16 de novembro de 2006

[Livro] Software Security - Building Security In

Estava dando uma olhada no livro Software Security - Building Security In do Gary McGraw e gostei muito do que vi.

Seguindo o chavão: uma imagem vale mais do que mil palavras, eu separei uma imagem que mostra pontos chaves no desenvolvimento seguro de software.


Software Security - Building Security In
Gary McGraw

[Livro] Software Security - Building Security In

Estava dando uma olhada no livro Software Security - Building Security In do Gary McGraw e gostei muito do que vi.

Seguindo o chavão: uma imagem vale mais do que mil palavras, eu separei uma imagem que mostra pontos chaves no desenvolvimento seguro de software.


Software Security - Building Security In
Gary McGraw

14 de novembro de 2006

Microsoft Software License for DRP

Recentemente a microsoft disponibilizou uma licença que permite que seja instalada uma versão em um Cold Site, ou seja, a segunda licença deve ser usada somente na ativação do Cold Site.

Mais detalhes sobre a licença "Cold Server Backup for Disaster Recovery a Microsoft Software Assurance Benefit" pode ser encontrada no site da microsoft.
Volume Licensing Briefs
Backup Sites by Wikipedia

Microsoft Software License for DRP

Recentemente a microsoft disponibilizou uma licença que permite que seja instalada uma versão em um Cold Site, ou seja, a segunda licença deve ser usada somente na ativação do Cold Site.

Mais detalhes sobre a licença "Cold Server Backup for Disaster Recovery a Microsoft Software Assurance Benefit" pode ser encontrada no site da microsoft.
Volume Licensing Briefs
Backup Sites by Wikipedia

19 de outubro de 2006

Code coverage

Quem nunca se deparou com aquele ambiente legado, com uma maquina antiga, e uma aplicação mais antiga ainda e que eventualmente é necessário dar um boot, pois, o aplicativo travou e ninguém sabe porque?

Situações como essas poderiam ser minimizadas se fosse realizado um teste de cobertura de software ou code coverage em inglês.

O que é o teste de cobertura? Teste de cobertura podemos dizer que é o teste do teste. Como assim? Quando realizamos testes, quem garante que todo código foi testado? Eventualmente determinadas funções, critérios podem não ser testados.

O code coverage tem exatamente essa função, identificar quais partes do código não foram testadas. Então aquele aplicativo que pára e ninguém sabe porque, pode ser exatamente um IF que não foi testado nos testes realizados. Além dos problemas disponibilidade, pode-se identificar falhas de segurança com o code coverage.



Não vou entrar em detalhes de ferramentas sobre ferramentas para code coverage, essas ferramentas geralmente são especificas para cada linguagem. Eu tive há oportunidade de testar esse recurso no Visual Studio 2005, pode dizer que é simplesmente fantástico.

Para aprofundar seus estudos sobre code coverage e não ficar somente com uma visão simplista minha, dê uma olhada no wikipedia, além de uma visão geral, existe algumas referências.
Code coverage por wikipedia

Code coverage

Quem nunca se deparou com aquele ambiente legado, com uma máquina antiga, e uma aplicação mais antiga ainda e que eventualmente é necessário dar um boot, pois, o aplicativo travou e ninguém sabe porque?

Situações como essas poderiam ser minimizadas se fosse realizado um teste de cobertura de software ou code coverage em inglês.

O que é o teste de cobertura? Teste de cobertura podemos dizer que é o teste do teste. Como assim? Quando realizamos testes, quem garante que todo código foi testado? Eventualmente determinadas funções, critérios podem não ser testados.

O code coverage tem exatamente essa função, identificar quais partes do código não foram testadas. Então aquele aplicativo que pára e ninguém sabe porque, pode ser exatamente um IF que não foi testado nos testes realizados. Além dos problemas disponibilidade, pode-se identificar falhas de segurança com o code coverage.



Não vou entrar em detalhes de ferramentas sobre ferramentas para code coverage, essas ferramentas geralmente são especificas para cada linguagem. Eu tive há oportunidade de testar esse recurso no Visual Studio 2005, posso dizer que é simplesmente fantástico.

Para aprofundar seus estudos sobre code coverage e não ficar somente com uma visão simplista minha, dê uma olhada no wikipedia, além de uma visão geral, existe algumas referências.

Code coverage por wikipedia


17 de outubro de 2006

Internet Banking, de quem é a culpa?

A bola da vez na lista de discussão CISSP-BR é a iniciativa brasileira em responsabilizar os clientes por ações de hacker contra usuários que usam o Internet Banking.

