links for 2007-08-30

• 
  

  0x90.org // [Absinthe :: Automated Blind SQL Injection] // ver1.3.1

  
  

  Ferramenta para automatizar SQL Injection/Blind SQL Injection

  
  

  (tags: SQL Tools pentest)

  
  


• 
  

  Software Security Assurance - State of the Art Report « Mark Curphey - SecurityBuddha.com

  
  

  Como o próprio post informa, um excelente documento, estado da arte em segurança em desenvolvimento de software.

  
  

  (tags: devsecurity papers guides)

  
  


• 
  

  Designing a PCI-Compliant Log Monitoring System

  
  

  Implementando um sistema de monitoramento de log em conformidade com a PCI

  
  

  (tags: PCI log)

  
  

links for 2007-08-28

• 
  

  Web Services Eventing (WS-Eventing)

  
  

  Padrão aberto de eventos de logs do W3C

  
  

  (tags: log Padrões)

  
  

links for 2007-08-27

• 
  

  Free Resources

  
  

  Bons papers sobre segurança física

  
  

  (tags: PhysicalSecurity papers)

  
  


• 
  

  Data Center University by APC

  
  

  Cursos on-line sobre datacenter

  
  

  (tags: database Cursos)

  
  


• 
  

  Free Tools

  
  

  Ferramenta de segurança para SQL Server

  
  

  (tags: SQL database devsecurity)

  
  

links for 2007-08-26

• 
  

  GUI para gerenciar banco de dados SQLite

  
  

  (tags: database desenvolvimento)

  
  


• 
  

  SkyWye

  
  

  Projeto Open Source que emula arquiteturas de software embarcado.

  
  

  (tags: desenvolvimento arquitetura)

  
  

links for 2007-08-24

• 
  

  Security Hub » Blog Archive » 20 dicas para um Apache mais seguro

  
  

  Dicas de hardening de apache

  
  

  (tags: apache devsecurity)

  
  


• 
  

  How To Harden PHP5 With Suhosin On Fedora 7 | HowtoForge - Linux Howtos and Tutorials

  
  

  How-To do Suhosin (ferramenta para hardening em php).

  
  

  (tags: php devsecurity)

  
  


• 
  

  Virtual Machine Replication & Failover with VMWare Server & Debian Etch (4.0) | HowtoForge - Linux Howtos and Tutorials

  
  

  How-to de uma solução de alta disponibilidade usando recursos de virtualização

  
  

  (tags: virtualizacao AltaDisponibilidade)

  
  


• 
  

  Linux: Teste de estresse entre software livre e soluções proprietárias [Artigo]

  
  

  Detalhamento de um teste de estresse em três ambientes distintos usando JMETER

  
  

  (tags: testes estresse)

  
  


• 
  

  Wireless Analysis Tools

  
  

  Ferramentas de análise de redes wi-fi

  
  

  (tags: wifi Tools)

  
  


• 
  

  Parosproxy.org - Web Application Security

  
  

  Ferramenta de assessment em aplicações WEB

  
  

  (tags: devsecurity webdev pentest)

  
  

links for 2007-08-22

• 
  

  SourceForge.net: A free penetration testing toolkit

  
  

  Framework para pen-test desenvolvido em python

  
  

  (tags: pentest Tools framework)

  
  


• 
  

  Wordlist em Português « Where I can finally be calm…

  
  

  Wordlist em português para testes de brute-force

  
  

  (tags: pentest password)

  
  


• 
  

  Kevin's Word List Page

  
  

  Várias wordlists com dicionários em inglês e Langs (Gírias)

  
  

  (tags: password Tools)

  
  


• 
  

  Bypass Internet Filters

  
  

  Cadastre-se e receba diariamente listas de novos proxys anonimos. Uma ferramenta contra os usuários que sempre encontram um novo proxy para burlar a política

  
  

  (tags: Security compliance)

  
  


• 
  

  MindMeister - think together

  
  

  MindMap de ataque a aplicações webbased (web 2.0)

  
  

  (tags: pentest mindmap)

  
  


• 
  

  Syhunt Technology: Download Center

  
  

  Ferramenta de análise de vulnerabilidades web e hardening de apache

  
  

  (tags: apache assessment)

  
  

links for 2007-08-21

• 
  

  Secretaria Nacional de Defesa Civil

  
  

