download dessas mensagens em um arquivo ZIP. Isso é muito legal para quem quer fazer um backup das mensagens que trafegaram pelo servidor de e-mail gravando um DVD ou uma fita.

A partir de agora, o MAV Mail Suite compacta as mensagens antes de armazená-las em disco. Isso gera uma economia média de cerca de 40%, possibilitando armazenar as mensagens do tráfego de e-mail por mais tempo a um custo menor.

A busca por mensagens na Auditoria também foi melhorada. Desde de que este recurso esteja ativado, as mensagens agora tem os seus conteúdos indexados para que você possa fazer uma busca nele posteriormente. Com esta funcionalidade é possível saber quais as mensagens que passaram pelo servidor da empresa com a frase "lista de clientes" no seu corpo, por exemplo.

Desde a primeira versão, o MAV Mail Suite organiza as configurações dos sitemas que filtram as mensagens por destinatário. E isso sempre fez muito sentido. Dependendo de quem está recebendo a mensagem ela tem um tratamento diferente: o diretor da empresa pode receber um arquivo de um certo tipo enquanto um vendendor não. Este modelo tinha um problema porém: mesmo técnicos aqui da empresa com quase 2 anos de experiência no produto ainda me perguntavam qual o procedimento para especificar uma regra diferente para cada remetente. O que não era possível.

Na versão 4.4.0 isso mudou. As configurações agora foram divididas em três: o "Tráfego de Entrada", o "Tráfego Interno" e o "Tráfego de Saída". As regras do "Tráfego de Entrada" continuam organizadas de acordo com o destinatário das mensagens: o administrador especifica quem recebe ou não recebe cada tipo de mensagem. Já as regras do "Tráfego Interno" e "Tráfego de Saída" agora são organizadas pelo remetente: o administrador especifica quem envia ou não envia cada tipo de mensagem. A divisão em "Tráfego Interno" e "Tráfego de Saída" também é legal pois permite ao administrador especificar coisas do tipo: não é permitido enviar um arquivo .DOC para destinatários fora da empresa, mas não há problema no envio deste tipo de e-mail internamente. As mensagens com origem na rede interna que têm, ao mesmo tempo, destinatários internos e externos são filtradas pelas regras do "Tráfego de Saída".

As instruções sobre como atualizar um MAV 4.3.0 para a versão mais atual podem ser acessadas clicando aqui. Em caso de dúvidas é só ligar para o suporte técnico no telefone (31) 3211-7777.

Muitas das novidades acima foram desenvolvidas graças à sugestões de nossos clientes. O relatório de "Análises Setoriais", por exemplo, foi planejado por um cliente que veio na Mais Informática pessoalmente expor sua idéia no dia 14 de Outubro do ano passado. Se você tiver alguma sugestão para o produto, por favor a envie para suporte@mav.com.br. Mesmo que demore algum tempo, as ideias boas são sempre aproveitadas.

Um abraço e tenham um bom dia.

Slackbook em Português do Brasil

2007-06-01T14:07:00.000-03:00

O Raphael Bastos, um dos técnicos da equipe de suporte técnico da Mais Informática, veio à minha sala quarta-feira, pela manhã, para me contar que na terça-feira à noite ele ajudou a terminar a versão 1.0 da tradução do Slackbook para português do Brasil. Ele é um dos colaboradores da equipe responsável pela tradução do livro, que levou mais de dois anos para ser finalizada.

O livro, além de ser uma referência completa do Slackware, é aberto o suficiente para qualquer um que queira aprofundar seus conhecimentos gerais em Linux, independentemente da escolha de distribuição.

Excelente trabalho Raphael! Parabéns, cara!

O site do livro em português é http://slackbookptbr.sf.net/.

Um abraço e tenham um bom dia.

