31 de agosto de 2006

iPod Linux

Se eu já estava interessado em um iPod para acompanhar mais de perto os podcasts, agora, minha enpolgação aumentou.

Visitando alguns sites descobri que pode-se fazer coisas que até Harison Ford no filme firewall iria ficar com inveja.

Já pensou ter uma distribuição derivada do Slackware no iPod? Sim já é possivel, já existe pessoas instalando o Slax no iPod. Slax é uma distribuição "live-CD" baseado no Slackware.





Se preferir pode instalar o iPod Linux, outra distribuição de linux especifica para o iPod.



Já existe todo tipo de "hack" para iPod, a própria IBM já rodou um VmWare em um nano e instalou linux.
Slax no iPod
iPod Linux

É mais informação do que preciso

Já faz um tempo que venho ouvindo comentários sobre, a possibilidade de serviços como o google utilizar o auto volume de informações sobre usuários que possui em causa própria.

Após a palestra de Gregi Conti na defcon, intitulada Googling I'm feeling (un)lucky, resolvi me questionar sobre o tema.

Realmente as informações podem ser utilizadas, mas, sinceramente acredito que, estas informações estão muito melhor protegida do que qualquer informação minha que eu disponibilizo para receita federal por exemplo.

Ou já esquecemos que nossos dados são vendidos em CD na Sta. Ifigênia; que um sonoplasta vende informações para o crime organizado por R$ 200; que a maioria das pessoas não toma o menor cuidado com informações sobre suas contas, extratos bancários?

Outras preocupações que acho FUD (medo, incerteza, dúvida): perfil no orkut, fotolog, blog e outras ferramentas de interação na web.

Hoje seu empregador pode saber informações suas usando o orkut. Qual o problema? Informações suas, inclusive as que estão no orkut, podem ser coletadas de várias outras formas.

Um pai pode divulgar fotos de sua filha no fotolog e um pedofilo pode se excitar vendo elas. Não que eu esteja fazendo apologia, ou achando isso normal, mas, esses infelizes podem fazer isso em qualquer lugar, inclusive na escola onde você paga uma fortuna e confia erroneamente, boa parte da educação dos seus filhos.

Conclusão: acho que está havendo uma visão errada. A visão deve estar na informação, essa sim deve ser disseminada adequadamente, ou técnicamente falando, classificada de forma adequada.

iPod Linux

Se eu já estava interessado em um iPod para acompanhar mais de perto os podcasts, agora, minha enpolgação aumentou.

Visitando alguns sites descobri que pode-se fazer coisas que até Harison Ford no filme firewall iria ficar com inveja.

Já pensou ter uma distribuição derivada do Slackware no iPod? Sim já é possivel, já existe pessoas instalando o Slax no iPod. Slax é uma distribuição "live-CD" baseado no Slackware.





Se preferir pode instalar o iPod Linux, outra distribuição de linux especifica para o iPod.



Já existe todo tipo de "hack" para iPod, a própria IBM já rodou um VmWare em um nano e instalou linux.

Slax no iPod
iPod Linux



É mais informação do que preciso

Já faz um tempo que venho ouvindo comentários sobre, a possibilidade de serviços como o google utilizar o auto volume de informações sobre usuários que possui em causa própria.

Após a palestra de Gregi Conti na defcon, intitulada Googling I'm feeling (un)lucky, resolvi me questionar sobre o tema.

Realmente as informações podem ser utilizadas, mas, sinceramente acredito que, estas informações estão muito melhor protegida do que qualquer informação minha que eu disponibilizo para receita federal por exemplo.

Ou já esquecemos que nossos dados são vendidos em CD na Sta. Ifigênia; que um sonoplasta vende informações para o crime organizado por R$ 200; que a maioria das pessoas não toma o menor cuidado com informações sobre suas contas, extratos bancários?

Outras preocupações que acho FUD (medo, incerteza, dúvida): perfil no orkut, fotolog, blog e outras ferramentas de interação na web.

