RPO (Recovery Point Objective) é a métrica utilizada para identificar a disponibilização de dados que atendam os RTOs definidos para cada processo de negócio.
Não entendeu nada? Fique tranquilo, é o que eu mais vejo por aí!
Em poucas palavras o RTO é quanto o processo suporta de perda de dados. Não confunda isto com o último backup realizado, equívoco bastante comum entre os profissionais de contingência, infra-estrutura.
O último backup realizado pode servir como métrica para desenvolver uma estratégia para garantir a continuidade de processos de negócios, mas o RTO consiste em um objetivo, como o acrônimo RPO (Recovery Point Objective) deixa claro.
Vamos tentar clarear as coisas. Aconteceu um incidente, preciso restabelecer um processo dentro do objetivo de recuperação que eu identifiquei (RTO). Para restabelecer este processo eu preciso de dados, ai entra o RPO. Se eu preciso de dados de 2 horas (meu RPO) antes do incidente e meu último backup é de 24 horas atrás, tenho um problema sério.
Para atender o meu RPO de duas horas preciso alterar a minha estratégia de backup ou fazer uma reengenharia no processo.
Porque reengenharia no processo?
Porque não é sempre que o meu problema é apenas com dados digitalizados. Se o problema é backup, eu posso mudar minha solução de backup, alterar a estratégia. Agora se o processo depende de informações "não digitais"? Ai só uma reengenharia no processo pode resolver ou minimizar os impactos.
31 de dezembro de 2007
28 de dezembro de 2007
links for 2007-12-28
Post do Tony Rodriguês com links para sites com recursos para pericia forense
(tags: Forense)
Ferramenta que analisa estatísticamente as regras utilizadas no firewall
24 de dezembro de 2007
links for 2007-12-24
Debugging web que possibilita inclusive "sniffar" HTTPS.
Form style web 2.0 generator - Design and make your css for free, gradient image generation included
Aplicação web que gera stilos para formulários. Após gerar o estilo você pode baixar o css.
(tags: css AplicacaoWeb)
22 de dezembro de 2007
links for 2007-12-22
Ferramenta para gerar arvore de ataque
(tags: pentest ArvoreAtaque)
Solução para media center
(tags: MediaCenter)
21 de dezembro de 2007
19 de dezembro de 2007
Recovery Time Objective
O termo RTO (Recovery Time Objective) é conhecido pela maioria dos profissionais que atuam direta ou indiretamente com Continuidade de Negócios.O RTO consiste no tempo em que determinado processo tem para que, uma solução de recuperação e/ou contingência seja executada/ativada antes que o processo venha causar impacto a organização.
Se já sabemos o que é o RTO, não existe dificuldade em identificar junto aos responsáveis pelo processo, qual o RTO de cada processo. Errado, boa parte dos RTOs identificados em trabalhos de Continuidade de Negócios não condizem com a realidade e acabam direcionando as organizações a tomar decisões precipitadas.
A primeira coisa que devemos nos ater é, o RTO é apenas o tempo que o processo tem disponível para ser suportado por uma solução alternativa que o mantenha a níveis satisfatórios sem causar impactos a organização. Neste tempo teremos apenas uma solução de contorno (Workaround), o que difere do tempo total que um processo pode ficar indisponível. O tempo total que um processo pode ficar indisponível é definido segundo a BS 25999-1 como MTPD (Maximum Tolerable Period of Disruption).
Então podemos identificar pelo diagrama abaixo que, eu preciso subtrair do tempo total que o processo pode ficar indisponível o RTO mais o tempo para reestabelecer a normalidade.
Se não bastasse o equívoco cometido quanto aos tempos de RTO/MTPD, muitos generalizam o tempo assumindo que o MTPD é o RTO, ainda temos um problema mais sério. A maioria dos RTOs mapeados em projetos é muito mais baixo do que deveria. Na prática são raras as exceções onde um processo tem RTO menor que 1, 2 hora. O que quero dizer com isto? A maioria dos profissionais valorizam muito os RTOs sem medir ou conhecer as consequências. Um processo que pode ter até 24 horas de RTO é mapeado com um 1 hora como se não houvesse problema nisto.
