30 de maio de 2008

Service-oriented Architecture for Dummies

Quer explicar o que é SOA para sua esposa/namorada ou aquele seu amigo estilista? Use este vídeo.

SecurityTube.Net

Um youtube somente de vídeos de segurança? É isso mesmo! SecurityTube.Net.

No portal esta disponível vários vídeos sobre hacking, Wireless, entre outros.

29 de maio de 2008

Técnica Salame, o retorno!

Todo mundo conhece a técnica salame, agora foi registrado um novo tipo de fraude que pode ser considerado uma evolução.

"Um criminoso americano utilizou computadores para roubar poucos centavos de cada vez de empresas como o Google e o PayPal, e conseguiu acumular mais de US$ 50 mil (cerca de R$ 82 mil) até ser pego pela polícia. De acordo com o site PC Pro, o hacker será julgado por fraude bancária e falsidade ideológica.

O hacker se aproveitou de um procedimento utilizado por serviços de comércio online como E-trade e Schwab, que fazem depósitos de poucos centavos ou mesmo alguns dólares durante a verificação da existência de uma conta bancária.

O Google Checkout e o PayPal também utilizam tática similar para verificar se cartões de crédito ou débito estão ligados a uma conta.

De acordo com a Justiça americana, o hacker criou um programa que abriu, automaticamente, 58 mil contas em serviços online. Depois, coletou os centavos depositados em uma conta bancária registrada em nome de uma identidade falsa. Só do Google Checkout, ele teria roubado mais de US$ 8 mil."

Fonte: G1

Os serviços de meio de pagamento citados utilizam uma técnica que consiste em creditar pequenas quantidades (centavos) na conta do usuário, possibilitando que seja validado os dados cadastrais referentes a conta bancária.

O que o caboclo fez? Criou um robô que criou várias contas neste sistemas, assim de grão em grão, ou melhor, de centavos em centavos ele levou uma boa grana. Mas como todos sabem, o crime não compensa...

27 de maio de 2008

RFID Vírus

A possibilidade de explorar falhas na arquitetura, implementação de RFID não é novidade, agora o que a Universidade de Vrije em Amsterdam estão divulgando são informações, estudos, sobre o desenvolvimento de vírus para RFID.

Um dos participantes dos estudos é o Andrew S. Tanembaum, aquele mesmo das discussões com Linus Torvalds e que conhece um pouco de Sistemas Operacionais.

No site é possível conhecer um pouco sobre RFID e ter acesso a informações de como escrever vírus para RFID.

[UPDATE] Meu amigo Lucas também escreveu sobre o tema, recomendo a leitura.

Air Force Cyber Command


Imagine a situação: "venha participar da tropa de elite do exército Brasileiro e combater os criminosos da internet".

Pois é exatamente isto que a Força Aérea Americana está fazendo. O Air Force Cyber Command é uma unidade especial que tem como objetivo combater, agir sobre crimes cibernéticos.

Até os famosos cartazes convocando os cidadão americanos eles possuem. No site você também pode acessar vários materiais e acompanhar a atuação deles.

Será que o Brasil possui um desse?

19 de maio de 2008

links for 2008-05-19

Aplicando componentes de uma TV de Plasma para quebrar senhas

Quando eu vi esta notícia no The Register fiquei imaginando qual seria a novidade. Afinal, já se usa placas de vídeo, Playstation para quebrar senhas. Mas, isto era mais fácil de ser previsto, afinal ambos possuem processadores com boa capacidade de resposta.

Após a leitura cheguei a conclusão que a notícia era um pouco exagerada, o que a TV de Plasma possui é um componente chamado FPGA (Field Programmable Gate Array). Como eu sou técnico em eletrônica (não praticante, como diria um católico que não vai a missa) e já li um livro que trata deste assunto (Criptografia em Software e Hardware), logo entendi do que se tratava.

