27 de setembro de 2006

XML Port Scan

Se os problemas de Injeção de Código (Cross Site Scripting) não foram suficientes para alertar os desenvolvedores, administradores de servidores web sobre a importância da configuração adequada dos servidores de aplicação, agora eles vão ter que acordar.

Primeiro foram os port scan baseados em javascript, agora pesquisadores da SIFT Information Security Services apresentaram um paper onde eles se aproveitam do parser do XML que é realizado no servidor de aplicação, para fazer um enumeration de maquinas que estão protegidas por um firewall.





O paper também descreve as medidas para mitigar esse risco. Pra variar, coisas que já são recomendadas a muito tempo.
XML Port Scanning - Bypassing Restrictive Perimeter Firewalls

Biometria

Quem acompanha os blogs do Fernando Cima e do André Fucs, estão verificando uma série de pontos que devem ser considerados na implementação de biometria.

Eu quero disponibilizar o video do:

Mythbusters-Beat Finger Print Security System

XML Port Scan

Se os problemas de Injeção de Código (Cross Site Scripting) não foram suficientes para alertar os desenvolvedores, administradores de servidores web sobre a importância da configuração adequada dos servidores de aplicação, agora eles vão ter que acordar.

Primeiro foram os port scan baseados em javascript, agora pesquisadores da SIFT Information Security Services apresentaram um paper onde eles se aproveitam do parser do XML que é realizado no servidor de aplicação, para fazer um enumeration de maquinas que estão protegidas por um firewall.





O paper também descreve as medidas para mitigar esse risco. Pra variar, coisas que já são recomendadas a muito tempo.
XML Port Scanning - Bypassing Restrictive Perimeter Firewalls

Biometria

Quem acompanha os blogs do Fernando Cima e do André Fucs, estão verificando uma série de pontos que devem ser considerados na implementação de biometria.

Eu quero disponibilizar o video do:

Mythbusters-Beat Finger Print Security System



21 de setembro de 2006

Hype Cycle

Apesar de não ser um grande fã do Gartner, ele costuma disponibilizar algumas informações interessantes.

Uma dessas informações é o Hype Cycle. Hype Cycle é basicamente, um estudo considerando 5 fases e mostrado em um gráfico, tendências, evolução, pico e outras características.



Pesquisando no google image, pode-se encontrar vários gráficos de hype cycle.
Hype Cycle por wikipedia
Entendo o Hype Cycle por Gartner

Hype Cycle

Apesar de não ser um grande fã do Gartner, ele costuma disponibilizar algumas informações interessantes.

Uma dessas informações é o Hype Cycle. Hype Cycle é basicamente, um estudo considerando 5 fases e mostrado em um gráfico, tendências, evolução, pico e outras características.



Pesquisando no google image, pode-se encontrar vários gráficos de hype cycle.

Hype Cycle por wikipedia
Entendo o Hype Cycle por Gartner



13 de setembro de 2006

Google está atento

Hoje pesquisando um site, me deparei com um novo "serviço" do google. Ele avisa quando você está partindo para um site potencialmente perigoso.

Google está atento

Hoje pesquisando um site, me deparei com um novo "serviço" do google. Ele avisa quando você está partindo para um site potencialmente perigoso.



12 de setembro de 2006

Bunker

Alguns acontecimentos, muitas vezes nos faz pensar em ter um bunker. Mas, o que realmente seria um bunker.

Bunker basicamente são infra-estruturas com vários controles de segurança, capazes de proteger de ataques pesados, armas de fogo, tóxicos, etc...

Interessante é ver toda tecnologia e técnicas empregadas no desenvolvimento de tais infra-estruturas. Vai muito além do que uma sala cofre pode oferecer. Ronaldo Vasconcelos já falou sobre um dos mais famosos o NORAD (North American Aerospace Defense Command).


Entrada no NORAD

Pesquisando, se encontra muito material sobre e já pode-se perceber que hoje já existe muitas outras utilidades para os bunker, como realização de festas e usar como moradia.

Com uma pesquisada no google image é possivel encontrar muitos detalhes, inclusive projetos.


Bunker pelo Wikipedia
NORAD

Ronaldo Vasconcelos
Sala cofre FAQ


Bunker

Alguns acontecimentos, muitas vezes nos faz pensar em ter um bunker. Mas, o que realmente seria um bunker.

Bunker basicamente são infra-estruturas com vários controles de segurança, capazes de proteger de ataques pesados, armas de fogo, tóxicos, etc...

Interessante é ver toda tecnologia e técnicas empregadas no desenvolvimento de tais infra-estruturas. Vai muito além do que uma sala cofre pode oferecer. Ronaldo Vasconcelos já falou sobre um dos mais famosos o NORAD (North American Aerospace Defense Command).