O grande problema quando mapeamos RTOs relativamente baixos é a solução de estratégia. Sabemos que os RTOs e critícidades dos processos da organização são mapeados na BIA (Business Impact Analysis), fase esta que antecede e serve como tomada de decisão para a próxima fase, seleção de estratégia.
Na fase de Seleção de Estratégia vamos planejar e identificar soluções para atender os tempos mapeados como objetivo (RTO) na BIA. O que acontece quando os RTOs são muito baixo? As soluções para atender estes tempos serão soluções de alta disponibilidade e consequentemente terão um custo muito mais alto que qualquer plano de resposta. Ao contrário do que muita gente pensa, Se sabemos que são raras as exceções de RTO entre 1 e 2 horas, consequentemente são raras as exceções onde você necessita de Alta Disponibilidade para atender as necessidades da organização.
Resumindo, Planos para Continuidade do Negócio estão longe de ser soluções de contingência e a maioria das organizações estão gastando mais do que deviam com soluções de Alta Disponibilidade e Contingência.
No próximo post vou falar sobre o RPO (Recovery Point Objective).
Se já sabemos o que é o RTO, não existe dificuldade em identificar junto aos responsáveis pelo processo, qual o RTO de cada processo. Errado, boa parte dos RTOs identificados em trabalhos de Continuidade de Negócios não condizem com a realidade e acabam direcionando as organizações a tomar decisões precipitadas.
A primeira coisa que devemos nos ater é, o RTO é apenas o tempo que o processo tem disponível para ser suportado por uma solução alternativa que o mantenha a níveis satisfatórios sem causar impactos a organização. Neste tempo teremos apenas uma solução de contorno (Workaround), o que difere do tempo total que um processo pode ficar indisponível. O tempo total que um processo pode ficar indisponível é definido segundo a BS 25999-1 como MTPD (Maximum Tolerable Period of Disruption).
Então podemos identificar pelo diagrama abaixo que, eu preciso subtrair do tempo total que o processo pode ficar indisponível o RTO mais o tempo para reestabelecer a normalidade.
Se não bastasse o equívoco cometido quanto aos tempos de RTO/MTPD, muitos generalizam o tempo assumindo que o MTPD é o RTO, ainda temos um problema mais sério. A maioria dos RTOs mapeados em projetos é muito mais baixo do que deveria. Na prática são raras as exceções onde um processo tem RTO menor que 1, 2 hora. O que quero dizer com isto? A maioria dos profissionais valorizam muito os RTOs sem medir ou conhecer as consequências. Um processo que pode ter até 24 horas de RTO é mapeado com um 1 hora como se não houvesse problema nisto.
O grande problema quando mapeamos RTOs relativamente baixos é a solução de estratégia. Sabemos que os RTOs e critícidades dos processos da organização são mapeados na BIA (Business Impact Analysis), fase esta que antecede e serve como tomada de decisão para a próxima fase, seleção de estratégia.
Na fase de Seleção de Estratégia vamos planejar e identificar soluções para atender os tempos mapeados como objetivo (RTO) na BIA. O que acontece quando os RTOs são muito baixo? As soluções para atender estes tempos serão soluções de alta disponibilidade e consequentemente terão um custo muito mais alto que qualquer plano de resposta. Ao contrário do que muita gente pensa, Se sabemos que são raras as exceções de RTO entre 1 e 2 horas, consequentemente são raras as exceções onde você necessita de Alta Disponibilidade para atender as necessidades da organização.
Resumindo, Planos para Continuidade do Negócio estão longe de ser soluções de contingência e a maioria das organizações estão gastando mais do que deviam com soluções de Alta Disponibilidade e Contingência.
No próximo post vou falar sobre o RPO (Recovery Point Objective).