Existem argumentos convincentes e corretos de ambas as partes, partes que acreditam que o problema é do banco e outros que acreditam que o problema realmente é do usuário.

Discussões sobre qual o melhor controle a se implementar, se as campanhas de conscientização são úteis ou não, tudo isso é válido e enriquecedor para a comunidade de segurança, mas, acho que o grande mind-set, grande lição que devemos levar é: o usuário deve ter o pensamento orientado a riscos (risk-based thinking).

O usuário deve saber que, assim como atravessar a rua em uma avenida movimentada, o uso do Internet Banking também oferece seus riscos.

Talvez a movimentação toda tenha acontecido porque, os bancos só mostraram as caras pouco antes dessas decisões de responsabilizar o usuário pela fraude aparecer. Apesar de sabermos que existiam campanhas tímidas entre algumas entidades, nenhuma instituição financeira mostrava no horário nobre da televisão campanhas de conscientização.

OWASP and PCI

PCI Security Standard são critérios de segurança que foram definidos pela VISA e Mastercard para implementar segurança em sistema de pagamentos eletrônicos. Estudando o guide encontrei referência a desenvolvimento seguro e ao OWASP. Basicamente implementando o Top10 do OWASP você está compliance com o requerimento 6.5.

Requirement 6: Develop and maintain secure systems and applications Unscrupulous individuals use security vulnerabilities to gain privileged access to systems. Many of these vulnerabilities are fixed via vendor security patches, and all systems should have current software patches to protect against exploitation by employees, external hackers, and viruses. For in-house developed applications, numerous vulnerabilities can be avoided by using standard system development processes and secure coding techniques.

6.1 Ensure that all system components and software have the latest vendor-supplied security patches.
6.1.1 Install relevant security patches within one month of release.

6.2 Establish a process to identify newly discovered security vulnerabilities (e.g., subscribe to alert services freely available on the Internet). Update your standards to address new vulnerability issues.

Maintain a Vulnerability Management Program

6.3 Develop software applications based on industry best practices and include information security throughout the software development life cycle. Include the following:

6.3.1 Testing of all security patches and system and software configuration changes beforedeployment
6.3.2 Separate development/test and production environments
6.3.3 Separation of duties between development/test and production environments
6.3.4 Production data (real credit card numbers) are not used for testing or development
6.3.5 Removal of test data and accounts before production systems become active
6.3.6 Removal of custom application accounts, usernames, and passwords before applications become active or are released to customers.
6.3.7 Review of custom code prior to release to production or customers, to identify anypotential coding vulnerability

6.4 Follow change control procedures for all system and software configuration changes. Theprocedures should include:

6.4.1 Documentation of impact
6.4.2 Management sign-off by appropriate parties
6.4.3 Testing that verifies operational functionality
6.4.4 Back-out procedures.

6.5 Develop web software and applications based on secure coding guidelines such as the OpenWeb Application Security Project guidelines. Review custom application code to identify codingvulnerabilities. See http://www.owasp.org/ - “The Ten Most Critical Web Application Security Vulnerabilities.” Cover prevention of common coding vulnerabilities in software developmentprocesses, to include:

6.5.1 Unvalidated input
6.5.2 Broken access control (e.g., malicious use of user IDs)
6.5.3 Broken authentication/session management (use of account credentials and sessioncookies)
6.5.4 Cross-site scripting (XSS) attacks
6.5.5 Buffer overflows
6.5.6 Injection flaws (e.g., SQL injection)
6.5.7 Improper error handling
6.5.8 Insecure storage
6.5.9 Denial of service
6.5.10 Insecure configuration management.

OWASP
Capítulo Brasil do OWASP
Top10 em Português
PCI por Mastercard
PCI por VISA

Internet Banking, de quem é a culpa?

A bola da vez na lista de discussão CISSP-BR é a iniciativa brasileira em responsabilizar os clientes por ações de hacker contra usuários que usam o Internet Banking.

Existem argumentos convincentes e corretos de ambas as partes, partes que acreditam que o problema é do banco e outros que acreditam que o problema realmente é do usuário.

Discussões sobre qual o melhor controle a se implementar, se as campanhas de conscientização são úteis ou não, tudo isso é válido e enriquecedor para a comunidade de segurança, mas, acho que o grande mind-set, grande lição que devemos levar é: o usuário deve ter o pensamento orientado a riscos (risk-based thinking).

O usuário deve saber que, assim como atravessar a rua em uma avenida movimentada, o uso do Internet Banking também oferece seus riscos.

