22 de novembro de 2005

Atualização...

Estou executando um projeto na venezuela que deve me impossibilitar de escrever no blog pelo menos até o dia 15 de Dezembro quando retorno ao Brasil.

Mais deixo aqui um link para uma rádio que trata sobre assuntos de segurança, um trabalho muito interessante desenvolvido e mantido pelo Laboratório ACME.



Laboratório ACME - http://www.acmesecurity.org/

Atualização...

Estou executando um projeto na venezuela que deve me impossibilitar de escrever no blog pelo menos até o dia 15 de Dezembro quando retorno ao Brasil.

Mas deixo aqui um link para uma rádio que trata sobre assuntos de segurança, um trabalho muito interessante desenvolvido e mantido pelo Laboratório ACME.



























Laboratório ACME - http://www.acmesecurity.org/

11 de novembro de 2005

ISO 27000

Para quem ainda não está familiarizado com a ISO 17799 esquece, já parte para a série 27000. Segue uma breve descrição da série.

ISO 27000 - Vocabulário e definições (terminologia para todos os padrões da série 27000).

ISO 27001 - Principal padrão das exigências do sistema de gerência da segurança da informação (especificação), semelhamte a parte 2 da BS 7799, baseado nesses padrões que as organizações serão certificadas.

ISO 27002 - Este é o guia de referência como a ISO 17799, descreve detalhadamente os objetivos de controle da segurança da informação e esboça um menu de controles de segurança baseado nas melhores praticas.

ISO 27003 - Será um guia de implementação, ainda não foi publicada.

ISO 27004 - Indicadores para medir a eficiência do sistema de gestão de segurança da informação.

ISO 27005 - Um padrão para gerenciamento de risco em segurança da informação.

ISO 27006 - Um guideline para implementação de um plano de recuperação de desastres.

ISO 27000

Para quem ainda não está familiarizado com a ISO 17799 esquece, já parte para a série 27000. Segue uma breve descrição da série.

ISO 27000 - Vocabulário e definições (terminologia para todos os padrões da série 27000).

ISO 27001 - Principal padrão das exigências do sistema de gerência da segurança da informação (especificação), semelhamte a parte 2 da BS 7799, baseado nesses padrões que as organizações serão certificadas.

ISO 27002 - Este é o guia de referência como a ISO 17799, descreve detalhadamente os objetivos de controle da segurança da informação e esboça um menu de controles de segurança baseado nas melhores praticas.

ISO 27003 - Será um guia de implementação, ainda não foi publicada.

ISO 27004 - Indicadores para medir a eficiência do sistema de gestão de segurança da informação.

ISO 27005 - Um padrão para gerenciamento de risco em segurança da informação.

ISO 27006 - Um guideline para implementação de um plano de recuperação de desastres.

10 de novembro de 2005

VOIP

VOIP

Para quem já está ligado nas ameaças que projetos de voz sobre ip mal implementados pode trazer ao seu negócio segue um site que vale a visita.

Voip Security Alliance - http://www.voipsa.org/

Muitos papers e artigos. Eu destaco um guide feito por Defense Information Systems Agency.

VOICE OVER INTERNET PROTOCOL (VOIP)SECURITY TECHNICAL IMPLEMENTATION GUIDE

VOIP

Para quem já está ligado nas ameaças que projetos de voz sobre ip mal implementados pode trazer ao seu negócio, segue um site que vale a visita.

Voip Security Alliance - http://www.voipsa.org/

Muitos papers e artigos. Eu destaco um guide feito por Defense Information Systems Agency.

VOICE OVER INTERNET PROTOCOL (VOIP)SECURITY TECHNICAL IMPLEMENTATION GUIDE

9 de novembro de 2005

Fraude

Essa semana tivemos algumas notícias apresentadas atualmente na mídia que valem um post, apesar de eu não gostar nada do tema e achar que a mídia quase sempre é sensacionalista.

A mídia está inflando o ego dos "hacker" como ela mesmo gosta de chama-los, quando na verdade os ataques quase na sua totalidade são ocasionados devido a inocência e confiança dos usuários. Como disse Rafael Hashimoto na CISSP-BR essa semana, "Hackers de verdade faz tempo que eu não os vejo". O que temos hoje causando panico a usuários lesados em golpes na internet são chamados erroneamente de "programadores" como eu ouvi em uma matéria recentemente na televisão.

Quando eu digo que o usuário é o responsável pelo roubo de suas senhas eu vou explicar o porque. A pessoa mal intencionada envia e-mail, scrap no orkut (novidade), arquivos via MSN, ICQ e os usuários sem informação e mal educado como diria os mais enérgicos acabam instalando um arquivo em sua maquina que possibilita que a pessoa mal intencionada receba suas senhas sem esforço algum, tudo porque você foi desatento ou curioso.

Mais que programas são esses que os mal intencionados enviam para os usuários? Keyloggers, são essas ferramentas, basicamente ele captura tudo que você digita e envia para o mal feitor, lá estão suas senhas, conta corrente, usuário e tudo que você digita na maquina. Não esses programas não são desenvolvidos pelos mal feitores, eles existem a rolo pela internet. Segue exemplo, diga-se de passagem esse é um bem profissional, mais existem vários outros.


Nesse exemplo o keylogger capturou a palavra testes que eu digitei no notepad.

