31 de outubro de 2007

links for 2007-10-31

30 de outubro de 2007

links for 2007-10-30

H2HC 2007

Nos dias 8 e 9 de Novembro acontece em Brasília a Conferência H2HC (Hacker To Hacker Conference). Vou estar palestrando sobre Insegurança em REST (Representational State Transfer), conto com a presença de todos.

H2HC 2007

Tech-Ed 2007 Segurança no Desenvolvimento de Software

Assim como meu amigo Weber Ress vou estar palestrando no Tech-Ed 2007. Minha palestra será sobre o TopTen do OWASP, além da palestra vou estar junto com o Weber no Ask the Experts.

O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.

 Tech-Ed 2007

29 de outubro de 2007

links for 2007-10-29

Ferramenta que identifica XSS em código .Net

o ACE Team da Microsoft acaba de disponibilizar um plug-in para identificar XSS (Cross Site Scripting) em códigos .Net.

XSS Detect

Pesquisa sobre Continuidade de Negócios

A Daryus buscando desenvolver o mercado de Continuidade de Negócios divulga uma pesquisa para entender o mercado Brasileiro de Continuidade de Negócios.

Pesquisa Daryus

A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.

26 de outubro de 2007

links for 2007-10-26

23 de outubro de 2007

links for 2007-10-23

Cyber-Crime

Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.

O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.

SCADA

Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.

A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.

A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.

O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.

22 de outubro de 2007

Personal Information Classification

Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.

A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.

Dentro do volume criptografado eu criei as seguintes pastas:



  • Projetos

  • Desenvolvimento

  • Comercial

  • Diversos




Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:



  • Projetos

  • - Projeto x

  • - Projeto y




Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:



  • Desenvolvimento

  • - Projeto x

  • - Projeto y




Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.

Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.

Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!

Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.

A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).

Tag2Find

Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.

Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.

A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.

Armazenamento de E-mails

Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.

DSynchronize

Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.

21 de outubro de 2007

National Response Framework

Infelizmente os últimos posts e fonte de meus estudos são documentos do governo americano. Infelizmente porque, por mais que o Brasil tenha trabalho em inumeras frentes o que eu mais encontro sobre resposta a incidentes, continuidade de negócios é do Governo Americano. E quem acha que é devido a maior exposição do Estados Unidos está enganado. Hoje o Brasil fala tanto quanto eles, mas as informações quase sempre tem um apelo totalmente comercial e sem fundamento.

Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)

O documento está estruturado da seguinte forma:
Capítulo 1 - Papéis e Responsabilidades;
Capítulo 2 - Ações de Resposta;
Capítulo 3 - Gestão de incidentes;
Capítulo 4 - A estratégia fundamental para estar preparado.

National Strategy for Homeland Security

A Casa Branca acaba de disponibilizar um overview da Estratégia de Segurança Interna do inglês National Strategy for Homeland Security.

Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.

National Strategy for Homeland Security

17 de outubro de 2007

Credibilidade da segurança

O Gustavo Bittencourt escreveu sobre a visão de Linus Torvalds sobre segurança. Resumindo, Linus considera que a métrica mais usada em segurança é o "achômetro".

Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.

Probabilidade

Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.

Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.

pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.

Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.

16 de outubro de 2007

links for 2007-10-16

Security Skill

Uma dúvida constante em listas de discussão é qual capacitação um profissional de segurança deve possuir para exercer determinada função em segurança.

Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.

Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development

15 de outubro de 2007

links for 2007-10-15

14 de outubro de 2007

Web Scraping and Password Cracking

Web scraping é uma técnica que consiste em capturar dados, informações de forma automatizada em sites na internet. Alguém lembra do script criado por Kevin Poulsen para procurar profiles de pessoas que poderiam ser pedófilos? Esse é um bom exemplo de web scraping.

A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.

Mas o que tem a ver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.

Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?

Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.

Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!

Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!

Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.