Talvez a movimentação toda tenha acontecido porque, os bancos só mostraram as caras pouco antes dessas decisões de responsabilizar o usuário pela fraude aparecer. Apesar de sabermos que existiam campanhas tímidas entre algumas entidades, nenhuma instituição financeira mostrava no horário nobre da televisão campanhas de conscientização.

OWASP and PCI

PCI Security Standard são critérios de segurança que foram definidos pela VISA e Mastercard para implementar segurança em sistema de pagamentos eletrônicos. Estudando o guide encontrei referência a desenvolvimento seguro e ao OWASP. Basicamente implementando o Top10 do OWASP você está compliance com o requerimento 6.5.

Requirement 6: Develop and maintain secure systems and applications Unscrupulous individuals use security vulnerabilities to gain privileged access to systems. Many of these vulnerabilities are fixed via vendor security patches, and all systems should have current software patches to protect against exploitation by employees, external hackers, and viruses. For in-house developed applications, numerous vulnerabilities can be avoided by using standard system development processes and secure coding techniques.

6.1 Ensure that all system components and software have the latest vendor-supplied security patches.
6.1.1 Install relevant security patches within one month of release.

6.2 Establish a process to identify newly discovered security vulnerabilities (e.g., subscribe to alert services freely available on the Internet). Update your standards to address new vulnerability issues.

Maintain a Vulnerability Management Program

6.3 Develop software applications based on industry best practices and include information security throughout the software development life cycle. Include the following:

6.3.1 Testing of all security patches and system and software configuration changes beforedeployment
6.3.2 Separate development/test and production environments
6.3.3 Separation of duties between development/test and production environments
6.3.4 Production data (real credit card numbers) are not used for testing or development
6.3.5 Removal of test data and accounts before production systems become active
6.3.6 Removal of custom application accounts, usernames, and passwords before applications become active or are released to customers.
6.3.7 Review of custom code prior to release to production or customers, to identify anypotential coding vulnerability

6.4 Follow change control procedures for all system and software configuration changes. Theprocedures should include:

6.4.1 Documentation of impact
6.4.2 Management sign-off by appropriate parties
6.4.3 Testing that verifies operational functionality
6.4.4 Back-out procedures.

6.5 Develop web software and applications based on secure coding guidelines such as the OpenWeb Application Security Project guidelines. Review custom application code to identify codingvulnerabilities. See http://www.owasp.org/ - “The Ten Most Critical Web Application Security Vulnerabilities.” Cover prevention of common coding vulnerabilities in software developmentprocesses, to include:

6.5.1 Unvalidated input
6.5.2 Broken access control (e.g., malicious use of user IDs)
6.5.3 Broken authentication/session management (use of account credentials and sessioncookies)
6.5.4 Cross-site scripting (XSS) attacks
6.5.5 Buffer overflows
6.5.6 Injection flaws (e.g., SQL injection)
6.5.7 Improper error handling
6.5.8 Insecure storage
6.5.9 Denial of service
6.5.10 Insecure configuration management.
OWASP
Capítulo Brasil do OWASP
Top10 em Português
PCI por Mastercard
PCI por VISA

16 de outubro de 2006

Blackberry Security Checklists

Recentemente foi discutido na CISSP-BR questões de segurança na implementação de Blackberry, aqui mesmo no blog e no blog do Eduardo Cabral já haviamos comentado sobre os perigos que uma implementação incorreta pode causar.

Já existe bastante material sobre o assunto, agora em Setembro de 2006 a DISA e o DOD lançaram um checklist de segurança para o Blackberry.

O checklist trata de características de autenticação, criptografia e também de segurança em Bluetooth.
Blackberry Security Checklist

Blackberry Security Checklists

Recentemente foi discutido na CISSP-BR questões de segurança na implementação de Blackberry, aqui mesmo no blog e no blog do Eduardo Cabral já haviamos comentado sobre os perigos que uma implementação incorreta pode causar.

Já existe bastante material sobre o assunto, agora em Setembro de 2006 a DISA e o DOD lançaram um checklist de segurança para o Blackberry.

O checklist trata de características de autenticação, criptografia e também de segurança em Bluetooth.

Blackberry Security Checklist



12 de outubro de 2006

Screensaver for Awareness

Recentemente o Secure Team divulgou um screensaver para usar em campanhas de conscientização, ele não é tão completo quanto o visible statement, mas, sem dúvida é uma boa opção freeware e com o código fonte disponivel.

Se você não quer fazer grandes alterações, é possivel mudar somente o conteúdo das mensagens, você pode incluir suas próprias mensagens.