  Video de 11 minutos sobre gerenciamento de desastres desenvolvido pela Defesa Civil Brasileira

  
  

  (tags: BCP)

  
  


• 
  

  Preezo - Presentations for the Web

  
  

  Aplicação WebBased que gera apresentações em formato power point

  
  

  (tags: AplicacaoWeb)

  
  


• 
  

  List anonymous wikipedia edits from interesting organizations

  
  

  Scanner de alterações no Wikipedia

  
  

  (tags: Tools)

  
  


• 
  

  phpFormGenerator v3.0

  
  

  Ferramenta para gerar formulários PHP on-line

  
  

  (tags: php AplicacaoWeb)

  
  


• 
  

  netVigilance Honeyd for Windows - Windows Honeyd - WinHoneyd

  
  

  Empresa que fez o port do Honeyd para windows (WinHoneyd) e disponibiliza para download o aplicativo open source e uma versão paga com GUI para configuração.

  
  

  (tags: honeypot Tools Windows)

  
  


• 
  

  Bluejacking Tools

  
  

  Ferramentas em geral para bluetooth

  
  

  (tags: mobile)

  
  


• 
  

  Network Notepad Download

  
  

  Ferramenta freeware de desenho/projeto de redes que possibilita testes básicos de conectividade (ping entre os hosts)

  
  

  (tags: networking Tools)

  
  

Wikipedia é um risco?

Um futuro estudante do California Institute of Technology chamado Virgil Griffith desenvolveu uma ferramenta que procura por alterações na Wikipedia.

A ferramenta chamada Wikipedia Scanner ficou muito comentada após a divulgação de que, foi encontrado alterações questionáveis por empresas como Wal-Mart, CIA e Diebold.

Para pesquisar as alterações você pode informar o nome e localização da organização ou escolher entre as opções já cadastradas no site.



As alterações são atribuídas por IP da organização, ou seja, se um funcionário de uma organização escrever qualquer bobagem o IP da organização é que vai estar na alteração. Além das reclamações sobre a qualidade/veracidade das informações incluídas na wikipedia, agora você corre o risco de ter o nome da sua empresa associado a informações de caráter duvidoso.

Architecture Framework

Já havia comentado aqui no blog alguns frameworks para definição e implementação de arquitetura de informação em algumas organizações.

Encontrei um projeto chamado TOGAF (The Open Group Architecture Framework), o material é bem completo e simples, inclusive tratando de questões relacionadas a segurança.



A definição de arquitetura pode resolver problemas antigos de TI que não são resolvidos com modimos como CobiT, ITIL, etc...Digo modismo pois, a maioria das organizações que tentam implementar o CobiT e ITIL não sabe o que está fazendo e não conseguem tirar proveito de excelentes ferramentas.

links for 2007-08-20

• 
  

  Detection of SQL Injection and Cross-site Scripting Attacks

  
  

  Uma série de expressões regulares para identificar SQL Injection XSS (Cross Site Scripting)

  
  

  (tags: pentest devsecurity ExpressaoRegular)

  
  


• 
  

  .:: CORE SECURITY TECHNOLOGIES ::.

  
  

  Ferramenta do CORE Labs para manipular session de Logon do windows

  
  

  (tags: pentest Windows)

  
  


• 
  

  Core Security | CoreLabs

  
  

  Framework desenvolvido pelo CORE Labs para evitar a pirataria de software.

  
  

  (tags: desenvolvimento devsecurity)

  
  


• 
  

  RedOracle - Default Password List

  
  

  Banco de dados com senhas padrão de vários vendors. Utilizado em Guessing Attack

  
  

  (tags: pentest Tools password)

  
  


• 
  

  The Regex Coach - interactive regular expressions

  
  

  Editor de expressão regular que gera um gráfico representando a expressão

  
  

  (tags: ExpressaoRegular Tools)

  
  

links for 2007-08-19

• 
  

  MIME TYPES

  
  

  Tabela com os principais MIME TYPES para identificar tipos de arquivos

  
  

  (tags: desenvolvimento)

  
  

links for 2007-08-17

• 
  

  SpikeForge: Spike PHP Security Audit Tool: Lista de Arquivos do Projeto - Spike Developer Zone

  
  

  Projeto de análise de segurança em código PHP

  
  

  (tags: php devsecurity)

