23 de julho de 2008

Firebug - Um canivete suiço

Uma das ferramentas que eu mais utilizo quando estou desenvolvendo alguma coisa para WEB e analisando algum fonte buscando algum problema de segurança é o Firebug. O Firebug é um extensão que pode ser instalada em Firefox, Opera, Safari e Internet Explorer e acaba de ser anunciado que agora ele será mais um projeto da fundação Mozilla.

Esta ferramenta á fantástica e permite que você interaja com facilidade com objetos DOM, javascript e mais uma pancada de coisas relacionadas a layout e performance. Para quem gosta de desenvolvimento como eu, chega a viciar. Sempre que vejo alguma coisa interessante na WEB ou em determinada aplicação já mando logo um F12 (atalho para chamar o Firebug no Firefox).

Todo mundo sabe que depurar aplicações WEB não é a melhor coisa do mundo, javascript então eu fujo, mas o Firebug por si só facilita muito. Além disso ele possibilita que você utilize alguns plugins:


No youtube tem uma série de vídeos demonstrando o funcionamento, segue alguns:

Como usar o Firebug



Introdução a Debugging de aplicações que utilizam do recurso de AJAX


19 de julho de 2008

Wireshark University

Foi lançado recentemente uma certificação para quem utiliza o Wireshark. O Wireshark University é uma iniciativa da Laura Chappell (aquela mesma dos brincos USB).

No site da Wireshark University você pode saber mais sobre a iniciativa e comprar os DVDs que são base para a preparação.

Além deste conteúdo, é possível acessar gratuitamente uma série de paper e vídeos no próprio site.

18 de julho de 2008

Wordpress Security

Faz um bom tempo que eu utilizo o wordpress para manter este blog, sempre achei uma excelente ferramenta. Mas agora tenho ainda mais motivos para adota-lo nas minhas iniciativas.

Com a popularidade do wordpress, não demorou muito para as vulnerabilidades começarem a aparecer. Felizmente a comunidade e a empresa responsável pelo wordpress não tem decepcionado, a resposta a problemas de segurança que, são inevitáveis, é muito rápida e eficaz.

Eu acabei de migrar o blog para versão 2.6, nesta versão algumas mudanças relacionadas a segurança valem o comentário.

  1. XML-RPC desabilitado por default;
  2. Controles para garantir a integridade dos cookies;
  3. Salt nas senhas;
  4. Tratado as informações de erro relacionadas ao Banco de Dados.
Além destas mudanças, um dos maiores especialistas em segurança de ambiente web na minha opinião, Petko D. (PDP) Petkov do GNUCITIZEN junto com o BlogSecurity, lançaram o Blogsecurify. A iniciativa conta com o apoio de PDP no antigo projeto do BlogSecurity, o wp-scanner.

Para fazer um scan buscando por vulnerabilidades no seu wordpress usando o Blogsecurify baixe o plugin disponibilizado, habilite-o e no site do blogsecurify informe a URL do seu blog e mande analisar.

16 de julho de 2008

Conviso e a FortConsult

Este mês atingimos mais uma grande meta na Conviso. Quando eu e o Eduardo Neves decidimos juntar esforços e tornar a Conviso uma referência em segurança técnica, nosso objetivo era trabalhar junto ao mercado Europeu e ir ganhando força no mercado extremamente competitivo do Brasil.

Foi assim que o Eduardo partiu para Dinamarca para se aproximar na época de um parceiro. Este mês o parceiro passou a ser sócio da Conviso. No site da Conviso você pode conferir o press-release desta nova conquista.

Com esta conquista a Conviso ganha muito mais força e recursos para continuar trabalhando em pesquisa e desenvolvimento do mercado de Segurança Técnica.

11 de julho de 2008

SNMP Resources

O portal SNMPLink.org disponibiliza todo tipo de recurso sobre SNMP (Simple Network Management Protocol). Lá você encontra referência de artigos, tutoriais, livros e ferramentas. O local certo para encontrar informações sobre gerenciamento de rede usando SNMP.

Vídeos sobre Data Center

Acabo de incluir na página de vídeos do blog a referência ao arquivo de vídeos do Data Center Knowledge, destaco os seguintes:

Infra-Estrutura de suporte a DNS da VeriSign (53 min.)



Sistema de Supressão de Incêndio (5 min.)

8 de julho de 2008

A indústria do Antivírus e suas idéias brilhantes

A Grisoft desenvolvedora do popular antivírus AVG adotou uma prática que eles entenderam como genial, mas a coisa é bastante absurda e sem sentido na prática.



Enquanto você faz uma pesquisa em sites de buscas como Google, Yahoo ou Windows Live, uma função chamada LinkScanner sorrateiramente visita todos os links listados buscando por "links maliciosos". Tudo isso como se fosse você, inclusive com seu IP.

O Tecnoblog dá mais detalhes sobre esta tremenda orelhada da Grisoft.

7 de julho de 2008

PHP and Javascript Code Sniffer

Greg Sherwood e Marc McIntyre acabam de lançar um projeto que pode ser bastante interessante para segurança em desenvolvimento de aplicações que usem php e Javascript. Uma das práticas adotadas quando implementamos segurança no processo de desenvolvimento de software é criar uma cartilha de boas práticas de desenvolvimento, não é a solução para todos os problemas mas pode ajudar em escrever código melhor.