O code.ae.screensavers usa um xml chamado cascrsec.xml para armazenar as mensagens. É só você abrir ele com um bloco de notas e alterar o conteúdo.

Estrutura do xml:



Monte o seu screensaver, com suas mensagens e compartilhe com a comunidade, usando os comentários.
code.ae.screensavers
Visible Statement

Screensaver for Awareness

Recentemente o Secure Team divulgou um screensaver para usar em campanhas de conscientização, ele não é tão completo quanto o visible statement, mas, sem dúvida é uma boa opção freeware e com o código fonte disponivel.

Se você não quer fazer grandes alterações, é possivel mudar somente o conteúdo das mensagens, você pode incluir suas próprias mensagens.

O code.ae.screensavers usa um xml chamado cascrsec.xml para armazenar as mensagens. É só você abrir ele com um bloco de notas e alterar o conteúdo. Estrutura do xml:



Monte o seu screensaver, com suas mensagens e compartilhe com a comunidade, usando os comentários.


code.ae.screensavers


Visible Statement

11 de outubro de 2006

ISO 13335-3 Techniques for the management of it security

Para os profissionais, estudantes que não tiveram contato com a ISO 13335 sobre análise de riscos, o Vanderson C. Siewert fez um bom resumo sobre a norma no site Viva o Linux.

1. Resumo
2. Artigo
3. Anexos
4. Tabela
5. Referência e créditos
Viva o Linux

ISO 13335-3 Techniques for the management of it security

Para os profissionais, estudantes que não tiveram contato com a ISO 13335 sobre análise de riscos, o Vanderson C. Siewert fez um bom resumo sobre a norma no site Viva o Linux.

1. Resumo
2. Artigo
3. Anexos
4. Tabela
5. Referência e créditos
Viva o Linux

4 de outubro de 2006

Programação Orientada a Gambiarras

Soluções técnicas alternativas, ou gambiarra, são técnicas utilizadas por boa parte dos desenvolvedores. Assim como orientação a objetos, existe uma ciência que estuda a Programação Orientada a Gambiarras.

Essa semana postaram na lista código seguro um guia completo para POG (Programação Orientada a Gambiarras), não deixe de ler esse "guide", quem sabe você não emprega um exemplar de programador POG.


Guia completo de POG

Programação Orientada a Gambiarras

Soluções técnicas alternativas, ou gambiarra, são técnicas utilizadas por boa parte dos desenvolvedores. Assim como orientação a objetos, existe uma ciência que estuda a Programação Orientada a Gambiarras.

Essa semana postaram na lista código seguro um guia completo para POG (Programação Orientada a Gambiarras), não deixe de ler esse "guide", quem sabe você não emprega um exemplar de programador POG.



Guia completo de POG



27 de setembro de 2006

XML Port Scan

Se os problemas de Injeção de Código (Cross Site Scripting) não foram suficientes para alertar os desenvolvedores, administradores de servidores web sobre a importância da configuração adequada dos servidores de aplicação, agora eles vão ter que acordar.

Primeiro foram os port scan baseados em javascript, agora pesquisadores da SIFT Information Security Services apresentaram um paper onde eles se aproveitam do parser do XML que é realizado no servidor de aplicação, para fazer um enumeration de maquinas que estão protegidas por um firewall.





O paper também descreve as medidas para mitigar esse risco. Pra variar, coisas que já são recomendadas a muito tempo.
XML Port Scanning - Bypassing Restrictive Perimeter Firewalls

Biometria

Quem acompanha os blogs do Fernando Cima e do André Fucs, estão verificando uma série de pontos que devem ser considerados na implementação de biometria.

Eu quero disponibilizar o video do:

Mythbusters-Beat Finger Print Security System

XML Port Scan

Se os problemas de Injeção de Código (Cross Site Scripting) não foram suficientes para alertar os desenvolvedores, administradores de servidores web sobre a importância da configuração adequada dos servidores de aplicação, agora eles vão ter que acordar.

Primeiro foram os port scan baseados em javascript, agora pesquisadores da SIFT Information Security Services apresentaram um paper onde eles se aproveitam do parser do XML que é realizado no servidor de aplicação, para fazer um enumeration de maquinas que estão protegidas por um firewall.





O paper também descreve as medidas para mitigar esse risco. Pra variar, coisas que já são recomendadas a muito tempo.
XML Port Scanning - Bypassing Restrictive Perimeter Firewalls

Biometria

Quem acompanha os blogs do Fernando Cima e do André Fucs, estão verificando uma série de pontos que devem ser considerados na implementação de biometria.

