Wagner Elias - Think Security First

RSS Feed Homepage

Articles: 1, 2, 3, 4, 5

links for 2007-12-15
2007-12-16 00:32:00
SCADA Security Tool Ferramenta para teste de segurança em soluções SCADA (tags: SCADA) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

USB Insecurity
2007-12-15 17:42:00
Um assunto comum entre profissionais de segurança recentemente é a disponibilização ou não, de acesso a porta USB de computadores corporativos. Com acesso USB pode se conectar desde de dispositivos de mass storage (pendrive), até periféricos como impressoras. O problema é que através deste recurso pode-se roubar informações, conectar dispositivos que possam comprometer a segurança do computador, até dar boot em sistemas operacionais. Esta breve introdução é apenas para dizer que, se já era necessário atenção quando o acesso a porta era físico, imagine se o recurso for acessado via rede? É exatamente o que o projeto USB/IP Project se propõe a implementar. Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

links for 2007-12-13
2007-12-14 00:32:00
Easy Thumbnails Software -- Free thumbnail utility from Fookes Software Ferramenta para tratar e redimencionar imagens em lote. (tags: imagens Tools) blog.tenstep.com.br » ERROS COMUNS COMETIDOS NA CRIAÇÃO DAS ESTIMATIVAS Artigo interessante sobre erros comuns cometidos na estimativas de projeto (tags: GerenciamentoProjeto) Segurança de host Artigo bem antigo, mas dá uma visão dos padrões TCSEC, ITSEC e CC (tags: Security Padrões) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Como funciona a cabeça de um hacker
2007-12-13 22:20:00
Eu sou leitor assíduo de um site chamado HowStuffWorks, não preciso nem traduzir o título do site. Eles acabam de escrever um artigo bem interessante (apesar de ser escrito para leigos) sobre a cultura, hacker. O artigo chamado "Como funciona a cabeça de um hacker" está estruturado em 8 tópicos: 1 - Introdução 2 - Tipos de hackers e suas características 3 - O que motiva o hacker 4 - Como atacam os hackers 5 - A ciência do hacking 6 - Hacker s que fizeram história 7 - O glossário do hacker 8 - Mais informações O artigo começa esclarecendo como surgiu a cultura e qual a origem do termo hacker e passa por termos conhecidos como: Leet ("lito" como diria meu amigo Wendel): A própria palavra leet admite muitas variações, como l33t ou 1337. O uso do leet reflete uma subcultura relacionada ao mundo dos jogos de computador e internet, sendo muito usada para confundir os iniciantes e para firmar-se como parte de um grupo. White Hats (hackers éticos): Seguem a mesma linha de ...

links for 2007-12-11
2007-12-12 00:39:00
Security Compass - Application Security Canada Extensão para firefox que testa SQL Injection e Cross Site Scripting (XSS) (tags: extensao pentest) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Business Continuity and Incident Response
2007-12-11 19:30:00
A coisa está ficando ótima para quem trabalha com Conti nuidade de Negócios. Calma, não estou falando que estamos ganhando rios de dinheiro ou que o mercado está bombando. Eu me refiro a quantidade de padrões que estão surgindo para embasar argumentos que muitas vezes ecoavam nos corredores sombrios das organizações e nada era feito. O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999. Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios. Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessan...
More About: Business , Incident , Continuity , Sine

links for 2007-12-09
2007-12-10 00:23:00
Gerar grafico de DNS Ferramenta que gera um grafo do DNS (tags: DNS) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-12-05
2007-12-06 00:26:00
USVN - UserFriendly SVN Ferramenta web para configuração e gestão de Subversion (tags: subversion) pootle [TranslateWiki] Projeto que localiza e traduz documentações (tags: traducao) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Flash Insecurity
2007-12-05 14:06:00
Eu nunca gostei de flash em sites web, ainda mais agora que existe inúmeras opções para fazer RIA (Interface Rica) de forma muito mais limpa. Depois destas apresentações então, estou fora! 1 - Finding Vulnerabilities in Flash Applications 2 - Testing Flash Applications Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