11 de outubro de 2007

links for 2007-10-11

10 de outubro de 2007

links for 2007-10-10

Controle de Versão

Dificuldades em implementar um processo de controle de versões de software? Uma estudada neste post do BetterExplained e neste do Wanderley Caloni vai clarear muito as idéias.

Controle de Versão

Disaster Recovery Game

A FEMA (Federal Emergency Management Agency) disponibiliza para acesso público um game do tipo perguntas e respostas relacionados a ameaças naturais e recuperação de desastres.

Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.

9 de outubro de 2007

links for 2007-10-09

8 de outubro de 2007

links for 2007-10-08

Evento de segurança

Interessado em participar de um evento de segurança com uma abordagem totalmente nova e com palestrantes de renome no mercado nacional e internacional?

Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade!

6 de outubro de 2007

links for 2007-10-06

Plano de sucessão

Algumas vezes você já pensou como a sua organização iria se comportar caso uma pessoa chave para o negócio não estivesse mais ocupando a posição que ele ocupa hoje?

Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa.

Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave.

Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que  pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar.

Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continuidade de negócios e pode garantir a resiliência da sua empresa em situações adversas.

O portal BNET escreveu um artigo sobre a elaboração de um plano de sucessão: Preparing a Sucession Plan

5 de outubro de 2007

links for 2007-10-05

4 de outubro de 2007

links for 2007-10-04

FUD 2.0

Um termo bastante conhecido entre os profissionais de segurança é FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida). Este termo é usado pelos profissionais para influenciar decisões de compra ou implementações de serviços de segurança.

Usar FUD como justificativa para implementar segurança é pura incompetência e imaturidade do nosso segmento. Usar argumentos como: "Se você não implementar X, vai parar Y" só mostra nossa incapacidade de gerar valor ao negócio e mostrar métricas tangíveis.

Já que o mercado mostra uma dita WEB 2.0 como uma nova visão da antiga internet, porque nós não podemos criar o FUD 2.0 para nosso segmento.

O FUD 2.0 seria uma visão totalmente nova para conseguir o comprometimento do negócio com nossos objetivos e soluções. O acrônimo FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida) seria substiuído por: FUD (Feasibility, Usability, Dashboard - Praticabilidade, Usabilidade, Dashboard).

Qualquer iniciativa de segurança deve no mínimo ter o FUD 2.0, que seria as seguintes características:

Praticabilidade: conceitualmente o melhor dos mundos é uma gestão de alto nível com uma visão estratégica, tática e operacional, mas, antes de qualquer coisa, uma implementação deve ser prática e viável para a organização. Muitas vezes precisamos abrir mão do certo pelo justo. Isto é gestão de riscos. Quando colocamos todos os pontos necessários como mandatório estamos fazendo Compliance e não gestão de riscos.

Usabilidade: de nada adianta implementar vários controles se a organização não se adaptar e não se tornar parte da cultura da organização.

Dashboard: sim, segurança também deve mostrar seus indicadores, métricas comprovando a eficácia dos controles implementados. É necessário mostrar o valor que se criou ao negócio após a implementação de segurança.

Alguém deve estar se perguntando, qual é a grande novidade do FUD 2.0? Nenhuma! Existe alguma novidade na Web 2.0? Também não. Assim como a web 2.0 o FUD 2.0 é apenas uma visão mais adequada e buscando resultados melhores.

3 de outubro de 2007

links for 2007-10-03

Preparando aulas

O site BetterExplained é uma excelente ferramenta para quem possui facilidade em aprender com imagens.

A maioria dos posts são relacionados a desenvolvimento de software, mas o site trata outros assuntos. Eu acho uma excelente fonte para desenvolver materiais de aula.

Um exemplo de um post sobre MVC (Model, View, Controller).

MVC (Model, View, Controller)

2 de outubro de 2007

links for 2007-10-02

1 de outubro de 2007

links for 2007-10-01