Como este componente possui uma capacidade muito forte de processamento/cálculos pesquisadores usaram para quebrar algoritmos de criptografia. Parece algo surreal, mas não é nada novo, como pode ser visto nesta apresentação no CCC de 2004.

O livro Criptografia em Software e Hardware de 2005 é bastante técnico e trás mais detalhes sobre esta técnica/recurso.

Google e desenvolvimento WEB

Quem acompanha o mundo de desenvolvimento WEB na semana passada acompanhou o lançamento de mais um serviço/biblioteca disponibilizado pelo google.

A biblioteca chamada DocType e com o slogam Document the Open Web consiste em uma série de artigos e dicas sobre desenvolvimento WEB, incluindo dicas de segurança que podem ser acessadas aqui.

Criptografia para crianças

O Governo Americano investe bastante em conscientização e treinamento de assuntos relacionados a segurança. Uma iniciativa interessante que eles possuem é o desenvolvimento de games e materiais didáticos para crianças em idade escolar.

Eu já mostrei aqui um game desenvolvido pela FEMA (Federal Emergency Management Agency). Eu encontrei agora um game que tem como objetivo ensinar criptografia para crianças. Isso mesmo criptografia e desenvolvido pela NSA (National Security Agency).

A iniciativa consiste em jogos animados (desenvolvido em flash), animações explicando o funcionamento de algoritmos e outros recursos para estudo. Recomendo não só para crianças, mas para estudantes, adultos, melhor idade e a qualquer um que deseje saber um pouco mais sobre criptografia.

16 de maio de 2008

PDCA e ISO 27001

Alguém sabe me dizer por que o PDCA da ISO 27001 está em sentido anti-horário?



E não sentido horário como é o tradicional.



Os Gurus da Qualidade

Todos adoram citar Deming, falando do Ciclo PDCA. Mas não podemos esquecer que existem muitos outros que contribuiram para a gestão da qualidade.

Dêem uma olhada nesta lista!

WebGoat 5.1 em Português

O Fabricio Braz além de manter um blog muito bom sobre desenvolvimento seguro, vem fazendo um excelente trabalho na comunidade OWASP.

Ele acaba de anunciar a tradução do WebGoat 5.1 para o Português. Esta ferramenta do projeto OWASP tem o objetivo de ser um laboratório onde você aprende na prática as principais vulnerabilidades WEB.

Go aHead OWASP!

15 de maio de 2008

Hacker Safe?

Eu acho extremamente apelativas e sem nexo iniciativas como a Hacker Safe da McAfee.

Uma pena que muitos C-Levels achem interessante deixar sua marca/negócio exposto desta maneira. Colocar um selo dizendo que seu site é seguro porque está sendo monitorado por um grande player é um tremendo chamariz.

Dêem uma olhada neste vídeo.

14 de maio de 2008

W3C e licenciamento de conteúdo

A Creative Commons está tentando junto ao W3C desenvolver um padrão para identificar a licença de uso de conteúdos publicados na internet. Hoje isso é feito pelo autor usando de links e/ou ícones com o tipo de licença escolhido, a idéia é que isto seja automatizado.

A grande sacada na minha opinião está na utilização de Microformats para tornar isso viável. Não sabe o que é Microformats? Aguarde e verás, este padrão será bem mais que o simples hCard utilizado pelo Linkedin e outros recursos de compartilhamento de contatos.

Saiba mais sobre esta iniciativa da Creative Commons e W3C nestes links:

Para saber mais sobre Microformats eu recomendo o tutorial do Henrique C. Pereira do Revolução Etc.

12 de maio de 2008

Google e MSS (Managed Security Services)?

Em Julho de 2007 a Google comprou a Postini. Se durante algum tempo os serviços estavam focados apenas em produtos do google, parece que eles estão ofertando serviços gerenciados de segurança baseado na sua estratégia de Clouding Computing. Eles lançaram os serviços da Postini ao consumidor final.