SCADA Security
2007-12-05 11:39:00
Já não é novidade que eu me interesso por segurança em aplicações SCADA. Sempre que encontro uma notícia eu dou pesquisada para ver se encontro mais informações. O próximo passo é brincar com um simulador, afinal ainda não tive a oportunidade de mexer em um ambiente deste. Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante. 1 - Um cliente web para SCADA; 2 - Um Scada Open Source; 3 - Uma HoneyNet SCADA; 4 - Link Encryption para SCADA. O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP. Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Security

Business Continuity And Solutions
2007-12-05 11:33:00
Quando aqui no Brasil vamos ter soluções que são muito mais que recursos de HA (Alta Disponibilidade)? O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação. Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Business , Solutions , Continuity , Conti , Sine

links for 2007-12-04
2007-12-05 00:34:00
Linha de Código - Série Conhecendo Ferramentas de Automação para Teste de Software - WEBLOAD - Parte 3 Terceira parte de um artigo sobre ferramenta de testes para aplicações web (tags: testes artigo) CSS Redundancy Checker ferramenta online para checar css. (tags: css AplicacaoWeb) Thomas Alexander Semple - Implementando Chave de Segurança Web com IHttpModule Validando sistemas por IHttpModule (tags: webdev) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-12-03
2007-12-04 00:42:00
Microsoft Patterns Portal da MS com Patterns (tags: guides desenvolvimento) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-30
2007-12-01 00:32:00
Secure Coding Portal do CERT sobre segurança em desenvolvimento (tags: devsecurity) Network Settings Profile - Free Download of SwitchPro - Configuration Tool Ferramenta para alteração de configurações locais de rede (tags: Laptop networking Tools) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-29
2007-11-30 00:32:00
Thiago Ferreira - Algoritmo Diffie-Hellman Explicação didática do cálculo de Diffie-Hellman (tags: Criptografia aulas) Linha de Código - O uso do XML na integração de Banco de Dados Relacionais Artigo bem completo sobre integração de bancos de dados relacionais usando XML (tags: Integracao xml artigo) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Sistema de Gestão Integrado
2007-11-29 16:50:00
Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados. Na minha atuação eu consigo rapidamente listar três sistemas: 1 - ISO 27000 (Sistema de Gestão de Segurança da Informação); 2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios); 3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos). Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001. Os sistemas de gestão geralmente são estruturados da seguinte forma: 1 - Política; 2 - Estrutura Organizacional e responsabilidades; 3 - Objetivos; 4 - Definições de Processos; 5 - Estatuário 3 Requerimentos Regulatórios Legais; 6 - Competência; 7 - Treinamento; 8 - Procedimentos; 9 - Controle Operacio...
More About: Stem

links for 2007-11-28
2007-11-29 00:28:00
SQL Auditing Tools | cqure.net Ferramenta de auditoria em banco de dados SQL Server (tags: SQL pentest Tools) SecurityFriday [Dr.Morena] Ferramenta para validação de regras de firewall (tags: Firewall Tools) ENISA CSIRT - How to set-up a CSIRT Guide e ferramentas para implementação de um CSIRT (tags: CSIRT Tools IncidentResponse) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-27
2007-11-28 00:26:00
Guia do PC » Firefox consumindo menos de 1 MB! Conheça o Firefox Ultimate Optimizer Pequeno software que faz o firefox consumir apenas 1mb. O software força o firefox a liberar memória (tags: firefox tuning) Salve este post em Pdf.Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Cross Build Injection
2007-11-26 15:44:00
Em Setembro deste ano a fortify publicou um paper sobre um ataque intitulado Cross -Build Injection . O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção. Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra. Salve este post em Pdf.Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