Portanto não sai clicando em tudo que você vê pela internet, evite qualquer coisa que você desconheça a origem, uma dica bem básica e que pode ser usada apesar dos teclados virtuais já serem vitímas de fraude é usar o teclado que o windows XP possui, nele você clica nas teclas do teclado ao invés de teclar.



Portanto de hacker não tem nada esses malfeitores, estelionátários, meliantes, mal fazejos ou qualquer outro nome que se refere as pessoas de má fé pode ser usado, menos o termo hacker, que infelizmente é mal interpretado e por isso muitos profissionais de segurança tem evitado mencionar.

Fraude

Essa semana tivemos algumas notícias apresentadas atualmente na mídia que valem um post, apesar de eu não gostar nada do tema e achar que a mídia quase sempre é sensacionalista.

A mídia está inflando o ego dos "hacker" como ela mesmo gosta de chama-los, quando na verdade os ataques quase na sua totalidade são ocasionados devido a inocência e confiança dos usuários. Como disse Rafael Hashimoto na CISSP-BR essa semana, "Hackers de verdade faz tempo que eu não os vejo". O que temos hoje causando panico a usuários lesados em golpes na internet são chamados erroneamente de "programadores" como eu ouvi em uma matéria recentemente na televisão.

Quando eu digo que o usuário é o responsável pelo roubo de suas senhas eu vou explicar o porque. A pessoa mal intencionada envia e-mail, scrap no orkut (novidade), arquivos via MSN, ICQ e os usuários sem informação e mal educado como diria os mais enérgicos acabam instalando um arquivo em sua maquina que possibilita que a pessoa mal intencionada receba suas senhas sem esforço algum, tudo porque você foi desatento ou curioso.

Que programas são esses que os mal intencionados enviam para os usuários? Keyloggers, são essas ferramentas, basicamente ele captura tudo que você digita e envia para o mal feitor, lá estão suas senhas, conta corrente, usuário e tudo que você digita na maquina. Não esses programas não são desenvolvidos pelos mal feitores, eles existem a rolo pela internet. Segue exemplo, diga-se de passagem esse é um bem profissional, mas existem vários outros.


Nesse exemplo o keylogger capturou a palavra testes que eu digitei no notepad.

Portanto não sai clicando em tudo que você vê pela internet, evite qualquer coisa que você desconheça a origem, uma dica bem básica e que pode ser usada apesar dos teclados virtuais já serem vitímas de fraude é usar o teclado que o windows XP possui, nele você clica nas teclas do teclado ao invés de teclar.



Portanto de hacker não tem nada esses malfeitores, estelionátários, meliantes, mal fazejos ou qualquer outro nome que se refere as pessoas de má fé, pode ser usado qualquer termo, menos o termo hacker, que infelizmente é mal interpretado e por isso muitos profissionais de segurança tem evitado mencionar.

3 de novembro de 2005

Security Tools

Frequentemente vejo post em listas de discussão procurando por ferramentas de análise de vulnerabilidades, temos inúmeras ferramentas como as da ISS, nessus, GFI, etc...

Mais o que muitos profissionais não sabem é que a própria microsoft disponibiliza ferramentas freeware que podem ser usadas para "arrumar" sua casa. Separei algumas.

Microsoft Baseline Security Analyzer 2.0
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

O MBSA dá uma geral nos hosts da sua rede procurando por patchs que não foram instalados, usuários com perfil de administrador, configurações do IIS e SQL Server.
---------------------------------------------------------------
Exchange Server Best Practices Analyzer
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/analyzers/default.mspx

Ferramenta excelente, procura por brechas na configuração do exchange.
---------------------------------------------------------------
Best Practices Analyzer Tool for Microsoft SQL Server 2000 1.0
http://www.microsoft.com/downloads/details.aspx?familyid=B352EB1F-D3CA-44EE-893E-9E07339C1F22&displaylang=en

Procura por brechas na configuração do SQL Server
---------------------------------------------------------------
Microsoft Security Risk Self-Assessment
https://www.securityguidance.com/v1/

Ferramenta que faz uma análise de riscos de TI.

Essas são algumas ferramentas que podem ser encontradas no site da microsodt, os sites dos fabricantes sempre "escondem" informações interessantes.

Security Tools

Frequentemente vejo post em listas de discussão procurando por ferramentas de análise de vulnerabilidades, temos inúmeras ferramentas como as da ISS, nessus, GFI, etc...

O que muitos profissionais não sabem é que a própria microsoft disponibiliza ferramentas freeware que podem ser usadas para "arrumar" sua casa. Separei algumas.

Microsoft Baseline Security Analyzer 2.0
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

O MBSA dá uma geral nos hosts da sua rede procurando por patchs que não foram instalados, usuários com perfil de administrador, configurações do IIS e SQL Server.
---------------------------------------------------------------
Exchange Server Best Practices Analyzer
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/analyzers/default.mspx

Ferramenta excelente, procura por brechas na configuração do exchange.
---------------------------------------------------------------
Best Practices Analyzer Tool for Microsoft SQL Server 2000 1.0
http://www.microsoft.com/downloads/details.aspx?familyid=B352EB1F-D3CA-44EE-893E-9E07339C1F22&displaylang=en

Procura por brechas na configuração do SQL Server
---------------------------------------------------------------
Microsoft Security Risk Self-Assessment
https://www.securityguidance.com/v1/

Ferramenta que faz uma análise de riscos de TI.

Essas são algumas ferramentas que podem ser encontradas no site da microsoft, os sites dos fabricantes sempre "escondem" informações interessantes.