Não dá pra viver sem antispam e o MAV 4.4.0 - Mail Suite ficou pronto

2007-05-23T10:16:00.000-03:00

Hoje eu descobri uma coisa: spam enche o saco! Durante o final de semana a licença do MAV Mail Suíte, que cuida do domínio mav.com.br venceu, e, é claro que o meu e-mail recebeu uma enxurrada deles... Sinceramente, eu não sei como que alguém sobrevive sem um antispam decente.

Na próxima quinta-feira eu vou dar uma palestra sobre malwares no Instituto UNA de Tecnologia, em Belo Horizonte. Acho essa uma oportunidade muito legal de passar aos alunos dos cursos de tecnologia uma visão mais técnica do assunto, que nós tanto estudamos e acompanhamos na Mais Informática. No início do mês eu também dei uma palestra sobre o mesmo assunto na Faculdade Estácio de Sá, de Belo Horizonte: foi extremamente interessante.

O MAV Mail Suite versão 4.4.0 está praticamente pronto. Desde ontem o nosso servidor de e-mail interno já está usando a nova versão. Ainda faltam alguns detalhes no software que vai atualizar da versão 4.3 para 4.4, mas eu praticamente já o terminei. Provavelmente eu liberarei uma versão beta do produto em breve. Enquanto acontece o beta do Mail Suíte, eu adiciono as últimas novidades que foram planejadas para o MAV Web Suite 4.4.0. Pessoalmente, eu estou bastante animado com as novidades das novas versões.

Um abraço e tenham um bom dia.

Novidades no MAV 4.3.0

2007-04-19T11:53:00.001-03:00

Esta, com certeza, foi uma semana muito produtiva na Mais Informática. Pelo menos para mim, que consegui arrumar tempo para desenvolver projetos baseados em algumas sugestões interessantes enviadas por alguns de nossos clientes. Entre terça e quinta-feira, eu soltei três novas versões (builds), dividindo as quatro melhorias implementadas.

Duas melhorias foram feitas no sistema de busca da auditoria do produto. A partir de agora o cliente tem mais parâmetros para localizar a mensagem correta: o assunto da mensagem e os arquivos anexados.

Na primeira tela da busca, agora é possível colocar palavras chaves, que serão buscadas nos assuntos das mensagens registradas. A busca por anexos é bem simples e bem útil também. Se você quiser saber, por exemplo, todos os e-mails com arquivos do Microsoft PowerPoint basta procurar por '*.ppt' ou '*.pps' ou '*.pp?'. Os carateres coringa funcionam exatamente como no Windows ou no Linux: o '*' siginifica qualquer quantidade de qualquer caractere e o '?' siginifica um caractere qualquer.

Uma melhoria que só será percebida pelos clientes do MAV Mail Suíte, que também utilizam o serviço de e-mail contingencial, MAV SEC, foi feita na tela 'Monitoramento em Tempo Real'. As mensagens que foram recebidas pelo MAV SEC e enviadas para o servidor aparecem na lista com uma marcação '[MAV SEC]' perto do IP do servidor de origem da mensagem. O MAV SEC é um serviço que a Mais Informática tem que recebe os e-mails dos clientes quando o servidor primário estiver passando por algum problema: falha de energia, problema na conexão de internet, etc.

A última é que as quarentenas agora também podem ser ordenadas pelo assunto e pelo remetente do e-mail. Essa sugestão veio de um provedor que utiliza o MAV Mail Suite.

Todas essas foram sugestões muito legais de clientes que eu tenho recebido, pelo suporte técnico, por algum vendedor ou por e-mail. Nestes casos particulares, mesmo que todas as mudanças tenham sido simples de implementar, serão muito úteis para os clientes. Por isso, se você tiver qualquer sugestão para o produto, não deixe de nos enviar. Preferencialmente a envie por e-mail para suporte@mav.com.br. Eu não garanto que esta vá ser implementada imediatamente, mas tenho a certeza de que, quanto mais sugestões eu receber, melhor o produto ficará.

Um abraço e tenham um bom dia.