18 de dezembro de 2007
links for 2007-12-18
Add-In para Microsoft Project 2003 que cria um relatório de Status Report
(tags: Project GerenciamentoProjeto)
17 de dezembro de 2007
links for 2007-12-17
Cheat Sheet de SQL Injection para os principais banco de dados
Ferramenta freeware de backup e sincronização de arquivos
(tags: backup sincronizacao)
15 de dezembro de 2007
USB Insecurity
Um assunto comum entre profissionais de segurança recentemente é a disponibilização ou não, de acesso a porta USB de computadores corporativos. Com acesso USB pode se conectar desde de dispositivos de mass storage (pendrive), até periféricos como impressoras.
O problema é que através deste recurso pode-se roubar informações, conectar dispositivos que possam comprometer a segurança do computador, até dar boot em sistemas operacionais.
Esta breve introdução é apenas para dizer que, se já era necessário atenção quando o acesso a porta era físico, imagine se o recurso for acessado via rede?
É exatamente o que o projeto USB/IP Project se propõe a implementar.
O problema é que através deste recurso pode-se roubar informações, conectar dispositivos que possam comprometer a segurança do computador, até dar boot em sistemas operacionais.
Esta breve introdução é apenas para dizer que, se já era necessário atenção quando o acesso a porta era físico, imagine se o recurso for acessado via rede?
É exatamente o que o projeto USB/IP Project se propõe a implementar.
13 de dezembro de 2007
links for 2007-12-13
Ferramenta para tratar e redimencionar imagens em lote.
Artigo interessante sobre erros comuns cometidos na estimativas de projeto
(tags: GerenciamentoProjeto)
Artigo bem antigo, mas dá uma visão dos padrões TCSEC, ITSEC e CC
Como funciona a cabeça de um hacker
Eu sou leitor assíduo de um site chamado HowStuffWorks, não preciso nem traduzir o título do site. Eles acabam de escrever um artigo bem interessante (apesar de ser escrito para leigos) sobre a cultura, hacker.
O artigo chamado "Como funciona a cabeça de um hacker" está estruturado em 8 tópicos:
1 - Introdução
2 - Tipos de hackers e suas características
3 - O que motiva o hacker
4 - Como atacam os hackers
5 - A ciência do hacking
6 - Hackers que fizeram história
7 - O glossário do hacker
8 - Mais informações
O artigo começa esclarecendo como surgiu a cultura e qual a origem do termo hacker e passa por termos conhecidos como:
Por ser escrito de forma simples e para leigos, esclarece vários pontos comumente confundidos por quem não é da área. Vale destacar as referências, que vão de Barata Elétrica (Conteúdo não "hard", mas quem não leu?), um mirror do site Unsekurity e os tradicionais phrack, securityfocus e packetstorm.
O artigo chamado "Como funciona a cabeça de um hacker" está estruturado em 8 tópicos:
1 - Introdução
2 - Tipos de hackers e suas características
3 - O que motiva o hacker
4 - Como atacam os hackers
5 - A ciência do hacking
6 - Hackers que fizeram história
7 - O glossário do hacker
8 - Mais informações
O artigo começa esclarecendo como surgiu a cultura e qual a origem do termo hacker e passa por termos conhecidos como:
Leet ("lito" como diria meu amigo Wendel): A própria palavra leet admite muitas variações, como l33t ou 1337. O uso do leet reflete uma subcultura relacionada ao mundo dos jogos de computador e internet, sendo muito usada para confundir os iniciantes e para firmar-se como parte de um grupo.
White Hats (hackers éticos): Seguem a mesma linha de pensamento original do hacking. Gostam apenas de saber e conhecer mais das coisas, principalmente as fechadas ao público. Para essas pessoas, aprender é a diversão mais importante do mundo. Elas gastam boa parte de seu tempo estudando o funcionamento do que as cerca, como telefonia, internet e protocolos de rede e programação de computadores.
No mundo da segurança de sofware, os hackers éticos são os responsáveis por “informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre, como o sistema operacional GNU/Linux.
O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa faz mau uso do poder. A quebra da segurança do iPhone, que bloqueia o seu funcionamento com outras operadoras de telefonia, foi um notável ato de um White Hat.
Black Hats (hackers mal-intencionados): Assim como os White Hats, os Black Hats também são movidos pela curiosidade. O que os distingue é o que cada um faz com a informação e o conhecimento.