Hoje seu empregador pode saber informações suas usando o orkut. Qual o problema? Informações suas, inclusive as que estão no orkut, podem ser coletadas de várias outras formas.

Um pai pode divulgar fotos de sua filha no fotolog e um pedofilo pode se excitar vendo elas. Não que eu esteja fazendo apologia, ou achando isso normal, mas, esses infelizes podem fazer isso em qualquer lugar, inclusive na escola onde você paga uma fortuna e confia erroneamente, boa parte da educação dos seus filhos.

Conclusão: acho que está havendo uma visão errada. A visão deve estar na informação, essa sim deve ser disseminada adequadamente, ou técnicamente falando, classificada de forma adequada.

30 de agosto de 2006

PSP

Não, eu não vou falar de playstation em um blog de segurança.

O PSP (Personal Software Process) é um modelo do SEI que define disciplinas para qualidade pessoal do engenheiro de software.



Ou seja é uma metodologia alinhada com o CMM que possibilita a organização do desenvolvimento isolado, do citizen programmer, popular highlander. O cara que faz todo o processo de desenvolvimento sozinho.

O TSP (Team Software Process) faz o link entre os engenheiros de software que trabalham com o PSP.



O PSP é extremamente interessante para desenvolver um processo de qualidade no desenvolvimento em empresas que só possui um desenvolvedor ou até para projetos pequenos.

As fases do PSP

Processo de Medição Pessoal
PSP 0 Registro de Tempo, Registro de Defeitos Padrões
PSP 0.1 Padrão de Codificação, Medida de Tamanho, Proposta de Melhoramento de processo

Processo de Planejamento Pessoal
PSP 1 Estimativa de Trabalho, Relatório de Testes
PSP 1.1 Planejamento de Tarefas, Cronograma

Processo de Gerenciamento de Qualidade Pessoal
PSP 2 Revisões de Código, Revisões de Projeto
PSP 2.1 Padrões de Projeto

Processo Pessoal Cíclico
PSP 3 Desenvolvimento Cíclico

SEI
PSP
TSP

PSP

Não, eu não vou falar de playstation em um blog de segurança.

O PSP (Personal Software Process) é um modelo do SEI que define disciplinas para qualidade pessoal do engenheiro de software.



Ou seja é uma metodologia alinhada com o CMM que possibilita a organização do desenvolvimento isolado, do citizen programmer, popular highlander. O cara que faz todo o processo de desenvolvimento sozinho.

O TSP (Team Software Process) faz o link entre os engenheiros de software que trabalham com o PSP.



O PSP é extremamente interessante para desenvolver um processo de qualidade no desenvolvimento em empresas que só possui um desenvolvedor ou até para projetos pequenos.

As fases do PSP

Processo de Medição Pessoal
PSP 0 Registro de Tempo, Registro de Defeitos Padrões
PSP 0.1 Padrão de Codificação, Medida de Tamanho, Proposta de Melhoramento de processo

Processo de Planejamento Pessoal
PSP 1 Estimativa de Trabalho, Relatório de Testes
PSP 1.1 Planejamento de Tarefas, Cronograma

Processo de Gerenciamento de Qualidade Pessoal
PSP 2 Revisões de Código, Revisões de Projeto
PSP 2.1 Padrões de Projeto

Processo Pessoal Cíclico
PSP 3 Desenvolvimento Cíclico
SEI
PSP
TSP

27 de agosto de 2006

Fraude Bancária

Recentemente um amigo do mercado financeiro me informou que já existiam fraudes com o "bingo card" aquela tabela de contra-senha que os bancos estão oferecendo.

Hoje acessando o banco do qual sou correntista ele me mostrou uma mensagem que busca conscientizar seus correntistas dessa fraude. A fraude consiste em solicitar que o usuário preencha todas as contra-senhas e um site falso.



Para tentar mitigar algumas fraudes bancárias já se discute várias soluções, inclusive uma baseada em live-CD, essa foi amplamente discutida na CISSP-BR essa semana.