Sone Roadshow

2007-04-19T11:52:00.001-03:00

Na última segunda, aconteceu o Sone Roadshow. A Sone Informática é um empresa parceira da Mais Informática e desenvolve um trabalho muito legal de integração de soluções, objetivando uma solução para o problema de gerência de TI, como um todo, com qualidade, escalabilidade e eficiência.

Participaram das palestras do Roadshow a Sone Informática, a Mais Informática (com o MAV Mail Suite), a Microsoft, a Intel e a Linksys.

Um abraço e tenham um bom dia.

Instale o MAV Mail Suite você mesmo

2007-04-19T11:51:00.000-03:00

Embora eu prefira que o MAV Mail Suite seja sempre instalado pela nossa equipe de suporte técnico, a partir desta semana ficou pronto o guia de instalação do MAV Mail Suite para clientes. Ele foi escrito baseado na nossa versão interna, porém com algumas coisas mais mastigadas e a ordem um pouco diferente.

O guia pode ser acessado clicando aqui.

Um abraço e tenham um bom dia.

Como evitar que seu servidor caia na SpamCOP (ou outras)

2007-03-09T09:47:00.000-03:00

Nas últimas semanas, vários clientes ligaram para nosso suporte técnico reclamando de terem tido seus servidores de e-mail bloqueados em algumas listas de bloqueio de spam e vírus. Hoje eu vou falar sobre o porquê disso acontecer e como evitar o problema.

Todo mundo acha que a culpa está nos e-mails que saem do próprio servidor. Isso, em 90% dos casos, não é verdade. Vamos entender porque isso acontece. A maior parte dos vírus de hoje em dia têm grande objetivo comercial: enviar spams. O autor do vírus tem o controle de um exército de computadores infectados, conectados à Internet e prontos para fazer o que ele quiser: atacar grandes sites, enviar spams, lançar ataques de novos vírus, etc... Esses exércitos de computadores têm sido chamados de botnets ou de redes zumbi. Os autores de vírus vendem o acesso a essas redes aos spammers.

Quando esses vírus infectam algum computador da rede interna da empresa ou do provedor wireless, ele começa a enviar spams por conta própria. A grande novidade é que ele não precisa e não utiliza o servidor de e-mail local. O vírus tem um 'servidorzinho' de SMTP próprio. O vírus abre uma conexão direta no servidor de e-mail do destinatário do spam ou do vírus, que está sendo enviado. Pode acontecer do vírus tentar enviar uma mensagem também para usuários da rede local, então ele também se conectará ao servidor de e-mail local, mas apenas para entrar mensagens locais mesmo: mensagens com destino fora da rede local não passam pelo servidor de e-mail da local.

Agora você se pergunta: então por que o IP do meu servidor de e-mail está sendo bloqueado, e não o IP do meu usuário/cliente? A resposta é simples: em todos os casos que nós atendemos nesses dias, o servidor de e-mail é o mesmo servidor que faz o NAT dos usuários da rede local. Qualquer conexão que um usuário abre na Internet terá como IP remetente o IP do servidor NAT, que, nesses casos, é o mesmo do servidor de e-mail. É por isso que é o IP do servidor de e-mail que é bloqueado.

A soluções para esses problemas são várias, mas nenhuma delas passam nem pelo servidor de e-mail nem pelo MAV Mail Suite. A minha primeira sugestão é fazer com que o seu NAT utilize um IP diferente do que o servidor de e-mail utiliza. Mesmo que seja o mesmo computador. Essa alteração é simples: adicione mais um IP em um alias da sua placa de rede e configure o seu NAT para utilizar este segundo IP como origem, sempre. No iptables do Linux isso seria trocar o '-j MASQUERADE' por um '-j SNAT --to-source '. No Gateway de Comunicações isso significa utilizar o 'Mascaramento com IP Fixo' ao invés de 'Mascaramento com IP dinâmico'.

