O CGIsecurity.com explica CSRF
23 de abril de 2007
Cross-Site Request Forgery
Como havia comentado em um post anterior, uma das novidades do Top10 2007 do OWASP é o CSRF (Cross-Site Request Forgery) vulnerabilidade que tem o conhecido XSS (Cross-Site Scripting) como vetor.
Fuzzing Test
Fuzzing test é uma técnica que consiste em submeter à aplicação a todo tipo de input de forma estruturada buscando pelas mais variadas vulnerabilidades causadas por inputs indevidos.
Apesar do grande número de ferramentas para realizar o teste de fuzzing, não lembro de ter visto nenhum desenvolvedor utilizar tal recurso. Felizmente tal teste é comum em fontes de informações relacionadas a segurança no desenvolvimento de aplicações.
Inicialmente eu associava a baixa utilização a dificuldade de encontrar ferramentas e conteúdo relacionado, mas, pesquisando melhor e acompanhando algumas listas de discussão eu encontrei inúmeras ferramentas open source e bons tutoriais.
Segue algumas referências:
22 de abril de 2007
Cross-Site Request Forgery
Como havia comentado em um post anterior, uma das novidades do Top10 2007 do OWASP é o CSRF (Cross-Site Request Forgery) vulnerabilidade que tem o conhecido XSS (Cross-Site Scripting) como vetor.
O CGIsecurity.com explica CSRF
Fuzzing Test
Fuzzing test é uma técnica que consiste em submeter à aplicação a todo tipo de input de forma estruturada buscando pelas mais variadas vulnerabilidades causadas por inputs indevidos.
Apesar do grande número de ferramentas para realizar o teste de fuzzing, não lembro de ter visto nenhum desenvolvedor utilizar tal recurso. Felizmente tal teste é comum em fontes de informações relacionadas a segurança no desenvolvimento de aplicações.
Inicialmente eu associava a baixa utilização a dificuldade de encontrar ferramentas e conteúdo relacionado, mas, pesquisando melhor e acompanhando algumas listas de discussão eu encontrei inúmeras ferramentas open source e bons tutoriais.
Segue algumas referências:
17 de abril de 2007
Google Information Leakage
Eu já comentei aqui no blog algumas vezes, os problemas com o "excesso" de informação publicada na internet.
Pelo Jeito tem muita gente que ainda não percebeu os problemas, o site undergoogle postou uma notícia do digg sobre algumas pessoas que estão "publicando" números de licenças de software no google por um simples erro, deixar disponivel relatórios gerados pelo Belarc.
Talvez esse artigo ajude os desavisados!
Pelo Jeito tem muita gente que ainda não percebeu os problemas, o site undergoogle postou uma notícia do digg sobre algumas pessoas que estão "publicando" números de licenças de software no google por um simples erro, deixar disponivel relatórios gerados pelo Belarc.
Talvez esse artigo ajude os desavisados!
16 de abril de 2007
Google Information Leakage
Eu já comentei aqui no blog algumas vezes, os problemas com o "excesso" de informação publicada na internet.
Pelo Jeito tem muita gente que ainda não percebeu os problemas, o site undergoogle postou uma notícia do digg sobre algumas pessoas que estão "publicando" números de licenças de software no google por um simples erro, deixar disponivel relatórios gerados pelo Belarc.
Talvez esse artigo ajude os desavisados!
Pelo Jeito tem muita gente que ainda não percebeu os problemas, o site undergoogle postou uma notícia do digg sobre algumas pessoas que estão "publicando" números de licenças de software no google por um simples erro, deixar disponivel relatórios gerados pelo Belarc.
Talvez esse artigo ajude os desavisados!
12 de abril de 2007
Business Continuity Plan, not Bullshit Compliance Plan
Algumas pessoas me perguntaram porque questionar tanto o profissionalismo e conteúdo disponibilizado em "terra brasilis" sobre BCP. Simples, para espetar e incentivar as pessoas a sairem da simples "rodinha de hamster" do BCI (Business Continuity Institute). A explicação para tantos profissionais utilizarem é uma só: o The BCI Guide descreve de forma simples os passos para a implementação de um processo de continuidade de negócios. Excelente documentação que recomendo a todos como ponto de partida.