Eu particularmente acredito bastante nas soluções de virtualização, onde o usuário pode virtualizar somente os softwares que desejar ou forem mais perigosos como um browser.





Estou testanto o BufferZone, em breve descrevo minhas experiências.
BufferZone

Fraude Bancária

Recentemente um amigo do mercado financeiro me informou que já existiam fraudes com o "bingo card" aquela tabela de contra-senha que os bancos estão oferecendo.

Hoje acessando o banco do qual sou correntista ele me mostrou uma mensagem que busca conscientizar seus correntistas dessa fraude. A fraude consiste em solicitar que o usuário preencha todas as contra-senhas e um site falso.



Para tentar mitigar algumas fraudes bancárias já se discute várias soluções, inclusive uma baseada em live-CD, essa foi amplamente discutida na CISSP-BR essa semana.

Eu particularmente acredito bastante nas soluções de virtualização, onde o usuário pode virtualizar somente os softwares que desejar ou forem mais perigosos como um browser.





Estou testanto o BufferZone, em breve descrevo minhas experiências.
BufferZone







23 de agosto de 2006

Data Warehouse for Security

Devido a minha "veia" de desenvolvedor eu sempre me mantenho antenado em aspectos relacionados a banco de dados, desenvolvimento, e claro, associando tudo isso a segurança.

Uma coisa que já havia comentado com alguns amigos é a possibilidade de utilizar técnicas de Data Warehouse em segurança.

A técnica de Data Warehouse consiste basicamente em extrair dados essenciais de grandes volumes de dados e transformar dados brutos em informações que venham auxiliar em tomadas de decisões.

Ainda avançando nas minhas pesquisas eu identifiquei até o momento que parte deste recurso já vem sendo usado há um bom tempo, quando digo parte deste recurso me refiro somente a uma das características do Data Warehouse. Essa característica é o Data Mining, está característica só faz a mineração dos dados, ou seja, ele extrai dados de um volume maior, sem fazer um trabalho, sem agregar valor a esses dados.



Acredito que a evolução desta técnica seja uma das alternativas para mitigar as Insiders Threats. Trabalhando, gerando valor ao imenso volume de informações que extraímos dos mais diversos locais, poderíamos tornar possível uma análise mais profunda de comportamentos e desenvolvimento de redes neurais.



Segue uma série de trabalhos sobre a utilização de Data Mining em detecção de intrusão


Um modelo para a detecção de intrusão por anomalia utilizando técnicas de data mining

Data Mining Approaches for Intrusion Detection

A Data Mining Framework for Building Intrusion Detection
Models


Data Mining for Network Intrusion Detection: How to Get
Started


Creation and Deployment of Data Mining-Based Intrusion Detection Systemsin Oracle Database 10g

Data Mining Methods for
Network Intrusion Detection


Real Time Data Mining-based
Intrusion


Data Warehouse for Security

Devido a minha "veia" de desenvolvedor eu sempre me mantenho antenado em aspectos relacionados a banco de dados, desenvolvimento, e claro, associando tudo isso a segurança.

Uma coisa que já havia comentado com alguns amigos é a possibilidade de utilizar técnicas de Data Warehouse em segurança.

A técnica de Data Warehouse consiste basicamente em extrair dados essenciais de grandes volumes de dados e transformar dados brutos em informações que venham auxiliar em tomadas de decisões.

Ainda avançando nas minhas pesquisas eu identifiquei até o momento que parte deste recurso já vem sendo usado há um bom tempo, quando digo parte deste recurso me refiro somente a uma das características do Data Warehouse. Essa característica é o Data Mining, está característica só faz a mineração dos dados, ou seja, ele extrai dados de um volume maior, sem fazer um trabalho, sem agregar valor a esses dados.

