28 de agosto de 2008

Palestra na H2HC

A palestra irá abordar técnicas de exploração em Aplicações Web, onde serão apresentados testes que vão além de vulnerabilidades como SQL Injection e XSS (Cross Site Scripting), e englobam recursos como AJAX (Asynchronous Javascript And XML), JSON (JavaScript Object Notation) e XML-RPC (XML Remote Procedure Calling).

Sobre o H2HC 2008
Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. O site do evento pode ser acessado em http://www.h2hc.org.br.

26 de agosto de 2008

Segurança em JAVA

O meu amigo Lucas Ferreira disponibilizou um portal onde ele descreve técnicas/recursos de segurança em ambiente JAVA. Estudo altamente recomendado.

Os seguintes tópicos são abordados:

  • Validar os dados de entrada

  • Proteger a aplicação web contra cross site scripting

  • Evitar "command injection"

  • Tratar corretamente todos os erros da aplicação

  • Validar a origem das requisições

  • Usar objetos imutáveis

  • Limitar o acesso às variáveis, classes e métodos

  • Tornar todos os métodos e classes “final”

  • Não usar o escopo de pacote para proteger a classe contra acessos indesejados

  • Impedir a clonagem dos objetos

  • Usar classes não serializáveis

  • Usar classes não desserializáveis

  • Não armazenar informações confidenciais no código do programa

  • Não comparar classes por nome

  • Não usar classes internas (“inner class”)

  • Usar os mecanismos de autenticação dos contêineres J2EE

  • Usar sockets com criptografia SSL

  • Proteger os arquivos criados

  • Especificar o diretório onde serão criados os arquivos temporários

  • Verificar condições de “overflow”, “underflow” e conversões de tipos numéricos

  • Declarar as variáveis estáticas públicas como “final”

  • Não armazenar vetores recebidos como parâmetros

  • Apagar dados críticos da memória

  • Controle de acesso em aplicações web

  • Usar os mecanismos de tratamento de exceções

  • Verificar métodos nativos (“native methods”)

  • Validar unboxing para tipos primitivos

25 de agosto de 2008

Modelagem de Ameaças e Star Wars

Brian Williams fez uma apresentação sobre Modelagem de ameaças fazendo uma referência a Star Wars. Não sou nenhum fan-boy de Star Wars, mas a apresentação ficou muito boa.

Parte 1



Parte 2



Parte 3



Fonte: Dana Epp's

The Developer Highway Code

Está disponível gratuitamente para download o livro: The Developer Highway Code.
"To build software that meets your security objectives, you must integrate security activities into your software development lifecycle. This handbook captures and summarises the key security engineering activities that should be an integral part of your software development processes.

These security engineering activities have been developed by Microsoft patterns & practices to build on, refine and extend core lifecycle activities with a set of security-specific activities. These include identifying security objectives, applying design guidelines for security, threat modelling, security architecture and design reviews, security code reviews and security deployment reviews."

21 de agosto de 2008

Database Proxy como ferramenta para segurança de aplicações

Quando pensamos em soluções de segurança para banco de dados, quase sempre pensamos em soluções de missão crítica e de grande porte. Uma excelente ferramenta para isso é a Guardium.

Mas e as aplicações que dependem de um database como MySQL? Solução simples, sem custos de licença (com algumas exceções) e que suporta muito bem inúmeras soluções web.

A comunidade ficou assustada quando foi anunciada a compra da empresa que o desenvolvia pela SUN. Logo as coisas começaram a melhorar na minha opinião, o fonte foi disponibilizado via repositório, antes não era. E recentemente alguns desenvolvedores ao ver que a estratégia da SUN é desenvolver uma solução mais robusta logo fizeram um fork do projeto e criaram o Drizzle.

Soluções para databases como o MySQL não são comuns. Uma grata surpresa pra mim foi o trabalho de Stefan Esser, ele desenvolveu um script em Lua que transforma o MySQL-Proxy em uma ferramenta de detecção de SQL Injection baseada em heurística.

O MySQL-Proxy é um proxy de banco de dados para ser usado com o MySQL. Funcionando como um proxy ela possibilita que seja feito não só um monitoramento mas tratamento e manipulação de requisições ao database.

A parte interessante deste proxy e que foi usado pelo Stefan Esser é a engine de scripts. A engine possibilita que você desenvolva scripts em Lua para interagir com as requisições que são feitas ao database.



O script desenvolvido por Esser está disponível aqui e na página do MySQL Forge também é possível encontrar outros scripts e colaborar.

18 de agosto de 2008

IP (Internet Protocol) Security Assessment

O CPNI (Centre for the Protection of National Infrastucture) do Reino Unido acaba de lançar um Guideline para análise de segurança no protocolo IP (Security Assessment of the internet Protocol). O guide além de detalhar o funcionamento do protocolo, demonstra características que tornam o protocolo inseguro.

Além deste guide outros paper/guides podem ser acessado aqui.

16 de agosto de 2008

Falha em DNS ilustrada

Passado o "vuco-vuco" e a apresentação do Dan Kaminsky sobre a falha crítica em implementações de DNS, foi lançado um guia ilustrado demonstrando características do DNS e explicando a falha.


Excelente material, esse guia se junta a outro material excelente sobre  IPsec.