Uma segunda sugestão é: seus usuários não precisam se conectar a todos os servidores de e-mail da Internet, apenas no seu e em alguns poucos. Essa segunda sugestão pode ser utilizada junto com a primeira e ainda vai gerar uma economia grande de link de Internet. Quando os seus usuários enviam e-mails, eles devem utilizar o seu servidor SMTP para tal. Então, não permita, no seu firewall, que seus usuários abram conexões com a porta de destino TCP/25 em computadores externos à sua rede local. Com isso eles não vão conseguir conexão direta com nenhum servidor de e-mail da Internet, os vírus internos da rede não vão usar seu link para enviar mensagens e todo mundo fica feliz. As mensagens autênticas da sua rede continuam utilizando o seu servidor de e-mail como sempre foi.

Pode ser que alguns usuários, principalmente cliente de provedores wireless, tenham contas de e-mail em servidores externos. Neste caso basta criar uma lista de exceções e liberar as conexões para estes servidores específicos, como por exemplo o servidor do UOL.

O MAV Mail Suite pode te ajudar a identificar quem da sua rede interna está infectado por vírus. O MAV Antivírus do MAV Mail Suite tem as configurações para 'Ação no caso de vírus na rede interna', marque para avisar o administrador e pronto: assim que o vírus tentar enviar uma cópia para alguém da rede local, o que provavelmente fará, você recebe um e-mail com todos os dados necessários para eliminar a praga.

Vale lembrar também que os usuários de quem seguem os passos recomendados no meu último post, em que falei sobre as tecnologias de bloqueio de vírus do MAV Antivírus, não recebe e-mail com vírus, mesmo que o vírus seja novíssimo.

Um abraço e tenham um bom dia.

Fim de Férias

2007-03-05T10:05:00.000-03:00

Pessoal, depois de duas semanas, estou de volta à ativa! Para quem quiser algumas dicas de férias, as minhas são as que vão abaixo.

Em primeiro lugar, ao contrário do que eu acreditava, São Paulo é um lugar muito legal para passar as férias. Só uma passada pelo Museu da Língua Portuguesa já faz valer uma viagem à Sampa. A arquitetura da Estação da Luz e a Pinacoteca, que ficam próximos ao museu, também são bacanas. Outros pontos: Parque Ibirapuera, Mercado Municipal, Morumbi, etc...

Minha dica é comprar um 'bilhete único' para o metrô e para os ônibus, pois, além de deixar alguns traslados mais baratos, é uma ótima lembrancinha.

Paratí, no sul do Rio de Janeiro, também é legal para passear. Como tem muitas praias e ilhas na região, quanto mais tempo você tiver, melhor: para aproveitar mais. Minha dica é evitar a escuna 'Caminantes', eles trabalham muito mal, com o barco cheio, mas não medem esforços para enchê-lo cada vez mais.

Um abraço e tenham um bom dia!

Férias!

2007-02-21T10:51:00.000-02:00

Eu estou de férias até o dia 5 de Março. Por isso não haverá postagem no blog até lá.

Assim que voltar eu pretendo falar aqui sobre como evitar que o seu servidor de e-mail caia em listas de spam (SpamCOP, Spamhaus, etc...).

Um abraço e tenham um bom dia.

O MAV tem tolerância zero com os vírus

2007-02-13T11:02:00.000-02:00

Em uma postagem, do dia 25 de janeiro, eu comentei que o MAV tem seis tecnologias diferentes para detecção de vírus, mas disse que entraria em mais detalhes num futuro próximo. Como estamos em uma época de muitos novos ataques, acho que é a hora de falar um pouco mais dessas tecnologias. A ativação das seis tecnologias cria uma camada de tolerância zero com os vírus que chegam por e-mail: independente de quão novo eles sejam, nenhum passa.