Arquitetura de Data Ware House

Acredito que a evolução desta técnica seja uma das alternativas para mitigar as Insiders Threats. Trabalhando, gerando valor ao imenso volume de informações que extraímos dos mais diversos locais, poderíamos tornar possível uma análise mais profunda de comportamentos e desenvolvimento de redes neurais.

kdd.gif

Segue uma série de trabalhos sobre a utilização de Data Mining em detecção de intrusão


Um modelo para a detecção de intrusão por anomalia utilizando técnicas de data mining

Data Mining Approaches for Intrusion Detection

A Data Mining Framework for Building Intrusion Detection
Models


Data Mining for Network Intrusion Detection: How to Get
Started


Creation and Deployment of Data Mining-Based Intrusion Detection Systemsin Oracle Database 10g

Data Mining Methods for
Network Intrusion Detection


Real Time Data Mining-based
Intrusion


21 de agosto de 2006

Hack.5 - Video Podcast

Hack.5 é um video podcast hacker. Mensalmente dois apresentadores mostram alguns tutoriais. Tudo isso movido a risadas e uma cervejinha.

É possivel assistir os videos via YouTube sem a necessidade de pagar uma subscrição, pagando a subscrição você pode gerenciar os podcasts via iTunes.

Hack.5
Todos os Episódios

Hack.5 - Video Podcast

Hack.5 é um video podcast hacker. Mensalmente dois apresentadores mostram alguns tutoriais. Tudo isso movido a risadas e uma cervejinha.

É possivel assistir os videos via YouTube sem a necessidade de pagar uma subscrição, pagando a subscrição você pode gerenciar os podcasts via iTunes.

Hack.5
Todos os Episódios

18 de agosto de 2006

X-Force Threat Insight Quarterly

O xForce, laboratório da ISS disponibiliza um relatório trimestral com as principais ameaças, critícidade e algumas tendências sobre ameaças.



O último relatório de Abril traz um alerta aos "Macmaniacos":

"Many people hold the perception that Apple's Mac OS X is relatively “safe” or contains fewer vulnerabilities. Though the percentage of threats affecting Mac OS X is smaller than other popular platforms, it is not invulnerable to threats and malware. This perception has started to shift as an increasing number of threats targeting this platform have been brought to light."

Cito esse exemplo devido ao recente acontecimento com a Apple. O Eduardo Cabral disponibilizou um video no seu blog.

X-Force Threat Insight Quarterly
Wireless Exploit - The movie

X-Force Threat Insight Quarterly

O xForce, laboratório da ISS disponibiliza um relatório trimestral com as principais ameaças, critícidade e algumas tendências sobre ameaças.



O último relatório de Abril traz um alerta aos "Macmaniacos":

"Many people hold the perception that Apple's Mac OS X is relatively “safe” or contains fewer vulnerabilities. Though the percentage of threats affecting Mac OS X is smaller than other popular platforms, it is not invulnerable to threats and malware. This perception has started to shift as an increasing number of threats targeting this platform have been brought to light."

Cito esse exemplo devido ao recente acontecimento com a Apple. O Eduardo Cabral disponibilizou um video no seu blog.

X-Force Threat Insight Quarterly
Wireless Exploit - The movie

17 de agosto de 2006

National Information Assurance Glossary

Atualiazado em junho de 2006, o NATIONAL INFORMATION ASSURANCE GLOSSARY é uma excelente referência para definições de Segurança

Segue alguns exemplos de definições:

Anti-Spoof: Measures taken to prevent the unauthorized use of legitimate Identification & Authentication (I&A) data, however it was obtained, to mimic a subject different from the attacker.

Assured Software: software that has been designed, developed, analyzed and tested using processes, tools, and techniques that establish a level of confidence in its trustworthiness appropriate for its intended use.

Audit Trail: chronological record of system activities to enable the reconstruction and examination of the sequence of events and/or changes in an event.

NATIONAL INFORMATION ASSURANCE (IA) GLOSSARY

National Information Assurance Glossary

Atualiazado em junho de 2006, o NATIONAL INFORMATION ASSURANCE GLOSSARY é uma excelente referência para definições de Segurança

Segue alguns exemplos de definições:

Anti-Spoof: Measures taken to prevent the unauthorized use of legitimate Identification & Authentication (I&A) data, however it was obtained, to mimic a subject different from the attacker.