  
  


• 
  

  Akelos PHP Framework

  
  

  Framework PHP baseado em Ruby On Rails

  
  

  (tags: php framework)

  
  

links for 2007-08-16

• 
  

  SQL Power Injector Product Information

  
  

  Ferramenta bastante completa para SQL Injection. Possui um plugin para firefox

  
  

  (tags: pentest Tools)

  
  


• 
  

  NASA Cost Estimating Handbook 2004

  
  

  Livro escrito pela NASA sobre estimativa de custos

  
  

  (tags: GerenciamentoProjeto)

  
  


• 
  

  SecurityDistro - Articles

  
  

  Alguns artigos sobre a utilização de projetos da OWASP (WebGoat, WebScarab)

  
  

  (tags: devsecurity webdev Tools tutorial)

  
  

links for 2007-08-15

• 
  

  Midnight Research Labs - wicrawl

  
  

  Ferramenta completa de análise de segurança em ambientes wireless. A solução possí uma série de plugins para executar testes de segurança

  
  

  (tags: pentest assessment wifi)

  
  


• 
  

  Locksport International

  
  

  Guide para Lockpicking

  
  

  (tags: hacking)

  
  


• 
  

  SANS Institute - Detecting and Preventing Rogue Devices on the Network

  
  

  Paper do SANS sobre detecção e prevenção de Rogue Devices em redes

  
  

  (tags: networking wifi Security)

  
  


• 
  

  Main Page - FlashSec

  
  

  Wiki/Portal sobre segurança em soluções da Adbo Flash/Flex/AIR e ActionScript.

  
  

  (tags: devsecurity)

  
  


• 
  

  Minded Security: Application Security Consulting

  
  

  Empresa Italiana focada em segurança de aplicações/códigos

  
  

  (tags: devsecurity)

  
  


• 
  

  Fuzzware - Schemer

  
  

  Ferramenta para Teste de Fuzzing

  
  

  (tags: devsecurity Tools)

  
  


• 
  

  An activity based Workflow Engine for PHP

  
  

  Projeto em PHP/MySQL para implementar uma solução de WorkFlow Baseado em PNML (Petri Net Markup Language)

  
  

  (tags: workflow desenvolvimento php)

  
  


• 
  

  latest / eZ Components / Documentation - Doc

  
  

  Biblioteca de componentes PHP para workflow, gráficos, persistência de BD

  
  

  (tags: php classesPHP)

  
  


• 
  

  SED - Portal brasileiro do Stream EDitor do UNIX :: aurelio.net

  
  

  Editor de textos não interativo. Utilizado para atualizar arquivos em massa com regras (expressão regular) previamente estabelecidas

  
  

  (tags: ExpressaoRegular EditorTexto Automation)

  
  


• 
  

  Bug 349611 – Jesse's JavaScript compiler/decompiler fuzzer

  
  

  Ferramenta de fuzzing para JavaScript

  
  

  (tags: fuzzing Tools devsecurity webdev)

  
  


• 
  

  IMMUNITY : Knowing You're Secure

  
  

  Ferramenta de DeBugger da Immunity bastante interessante, porém envia informações sobre as análises para um e-mail da immunity.

  
  

  (tags: debug devsecurity Tools desenvolvimento)

  
  


• 
  

  Politica de Seguranca da USPnet

  
  

  Políticas e Normas de Segurança da USP

  
  

  (tags: policies Normas)

  
  

Continuidade ou Contingência?

Um CSO de uma grande organização Brasileira quando questionado sobre a Continuidade dos Negócios mandou logo o chavão: "Temos Planos A, B, C, D e F. Nossas redes são todas redundantes"

Bom, a pergunta era sobre continuidade de negócios e não contingência de TI. Planos de Sucessão, Planos de Continuidade Operacional, Planos de Gerenciamento de Crises e principalmente o quase sempre esquecido Plano de Comunicação nem pensar.

Pior, algum tempo atrás o vice-presidente da mesma organização disse que usou um plano de 3.700 páginas para gerenciar uma crise. Eu imagino a cena!

links for 2007-08-14

• 
  

  MinGW - Home

  
  

  Ferramenta que utiliza o GCC para compilar C em windows

  
  

  (tags: desenvolvimento C)

  
  

links for 2007-08-10

• 
  

  Paterva Evolution [Beta!]