A primeira camada é a MAV BL. Quando um cliente do MAV Mail Suite recebe um vírus, a MAV BL é avisada, e o IP infectado é bloqueado. Em alguns minutos, todos os clientes são avisados da infecção e já não aceitam mais mensagens vindas do usuário infectado. Como a eliminação ocorre ainda na negociação do protocolo SMTP, existe uma grande economia de banda de Internet e de recursos do servidor, já que a mensagem não é nem recebida e nem analisada. Em dias de grandes infestações de vírus na Internet, essa barreira evita que o servidor do cliente tenha que processar uma quantidade de mensagens além da sua capacidade, mantendo o serviço sempre funcional, mesmo quando outros servidores da internet estão fora do ar.

A segunda camada é a engine de vírus da empresa Norman.

O MAV Mail Suíte e MAV Web Suite têm o software da Norman embutido em seu código. Essa é a principal camada de proteção, e começa a agir cerca de quatro horas após o início dos ataques (esse é o tempo médio necessário para que o vírus seja analisado e tenha sua vacina publicada).

A terceira camada é uma segunda tecnologia da Norman, chamada Norman SandBox. A Norman SandBox é uma máquina virtual que executa todos os softwares recebidos por e-mail em um ambiente seguro para analisar o seu comportamento. Com isso, o MAV detecta cerca de 50% dos vírus novos sem a necessidade de uma vacina ser liberada. Nesses casos, a ação da SandBox é imediata e o usuário não recebe o vírus: vírus detectados pela SandBox recebem o nome temporário de SANDBOX:(tipo do virus).

A quarta camada é a MAV Engine, uma engine de detecção de vírus por vacinas, desenvolvida pela Mais Informática. Que eu saiba, ela é a única engine de vírus brasileira no mercado. A vantagem da MAV Engine é que, no caso de um grande ataque acontecer apenas no Brasil, a Mais Informática tem como liberar uma vacina mais rapidamente. Vírus que enviam mensagens em português normalmente atacam mais no Brasil do que nos países em que se localizam os grandes laboratórios internacionais de vacinas de antivírus.

A quinta camada (eu já comentei aqui no blog) é a Assinatura Dinâmica de Virus. Este sistema detecta, dinamicamente, que um arquivo executável específico está sendo enviado de um número grande de computadores para uma quantidade grande de e-mails diferentes. Assim que o vírus é detectado, uma assinatura para ele é criada dinamicamente e propagada para os clientes. Essa camada de proteção começa a agir, em média, uma hora após o início do ataque do vírus. Vírus detectados pela Assinatura Dinâmica de Vírus recebem o nome temporário de UnknowVirus.AAAMMDDII.

A última camada fica no MAV Gerente. Cerca de 99,9% dos vírus que chegam por e-mail são arquivos executáveis. Porém, eles nem sempre têm a extensão de um arquivo executável (.exe, .sys, .com, etc...). Para bloquear esse tipo de camuflagem, o MAV Gerente consegue detectar um arquivo executável analisando o seu conteúdo. Essa analise é feita mesmo que o arquivo esteja compactado dentro de um .zip ou .cab. Ativando essa opção, você garante que nenhum vírus chegue aos seus usuários.

Embora seja extremamente incomum, alguns clientes precisam receber arquivos executáveis por e-mail de vez em quando. Nestes casos, para não perder a proteção que o bloqueio fornece, o recomendado é liberar cada mensagem autêntica da quarentena do MAV Gerente ou adicionar o remetente que envia esses executáveis como 'Remetente Confiável' no MAV Gerente. Com certeza absoluta, o trabalho que o administrador terá com pouquíssimas mensagens autênticas bloqueadas será muito menor do que limpar um ataque de vírus lançado no minuto anterior.

Tirando a MAV BL e a detecção de arquivos pelo conteúdo no MAV Gerente, todas as outras camadas estão constantemente ativas no MAV Mail Suíte, e sempre irão detectar os vírus que chegam por e-mail lançados há mais de uma hora (em média). Para evitar vírus muito novos (menos de uma hora) é recomendado sempre ativar a detecção de arquivos executáveis do MAV Gerente. E, para evitar que o seu servidor de e-mail pare de funcionar no dia de um ataque realmente grande na internet, eu recomendo deixar a MAV BL sempre ativada.