Conhecer o The BCI Guide me torna um especialista em BCP? Não. Um especialista se faz do senso crítico e muito estudo e dedicação a vários temas que envolvem determinada ciência. Assim como The BCI Guide, qualquer outra fonte de informação como: 10 práticas profissionais; NIST 800-34; CISSP-CBK; e outras, deve servir como base para seu entendimento e implementação, não como características mandatórias e verdades absolutas.
O problema é tão sério que esses dias me deparei com uma notícia em português e na hora me perguntei: eu já li essa notícia! E realmente eu tiha razão (as vezes eu ainda tenho memória), a notícia havia saído no continuitycentral e os "autores" brasileiros haviam publicado a notícia sem a decência de divulgar a fonte. Sem contar os livros nacionais sobre o tema, não passam de um plano de projeto com MDM (Mesmo do Mesmo).
Me perdoe a sinceridade, mas, existem profissionais e profissionais, eu poderia citar vários nomes de profissionais competentes e que realmente buscam entender o tema, agora poderia também afirmar que 90% dos profissionais envolvidos com BCP não acrescentam nada ao tema e vivem de carteirada: "Já fiz mais de 20 projetos"; "Já escrevi um livro"; "Sou certificado"; "Trabalho com BCP a 20 anos".
Por isso eu, um jovem senhor de 27 anos, continuo estudando muito sobre o tema e questionando, críticando a postura de profissionais que não estudam, não compartilham conhecimento e trabalham para que o mercado seja refém de sua "expertise". Que por sinal foi adquirida a vários anos e está um pouco "enferrujada".
Um bom profissional se destaca pela sua competência, não por sua capacidade de esconder seus truques! Compartilhe conhecimento sempre, você tem muito a ganhar trocando experiências e informações. Com a maturidade você chegará a uma simples conclusão: quanto mais eu pesquiso e estudo, mais eu sei que nada sei.
Conhecer o The BCI Guide me torna um especialista em BCP? Não. Um especialista se faz do senso crítico e muito estudo e dedicação a vários temas que envolvem determinada ciência. Assim como The BCI Guide, qualquer outra fonte de informação como: 10 práticas profissionais; NIST 800-34; CISSP-CBK; e outras, deve servir como base para seu entendimento e implementação, não como características mandatórias e verdades absolutas.
O problema é tão sério que esses dias me deparei com uma notícia em português e na hora me perguntei: eu já li essa notícia! E realmente eu tiha razão (as vezes eu ainda tenho memória), a notícia havia saído no continuitycentral e os "autores" brasileiros haviam publicado a notícia sem a decência de divulgar a fonte. Sem contar os livros nacionais sobre o tema, não passam de um plano de projeto com MDM (Mesmo do Mesmo).
Me perdoe a sinceridade, mas, existem profissionais e profissionais, eu poderia citar vários nomes de profissionais competentes e que realmente buscam entender o tema, agora poderia também afirmar que 90% dos profissionais envolvidos com BCP não acrescentam nada ao tema e vivem de carteirada: "Já fiz mais de 20 projetos"; "Já escrevi um livro"; "Sou certificado"; "Trabalho com BCP a 20 anos".
Por isso eu, um jovem senhor de 27 anos, continuo estudando muito sobre o tema e questionando, críticando a postura de profissionais que não estudam, não compartilham conhecimento e trabalham para que o mercado seja refém de sua "expertise". Que por sinal foi adquirida a vários anos e está um pouco "enferrujada".
Um bom profissional se destaca pela sua competência, não por sua capacidade de esconder seus truques! Compartilhe conhecimento sempre, você tem muito a ganhar trocando experiências e informações. Com a maturidade você chegará a uma simples conclusão: quanto mais eu pesquiso e estudo, mais eu sei que nada sei.