O Black Hat vê poder na informação e no que ele sabe fazer. São aqueles hackers que descobrem uma vulnerabilidade em um produto comercial ou livre e não contam para ninguém até que eles próprios criem meios de obter dados sigilosos de outras pessoas e empresas explorando a vulnerabilidade recém-descoberta.
Essa espécie de hacker é responsável por gerar a terceira espécie, os script kiddies. Eles surgem quando cai na rede uma ferramenta ou técnica de invasão criado por um grupo de Black Hats.
Por ser escrito de forma simples e para leigos, esclarece vários pontos comumente confundidos por quem não é da área. Vale destacar as referências, que vão de Barata Elétrica (Conteúdo não "hard", mas quem não leu?), um mirror do site Unsekurity e os tradicionais phrack, securityfocus e packetstorm.
11 de dezembro de 2007
Business Continuity and Incident Response
A coisa está ficando ótima para quem trabalha com Continuidade de Negócios. Calma, não estou falando que estamos ganhando rios de dinheiro ou que o mercado está bombando. Eu me refiro a quantidade de padrões que estão surgindo para embasar argumentos que muitas vezes ecoavam nos corredores sombrios das organizações e nada era feito.
O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.
Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.
Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.
Série 28000 - Security management systems for the supply chain
Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?
ISO/PAS 22399 - Guideline for incident preparedness and operational continuity
Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.
Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!
Todo profissional de segurança adora falar coisas como estas:
Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?
O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.
Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.
Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.
Série 28000 - Security management systems for the supply chain
Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?
ISO/PAS 22399 - Guideline for incident preparedness and operational continuity
Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.
Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!
Todo profissional de segurança adora falar coisas como estas:
- Não existe segurança 100%
- Segurança é equilibrio
Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?
9 de dezembro de 2007
5 de dezembro de 2007
links for 2007-12-05
Ferramenta web para configuração e gestão de Subversion
(tags: subversion)
Projeto que localiza e traduz documentações
(tags: traducao)
Flash Insecurity
Eu nunca gostei de flash em sites web, ainda mais agora que existe inúmeras opções para fazer RIA (Interface Rica) de forma muito mais limpa.
Depois destas apresentações então, estou fora!
1 - Finding Vulnerabilities in Flash Applications
2 - Testing Flash Applications
Depois destas apresentações então, estou fora!
1 - Finding Vulnerabilities in Flash Applications
2 - Testing Flash Applications
SCADA Security
Já não é novidade que eu me interesso por segurança em aplicações SCADA. Sempre que encontro uma notícia eu dou pesquisada para ver se encontro mais informações. O próximo passo é brincar com um simulador, afinal ainda não tive a oportunidade de mexer em um ambiente deste.
Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante.
1 - Um cliente web para SCADA;
2 - Um Scada Open Source;
3 - Uma HoneyNet SCADA;
4 - Link Encryption para SCADA.
O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP.
Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante.
1 - Um cliente web para SCADA;
2 - Um Scada Open Source;
3 - Uma HoneyNet SCADA;
4 - Link Encryption para SCADA.
O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP.
Business Continuity And Solutions
Quando aqui no Brasil vamos ter soluções que são muito mais que recursos de HA (Alta Disponibilidade)?
O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação.
O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação.
4 de dezembro de 2007
links for 2007-12-04
Terceira parte de um artigo sobre ferramenta de testes para aplicações web
ferramenta online para checar css.
(tags: css AplicacaoWeb)
Validando sistemas por IHttpModule
(tags: webdev)
3 de dezembro de 2007
30 de novembro de 2007
links for 2007-11-30
Portal do CERT sobre segurança em desenvolvimento
(tags: devsecurity)
Ferramenta para alteração de configurações locais de rede
29 de novembro de 2007
links for 2007-11-29
Explicação didática do cálculo de Diffie-Hellman
(tags: Criptografia aulas)
Artigo bem completo sobre integração de bancos de dados relacionais usando XML
Sistema de Gestão Integrado
Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados.
Na minha atuação eu consigo rapidamente listar três sistemas:
1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).
Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.