Entrada no NORAD

Pesquisando, se encontra muito material sobre e já pode-se perceber que hoje já existe muitas outras utilidades para os bunker, como realização de festas e usar como moradia.

Com uma pesquisada no google image é possivel encontrar muitos detalhes, inclusive projetos.






Bunker pelo Wikipedia
NORAD

Ronaldo Vasconcelos
Sala cofre FAQ


11 de setembro de 2006

Engenharia de Software

Engenharia de software na minha opinião não é a chave para software seguro, mas, é indispensável para qualidade do software.

O SWEBOK (Software Engineering Body of Knowledge) é um CBK (Corpo de conhecimento) sobre engenharia de software. o SWEBOK é um projeto do IEEE Computer Society e conta com apoio da Rational, Mitre, NIST, entre outros.



Excelente guia de referência para desenvolvimento de software.
Guide to the SWEBOK
Uma introdução ao SWEBOK
IEEE Computer Society

Quebrando Teclado Virtual de Internet Banking

Há muito tempo eu já tinha conhecimento desta técnica, mas, agora foi feito um video por profissionais espanhóis.

O vídeo mostra a atuação de um trojan que gera um video de tudo que é feito na tela do internet banking, isto torna os teclados virtuais inúteis.



O mais interessante é ver a mídia divulgar como novidade este tipo de ameaça:
Vírus "filma" digitação de senhas em Internet banking
Video espanhol mostrando atuação

Engenharia de Software

Engenharia de software na minha opinião não é a chave para software seguro, mas, é indispensável para qualidade do software.

O SWEBOK (Software Engineering Body of Knowledge) é um CBK (Corpo de conhecimento) sobre engenharia de software. o SWEBOK é um projeto do IEEE Computer Society e conta com apoio da Rational, Mitre, NIST, entre outros.



Excelente guia de referência para desenvolvimento de software.
Guide to the SWEBOK
Uma introdução ao SWEBOK
IEEE Computer Society


Quebrando Teclado Virtual de Internet Banking

Há muito tempo eu já tinha conhecimento desta técnica, mas, agora foi feito um video por profissionais espanhóis.

O vídeo mostra a atuação de um trojan que gera um video de tudo que é feito na tela do internet banking, isto torna os teclados virtuais inúteis.



O mais interessante é ver a mídia divulgar como novidade este tipo de ameaça:
Vírus "filma" digitação de senhas em Internet banking
Video espanhol mostrando atuação

5 de setembro de 2006

Security Pendrive 2 (backup)

Como havia falado, eu já tinha meus dados criptografados, só precisava de uma "estratégia" de backup dos dados.

Primeiro vou explicar como ficou toda solução.

1 - Peguei meu mp3 player e criei três pastas:
  • TrueCrypt - Onde instalei o truecrypt;
  • Musica - Onde coloco as músicas que estou ouvindo;
  • Dados - Diretório onde criei o diretório criptografado;

2 - Criptografei o volume dados usando o truecrypt.

Agora vamos aos scripts de backup. Eu usei dois scripts já prontos, só alterei o que eu precisava, em breve com mais tempo devo aperfeiçoar.

Um script é do Vinicius Canto (esse entende um pouquinho de scripts vbs) e o outro baixei da net "Tom's Cool Backup Script".

O script do Vinicius fica monitorando quando é "plugado" um dispositivo mass storage (pendrive) na maquina.

Plugado o pendrive, o script "PendriveMonitor.vbs" chama o script "backup.vbs". O "pendrivemonitor.vbs" fica rodando direto no micro, o "backup.vbs" será executado sempre que você plugar um pendrive.

O "backup.vbs" vai perguntar se você deseja fazer backup dos dados do pendrive, se optar por fazer ele irá copiar a pasta F:\dados para C:\backup. Feito o backup ele dá um alerta e pergunta se você deseja verificar o log.





Eu mantive todos os créditos nos dois scripts caso vocês queiram copiar pastas diferentes é só alterar no script.

Código do PendriveMonitor.vbs




Código do Backup.vbs



Salve no mesmo diretório do outro script como Backup.vbs.

Crie um atalho para o PendriveMonitor no iniciar da maquina, assim ele será executado sempre que a maquina for reiniciada.

Qualquer dúvida poste um comentário.

Blog do Vinicius Canto

Sony PSP TIFF Image Viewing Code Execution Vulnerability

Em um post recente eu havia falado que não falaria de PSP (Playstation Portátil) em um blog de segurança. Mas, a secunia acaba de divulgar uma brecha no PSP que possibilita que o invasor tenha acesso ao PSP.