  
  

  Ferramenta para coletar informações na internet

  
  

  (tags: pentest Tools)

  
  


• 
  

  Test your web design in different browsers - Browsershots - Browsershots

  
  

  Ferramenta web que testa o seu site/aplicação em vários browser diferentes

  
  

  (tags: webdev AplicacaoWeb)

  
  


• 
  

  The ERESI Reverse Engineering Software Interface

  
  

  Framework para análise de Engenharia Reversa de software

  
  

  (tags: desenvolvimento devsecurity Tools)

  
  


• 
  

  Business continuity standards

  
  

  Uma lista de padrões internacionais sobre BCP

  
  

  (tags: BCP Padrões)

  
  


• 
  

  nLite: gerando um CD de instalação do Windows personalizado

  
  

  Ferramenta que possibilita criar instalações customizadas de windows

  
  

  (tags: Windows Tools)

  
  


• 
  

  Termos técnicos GdH

  
  

  Dicionário de termos técnicos disponibilizado pelo Guia do Hardware.Net

  
  

  (tags: Dicionario)

  
  

Information Gathering

Lendo um paper da Black Hat 2007, intitulado Tactical Exploitation conheci uma ferramenta da Paterva que pode ser interessante para levantar informações sobre qualquer pessoa, site, DNS, entre outras informações...



A ferramenta chamada Evolution faz um search em vários serviços na internet.

links for 2007-08-09

• 
  

  46175-04 Laboratório de Programação I - Turma 148

  
  

  Material de aula de programação em C disponibilizado pela PUC-RS.

  
  

  (tags: desenvolvimento)

  
  


• 
  

  Neural Networks

  
  

  Teoria sobre Rede Neural.

  
  

  (tags: matematica)

  
  


• 
  

  Neural Java Index

  
  

  Exemplos de rede neural em java applets

  
  

  (tags: matematica)

  
  

links for 2007-08-08

• 
  

  Fuzzing » Sulley Fuzzing Framework Release

  
  

  Framework para Fuzzing Test

  
  

  (tags: fuzzing devsecurity)

  
  


• 
  

  XSS Warning - A Security Extension/Add-on for Firefox | Darknet - The Darkside

  
  

  Extensão para firefox que bloqueia e alerta sobre possíveis ataques de XSS (Cross Site Scripting)

  
  

  (tags: XSS extensao)

  
  


• 
  

  E - TextEditor | The power of TextMate on Windows

  
  

  Editor de texto com recursos avançados de auto-completar; controle de versões

  
  

  (tags: desenvolvimento)

  
  


• 
  

  A guided tour of Emacs

  
  

  Tour pelo poderoso editor de textos Emacs

  
  

  (tags: desenvolvimento)

  
  


• 
  

  RedSeal Systems

  
  

  Ferramenta de análise de riscos lógicos

  
  

  (tags: riskanalysis assessment)

  
  


• 
  

  Veracode - Home

  
  

  Empresa focada em Secure Development Lifecycle (SDLC)

  
  

  (tags: devsecurity)

  
  


• 
  

  Introdução à Programação C

  
  

  Tutorial basico de C, exercícios básicos para iniciantes (ideal para dar aula para alunos que não conhecem programação)

  
  

  (tags: desenvolvimento)

  
  

Entrevista, Segurança?

O Augusto Campos do efetividade.net escreveu um post sobre o método John Sawatsky de entrevistas.

O que tem a ver segurança com entrevistas? Bom, não só na minha atuação como consultor de segurança com foco em BCP (Business Continuity Plan), mas em qualquer outra atuação em segurança, as entrevistas com usuários, gestores, desenvolvedores é atividade frequente. Portanto, recomendo a leitura.



Seguindo os tópicos citados no post dele, vou comentar alguns pontos que são interessantes em um entrevista voltada para análise de segurança:

Sempre que possível, prepare suas perguntas antecipadamente.

Isso é fundamental, qualquer boa metodologia/padrão deve possuir formulários de entrevistas que sejam claros e preparados antecipadamente.

Pergunte questões abertas, especialmente as que começam com “como”, “por que” ou “o que”, e encoraje o entrevistado a descrever, explicar ou exemplificar algo.

Muitas vezes o entrevistador leva o entrevistado a responder o que ele quer e perde a oportunidade de conhecer detalhes que só o entrevistado que conhece pode informar.