Os sistemas de gestão geralmente são estruturados da seguinte forma:
1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.
Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:
1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;
Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).
O que é o PAS 99?
O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).
De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.
Na minha atuação eu consigo rapidamente listar três sistemas:
1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).
Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.
Os sistemas de gestão geralmente são estruturados da seguinte forma:
1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.
Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:
1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;
Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).
O que é o PAS 99?
O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).
De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.
28 de novembro de 2007
links for 2007-11-28
Ferramenta de auditoria em banco de dados SQL Server
Ferramenta para validação de regras de firewall
Guide e ferramentas para implementação de um CSIRT
27 de novembro de 2007
links for 2007-11-27
Pequeno software que faz o firefox consumir apenas 1mb. O software força o firefox a liberar memória
26 de novembro de 2007
Cross Build Injection
Em Setembro deste ano a fortify publicou um paper sobre um ataque intitulado Cross-Build Injection. O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção.
Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.
Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.
23 de novembro de 2007
links for 2007-11-23
Solução freeware que adiciona um guia nas propriedades para ver o hash dos arquivos no explorer do windows
Ferramenta de debug colaborativo. Você posta um código com a dúvida e alguém responde ou ajuda a chegar a solução.
(tags: debug desenvolvimento)
Ferramenta para gerar uma imagem com os pontos de rede e suas conexões
Dicionário com todos os comandos linux like
22 de novembro de 2007
21 de novembro de 2007
links for 2007-11-21
Artigo sobre MUST (Multiple-User Simultaneous Testing)
(tags: testes desenvolvimento)
Site para criar icones online
(tags: icones AplicacaoWeb)
Artigo sobre cadeia de valor
(tags: CadeiaValor BCP)
Ferramenta online onde você escolhe o tipo de gráfico e se é para powerpoint ou excel. Escolhendo o gráfico é só baixar um exemplo
Simulação e Testes
Meu amigo Eduardo Neves me enviou uma notícia bem interessante pra quem trabalha com BCP (Business Continuity Plan).
Notícia veiculada no G1
Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.
A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.
A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.
O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.
Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.
Notícia veiculada no G1
Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.
A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.
A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.
O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.
Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.
20 de novembro de 2007
links for 2007-11-20
Ferramentas para suportar os processos do ITIL
Portal que lista online dispositivos bluetooth disponíveis.
(tags: bluetooth)
Um artigo sobre como elaborar questionários/checklists efetivos
(tags: checklists artigo)
Datacenter em 90s
Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters.
19 de novembro de 2007
REST Insecurity
Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails).
14 de novembro de 2007
links for 2007-11-14
Página oficial do PE Explorer
(tags: Assembly)
Ferramenta de workflow
(tags: workflow)
Projeto do mitre que busca identificar e padronizar configurações de sistemas
(tags: GestaoConfiguracao Mitre)
Continuação do artigo sobre a ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga.
(tags: testes desenvolvimento)
Artigo citando uma série de ferramentas open-source para o processo de engenharia de software
(tags: desenvolvimento Tools)
GUI para cvs
Várias ferramentas para desenvolvimento de software, incluindo uma para gerar help de forma bem simples.
(tags: Tools desenvolvimento)
Gripe Aviária (Pandemic Flu)
Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária.
Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.
O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:
De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.
Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.
O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:
- Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências;
- Monitora a rota migratória das aves;
- Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária;
- Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil.
De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.
Metodologia para pentest
A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.
A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.
O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.
A estrutura do documento é a seguinte:
A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.
O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.
A estrutura do documento é a seguinte:
1 - Introdução
2 - Information Security Testing Overview
3 - Review Techniques
4 - Target Identification and Analysis Techniques
5 - Target Vulnerability Validation Techniques
6 - Information Security Test Planning
7 - Security Testing Execution
8 - Post-Testing Activities
Supply Chain Security
Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores.
Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.
- ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems
- ISO 28000:2007Specification for security management systems for the supply chain
- ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000
- ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance
Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.