Eu quero disponibilizar o video do:

Mythbusters-Beat Finger Print Security System



21 de setembro de 2006

Hype Cycle

Apesar de não ser um grande fã do Gartner, ele costuma disponibilizar algumas informações interessantes.

Uma dessas informações é o Hype Cycle. Hype Cycle é basicamente, um estudo considerando 5 fases e mostrado em um gráfico, tendências, evolução, pico e outras características.



Pesquisando no google image, pode-se encontrar vários gráficos de hype cycle.
Hype Cycle por wikipedia
Entendo o Hype Cycle por Gartner

Hype Cycle

Apesar de não ser um grande fã do Gartner, ele costuma disponibilizar algumas informações interessantes.

Uma dessas informações é o Hype Cycle. Hype Cycle é basicamente, um estudo considerando 5 fases e mostrado em um gráfico, tendências, evolução, pico e outras características.



Pesquisando no google image, pode-se encontrar vários gráficos de hype cycle.

Hype Cycle por wikipedia
Entendo o Hype Cycle por Gartner



13 de setembro de 2006

Google está atento

Hoje pesquisando um site, me deparei com um novo "serviço" do google. Ele avisa quando você está partindo para um site potencialmente perigoso.

Google está atento

Hoje pesquisando um site, me deparei com um novo "serviço" do google. Ele avisa quando você está partindo para um site potencialmente perigoso.



12 de setembro de 2006

Bunker

Alguns acontecimentos, muitas vezes nos faz pensar em ter um bunker. Mas, o que realmente seria um bunker.

Bunker basicamente são infra-estruturas com vários controles de segurança, capazes de proteger de ataques pesados, armas de fogo, tóxicos, etc...

Interessante é ver toda tecnologia e técnicas empregadas no desenvolvimento de tais infra-estruturas. Vai muito além do que uma sala cofre pode oferecer. Ronaldo Vasconcelos já falou sobre um dos mais famosos o NORAD (North American Aerospace Defense Command).


Entrada no NORAD

Pesquisando, se encontra muito material sobre e já pode-se perceber que hoje já existe muitas outras utilidades para os bunker, como realização de festas e usar como moradia.

Com uma pesquisada no google image é possivel encontrar muitos detalhes, inclusive projetos.


Bunker pelo Wikipedia
NORAD

Ronaldo Vasconcelos
Sala cofre FAQ


Bunker

Alguns acontecimentos, muitas vezes nos faz pensar em ter um bunker. Mas, o que realmente seria um bunker.

Bunker basicamente são infra-estruturas com vários controles de segurança, capazes de proteger de ataques pesados, armas de fogo, tóxicos, etc...

Interessante é ver toda tecnologia e técnicas empregadas no desenvolvimento de tais infra-estruturas. Vai muito além do que uma sala cofre pode oferecer. Ronaldo Vasconcelos já falou sobre um dos mais famosos o NORAD (North American Aerospace Defense Command).


Entrada no NORAD

Pesquisando, se encontra muito material sobre e já pode-se perceber que hoje já existe muitas outras utilidades para os bunker, como realização de festas e usar como moradia.

Com uma pesquisada no google image é possivel encontrar muitos detalhes, inclusive projetos.






Bunker pelo Wikipedia
NORAD

Ronaldo Vasconcelos
Sala cofre FAQ


11 de setembro de 2006

Engenharia de Software

Engenharia de software na minha opinião não é a chave para software seguro, mas, é indispensável para qualidade do software.

O SWEBOK (Software Engineering Body of Knowledge) é um CBK (Corpo de conhecimento) sobre engenharia de software. o SWEBOK é um projeto do IEEE Computer Society e conta com apoio da Rational, Mitre, NIST, entre outros.



Excelente guia de referência para desenvolvimento de software.
Guide to the SWEBOK
Uma introdução ao SWEBOK
IEEE Computer Society

Quebrando Teclado Virtual de Internet Banking

Há muito tempo eu já tinha conhecimento desta técnica, mas, agora foi feito um video por profissionais espanhóis.

O vídeo mostra a atuação de um trojan que gera um video de tudo que é feito na tela do internet banking, isto torna os teclados virtuais inúteis.



O mais interessante é ver a mídia divulgar como novidade este tipo de ameaça:
Vírus "filma" digitação de senhas em Internet banking
Video espanhol mostrando atuação

Engenharia de Software

Engenharia de software na minha opinião não é a chave para software seguro, mas, é indispensável para qualidade do software.

O SWEBOK (Software Engineering Body of Knowledge) é um CBK (Corpo de conhecimento) sobre engenharia de software. o SWEBOK é um projeto do IEEE Computer Society e conta com apoio da Rational, Mitre, NIST, entre outros.