Assured Software: software that has been designed, developed, analyzed and tested using processes, tools, and techniques that establish a level of confidence in its trustworthiness appropriate for its intended use.

Audit Trail: chronological record of system activities to enable the reconstruction and examination of the sequence of events and/or changes in an event.

NATIONAL INFORMATION ASSURANCE (IA) GLOSSARY

16 de agosto de 2006

Security Standards

O site do Ministry Of Government Services de Ontario no Canada possui uma série de "Security Standards" que podem servir de base para quem não está habituado a criar normas.

Segue alguns exemplos:

Ministry Of Government Services

Security Standards

O site do Ministry Of Government Services de Ontario no Canada possui uma série de "Security Standards" que podem servir de base para quem não está habituado a criar normas.

Segue alguns exemplos:

Ministry Of Government Services

9 de agosto de 2006

Compliance Developer

Um artigo da microsoft sintetiza bem as preocupações, ou seria remendos que desenvolvedores precisam fazer em aplicações para estar em conformidade com as principais regulamentações mundiais.

Sarbanes Oxley: privacidade e Integridade em dados financeiros e rastreabilidade;
HIPAA: confidencialidade, Integridade e Disponibilidade de informações médicas de pacientes;
PCI: confidencialidade no armazenamento e uso de cartões de crédito;
GLBA: confidencialidade e integridade nas informações financeiras armazenadas por instituições financeiras;
SB 1386: confidencialidade nas informações pessoais de clientes que fazem negócio na California;
Basiléia 2: confidencialidade e integridade nas informações financeiras armazenadas por instituições financeiras; Disponibilidade de sistemas financeiros; Integridade nas informações financeiras transmitidas; Autenticação e integridade em transações financeiras.

Quando me refiro a remendos, é porque estamos vendo desenvolvedores correndo para implementar controles que já deveriam estar implementados, o processo de segurança no desenvolvimento deveria ser tão trabalhado quanto o de qualidade de software.

Software desenvolvido seguindo processos de engenharia e qualidade de software nem sempre são softwares seguros.

Regulatory Compliance Demystified: An Introduction to Compliance for Developers

Compliance Developer

Um artigo da microsoft sintetiza bem as preocupações, ou seria remendos que desenvolvedores precisam fazer em aplicações para estar em conformidade com as principais regulamentações mundiais.

Sarbanes Oxley: privacidade e Integridade em dados financeiros e rastreabilidade;
HIPAA: confidencialidade, Integridade e Disponibilidade de informações médicas de pacientes;
PCI: confidencialidade no armazenamento e uso de cartões de crédito;
GLBA: confidencialidade e integridade nas informações financeiras armazenadas por instituições financeiras;
SB 1386: confidencialidade nas informações pessoais de clientes que fazem negócio na California;
Basiléia 2: confidencialidade e integridade nas informações financeiras armazenadas por instituições financeiras; Disponibilidade de sistemas financeiros; Integridade nas informações financeiras transmitidas; Autenticação e integridade em transações financeiras.

Quando me refiro a remendos, é porque estamos vendo desenvolvedores correndo para implementar controles que já deveriam estar implementados, o processo de segurança no desenvolvimento deveria ser tão trabalhado quanto o de qualidade de software.

Software desenvolvido seguindo processos de engenharia e qualidade de software nem sempre são softwares seguros.

Regulatory Compliance Demystified: An Introduction to Compliance for Developers

8 de agosto de 2006

Chief Continuity Officer

Às vezes me pego há pensar: em terra que ainda se conta nos dedos a figura do CSO (Chief Security Officer) quando as empresas terão um CCO (Chief Continuity Officer)?

Sabemos que muitas empresas, principalmente instituições financeiras que estão sujeitas a regulamentações como Basileia 2, existe profissionais ou áreas responsáveis por CONTINGÊNCIA, essa bem diferente de Continuidade de Negócios.

