| Em cinco computadores (todos a correr Apache sobre Linux), sob diversos ISPs e desde 1 de Agosto até agora (3 de Agosto, 15:30) - com 1 endereço IP: 53 tentativas;
- com 1 endereço IP: 60 tentativas;
- com 1 endereço IP: 64 tentativas;
- com 2 endereços IP: 119 tentativas;
- com 11 endereços IP: 667 tentativas.
A aproximada proporcionalidade do número de tentativas ao número de endereços IP de cada computador (e o facto de a "popularidade" dos serviços instalados ser bastante variável, com um dos sítios ainda nem sequer livremente acessível) seria esperada pelo que antes se disse, de a worm tentar propagar-se simplesmente ao acaso no espaço dos endereços IP. A primeira tentativa desta "onda" aconteceu em 1 de Agosto para cada IP, mas nada a ver com a anúncio catastrófico das "00:00 UTC". Por vezes só aconteceu por volta das 18:00 e tal... Não vi origens portuguesas (mas também não me dei ao trabalho de pesquisar melhor os endereços sem reverse mapping); isso não é de admirar, tendo em conta a distribuição (uniforme?) dos endereços "assaltados" por qualquer computador em qualquer parte do mundo... e a relação do número de computadores (neste caso com IIS) entre Portugal e todo a Internet. A crítica do Anónimo acima é importante. Muitas vezes esquecemo-nos no Gildot de que podíamos aproveitar para ir explicando algumas coisas... ou exemplificando como fazemos, e assim estamos mais a falar para quem menos precisa, tornando a discussão desnecessariamente opaca. Assim, no caso destes computadores, todos com Debian e a fazer rotação de logs (comprimindo os antigos), bastou pesquisar os não comprimidos (todos os de acesso não comprimidos se chamam "nome-acess.*.log") com
grep default.ida /var/log/apache/*access*.log | cut -d ":" -f 2|cut -d " " -f 1 > /tmp/fontes (numa linha única) para obter a lista de endereços (uso o formato "combined" para os logs). Para depois encontrar os nomes a partir dos endereços IP (quando há "reverse mapping" definido):
for i in `cat /tmp/fontes`; do host -a $i; done Achei curioso (e talvez sintomático de uma mãozinha/mãozorra MS) o facto de na notícia que passou em várias TVs se dizer que "apenas não são vulneráveis o Windows 95, o Windows 98, e o ME". Felizmente às vezes o jornalista de serviço lá remendava, especialmente na SIC onde o entrevistado `pls' foi bastante claro sobre a não vulnerabilidade de variantes de Unix. A MS lá vai conseguindo que os gigantescos defeitos dos seus produtos sejam escondidos atrás de nomes como "vírus da Internet", "worms da Internet", "pirataria", e canalizando o descontentamento dos utilizadores para exigências aos ISPs, empresas de antí-virus, políticas contra "cíber-criminalidade", ... ao mesmo tempo que (lembram-se?) acusa o software livre de não conseguir ter o mesmo "rigoroso controle de qualidade" que só pessoal bem pago e em âmbito empresarial de código fechado conseguiria ter pachorra para fazer. Bugs todos têm, e cuidados são sempre necessários, mas neste momento os produtos MS fazem o grande "buraco" da Internet. E os compradores acham normal e não se lembram de pedir contas. Vêem (quando vêem) os documentos privados a ser enviados ao acaso por email e a reacção é análoga a ir chamar a polícia e comprar alarmes enquanto se deixa todas as portas e janelas de casa abertas depois de um assalto. Claro que com todos os cuidados legais das licenças, a única forma de os consumidores "ajustarem contas" é deixar de comprar os produtos MS. Especialmente trágico-cómico, quando se compra Microsoft com o argumento de que com software livre "não há ninguém a responsabilizar quando as coisas não funcionam".
| 