links for 2007-11-23
2007-11-24 00:29:00
HashTab... is the coolest thing ever! Solução freeware que adiciona um guia nas propriedades para ver o hash dos arquivos no explorer do windows (tags: hash Tools Windows) Paste-it - Colaborative Debugging Tool Ferramenta de debug colaborativo. Você posta um código com a dúvida e alguém responde ou ajuda a chegar a solução. (tags: debug desenvolvimento) Linux: Usando LANMAP para criar uma imagem da rede local [Dica] Ferramenta para gerar uma imagem com os pontos de rede e suas conexões (tags: linux networking pentest) Guia de Referencias do Linux Dicionário com todos os comandos linux like (tags: linux Dicionario guides) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-22
2007-11-23 00:28:00
SourceForge.net: IM Sniffer Sniffer para IM (tags: IM sniffer) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-21
2007-11-22 00:28:00
Multiple-User Simultaneous Testing: MUST (Jakob Nielsen's Alertbox) Artigo sobre MUST (Multiple-User Simultaneous Testing) (tags: testes desenvolvimento) favikon Site para criar icones online (tags: icones AplicacaoWeb) Cadeia de valor - O que é e pra que serve? | Sobre Administração Artigo sobre cadeia de valor (tags: CadeiaValor BCP) Chart Chooser Ferramenta online onde você escolhe o tipo de gráfico e se é para powerpoint ou excel. Escolhendo o gráfico é só baixar um exemplo (tags: excel gráficos AplicacaoWeb) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Simulação e Testes
2007-11-21 19:33:00
Meu amigo Eduardo Neves me enviou uma notícia bem interessante pra quem trabalha com BCP (Business Continuity Plan). Notícia veiculada no G1 Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente. A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB. A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aér...
More About: Testes

links for 2007-11-20
2007-11-21 00:31:00
Pink Elephant - Leading The Way In IT Management Best Practices - PinkVerify™ - Ferramentas Ferramentas para suportar os processos do ITIL (tags: ITIL Tools) Bluetoothtracking.org Portal que lista online dispositivos bluetooth disponíveis. (tags: bluetooth) Designing Effective Customer Questionnaires on BNET Um artigo sobre como elaborar questionários/checklists efetivos (tags: checklists artigo) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Datacenter em 90s
2007-11-20 18:38:00
Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters. Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

REST Insecurity
2007-11-20 01:48:00
Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails). Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Rest

links for 2007-11-14
2007-11-15 00:31:00
Download PE Explorer 1.99, DLL Viewer, EXE Resource Editor and Disassembler - Borland Delphi EXE Decompiler and Editor. Página oficial do PE Explorer (tags: Assembly) | SWAMP Workflow Administration and Management Platform | home Ferramenta de workflow (tags: workflow) Common Configuration Enumeration (CCE): Unique Identifiers for Common System Configuration Issues Projeto do mitre que busca identificar e padronizar configurações de sistemas (tags: GestaoConfiguracao Mitre) Linha de Código - Série Conhecendo Ferramentas de Automação para Teste de Software - WebLOAD - Parte 2 Continuação do artigo sobre a ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga. (tags: testes desenvolvimento) Linha de Código - Automação e Gerenciamento de Testes: Aumentando a Produtividade com as Principais Soluções Open Source e Gratuitas (2a edição) Artigo citando uma série de ferramentas open-source para o processo de engenharia de software (...
More About: Links

Gripe Aviária (Pandemic Flu)
2007-11-14 22:06:00
Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária. Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos. O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária: Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências; Monitora a rota migratória das aves; Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária; Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil. De qualquer forma...
More About: Pandemic , Gripe

Metodologia para pentest
2007-11-14 21:29:00
A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado. A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência. O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos. A estrutura do documento é a seguinte: 1 - Introdução 2 - Information Security Testing Overview 3 - Review Techniques 4 - Target Identification and Anal...
More About: Para , Logi

Supply Chain Security
2007-11-14 20:14:00
Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain ). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores. ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems ISO 28000:2007Specification for security management systems for the supply chain ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000 ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão. Converta este post para pdf.Deixe u...