BS 25999
Tem uma nova falácia no mercado que eu decidi que deveria escrever um post e não um dos tópicos do BCP FAQ. Simplesmente porque ela é um absurdo e mostra o despreparo de alguns profissionais sobre o tema.
Meu amigo e companheiro de trabalho há vários anos, Jeferson D'Addario, comentou que algumas pessoas o endagaram sobre a possibilidade do DRII (Disaster Recovery Institute International) perder sua "força".
Bom, aqui a coisa fica realmente feia, pois, estão comparando bananas com laranjas. O DRII não só vai permanecer da mesma forma, como vai ser muito melhor aproveitado. O DRII não possui nem mesmo uma metodologia, quem dirá uma norma. Ele possui uma base de conhecimento chamada de dez práticas profissionais, muito semelhante a iniciativa do PMI (Project Management Institute).
Uma norma como a BS 25999-1:2006 e muito em breve ISO 27006, só fortalece os propósitos do DRII, um instituto sem fins lucrativos que busca fomentar e capacitar profissionais do mundo todo sobre continuidade de negócios e gerenciamento de crises.
Meu amigo e companheiro de trabalho há vários anos, Jeferson D'Addario, comentou que algumas pessoas o endagaram sobre a possibilidade do DRII (Disaster Recovery Institute International) perder sua "força".
Bom, aqui a coisa fica realmente feia, pois, estão comparando bananas com laranjas. O DRII não só vai permanecer da mesma forma, como vai ser muito melhor aproveitado. O DRII não possui nem mesmo uma metodologia, quem dirá uma norma. Ele possui uma base de conhecimento chamada de dez práticas profissionais, muito semelhante a iniciativa do PMI (Project Management Institute).
Uma norma como a BS 25999-1:2006 e muito em breve ISO 27006, só fortalece os propósitos do DRII, um instituto sem fins lucrativos que busca fomentar e capacitar profissionais do mundo todo sobre continuidade de negócios e gerenciamento de crises.
Business Continuity Plan, not Bullshit Compliance Plan
Algumas pessoas me perguntaram porque questionar tanto o profissionalismo e conteúdo disponibilizado em "terra brasilis" sobre BCP. Simples, para espetar e incentivar as pessoas a saírem da simples "rodinha de hamster" do BCI (Business Continuity Institute). A explicação para tantos profissionais utilizarem é uma só: o The BCI Guide descreve de forma simples os passos para a implementação de um processo de continuidade de negócios. Excelente documentação que recomendo a todos como ponto de partida.
Conhecer o The BCI Guide me torna um especialista em BCP? Não. Um especialista se faz do senso crítico e muito estudo e dedicação a vários temas que envolvem determinada ciência. Assim como The BCI Guide, qualquer outra fonte de informação como: 10 práticas profissionais; NIST 800-34; CISSP-CBK; e outras, deve servir como base para seu entendimento e implementação, não como características mandatórias e verdades absolutas.
O problema é tão sério que esses dias me deparei com uma notícia em português e na hora me perguntei: eu já li essa notícia! E realmente eu tinha razão (as vezes eu ainda tenho memória), a notícia havia saído no continuitycentral e os "autores" brasileiros haviam publicado a notícia sem a decência de divulgar a fonte. Sem contar os livros nacionais sobre o tema, não passam de um plano de projeto com MDM (Mesmo do Mesmo).
Me perdoem a sinceridade, mas, existem profissionais e profissionais, eu poderia citar vários nomes de profissionais competentes e que realmente buscam entender o tema, agora poderia também afirmar que 90% dos profissionais envolvidos com BCP não acrescentam nada ao tema e vivem de carteirada: "Já fiz mais de 20 projetos"; "Já escrevi um livro"; "Sou certificado"; "Trabalho com BCP a 20 anos".
Por isso eu, um jovem senhor de 27 anos, continuo estudando muito sobre o tema e questionando, criticando a postura de profissionais que não estudam, não compartilham conhecimento e trabalham para que o mercado seja refém de sua "expertise". Que por sinal foi adquirida a vários anos e está um pouco "enferrujada".