O CCO é um EXECUTIVO responsável não só por controles, soluções buscando contingência de ativos que suportam o negócio, como planos estratégicos buscando vantagens competitivas e continuidade dos negócios.

Com a publicação da BS 25999 as possibilidades desse profissional aparecer aumenta, e caso essa BS vire ISO e a mesma certifique uma empresa, tornando ela "compliance" em continuidade de negócios, creio que o valor dessa certificação tenha peso maior que a própria certificação de um ISMS (Information Security Management System).

Sim eu sei que um dos controles da ISO 27001 trata de continuidade de negócios e que a SOX exige conformidade com BCP, mas, os controles sugeridos pela ISO e exigidos pela SOX estão longe de fazer a diferença na imagem da empresa.

Quando falo que uma empresa terá muito mais valor quando certificada em Continuidade de Negócios do que em Segurança da Informação, associo essa certificação à garantia de que a empresa garante a sua continuidade através do envolvimento de todo Supply Chain, que seus principais fornecedores são incluídos em testes do plano, que ela possui uma estratégia que garanta que aquela empresa lá em Israel que é a única empresa que fabrica sua principal matéria prima, tenha um plano de contingência ou que ela tem uma alternativa caso não consiga lhe entregar a matéria prima.

Isso é o que eu espero, mas, o futuro a Deus pertence. Ou seria o Gartner?

Feed Injection in WEB 2.0

A SPI Dynamics divulgou mais um paper sobre injeção de códigos, o paper demonstra um ataque a implementações feed RRS/ATOM.

Só não concordo com o título "Feed Injection in WEB 2.0", os feeds estão ai há muito tempo, muito antes da "tal" WEB 2.0

Feed Injection in WEB 2.0

Chief Continuity Officer

Às vezes me pego há pensar: em terra que ainda se conta nos dedos a figura do CSO (Chief Security Officer) quando as empresas terão um CCO (Chief Continuity Officer)?

Sabemos que muitas empresas, principalmente instituições financeiras que estão sujeitas a regulamentações como Basileia 2, existe profissionais ou áreas responsáveis por CONTINGÊNCIA, essa bem diferente de Continuidade de Negócios.

O CCO é um EXECUTIVO responsável não só por controles, soluções buscando contingência de ativos que suportam o negócio, como planos estratégicos buscando vantagens competitivas e continuidade dos negócios.

Com a publicação da BS 25999 as possibilidades desse profissional aparecer aumenta, e caso essa BS vire ISO e a mesma certifique uma empresa, tornando ela "compliance" em continuidade de negócios, creio que o valor dessa certificação tenha peso maior que a própria certificação de um ISMS (Information Security Management System).

Sim eu sei que um dos controles da ISO 27001 trata de continuidade de negócios e que a SOX exige conformidade com BCP, mas, os controles sugeridos pela ISO e exigidos pela SOX estão longe de fazer a diferença na imagem da empresa.

Quando falo que uma empresa terá muito mais valor quando certificada em Continuidade de Negócios do que em Segurança da Informação, associo essa certificação a garantia de que a empresa garante a sua continuidade através do envolvimento de todo Supply Chain, que seus principais fornecedores são incluídos em testes do plano, que ela possui uma estratégia que garanta que aquela empresa lá em Israel que é a única empresa que fabrica sua principal matéria prima, tenha um plano de contingência ou que ela tem uma alternativa caso não consiga lhe entregar a matéria prima.

Isso é o que eu espero, mas, o futuro a Deus pertence. Ou seria o Gartner?

Feed Injection in WEB 2.0

A SPI Dynamics divulgou mais um paper sobre injeção de códigos, o paper demonstra um ataque a implementações feed RRS/ATOM.

Só não concordo com o título "Feed Injection in WEB 2.0", os feeds estão ai há muito tempo, muito antes da "tal" WEB 2.0

Feed Injection in WEB 2.0

7 de agosto de 2006

IT Examination HandBook

O IT Examination HandBook da Federal Financial Institutions Examination Council é uma excelente referência para gestão de segurança, elaboração de políticas e procedimentos.

