Portal do CERT sobre segurança em desenvolvimento
Ferramenta para alteração de configurações locais de rede
30 de novembro de 2007
links for 2007-11-30
29 de novembro de 2007
links for 2007-11-29
Explicação didática do cálculo de Diffie-Hellman
Artigo bem completo sobre integração de bancos de dados relacionais usando XML
Sistema de Gestão Integrado
Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados.
Na minha atuação eu consigo rapidamente listar três sistemas:
1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).
Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.
Os sistemas de gestão geralmente são estruturados da seguinte forma:
1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.
Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:
1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;
Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).
O que é o PAS 99?
O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).
De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.
Na minha atuação eu consigo rapidamente listar três sistemas:
1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).
Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.
Os sistemas de gestão geralmente são estruturados da seguinte forma:
1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.
Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:
1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;
Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).
O que é o PAS 99?
O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).
De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.
28 de novembro de 2007
links for 2007-11-28
Ferramenta de auditoria em banco de dados SQL Server
Ferramenta para validação de regras de firewall
Guide e ferramentas para implementação de um CSIRT
27 de novembro de 2007
links for 2007-11-27
Pequeno software que faz o firefox consumir apenas 1mb. O software força o firefox a liberar memória
26 de novembro de 2007
Cross Build Injection
Em Setembro deste ano a fortify publicou um paper sobre um ataque intitulado Cross-Build Injection. O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção.
Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.
Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.
23 de novembro de 2007
links for 2007-11-23
Solução freeware que adiciona um guia nas propriedades para ver o hash dos arquivos no explorer do windows
Ferramenta de debug colaborativo. Você posta um código com a dúvida e alguém responde ou ajuda a chegar a solução.
Ferramenta para gerar uma imagem com os pontos de rede e suas conexões
Dicionário com todos os comandos linux like
22 de novembro de 2007
21 de novembro de 2007
links for 2007-11-21
Artigo sobre MUST (Multiple-User Simultaneous Testing)
Site para criar icones online
Artigo sobre cadeia de valor
Ferramenta online onde você escolhe o tipo de gráfico e se é para powerpoint ou excel. Escolhendo o gráfico é só baixar um exemplo
Simulação e Testes
Meu amigo Eduardo Neves me enviou uma notícia bem interessante pra quem trabalha com BCP (Business Continuity Plan).
Notícia veiculada no G1
Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.
A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.
A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.
O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.
Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.
Notícia veiculada no G1
Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.
A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.
A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.
O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.
Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.
20 de novembro de 2007
links for 2007-11-20
Ferramentas para suportar os processos do ITIL
Portal que lista online dispositivos bluetooth disponíveis.
Um artigo sobre como elaborar questionários/checklists efetivos
Datacenter em 90s
Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters.
19 de novembro de 2007
REST Insecurity
Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails).
14 de novembro de 2007
links for 2007-11-14
Página oficial do PE Explorer
Ferramenta de workflow
Projeto do mitre que busca identificar e padronizar configurações de sistemas
Continuação do artigo sobre a ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga.
Artigo citando uma série de ferramentas open-source para o processo de engenharia de software
GUI para cvs
Várias ferramentas para desenvolvimento de software, incluindo uma para gerar help de forma bem simples.
Gripe Aviária (Pandemic Flu)
Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária.
Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.
O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:
De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.
Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.
O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:
- Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências;
- Monitora a rota migratória das aves;
- Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária;
- Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil.
De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.
Metodologia para pentest
A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.
A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.
O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.
A estrutura do documento é a seguinte:
A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.
O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.
A estrutura do documento é a seguinte:
1 - Introdução
2 - Information Security Testing Overview
3 - Review Techniques
4 - Target Identification and Analysis Techniques
5 - Target Vulnerability Validation Techniques
6 - Information Security Test Planning
7 - Security Testing Execution
8 - Post-Testing Activities
Supply Chain Security
Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores.
Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.
- ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems
- ISO 28000:2007Specification for security management systems for the supply chain
- ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000
- ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance
Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.
13 de novembro de 2007
links for 2007-11-13
Repositório com várias ferramentas de workflow para download
Ferramenta de captura de dados em redes wireless
Página oficial do Nikto (ferramenta de análise de segurança em aplicações web)
Engine em Java para gerar workflow com base em notações XML
Interface gráfica para mod_security
Ferramenta baseada no ACID para gestão de alertas de Snort
12 de novembro de 2007
links for 2007-11-12
Várias ferramentas para análise de segurança, inclusive banco de dados DB2
Ferramenta de Fuzzing em XML
Software que adiciona a característica de detecção de movimentos em webcam
Ferramenta de edição de arquivos PE
Programa para edição de C/C++
7 de novembro de 2007
links for 2007-11-07
Portal especializado em carreiras relacionadas a gestão de continuidade de negócios
Vários papers sobre gestão de riscos e BCP
Vários papers sobre segurança física e infra-estrutura
6 de novembro de 2007
links for 2007-11-06
Framework para explotation usando browser
Ferramenta de Bug Traking estilo blog
Ferramenta online para gestão de senhas
Ferramenta para automatizar ataques de sql injection
5 de novembro de 2007
links for 2007-11-05
Solução OpenSource de gestão de backups para multiplos Sistemas Operacionais
Solução que cria um baseline de configuração de sistemas operacionais e compara identificando alterações
Ferramenta que condiciona o usuário de micro a parar e realizar exercícios para evitar LER (Lesões por Esforços Repetitivos).
Solução em PHP para gestão de ToDo List
Arquivo com as revistas vejas publicadas na internet
HIDS que pode gerenciar múltiplos HOSTs
Cálculo do algoritmo RSA
Um guia para exercitar um plano de continuidade de negócios
Portal que disponibiliza informações sobre API e webservices para interagir com informações na internet.
Assinar:
Postagens (Atom)