13 de novembro de 2007
links for 2007-11-13
Repositório com várias ferramentas de workflow para download
(tags: workflow)
Ferramenta de captura de dados em redes wireless
Página oficial do Nikto (ferramenta de análise de segurança em aplicações web)
Engine em Java para gerar workflow com base em notações XML
Interface gráfica para mod_security
Ferramenta baseada no ACID para gestão de alertas de Snort
12 de novembro de 2007
links for 2007-11-12
Várias ferramentas para análise de segurança, inclusive banco de dados DB2
Ferramenta de Fuzzing em XML
Software que adiciona a característica de detecção de movimentos em webcam
Ferramenta de edição de arquivos PE
(tags: PE desenvolvimento)
Programa para edição de C/C++
7 de novembro de 2007
links for 2007-11-07
Portal especializado em carreiras relacionadas a gestão de continuidade de negócios
(tags: BCP)
Vários papers sobre gestão de riscos e BCP
(tags: BCP riskanalysis)
Vários papers sobre segurança física e infra-estrutura
6 de novembro de 2007
links for 2007-11-06
Framework para explotation usando browser
Ferramenta de Bug Traking estilo blog
(tags: BugTraking)
Ferramenta online para gestão de senhas
(tags: password)
Ferramenta para automatizar ataques de sql injection
5 de novembro de 2007
links for 2007-11-05
Solução OpenSource de gestão de backups para multiplos Sistemas Operacionais
(tags: backup)
Solução que cria um baseline de configuração de sistemas operacionais e compara identificando alterações
(tags: GestaoConfiguracao)
Ferramenta que condiciona o usuário de micro a parar e realizar exercícios para evitar LER (Lesões por Esforços Repetitivos).
(tags: LER)
Solução em PHP para gestão de ToDo List
(tags: ToDoList)
Arquivo com as revistas vejas publicadas na internet
(tags: revistas)
HIDS que pode gerenciar múltiplos HOSTs
(tags: IDS)
Cálculo do algoritmo RSA
(tags: Criptografia matematica)
Um guia para exercitar um plano de continuidade de negócios
(tags: BCP)
Portal que disponibiliza informações sobre API e webservices para interagir com informações na internet.
(tags: webdev)
31 de outubro de 2007
links for 2007-10-31
Documentação para desenvolvimento em Microsoft Visio
(tags: Visio)
Ferramenta que cria fluxograma automaticamente com dados do excel
(tags: excel fluxograma)
Muito material sobre gráficos em excel.
30 de outubro de 2007
links for 2007-10-30
Kit de ferramentas para hacking em aplicações web baseado em Lua.
Metodologia do SEI para Análise de Riscos
(tags: riskanalysis metodologia)
Tech-Ed 2007 Segurança no Desenvolvimento de Software
Assim como meu amigo Weber Ress vou estar palestrando no Tech-Ed 2007. Minha palestra será sobre o TopTen do OWASP, além da palestra vou estar junto com o Weber no Ask the Experts.
O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.
Tech-Ed 2007
O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.
Tech-Ed 2007
29 de outubro de 2007
links for 2007-10-29
Checklist para comunicação em situações de crise
(tags: BCP)
SQL Injection em banco de dados Microsoft Access
Trace Files disponibilizados pelo Packet-Level
(tags: TraceFiles)
Lista de livros recomendados por Rob Slade para cada domínio do CBK
(tags: certificações livros)
Site com muito conteúdo MOF (Microsoft Operations Framework) em português.
Ferramenta que identifica XSS em código .Net
o ACE Team da Microsoft acaba de disponibilizar um plug-in para identificar XSS (Cross Site Scripting) em códigos .Net.
Pesquisa sobre Continuidade de Negócios
A Daryus buscando desenvolver o mercado de Continuidade de Negócios divulga uma pesquisa para entender o mercado Brasileiro de Continuidade de Negócios.
Pesquisa Daryus
A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.
Pesquisa Daryus
A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.
26 de outubro de 2007
links for 2007-10-26
Dicionário de termos do ITIL v3 em vários idiomas, incluindo o Português.
(tags: ITIL)
Ferramenta para auditoria e teste de firewalls
24 de outubro de 2007
links for 2007-10-24
Ferramenta online testa expressões regulares.