O Guide tratas de tópicos como: Análise de riscos; como medir efetividade dos controles; processo de aquisição e desenvolvimento de software; outsorcing de segurança; continuidade de negócios; monitoramento de segurança; tratamento de logs; e gestão de incidentes de segurança.

O Guide é mais gerencial, não segue a linha "técnica" de OSSTMM, ISSAF e outros.

IT Examination Handbook
Federal Financial Institution Examination Council

IT Examination HandBook

O IT Examination HandBook da Federal Financial Institutions Examination Council é uma excelente referência para gestão de segurança, elaboração de políticas e procedimentos.

O Guide trata de tópicos como: Análise de riscos; como medir efetividade dos controles; processo de aquisição e desenvolvimento de software; outsorcing de segurança; continuidade de negócios; monitoramento de segurança; tratamento de logs; e gestão de incidentes de segurança.

O Guide é mais gerencial, não segue a linha "técnica" de OSSTMM, ISSAF e outros.

IT Examination Handbook
Federal Financial Institution Examination Council


4 de agosto de 2006

AJAX MAssive Storage System (AMASS)

O AJAX MAssive Storage System (AMASS) é um script que permite incluir um volume de dados muito maior que o permitido pelo internet explorer (64k) na maquina cliente.

Ao passar dos 100k o script dispara um aviso perguntando para o cliente se ele permite armazenar os dados na maquina cliente.



Esse script foi criado para você desenvolver alguma aplicação que necessite disso, por isso ele avisa e possibilita que você não aceite.

Agora imagine isso usado por alguém mal intencionado, o desenvolvedor diz ter realizado testes conseguindo armazenar na maquina client até 10 mb.

As possibilidades de exploração são inúmeras. Combinado com o excesso de privilégio dos Browser, pode-se injetar um código e executar.

O AJAX MAssive Storage System (AMASS)

Application Security

Na base de dados do MSDN se encontra um excelente conteúdo sobre desenvolvimento seguro.

O conteúdo está dividido em tópicos que tratam desde arquitetura, validação de inputs, modelagem de ameaças até defesa em profundidade.


Arquitetura


Decomposição da Aplicação


Validação de inputs


Modelagem de Ameaças


Arvore de Ataques

Chapter 1- Web Application Security Fundamentals
Chapter 2 – Threats and Countermeasures
Chapter 3 – Threat Modeling
Chapter 4 – Design Guidelines for Secure Web Applications
Chapter 5 – Architecture and Design Review for Security
Chapter 6 - .NET Security Overview
Chapter 7 – Building Secure Assemblies
Chapter 8 – Code Access Security in Practice
Chapter 9 – Using Code Access Security with ASP.NET
Chapter 10 – Building Secure ASP.NET Pages and Controls
Chapter 11 – Building Secure Serviced Components
Chapter 12 – Building Secure Web Services
Chapter 13 – Building Secure Remoted Components
Chapter 14 – Building Secure Data Access
Chapter 15 – Securing Your Network
Chapter 16 – Securing Your Web Server
Chapter 17 – Securing Your Application Server
Chapter 18 – Securing Your Database Server
Chapter 19 – Securing Your ASP.NET Application and Web Services
Chapter 20 – Hosting Multiple Web Applications
Chapter 21 – Code Review
Chapter 22 – Deployment Review

Também não posso deixar de falar do Guide do OWASP e do Top10 que foi traduzido pelo capítulo Brasil do OWASP.

OWASP Guide
Top10 OWASP [Português]

Participem da lista de discussão do OWASP Brasil

AJAX MAssive Storage System (AMASS)

O AJAX MAssive Storage System (AMASS) é um script que permite incluir um volume de dados muito maior que o permitido pelo internet explorer (64k) na maquina cliente.

Ao passar dos 100k o script dispara um aviso perguntando para o cliente se ele permite armazenar os dados na maquina cliente.



Esse script foi criado para você desenvolver alguma aplicação que necessite disso, por isso ele avisa e possibilita que você não aceite.