Um bom profissional se destaca pela sua competência, não por sua capacidade de esconder seus truques! Compartilhe conhecimento sempre, você tem muito a ganhar trocando experiências e informações. Com a maturidade você chegará a uma simples conclusão: quanto mais eu pesquiso e estudo, mais eu sei que nada sei.
Conhecer o The BCI Guide me torna um especialista em BCP? Não. Um especialista se faz do senso crítico e muito estudo e dedicação a vários temas que envolvem determinada ciência. Assim como The BCI Guide, qualquer outra fonte de informação como: 10 práticas profissionais; NIST 800-34; CISSP-CBK; e outras, deve servir como base para seu entendimento e implementação, não como características mandatórias e verdades absolutas.
O problema é tão sério que esses dias me deparei com uma notícia em português e na hora me perguntei: eu já li essa notícia! E realmente eu tinha razão (as vezes eu ainda tenho memória), a notícia havia saído no continuitycentral e os "autores" brasileiros haviam publicado a notícia sem a decência de divulgar a fonte. Sem contar os livros nacionais sobre o tema, não passam de um plano de projeto com MDM (Mesmo do Mesmo).
Me perdoem a sinceridade, mas, existem profissionais e profissionais, eu poderia citar vários nomes de profissionais competentes e que realmente buscam entender o tema, agora poderia também afirmar que 90% dos profissionais envolvidos com BCP não acrescentam nada ao tema e vivem de carteirada: "Já fiz mais de 20 projetos"; "Já escrevi um livro"; "Sou certificado"; "Trabalho com BCP a 20 anos".
Por isso eu, um jovem senhor de 27 anos, continuo estudando muito sobre o tema e questionando, criticando a postura de profissionais que não estudam, não compartilham conhecimento e trabalham para que o mercado seja refém de sua "expertise". Que por sinal foi adquirida a vários anos e está um pouco "enferrujada".
Um bom profissional se destaca pela sua competência, não por sua capacidade de esconder seus truques! Compartilhe conhecimento sempre, você tem muito a ganhar trocando experiências e informações. Com a maturidade você chegará a uma simples conclusão: quanto mais eu pesquiso e estudo, mais eu sei que nada sei.
BS 25999
Tem uma nova falácia no mercado que eu decidi que deveria escrever um post e não um dos tópicos do BCP FAQ. Simplesmente porque ela é um absurdo e mostra o despreparo de alguns profissionais sobre o tema.
Meu amigo e companheiro de trabalho há vários anos, Jeferson D'Addario, comentou que algumas pessoas o endagaram sobre a possibilidade do DRII (Disaster Recovery Institute International) perder sua "força".
Bom, aqui a coisa fica realmente feia, pois, estão comparando bananas com laranjas. O DRII não só vai permanecer da mesma forma, como vai ser muito melhor aproveitado. O DRII não possui nem mesmo uma metodologia, quem dirá uma norma. Ele possui uma base de conhecimento chamada de dez práticas profissionais, muito semelhante a iniciativa do PMI (Project Management Institute).
Uma norma como a BS 25999-1:2006 e muito em hoje ISO 15999, só fortalece os propósitos do DRII, um instituto sem fins lucrativos que busca fomentar e capacitar profissionais do mundo todo sobre continuidade de negócios e gerenciamento de crises.
Meu amigo e companheiro de trabalho há vários anos, Jeferson D'Addario, comentou que algumas pessoas o endagaram sobre a possibilidade do DRII (Disaster Recovery Institute International) perder sua "força".
Bom, aqui a coisa fica realmente feia, pois, estão comparando bananas com laranjas. O DRII não só vai permanecer da mesma forma, como vai ser muito melhor aproveitado. O DRII não possui nem mesmo uma metodologia, quem dirá uma norma. Ele possui uma base de conhecimento chamada de dez práticas profissionais, muito semelhante a iniciativa do PMI (Project Management Institute).
Uma norma como a BS 25999-1:2006 e muito em hoje ISO 15999, só fortalece os propósitos do DRII, um instituto sem fins lucrativos que busca fomentar e capacitar profissionais do mundo todo sobre continuidade de negócios e gerenciamento de crises.