(tags: ExpressaoRegular AplicacaoWeb)
23 de outubro de 2007
links for 2007-10-23
Solução Open Source para gestão de informações de estudantes em instituições de ensino
(tags: Ensino)
Artigo interessante que ajuda a identificar quando é recomendado utilizar SPAN Port e quando é recomendado usar TAP para monitoramento de rede.
Artigo que dá uma boa visão sobre a utilização de TAP em monitoramento de redes
Uma descrição ilustrada de um ataque de ARP Poisoning.
Cyber-Crime
Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.
O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.
Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.
A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.
A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.
O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.
O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.
Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.
A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.
A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.
O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.
22 de outubro de 2007
Personal Information Classification
Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.
A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.
Dentro do volume criptografado eu criei as seguintes pastas:
Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:
Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:
Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.
Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.
Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!
Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.
A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).
Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.
Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.
A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.
Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.
Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.
A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.
Dentro do volume criptografado eu criei as seguintes pastas:
- Projetos
- Desenvolvimento
- Comercial
- Diversos
Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:
- Projetos
- - Projeto x
- - Projeto y
Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:
- Desenvolvimento
- - Projeto x
- - Projeto y
Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.
Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.
Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!
Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.
A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).
Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.
Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.
A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.
Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.
Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.
21 de outubro de 2007
National Response Framework
Infelizmente os últimos posts e fonte de meus estudos são documentos do governo americano. Infelizmente porque, por mais que o Brasil tenha trabalho em inumeras frentes o que eu mais encontro sobre resposta a incidentes, continuidade de negócios é do Governo Americano. E quem acha que é devido a maior exposição do Estados Unidos está enganado. Hoje o Brasil fala tanto quanto eles, mas as informações quase sempre tem um apelo totalmente comercial e sem fundamento.
Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)
O documento está estruturado da seguinte forma:
Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)
O documento está estruturado da seguinte forma:
Capítulo 1 - Papéis e Responsabilidades;
Capítulo 2 - Ações de Resposta;
Capítulo 3 - Gestão de incidentes;
Capítulo 4 - A estratégia fundamental para estar preparado.
National Strategy for Homeland Security
A Casa Branca acaba de disponibilizar um overview da Estratégia de Segurança Interna do inglês National Strategy for Homeland Security.
Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.
National Strategy for Homeland Security
Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.
National Strategy for Homeland Security
17 de outubro de 2007
Credibilidade da segurança
O Gustavo Bittencourt escreveu sobre a visão de Linus Torvalds sobre segurança. Resumindo, Linus considera que a métrica mais usada em segurança é o "achômetro".
Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.
Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.
Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.
pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.
Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.
Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.
Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.
Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.
pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.
Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.
16 de outubro de 2007
links for 2007-10-16
Artigo muito didático para quem deseja iniciar em programação (principalmente C)
(tags: desenvolvimento aulas)
Security Skill
Uma dúvida constante em listas de discussão é qual capacitação um profissional de segurança deve possuir para exercer determinada função em segurança.
Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.
Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development
Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.
Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development
15 de outubro de 2007
links for 2007-10-15
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development
(tags: framework FormacaoEquipes)
Um modelo de maturidade para engenharia de segurança
(tags: maturidade SecurityMetrics)
Ferramenta freeware da microsoft para garantir a configuração e acesso de máquinas compartilhadas (quiosque, cybercafé, etc...)
14 de outubro de 2007
Web Scraping and Password Cracking
Web scraping é uma técnica que consiste em capturar dados, informações de forma automatizada em sites na internet. Alguém lembra do script criado por Kevin Poulsen para procurar profiles de pessoas que poderiam ser pedófilos? Esse é um bom exemplo de web scraping.
A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.
Mas o que tem a ver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.
Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?
Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.
Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!
Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!
Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.
A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.
Mas o que tem a ver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.
Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?
Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.
Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!
Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!
Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.
11 de outubro de 2007
links for 2007-10-11
Tutorial detalhando a instalação de uma solução open-source (PushToTest TestMaker) integrada para testes de software.