Excelente guia de referência para desenvolvimento de software.
Guide to the SWEBOK
Uma introdução ao SWEBOK
IEEE Computer Society


Quebrando Teclado Virtual de Internet Banking

Há muito tempo eu já tinha conhecimento desta técnica, mas, agora foi feito um video por profissionais espanhóis.

O vídeo mostra a atuação de um trojan que gera um video de tudo que é feito na tela do internet banking, isto torna os teclados virtuais inúteis.



O mais interessante é ver a mídia divulgar como novidade este tipo de ameaça:
Vírus "filma" digitação de senhas em Internet banking
Video espanhol mostrando atuação

5 de setembro de 2006

Security Pendrive 2 (backup)

Como havia falado, eu já tinha meus dados criptografados, só precisava de uma "estratégia" de backup dos dados.

Primeiro vou explicar como ficou toda solução.

1 - Peguei meu mp3 player e criei três pastas:
  • TrueCrypt - Onde instalei o truecrypt;
  • Musica - Onde coloco as músicas que estou ouvindo;
  • Dados - Diretório onde criei o diretório criptografado;

2 - Criptografei o volume dados usando o truecrypt.

Agora vamos aos scripts de backup. Eu usei dois scripts já prontos, só alterei o que eu precisava, em breve com mais tempo devo aperfeiçoar.

Um script é do Vinicius Canto (esse entende um pouquinho de scripts vbs) e o outro baixei da net "Tom's Cool Backup Script".

O script do Vinicius fica monitorando quando é "plugado" um dispositivo mass storage (pendrive) na maquina.

Plugado o pendrive, o script "PendriveMonitor.vbs" chama o script "backup.vbs". O "pendrivemonitor.vbs" fica rodando direto no micro, o "backup.vbs" será executado sempre que você plugar um pendrive.

O "backup.vbs" vai perguntar se você deseja fazer backup dos dados do pendrive, se optar por fazer ele irá copiar a pasta F:\dados para C:\backup. Feito o backup ele dá um alerta e pergunta se você deseja verificar o log.





Eu mantive todos os créditos nos dois scripts caso vocês queiram copiar pastas diferentes é só alterar no script.

Código do PendriveMonitor.vbs




Código do Backup.vbs



Salve no mesmo diretório do outro script como Backup.vbs.

Crie um atalho para o PendriveMonitor no iniciar da maquina, assim ele será executado sempre que a maquina for reiniciada.

Qualquer dúvida poste um comentário.

Blog do Vinicius Canto

Sony PSP TIFF Image Viewing Code Execution Vulnerability

Em um post recente eu havia falado que não falaria de PSP (Playstation Portátil) em um blog de segurança. Mas, a secunia acaba de divulgar uma brecha no PSP que possibilita que o invasor tenha acesso ao PSP.



Quem nunca jogou aquela partidinha de Winning Eleven que feche os olhos, mas, também alerto que hoje os playstations não são mais usados só para jogar.
Brecha de segurança no console portátil da Sony permite que crackers
formatem arquivos maliciosos e tomem controle do equipamento


Alerta da secunia

Security Pendrive 2 (backup)

Como havia falado, eu já tinha meus dados criptografados, só precisava de uma "estratégia" de backup dos dados.

Primeiro vou explicar como ficou toda solução.

1 - Peguei meu mp3 player e criei três pastas:

  • TrueCrypt - Onde instalei o truecrypt;

  • Musica - Onde coloco as músicas que estou ouvindo;

  • Dados - Diretório onde criei o diretório criptografado;


2 - Criptografei o volume dados usando o truecrypt.

Agora vamos aos scripts de backup. Eu usei dois scripts já prontos, só alterei o que eu precisava, em breve com mais tempo devo aperfeiçoar.

Um script é do Vinicius Canto (esse entende um pouquinho de scripts vbs) e o outro baixei da net "Tom's Cool Backup Script".

O script do Vinicius fica monitorando quando é "plugado" um dispositivo mass storage (pendrive) na maquina.

Plugado o pendrive, o script "PendriveMonitor.vbs" chama o script "backup.vbs". O "pendrivemonitor.vbs" fica rodando direto no micro, o "backup.vbs" será executado sempre que você plugar um pendrive.

O "backup.vbs" vai perguntar se você deseja fazer backup dos dados do pendrive, se optar por fazer ele irá copiar a pasta F:\dados para C:\backup. Feito o backup ele dá um alerta e pergunta se você deseja verificar o log.