Agora imagine isso usado por alguém mal intencionado, o desenvolvedor diz ter realizado testes conseguindo armazenar na maquina client até 10 mb.

As possibilidades de exploração são inúmeras. Combinado com o excesso de privilégio dos Browser, pode-se injetar um código e executar.

O AJAX MAssive Storage System (AMASS)

Application Security

Na base de dados do MSDN se encontra um excelente conteúdo sobre desenvolvimento seguro.

O conteúdo está dividido em tópicos que tratam desde arquitetura, validação de inputs, modelagem de ameaças até defesa em profundidade.


Arquitetura


Decomposição da Aplicação


Validação de inputs


Modelagem de Ameaças


Arvore de Ataques

Chapter 1- Web Application Security Fundamentals
Chapter 2 – Threats and Countermeasures
Chapter 3 – Threat Modeling
Chapter 4 – Design Guidelines for Secure Web Applications
Chapter 5 – Architecture and Design Review for Security
Chapter 6 - .NET Security Overview
Chapter 7 – Building Secure Assemblies
Chapter 8 – Code Access Security in Practice
Chapter 9 – Using Code Access Security with ASP.NET
Chapter 10 – Building Secure ASP.NET Pages and Controls
Chapter 11 – Building Secure Serviced Components
Chapter 12 – Building Secure Web Services
Chapter 13 – Building Secure Remoted Components
Chapter 14 – Building Secure Data Access
Chapter 15 – Securing Your Network
Chapter 16 – Securing Your Web Server
Chapter 17 – Securing Your Application Server
Chapter 18 – Securing Your Database Server
Chapter 19 – Securing Your ASP.NET Application and Web Services
Chapter 20 – Hosting Multiple Web Applications
Chapter 21 – Code Review
Chapter 22 – Deployment Review

Também não posso deixar de falar do Guide do OWASP e do Top10 que foi traduzido pelo capítulo Brasil do OWASP.

OWASP Guide
Top10 OWASP [Português]

Participem da lista de discussão do OWASP Brasil

2 de agosto de 2006

Mapping The Global Future

Mapping The Global Future é um relatório preparado pela National Intelligency Council (NIC) que faz uma visão de longo prazo do futuro.

O objetivo não é fazer uma previsão, mas sim, um exercício sobre o que nos espera no futuro e como nos preparar para isso. Sem dúvida muito interessante.

Também está disponível o livro: O Relatório da CIA: Como Será o Mundo em 2020, que tem prefácio de Heródoto Barbeiro da CBN.

Mapping The Global Future

Mapping The Global Future

Mapping The Global Future é um relatório preparado pela National Intelligency Council (NIC) que faz uma visão de longo prazo do futuro.

O objetivo não é fazer uma previsão, mas sim, um exercício sobre o que nos espera no futuro e como nos preparar para isso. Sem dúvida muito interessante.

Também está disponível o livro: O Relatório da CIA: Como Será o Mundo em 2020, que tem prefácio de Heródoto Barbeiro da CBN.

Mapping The Global Future

1 de agosto de 2006

Análise Gráfica de Tráfego

O PIPSS (Perl Internet Protocol Scanner/Sniffer) é um sniffer baseado no ethereal que mostra de forma gráfica os protocolos.

Para quem não se familiariza com a tela preta do TcpDump ou as características do Ethereal, o PIPSS é uma opção.

Deve ficar bem interessante essas imagens em um telão. A imagem a seguir mostra o tráfego em espiral entre um gateway e um firewall.



PIPSS

Análise Gráfica de Tráfego

O PIPSS (Perl Internet Protocol Scanner/Sniffer) é um sniffer baseado no ethereal que mostra de forma gráfica os protocolos.

Para quem não se familiariza com a tela preta do TcpDump ou as características do Ethereal, o PIPSS é uma opção.

Deve ficar bem interessante essas imagens em um telão. A imagem a seguir mostra o tráfego em espiral entre um gateway e um firewall.



PIPSS