(tags: testes desenvolvimento)
o Pessoal do blogsecurity.com criou um plugin que altera o prefixo das tabelas padrão do wordpress. Toda tabela do wordpress tem como inicial do nome o prefixo wp_. Isso pode facilitar ataques de sql injection.
(tags: SqlInjection wordpressPlugin)
10 de outubro de 2007
links for 2007-10-10
Artigo detalhando como funciona um sistema operacional e como desenvolver um.
(tags: SistemaOperacional)
Ferramenta que monitora todas as chamadas a API realizadas por uma aplicação
Controle de Versão
Dificuldades em implementar um processo de controle de versões de software? Uma estudada neste post do BetterExplained e neste do Wanderley Caloni vai clarear muito as idéias.
Disaster Recovery Game
A FEMA (Federal Emergency Management Agency) disponibiliza para acesso público um game do tipo perguntas e respostas relacionados a ameaças naturais e recuperação de desastres.
Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.
Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.
9 de outubro de 2007
links for 2007-10-09
Ferramenta de gestão de task list com recursos de rss e grupos
(tags: ToDoList AplicacaoWeb)
Artigo explcando a funcionalidade da ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga.
(tags: testes opensource)
8 de outubro de 2007
links for 2007-10-08
Plugin do wordpress que implementa uma solução de IDS (Intrusion Detection System) baseado no PHPIDS
Paper do pessoal do BlogSecurity sobre segurança em plataforma wordpress
14 falhas de segurança em implementação de VOIP
(tags: VOIPsecurity)
Framework para desenvolvimento de soluções JAVA orientado a serviços (SOA)
Evento de segurança
Interessado em participar de um evento de segurança com uma abordagem totalmente nova e com palestrantes de renome no mercado nacional e internacional?
Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade!
Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade!
6 de outubro de 2007
links for 2007-10-06
- Artigo detalhando a formação de um time com habilidades complementares para alcançar seus objetivos(tags: FormacaoEquipes)
- Ferramenta de brute force em SSH que também possui recursos para enumerar usuários via timing attacks
Plano de sucessão
Algumas vezes você já pensou como a sua organização iria se comportar caso uma pessoa chave para o negócio não estivesse mais ocupando a posição que ele ocupa hoje?
Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa.
Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave.
Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar.
Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continuidade de negócios e pode garantir a resiliência da sua empresa em situações adversas.
O portal BNET escreveu um artigo sobre a elaboração de um plano de sucessão: Preparing a Sucession Plan
Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa.
Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave.
Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar.
Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continuidade de negócios e pode garantir a resiliência da sua empresa em situações adversas.
O portal BNET escreveu um artigo sobre a elaboração de um plano de sucessão: Preparing a Sucession Plan
5 de outubro de 2007
links for 2007-10-05
Ferramenta desenvolvido com apoio da FIESP para ajudar na elaboração de Business Plan
(tags: BusinessPlan)
Ferramenta Open Source de Gerenciamento de UPS
(tags: UPS opensource)
Site que disponibiliza pacotes de intalações completos para soluções open source.
(tags: opensource)
Ferramenta Web para monitoramento de syslog
(tags: syslog monitoramento)
Artigo da microsoft sobre segurança em terminal service
(tags: TerminalService)
Artigo da microsoft sobre sessões e segurança em Terminal Services
(tags: TerminalService)
ERP Open Source
(tags: ERP)
Aplicação Open Source semelhante ao Webex para video conferência via web.
(tags: WebConference)
Framework de segurança para aplicações web desenvolvidas em Java
(tags: devsecurity framework)
Portal que busca soluções Open Source para softwares comerciais
(tags: opensource)
Ferramenta de gestão comercial baseado em web e desenvolvido em Ruby
(tags: ruby AplicacaoWeb)
Artigo comentando tendências em programação
(tags: desenvolvimento artigo)
4 de outubro de 2007
links for 2007-10-04
Ferramenta para defragmentação de discos que possibilita defragmentar arquivos individualmente.
(tags: Tools)
Tutorial de utilização do Subversion com o cliente Tortoise para controle de versões
Metodologia de gerenciamento de projetos.
(tags: GerenciamentoProjeto)
Assinar:
Postagens (Atom)