A ferramenta promete comparar o código escrito com uma política previamente estabelecida, ou seja, você determina que todo o código desenvolvido não pode usar a função eval() e quando você rodar o PHP_CodeSniffer ele irá apontar a utilização desta função.

É apenas uma Análise Léxica, mas é um controle simples e que pode trazer um bom retorno no ambiente de desenvolvimento que usem php e javascript.

4 de julho de 2008

Internet Explorer Security

No Blog dos desenvolvedores do Internet Explorer está disponível uma série de posts relacionados a características de segurança do Internet Explorer 8.

IE8 and Trustworthy Browsing


IE8 Security Part III: SmartScreen® Filter

IE8 Security Part IV: The XSS Filter

IE8 Security Part V: Comprehensive Protection

Algumas características que eu achei bastante interessantes são relacionadas ao Safer Mashups.

É cada vez mais comum o consumo de funções de outros sites na internet, para se ter uma idéia vejam o número de widgets, API disponíveis no site ProgrammableWeb.

A solução usa o recurso de isolamento do DOM para mitigar o risco da aplicação estar consumindo scripts potencialmente perigosos de outros sites. Além do isolamento ela faz uma sanitização das tags HTML e dados serializados usando JSON. Recomendo a leitura dos posts.

Publicações sobre criptografia, matemática e física

Lendo este post no Log4Dev fiquei sabendo de duas fontes bastante interessantes sobre criptografia, matemática e física.

Um é o Cryptology ePrint Archive. Aqui você pode encontrar estudos, pesquisas sobre criptografia que ainda não foram patenteadas ou aceitas em congressos de criptografia.

Já no arXiv.org da Cornell University você tem acesso a estudos sobre: matemática, Ciência da Computação, Física, Biologia e Estatística.

3 de julho de 2008

Business Impact Analysis não é método de alocação de capital

Após o estabelecimento da Resolução 3.380 do BACEN, muitas instituições financeiras de pequeno e médio porte tiveram que estabelecer uma estrutura de gestão de risco operacional. O que é um diferencial de negócio nas grandes instituições se tornou dor de cabeça nas pequenas e médias.

Vários projetos foram desenvolvidos para se alcançar a conformidade com a resolução. Muitos destes projetos foram de Continuidade de Negócios. Eu tive a oportunidade de trabalhar em alguns destes projetos e consequentemente estudar bastante sobre risco operacional.

O objetivo deste post é esclarecer um equívoco que esta sendo cometido relacionado a métodos de alocação de capital. Em um bom projeto de Continuidade de Negócios a BIA (Business Impact Analysis) é um dos estudos que saltam os olhos, acredito que, por este motivo muitos associaram o BIA (Business Impact Analysis) com o BIA (Basic Indicator Approach) que é um dos métodos de alocação de capital.

Segundo a Resolução 3.380 todas as instituições tem que estabelecer uma metodologia para alocação de capital, as mais utilizadas são:

  • BIA (Basic Indicator Approach)

    Consiste no método mais simplificado e tem a seguinte fórmula: Calcula-se a média do resultado bruto nos últimos 36 meses e aplica-se o fator de 15%.
  • STA (Standardized Approach)

    Este método é semelhante ao anterior mais separa os resultados em linhas de negócio da instituição financeira.

    1. Corporate Finance: 18%
    2. Retail Banking 12%
    3. Commercial Banking 15%
    4. Trading and Sales 18%
    5. Payment and Settlement 18%
    6. Agency Services 15%
    7. Asset Management 12%
    8. Retail Brokerage 12%

  • ASA (Alternative Standardized Approach)

    Esse método tem abordagem semelhante ao anterior mais com foco diferenciado nas linhas Commercial e de Retail.
  • AMA (Advanced Measurement Approach)

    Este método é o mais complexo e exige maturidade da instituição. Ele adota métodos qualitativos e quantitativos. A vantagem em adotar o AMA está na possibilidade de alocar menos capital para risco operacional.
Não sou nenhum especialista no mercado financeiro, a idéia é tentar esclarecer este equívoco entre os profissionais que nunca passaram por esta situação. Uma boa fonte para quem deseja se aprofundar é o próprio site do Banco Central.

2 de julho de 2008

Tutorial de segurança em PHP

O site phpfreaks publicou um tutorial de 14 páginas sobre segurança em php. O Tutorial não trás nenhuma técnica nova, mas gostei dele por estar orientado as falhas do Top Ten da OWASP. Ao invés de uma lista de dicas, eles estruturaram o conteúdo. O tutorial pode ser acessado no site ou você pode baixar um pdf.

1 de julho de 2008

SQL Injection For Dummies

A HP utilizando a tecnologia que adquiriu comprando a Spidynamics lançou uma ferramenta freeware chamada Scrawlr para procurar por Sql Injections.

A iniciativa foi em conjunto com a Microsoft, mais detalhes você pode conferir em um post no blog da Conviso.

Vale ressaltar que as ferramentas automatizam o processo, mas ainda tem dificuldades em ataques complexos.