Os serviços vão de antivírus a gerenciamento de conteúdo e tem o valor de $ 36,00 ao ano.

Password Manager Online

Em algumas situações é interessante manter um repositório de senhas, eu já escrevi sobre isso algum tempo atrás.

Com o crescimento das aplicações Web 2.0 estas soluções começaram a migrar para WEB, vejam uma lista destas ferramentas neste link: List of Free Online Password Managers.

Ou se você é saudosista e jamais irá deixar de anotar de maneira tradicional, que tal comprar um destes: Top Secret Password Notepad?

11 de maio de 2008

Um Período na Dinamarca

Como alguns devem saber, o primeiro contrato da Conviso foi fechado com uma empresa Dinamarqueza, a Fort Consult.

Durante o período que o Eduardo vai passar por lá ele decidiu falar um pouco da sua experiência com os vikings. Quem quiser acompanhar é só ficar de olho no blog: Um Período na Dinamarca e no blog da Conviso.

10 de maio de 2008

Deadline de implementação do PCI

Eu já havia comentado aqui no blog um dos requisitos do PCI-DSS. Este requisito trata de vulnerabilidades em aplicações web, basicamente implementando controles para o Top Ten você está em conformidade com o requisito 6.5.

Agora lendo um post do Fabricio Braz eu fiquei sabendo de um deadline para adequação a este controle. Até 30 de Junho este requisito era considerado melhor prática, a partir desta data vai ser uma exigência.

7 de maio de 2008

Mapeamento de Objeto Relacional e Segurança de Aplicações WEB

Ultimamente tenho mexido bastante com frameworks que utilizam de ORM (Object-Relational Mapping) como, Rails (framework para linguagem Ruby) e Cake-php (port do Rails para php).

Eu tinha um certo ceticismo sobre estes frameworks que fazem muita coisa por baixo dos panos, mas ao mexer um pouco mais e entender melhor, cheguei a conclusão que eles não limitam/amarram em nada o desenvolvimento das aplicações e que a maior abstração é referente a manipulação dos dados do banco de dados.

E analisando um pouco mais, cheguei a conclusão que ORM pode colaborar e muito com a segurança das aplicações WEB. Um problema sério no desenvolvimento WEB são os famosos Injection Flaws (Cross Site Scripting, SQL Injection) e isso é devido o despreparo de muitos desenvolvedores que acabam manipulando dados nas aplicações como um chipanzé autista. Quem nunca viu aquelas concatenações horríveis de strings SQL?

Quando estes desenvolvedores despreparados usam ORM eles estão trazendo menos riscos a suas aplicações, pois o ORM faz tudo para eles.

Mas o que é ORM?

ORM é uma biblioteca que transforma dados de bancos relacionais em classes de manipulação de dados de maneira transparente ao usuário. Além de preservar as características de orientação a objetos, o desenvolvedor não precisa fazer nenhuma Query, String de conexão, tudo é feito pelo framework de ORM.

Existem frameworks de ORM para diversas linguagems como, Java (Hibernate, Cayenne), .Net (NHibernate), além dos já citados.

Um problema dos ORM é o volume de dados gerados, em alguns casos a performance é bastante prejudicada. Mas a coisa vem mudando, o Rails por exemplo implementou uma mudança que elimina muito o volume de dados em cada consulta ao banco.

ORM é um tema bem interessante, quem quiser saber mais consulte: Mapping Objects to Relational Databases: O/R Mapping In Detail

6 de maio de 2008

Chamada de Trabalhos

A diretoria de Educação e Conteúdo do capítulo Brasil da ISSA convida seus membros locais, sejam profissionais, estudantes ou pesquisadores, a contribuir com a comunidade de segurança da informação brasileira submetendo artigos, tutoriais ou estudos de caso para publicação em nosso portal e apresentação em eventos.