Um abraço e tenham um bom dia.

Novo membro na Equipe

2007-02-12T14:48:00.000-02:00

A Mais Informática conta com mais um membro na equipe de desenvolvimento. O Oliveiros começou hoje e vai trabalhar no projeto do appliance do MAV. A expectativa é que o processo de pesquisas e desenvolvimento do produto dure cerca de 3 meses. Ficam aqui as minhas boas vindas!

Um abraço e tenham um bom dia.

Novidades a caminho

2007-01-29T14:02:00.000-02:00

Desde o final de 2006 eu já venho alentando boas idéias para determinar novos rumos para o desenvolvimento do MAV em 2007. Faltava apenas começar a definir as datas para implantá-las.

A primeira novidade é que o desenvolvimento do MAV 4.4.0 começa hoje! A minha idéia é tê-lo pronto até antes do carnaval, pois após esta data eu entrarei em férias. O MAV 4.4.0 terá atualizações interessantes, tanto no Web Suite como no Mail Suite.

Um foco dessa atualização é disponibilizar ao cliente mais controle sobre o produto. No MAV Web Suite será possível agora, além de falar "os usuários não acessam tais grupos de sites", também fazer "os usuários só acessam tais grupos de sites": o que é uma funcionalidade desejada por alguns clientes.

No Mail Suíte, o sistema de "Configurações Por Destinatários" mudará, para permitir que sejam criadas regras diferentes para os tráfegos de entrada, saída e interno de e-mails na empresa. Essa funcionalidade foi bastante discutida no final do ano passado e eu acredito que vai permitir aos administradores de rede ter um controle melhor do que os usuários podem fazer.

O MAV Mail Suite também ganhará um relatório, que vai permitir medir a utilização da estrutura de e-mail de cada setor da empresa. Esse relatório foi criado a partir do pedido de um cliente, que veio à empresa no final de outubro.

O Web Suite terá seu sistema de relatórios refeito. Infelizmente essa funcionalidade do MAV Web Suite tem um problema de design: a linguagem de programação utilizada para gerar os relatórios (PHP) não é própria para trabalhar com uma quantidade grande de dados. Os relatórios serão reconstruídos do zero e esse problema será resolvido.

A release 4.4.0 do MAV será, muito provavelmente, a última da série 4.x. O MAV 5.0 já está em planejamento e deve demandar oito ou dez meses para ser desenvolvido.

Por favor, quem tiver alguma sugestão de uma funcionalidade, que gostaria de ver no MAV, envie para suporte@mav.com.br. Eu espero receber e-mails, principalmente sobre os relatórios do Web Suite. Essas sugestões para o MAV são extremamente valiosas.

Outra grande novidade é que a Mais Informática vai começar a desenvolver o appliance do MAV (Mail Suite e Web Suite), já na segunda semana de fevereiro, quando um novo membro da equipe de desenvolvimento começar a trabalhar conosco.

À medida que o desenvolvimento avançar, eu colocarei mais detalhes do que está pronto aqui no Blog do MAV.

Um abraço e tenham um bom dia.

Final de semana tempestuoso

2007-01-29T14:01:00.000-02:00

A quantidade de vírus detectada pelo sistema “Assinatura Dinâmica de Vírus” nesse final de semana foi incrível. Entre 15h20 do sábado e 22h10 do domingo foram criadas 171 vacinas dinâmicas. O comportamento foi o mesmo da semana passada: uma nova variante a cada dez minutos. Desta vez a vacina oficial foi liberada, em média, três horas e dez minutos depois.

Os vírus identificados dinamicamente recebem o nome temporário de UnknowVirus.AAAAMMDD.I. No site da MAV BL é possível acompanhar o nível de ataque a redes do Brasil de cada tipo de vírus.

Um abraço e tenham um bom dia.