Quem nunca jogou aquela partidinha de Winning Eleven que feche os olhos, mas, também alerto que hoje os playstations não são mais usados só para jogar.
Brecha de segurança no console portátil da Sony permite que crackers
formatem arquivos maliciosos e tomem controle do equipamento


Alerta da secunia

Security Pendrive 2 (backup)

Como havia falado, eu já tinha meus dados criptografados, só precisava de uma "estratégia" de backup dos dados.

Primeiro vou explicar como ficou toda solução.

1 - Peguei meu mp3 player e criei três pastas:

  • TrueCrypt - Onde instalei o truecrypt;

  • Musica - Onde coloco as músicas que estou ouvindo;

  • Dados - Diretório onde criei o diretório criptografado;


2 - Criptografei o volume dados usando o truecrypt.

Agora vamos aos scripts de backup. Eu usei dois scripts já prontos, só alterei o que eu precisava, em breve com mais tempo devo aperfeiçoar.

Um script é do Vinicius Canto (esse entende um pouquinho de scripts vbs) e o outro baixei da net "Tom's Cool Backup Script".

O script do Vinicius fica monitorando quando é "plugado" um dispositivo mass storage (pendrive) na maquina.

Plugado o pendrive, o script "PendriveMonitor.vbs" chama o script "backup.vbs". O "pendrivemonitor.vbs" fica rodando direto no micro, o "backup.vbs" será executado sempre que você plugar um pendrive.

O "backup.vbs" vai perguntar se você deseja fazer backup dos dados do pendrive, se optar por fazer ele irá copiar a pasta F:\dados para C:\backup. Feito o backup ele dá um alerta e pergunta se você deseja verificar o log.







Eu mantive todos os créditos nos dois scripts caso vocês queiram copiar pastas diferentes é só alterar no script.

Código do PendriveMonitor.vbs

Sony PSP TIFF Image Viewing Code Execution Vulnerability

Em um post recente eu havia falado que não falaria de PSP (Playstation Portátil) em um blog de segurança. Mas, a secunia acaba de divulgar uma brecha no PSP que possibilita que o invasor tenha acesso ao PSP.



Quem nunca jogou aquela partidinha de Winning Eleven que feche os olhos, mas, também alerto que hoje os playstations não são mais usados só para jogar.
Brecha de segurança no console portátil da Sony permite que crackers
formatem arquivos maliciosos e tomem controle do equipamento
Alerta da secunia



4 de setembro de 2006

Security Pendrive

Eu hoje não consigo mais viver sem meu pendrive, sempre que não estou com ele eu preciso. Por outro lado comecei a ficar preocupado com o volume e conteúdo das informações que eu estava armazenando nele.

Decidi então criptpgrafar os dados e utilizar ainda mais o recursos do pendrive. Criptografei um volume de dados e comecei a utilizar o Firefox e Thunderbird portable.





Com o firefox e thunderbird no pendrive eu posso usar também uma agenda sincronizada usando um plugin do firefox.

Ou seja, agora mantenho meus e-mails e minhas configurações de browser no meu pendrive. Além de ser uma "camada" a mais de proteção contra códigos maliciosos que exploram o browser.



Para ficar mais prático eu instalei o próprio TrueCrypt no pendrive, assim não preciso ter o mesmo instalado em toda maquina que eu for utilizar. Mas, mesmo com o TrueCripty no próprio pendrive, ele precisa formatar o volume ou quebrar a senha para ter acesso aos dados.

Agora vou desenvolver um script para "automatizar" o back-up. Assim pelo menos em casa e no escritório tenho sempre um back-up atualizado.
Aplicações para rodar no pendrive
TrueCrypt

Security Pendrive

Eu hoje não consigo mais viver sem meu pendrive, sempre que não estou com ele eu preciso. Por outro lado comecei a ficar preocupado com o volume e conteúdo das informações que eu estava armazenando nele.

Decidi então criptpgrafar os dados e utilizar ainda mais o recursos do pendrive. Criptografei um volume de dados e comecei a utilizar o Firefox e Thunderbird portable.





Com o firefox e thunderbird no pendrive eu posso usar também uma agenda sincronizada usando um plugin do firefox.

Ou seja, agora mantenho meus e-mails e minhas configurações de browser no meu pendrive. Além de ser uma "camada" a mais de proteção contra códigos maliciosos que exploram o browser.



Para ficar mais prático eu instalei o próprio TrueCrypt no pendrive, assim não preciso ter o mesmo instalado em toda maquina que eu for utilizar. Mas, mesmo com o TrueCrypt no próprio pendrive, ele precisa formatar o volume ou quebrar a senha para ter acesso aos dados.

Agora vou desenvolver um script para "automatizar" o back-up. Assim pelo menos em casa e no escritório tenho sempre um back-up atualizado.
Aplicações para rodar no pendrive
TrueCrypt