11 de abril de 2007
wagnerelias.com
Estarei migrando todos os posts do http://wagnerelias.blogspot.com para o novo domínio: http://www.wagnerelias.com.
7 de abril de 2007
BCP FAQ 2
Como havia comentado na primeira versão desse FAQ, poderíamos escrever uma série de perguntas e respostas enorme com a quantidade de bobagem que é falado por aí. Como o feedback foi positivo e tenho umas pérolas que são a “última moda” no mercado, resolvi escrever a seqüência do FAQ.
1 - Realizar entrevista para coleta de informações sobre ativos é ultrapassado. As novas ferramentas possibilitam coletar automaticamente as informações.
Bom, se é um inventário de ativos que você precisa, as ferramentas já possibilitam isso há vários anos. Como BCP é Business Continuity Plan e não Bullshit Compliance Plan, não é um inventário de ativos que eu preciso. Uma entrevista com gestores dos ativos que suportam os processos serve para coletar informações que nenhuma ferramenta pode lhe oferecer de forma automatizada, Cenários de Falha; Tempo Estimado de Recuperação; Dependência de Ativos; Contratos de Níveis de Serviços; entre outras informações que são necessárias para desenvolver uma estratégia de recuperação que atenda a críticidade dos seus processos.
2 - Quero iniciar um trabalho de continuidade de negócios fazendo uma BIA de TI, você pode me atender?
Não. Impossível, uma BIA é uma Business Impact Analysis, ou seja, é uma análise quantitativa da críticidade dos processos de negócio. Qualquer análise realizada nos ativos que suportam os processos pode ser qualquer coisa, menos uma Business Impact Analysis. Essa talvez seja a maior bobagem que eu já ouvi durante o tempo que atuo em projetos de BCP, provavelmente é “vendida” pelos profissionais que utilizam a “metodologia” do DRI.
Se eu fosse o James Randi iria oferecer um milhão de dólares para qualquer um que mostrasse a eficácia de todas essas bobagens que estão virando padrão no mercado. Infelizmente em terra de cego quem tem olho é rei.
BCP FAQ 2
Como havia comentado na primeira versão desse FAQ, poderíamos escrever uma série de perguntas e respostas enorme com a quantidade de bobagem que é falado por aí. Como o feedback foi positivo e tenho umas pérolas que são a “última moda” no mercado, resolvi escrever a seqüência do FAQ.
1 - Realizar entrevista para coleta de informações sobre ativos é ultrapassado. As novas ferramentas possibilitam coletar automaticamente as informações.
Bom, se é um inventário de ativos que você precisa, as ferramentas já possibilitam isso há vários anos. Como BCP é Business Continuity Plan e não Bullshit Compliance Plan, não é um inventário de ativos que eu preciso. Uma entrevista com gestores dos ativos que suportam os processos serve para coletar informações que nenhuma ferramenta pode lhe oferecer de forma automatizada, Cenários de Falha; Tempo Estimado de Recuperação; Dependência de Ativos; Contratos de Níveis de Serviços; entre outras informações que são necessárias para desenvolver uma estratégia de recuperação que atenda a críticidade dos seus processos.
2 - Quero iniciar um trabalho de continuidade de negócios fazendo uma BIA de TI, você pode me atender?
Não. Impossível, uma BIA é uma Business Impact Analysis, ou seja, é uma análise quantitativa da críticidade dos processos de negócio. Qualquer análise realizada nos ativos que suportam os processos pode ser qualquer coisa, menos uma Business Impact Analysis. Essa talvez seja a maior bobagem que eu já ouvi durante o tempo que atuo em projetos de BCP, provavelmente é “vendida” pelos profissionais que utilizam a “metodologia” do DRI.
Se eu fosse o James Randi iria oferecer um milhão de dólares para qualquer um que mostrasse a eficácia de todas essas bobagens que estão virando padrão no mercado. Infelizmente em terra de cego quem tem olho é rei.
Assinar:
Postagens (Atom)