O Vírus "Tempestade" e a Assinatura Dinâmica de Vírus

2007-01-25T11:57:00.001-02:00

Nós últimos dias, os desenvolvedores de vírus estiveram bastante ocupados. Mais de uma centena de variantes do vírus que a mídia tem chamado de "Tempestade" foram liberadas. Este vírus utiliza-se de uma nova artimanha por eles desenvolvidas: soltar variantes diferentes de 10 em 10 minutos.

O autor do "Tempestade" libera novas variantes com uma grande velocidade, tentando infectar o maior número de computadores possíveis antes das vacinas saírem. Outro fato interessante é que, depois da liberação da vacina contra o vírus pelos principais fabricantes, nenhuma copia é mais enviada. O vírus faz isso para que os computadores atacados não sejam detectados e, consequentemente, não tenham o vírus removido. Inteligentíssimo o método!

É nesse momento que entra a idéia implementada no MAV Mail Suíte, em Fevereiro de 2006, chamada "Assinatura Dinâmica de Virus". Este sistema detecta, dinamicamente, que um arquivo executável específico está sendo enviado de um número grande de computadores para uma quantidade grande de e-mails diferentes. Assim que o vírus é detectado, uma assinatura para ele é criada dinamicamente e propagada para os clientes. Com essa tecnologia, nós conseguimos barrar vírus como o "Tempestade" muito rapidamente.

Outra vantagem do “Assinatura Dinâmica de Vírus” é que, quando um laboratório de vírus libera uma vacina, o vírus precisa ser analisado para descobrir coisas sobre o seu comportamento: o que ele faz no computador infectado, se é uma nova variante de um vírus conhecido, se é um vírus novo, etc. Estas informações são importantes para quem desenvolve um antivírus para ser instalado no desktop. Como o MAV é um antivírus de perímetro, o que o virus faz no desktop não é importante, e saber o nome correto é menos importante do que detectar o vírus.

Entre os dias 22 e 24 de Janeiro, o sistema detectou 87 variantes diferentes do “Tempestade". Estas receberam um nome temporário de "UnknowVirus.AAAAMMDD.I", onde AAAAMMDD é a data da detecção e o I é dado ao i-ésimo vírus detectado no dia. Uma analise que eu fiz, hoje de manhã, mostrou que a vacina do vírus com o nome oficial e todas as informações extras saíram, em média, duas horas e quarenta e três minutos depois.

Sobre essas 87 variantes, de todas as redes atacadas detectadas pela MAV BL, no período em que a vacina oficial ainda não havia sido liberada, apenas 3.5% eram brasileiras. Ou seja, apesar de a maioria dessas variantes terem começado os seus ataques no horário comercial brasileiro, estes foram parados bem antes da infestação se alastrar entre usuários brasileiros.

O MAV conta com quatro tecnologias diferentes para eliminar e-mails com vírus, que são analisados no servidor, e mais uma que elimina e-mails com vírus ainda quando a conexão SMTP está sendo estabelecida e a mensagem não chegou. Mas eu vou falar desses outros sistemas,e como eles afetam positivamente os servidores de e-mail, em uma nova oportunidade.

Um abraço e tenham um bom dia.

Blog do MAV

2007-01-25T11:23:00.000-02:00

Olá! Meu nome é Daniel Colchete e eu sou o desenvolvedor dos produtos MAV Mail Suite e MAV Web Suite na Mais Informática.

Como desenvolvedor do MAV, é extremamente importante ter um contato próximo com quem utiliza o produto, pois muitas das suas funcionalidades foram implementadas a partir de sugestões dos nossos clientes. Além disso, em conversas com alguns usuários nos é perceptível a não utilização de todo o potencial da ferramenta que adquiriram.

Para otimizar e tornar mais eficiente a interação de nossa empresa com os nossos clientes, tivemos a iniciativa de criar o 'Blog do MAV'. Isso porque acreditamos que um blog é um excelente espaço para publicar informações interessantes, que, às vezes, não têm como ser enviadas em forma de notícia ou "Dica do Suporte" na intranet do MAV.

Um abraço e tenham um bom dia.