29 de novembro de 2007

links for 2007-11-29

Sistema de Gestão Integrado

Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados.

Na minha atuação eu consigo rapidamente listar três sistemas:

1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).

Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.

Os sistemas de gestão geralmente são estruturados da seguinte forma:

1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.

Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:

1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;

Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).

O que é o PAS 99?

O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).

De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.

28 de novembro de 2007

links for 2007-11-28

26 de novembro de 2007

Cross Build Injection

Em Setembro deste ano a fortify publicou um paper sobre um ataque intitulado Cross-Build Injection. O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção.

Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.

23 de novembro de 2007

links for 2007-11-23

21 de novembro de 2007

links for 2007-11-21

Simulação e Testes

Meu amigo Eduardo Neves me enviou uma notícia bem interessante pra quem trabalha com BCP (Business Continuity Plan).

Notícia veiculada no G1

Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.

A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.

A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.

O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.

Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.

20 de novembro de 2007

links for 2007-11-20

Datacenter em 90s

Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters.

19 de novembro de 2007

REST Insecurity

Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails).

14 de novembro de 2007

links for 2007-11-14

Gripe Aviária (Pandemic Flu)

Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária.

Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.

O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:


  • Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências;

  • Monitora a rota migratória das aves;

  • Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária;

  • Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil.



De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.

Metodologia para pentest

A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.

A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.

O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.

A estrutura do documento é a seguinte:
1 - Introdução

2 - Information Security Testing Overview

3 - Review Techniques

4 - Target Identification and Analysis Techniques

5 - Target Vulnerability Validation Techniques

6 - Information Security Test Planning

7 - Security Testing Execution

8 - Post-Testing Activities

Supply Chain Security

Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores.


  • ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems



  • ISO 28000:2007Specification for security management systems for the supply chain



  • ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000





  • ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance



Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.

13 de novembro de 2007

links for 2007-11-13

12 de novembro de 2007

links for 2007-11-12

7 de novembro de 2007

links for 2007-11-07

6 de novembro de 2007

links for 2007-11-06

5 de novembro de 2007

links for 2007-11-05