Eu mantive todos os créditos nos dois scripts caso vocês queiram copiar pastas diferentes é só alterar no script.

Código do PendriveMonitor.vbs

Sony PSP TIFF Image Viewing Code Execution Vulnerability

Em um post recente eu havia falado que não falaria de PSP (Playstation Portátil) em um blog de segurança. Mas, a secunia acaba de divulgar uma brecha no PSP que possibilita que o invasor tenha acesso ao PSP.



Quem nunca jogou aquela partidinha de Winning Eleven que feche os olhos, mas, também alerto que hoje os playstations não são mais usados só para jogar.
Brecha de segurança no console portátil da Sony permite que crackers
formatem arquivos maliciosos e tomem controle do equipamento
Alerta da secunia



4 de setembro de 2006

Security Pendrive

Eu hoje não consigo mais viver sem meu pendrive, sempre que não estou com ele eu preciso. Por outro lado comecei a ficar preocupado com o volume e conteúdo das informações que eu estava armazenando nele.

Decidi então criptpgrafar os dados e utilizar ainda mais o recursos do pendrive. Criptografei um volume de dados e comecei a utilizar o Firefox e Thunderbird portable.





Com o firefox e thunderbird no pendrive eu posso usar também uma agenda sincronizada usando um plugin do firefox.

Ou seja, agora mantenho meus e-mails e minhas configurações de browser no meu pendrive. Além de ser uma "camada" a mais de proteção contra códigos maliciosos que exploram o browser.



Para ficar mais prático eu instalei o próprio TrueCrypt no pendrive, assim não preciso ter o mesmo instalado em toda maquina que eu for utilizar. Mas, mesmo com o TrueCripty no próprio pendrive, ele precisa formatar o volume ou quebrar a senha para ter acesso aos dados.

Agora vou desenvolver um script para "automatizar" o back-up. Assim pelo menos em casa e no escritório tenho sempre um back-up atualizado.
Aplicações para rodar no pendrive
TrueCrypt

Security Pendrive

Eu hoje não consigo mais viver sem meu pendrive, sempre que não estou com ele eu preciso. Por outro lado comecei a ficar preocupado com o volume e conteúdo das informações que eu estava armazenando nele.

Decidi então criptpgrafar os dados e utilizar ainda mais o recursos do pendrive. Criptografei um volume de dados e comecei a utilizar o Firefox e Thunderbird portable.





Com o firefox e thunderbird no pendrive eu posso usar também uma agenda sincronizada usando um plugin do firefox.

Ou seja, agora mantenho meus e-mails e minhas configurações de browser no meu pendrive. Além de ser uma "camada" a mais de proteção contra códigos maliciosos que exploram o browser.



Para ficar mais prático eu instalei o próprio TrueCrypt no pendrive, assim não preciso ter o mesmo instalado em toda maquina que eu for utilizar. Mas, mesmo com o TrueCrypt no próprio pendrive, ele precisa formatar o volume ou quebrar a senha para ter acesso aos dados.

Agora vou desenvolver um script para "automatizar" o back-up. Assim pelo menos em casa e no escritório tenho sempre um back-up atualizado.
Aplicações para rodar no pendrive
TrueCrypt

31 de agosto de 2006

iPod Linux

Se eu já estava interessado em um iPod para acompanhar mais de perto os podcasts, agora, minha enpolgação aumentou.

Visitando alguns sites descobri que pode-se fazer coisas que até Harison Ford no filme firewall iria ficar com inveja.

Já pensou ter uma distribuição derivada do Slackware no iPod? Sim já é possivel, já existe pessoas instalando o Slax no iPod. Slax é uma distribuição "live-CD" baseado no Slackware.





Se preferir pode instalar o iPod Linux, outra distribuição de linux especifica para o iPod.



Já existe todo tipo de "hack" para iPod, a própria IBM já rodou um VmWare em um nano e instalou linux.
Slax no iPod
iPod Linux

É mais informação do que preciso

Já faz um tempo que venho ouvindo comentários sobre, a possibilidade de serviços como o google utilizar o auto volume de informações sobre usuários que possui em causa própria.

Após a palestra de Gregi Conti na defcon, intitulada Googling I'm feeling (un)lucky, resolvi me questionar sobre o tema.

Realmente as informações podem ser utilizadas, mas, sinceramente acredito que, estas informações estão muito melhor protegida do que qualquer informação minha que eu disponibilizo para receita federal por exemplo.

Ou já esquecemos que nossos dados são vendidos em CD na Sta. Ifigênia; que um sonoplasta vende informações para o crime organizado por R$ 200; que a maioria das pessoas não toma o menor cuidado com informações sobre suas contas, extratos bancários?