Faça uma pergunta por vez, e não tente misturar mais de um tema na mesma pergunta.

Objetividade e clareza são fatores chaves para qualquer entrevista.

Entrevistador não faz discurso e nem inclui o editorial nas suas perguntas.

Cada pergunta deve ser claramente explicada e se possível com exemplos práticos. Lembre-se o formulário é apoio e não um checklist.

A estrela de uma entrevista bem-sucedida nunca pode ser o entrevistador.

Como diria os manos...Sem palavras...

Deixe as perguntas fazerem o seu trabalho.

Se as perguntas forem claras o trabalho será muito mais eficaz.

Resista ao impulso de incluir opinião ou tentar antecipar na pergunta uma possível resposta do seu entrevistado.

Não leve o entrevistado a falar o que você quer, ele deve responder com as informações que ele possui.

Grave e transcreva suas entrevistas, compare-as com as técnicas que você conhece, e tente melhorá-las.

Estude entrevistas publicadas na imprensa - as boas e as ruins.

Esses dois tópicos podem ser usados para aprendizagem e crescimento.

Post com links

A partir de hoje vou utilizar um recurso do Del.Icio.Us para criar um post diariamente com os links que eu incluir.

Resolvi usar esse recurso para não ficar escrevendo posts simples comentando coisas interessantes que eu recebo diariamente em meus feeds.

Vamos ver se o recurso é interessante! Aguardo Feedbacks!

links for 2007-08-07

• 
  

  Household: Design your home with Floorplanner - Lifehacker

  
  

  Criando layout de ambientes com aplicações WebBased

  
  

  (tags: AplicacaoWeb)

  
  


• 
  

  Simples Idéias. Por Nando Vieira. » Arquivo » Ruby para programadores PHP

  
  

  Comparação de sintaxe PHP com sintaxe Ruby

  
  

  (tags: desenvolvimento)

  
  


• 
  

  http://googlonymous.com/

  
  

  Video de um documentário sobre o Google

  
  

  (tags: google)

  
  


• 
  

  Notícia - Mas quem foi Thomas Bayes e o que é o Teorema de Bayes?

  
  

  Teorema de Bayes e Probabilidade

  
  

  (tags: riskanalysis)

  
  


• 
  

  Linux: RSS para TAGS do CVS [Shell-Script Script]

  
  

  Scripts para ler as TAGS geradas no CVS e gerar uma Feed RSS. Excelente opção para acompanhar as alterações no seu cliente favorito de RSS

  
  

  (tags: rss feeds desenvolvimento)

  
  

Storage Encryption

O NIST acaba de disponibilizar um DRAFT do SP800-111 Guide to Storage Encryption Technologies for End User Devices. O documento fala sobre um dos controles de EndPoint Security, a encriptação de dados de dispositivos como Pendrive e Laptop.



O documento está organizado em quatro capítulos:

1 - Introduction;
2 - Storage Security Overview;
3 - Storage Encryption Technologies; e
4 - Storage Encryption Technology Planning and Implementation.

Leitua indispensável para quem gerencia, utiliza dispositivos móveis.

Boa Prática é Trilha e Não Trilho

O artigo Vulnerability Management do ISSA Journal de Junho de 2007 é um exemplo claro de que, um padrão/metodologia se adapta ao seu negócio e nunca você se adapta ao modelo proposto.

O artigo descreve um processo de gerenciamento de vulnerabilidades integrado, implementado seguindo as práticas do ITIL (Information Technology Infrastructure Library). Na minha opinião uma proposta muito adequada e simples.



Eu raramente vejo propostas assim, ao contrário, já vi implementações onde existia um processo de gestão de incidentes de TI e um processo de gestão de incidentes de segurança. Faz algum sentido isso? Nenhum, acredito que a adoção de um processo de gestão de todo e qualquer tipo de incidente traria muitas vantagens e uma aderência muito mais funcional e prática. Incidentes como vazamento de informação, ou que envolvam recursos não tecnológicos podem ser facilmente identificados e tratados. Para o processo de Continuidade de Negócios a adoção desse modelo é essencial, evitando o famoso quem aciona e quando aciona o plano.

A regra é, retire o melhor e o que se aplica ao seu negócio de cada prática e não se apegue ao compliance e não compliance.