Os conteúdos enviados serão elegíveis para apresentação nos ISSA Days, publicação no ISSA Journal Internacional, na revista Antebellum da ISSA Brasil e na revista Security Review. Os direitos autorais dos autores serão mantidos e a publicação em qualquer dos meios disponibilizados pela ISSA será feita mediante a aprovação formal do autor.

Os interessados deverão enviar o material seguindo os padrões descritos a seguir para o e-mail conteudo@issabrasil.orgThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it .

Categorias editoriais

Tutoriais

Apresentam didaticamente e ilustrativamente conceitos, técnicas sobre assuntos relacionados a segurança da informação. Deve ser classificado como iniciante, intermediário e avançado e possuir de 20 a 25 páginas.

Artigos

Apresentam pontos de vista, experiências ou reflexão sobre assuntos relacionados a segurança da informação. Deve possuir de 3 a 6 páginas.

Estudos de caso

Apresentam cases práticos de soluções desenvolvidas e implementadas e que seja relacionado a segurança da informação. Deve ser autorizado por terceiros envolvidos e possuir de 6 a 8 páginas.

Formato das Contribuições

* Todos os trabalhos deverão ser submetidos em arquivos no formato Microsoft Word ou compatível;
* A configuração da página deve ser retrato, utilizando Fonte Times New Roman corpo 12, com espaçamento simples entre as linhas;
* Os textos devem ser em idioma português ou inglês.

Sugerimos os seguintes assuntos relacionados a segurança da informação, embora não seja limitado aos assuntos propostos.

* Algoritmos e técnicas criptográficas;
* Ameaças internas;
* Análise Forense;
* Arquitetura de Segurança;
* Aspectos legais da segurança;
* Ataques e "Hacking";
* Auditoria e análise em sistemas;
* Avaliação da segurança, Análise de Vulnerabilidade ou Penetration Test;
* Biometria e sistemas biométricos;
* Certificação de sistemas e de software;
* Códigos maliciosos;
* Comércio eletrônico;
* Criminalística computacional;
* Ferramentas de Segurança;
* Gestão de Segurança;
* Dispositivos móveis, sistemas embarcados e redes sem fio;
* Hardware criptográfico, RFID, cartões inteligentes;
* Infra-estrutura de chaves públicas;
* Integridade e confidencialidade da informação;
* Medidas e sistemas de contingência e recuperação de desastres;
* Modelos e técnicas de controle de acesso;
* Padronização e normatização;
* Políticas de segurança;
* Protocolos de segurança;
* Resposta a Incidentes;
* Segurança em middleware (Java, RMI, J2EE, CORBA, .Net, etc...);
* Segurança em redes;
* Segurança em serviços WEB (ws-security, soap, xml,xacml, etc...);
* Segurança em sistemas distribuídos;
* Segurança em sistemas operacionais;
* Técnicas para desenvolvimento de sistemas seguros;
* Tecnologias de firewall;
* Tecnologias de identificação de ataques (IDS, IPS);
* Tolerância a intrusões;
* Tolerância a falhas;
* Votação eletrônica.

Os documentos devem respeitar a seqüência dos tópicos a seguir:

* Título;
* Nome Completo;
* Resumo em português;
* Abstract; (resumo em inglês)
* Índice;
* Referências Bibliográficas.

--
Att.
Wagner Elias
Diretor de Conteúdo e Educação da ISSA-BR

5 de maio de 2008

Novo Desafio

Mais uma vez estou a frente de uma start-up no mercado de segurança. Junto com o Eduardo Neves assumi o desafio de criar uma consultoria especializada em segurança técnica. A partir de hoje sou responsável pela parte técnica e entrega dos serviços na Conviso, mais especificamente ocupando o cargo de Gerente de Pesquisa e Desenvolvimento.

A Conviso Information Security Technical Services se propõe a ser focada e especializada em segurança técnica, oferecendo serviços de Penetration Test, Análise de Segurança de Código de software e Arquitetura Segura.

Espero contribuir para um mercado que demanda por profissionais capacitados e empresas especializadas.