Outras preocupações que acho FUD (medo, incerteza, dúvida): perfil no orkut, fotolog, blog e outras ferramentas de interação na web.

Hoje seu empregador pode saber informações suas usando o orkut. Qual o problema? Informações suas, inclusive as que estão no orkut, podem ser coletadas de várias outras formas.

Um pai pode divulgar fotos de sua filha no fotolog e um pedofilo pode se excitar vendo elas. Não que eu esteja fazendo apologia, ou achando isso normal, mas, esses infelizes podem fazer isso em qualquer lugar, inclusive na escola onde você paga uma fortuna e confia erroneamente, boa parte da educação dos seus filhos.

Conclusão: acho que está havendo uma visão errada. A visão deve estar na informação, essa sim deve ser disseminada adequadamente, ou técnicamente falando, classificada de forma adequada.

iPod Linux

Se eu já estava interessado em um iPod para acompanhar mais de perto os podcasts, agora, minha enpolgação aumentou.

Visitando alguns sites descobri que pode-se fazer coisas que até Harison Ford no filme firewall iria ficar com inveja.

Já pensou ter uma distribuição derivada do Slackware no iPod? Sim já é possivel, já existe pessoas instalando o Slax no iPod. Slax é uma distribuição "live-CD" baseado no Slackware.





Se preferir pode instalar o iPod Linux, outra distribuição de linux especifica para o iPod.



Já existe todo tipo de "hack" para iPod, a própria IBM já rodou um VmWare em um nano e instalou linux.

Slax no iPod
iPod Linux



É mais informação do que preciso

Já faz um tempo que venho ouvindo comentários sobre, a possibilidade de serviços como o google utilizar o auto volume de informações sobre usuários que possui em causa própria.

Após a palestra de Gregi Conti na defcon, intitulada Googling I'm feeling (un)lucky, resolvi me questionar sobre o tema.

Realmente as informações podem ser utilizadas, mas, sinceramente acredito que, estas informações estão muito melhor protegida do que qualquer informação minha que eu disponibilizo para receita federal por exemplo.

Ou já esquecemos que nossos dados são vendidos em CD na Sta. Ifigênia; que um sonoplasta vende informações para o crime organizado por R$ 200; que a maioria das pessoas não toma o menor cuidado com informações sobre suas contas, extratos bancários?

Outras preocupações que acho FUD (medo, incerteza, dúvida): perfil no orkut, fotolog, blog e outras ferramentas de interação na web.

Hoje seu empregador pode saber informações suas usando o orkut. Qual o problema? Informações suas, inclusive as que estão no orkut, podem ser coletadas de várias outras formas.

Um pai pode divulgar fotos de sua filha no fotolog e um pedofilo pode se excitar vendo elas. Não que eu esteja fazendo apologia, ou achando isso normal, mas, esses infelizes podem fazer isso em qualquer lugar, inclusive na escola onde você paga uma fortuna e confia erroneamente, boa parte da educação dos seus filhos.

Conclusão: acho que está havendo uma visão errada. A visão deve estar na informação, essa sim deve ser disseminada adequadamente, ou técnicamente falando, classificada de forma adequada.

30 de agosto de 2006

PSP

Não, eu não vou falar de playstation em um blog de segurança.

O PSP (Personal Software Process) é um modelo do SEI que define disciplinas para qualidade pessoal do engenheiro de software.



Ou seja é uma metodologia alinhada com o CMM que possibilita a organização do desenvolvimento isolado, do citizen programmer, popular highlander. O cara que faz todo o processo de desenvolvimento sozinho.

O TSP (Team Software Process) faz o link entre os engenheiros de software que trabalham com o PSP.



O PSP é extremamente interessante para desenvolver um processo de qualidade no desenvolvimento em empresas que só possui um desenvolvedor ou até para projetos pequenos.

As fases do PSP

Processo de Medição Pessoal
PSP 0 Registro de Tempo, Registro de Defeitos Padrões
PSP 0.1 Padrão de Codificação, Medida de Tamanho, Proposta de Melhoramento de processo

Processo de Planejamento Pessoal
PSP 1 Estimativa de Trabalho, Relatório de Testes
PSP 1.1 Planejamento de Tarefas, Cronograma

Processo de Gerenciamento de Qualidade Pessoal
PSP 2 Revisões de Código, Revisões de Projeto
PSP 2.1 Padrões de Projeto

Processo Pessoal Cíclico
PSP 3 Desenvolvimento Cíclico

SEI
PSP
TSP