Wagner Elias - Think Security First

RSS Feed Homepage

Articles: 1, 2, 3, 4, 5, 6

SCADA Security
2007-12-05 11:39:00
Já não é novidade que eu me interesso por segurança em aplicações SCADA. Sempre que encontro uma notícia eu dou pesquisada para ver se encontro mais informações. O próximo passo é brincar com um simulador, afinal ainda não tive a oportunidade de mexer em um ambiente deste. Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante. 1 - Um cliente web para SCADA; 2 - Um Scada Open Source; 3 - Uma HoneyNet SCADA; 4 - Link Encryption para SCADA. O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP. Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Security

Business Continuity And Solutions
2007-12-05 11:33:00
Quando aqui no Brasil vamos ter soluções que são muito mais que recursos de HA (Alta Disponibilidade)? O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação. Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Business , Solutions , Continuity , Conti , Sine

links for 2007-12-04
2007-12-05 00:34:00
Linha de Código - Série Conhecendo Ferramentas de Automação para Teste de Software - WEBLOAD - Parte 3 Terceira parte de um artigo sobre ferramenta de testes para aplicações web (tags: testes artigo) CSS Redundancy Checker ferramenta online para checar css. (tags: css AplicacaoWeb) Thomas Alexander Semple - Implementando Chave de Segurança Web com IHttpModule Validando sistemas por IHttpModule (tags: webdev) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-12-03
2007-12-04 00:42:00
Microsoft Patterns Portal da MS com Patterns (tags: guides desenvolvimento) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-30
2007-12-01 00:32:00
Secure Coding Portal do CERT sobre segurança em desenvolvimento (tags: devsecurity) Network Settings Profile - Free Download of SwitchPro - Configuration Tool Ferramenta para alteração de configurações locais de rede (tags: Laptop networking Tools) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-29
2007-11-30 00:32:00
Thiago Ferreira - Algoritmo Diffie-Hellman Explicação didática do cálculo de Diffie-Hellman (tags: Criptografia aulas) Linha de Código - O uso do XML na integração de Banco de Dados Relacionais Artigo bem completo sobre integração de bancos de dados relacionais usando XML (tags: Integracao xml artigo) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Sistema de Gestão Integrado
2007-11-29 16:50:00
Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados. Na minha atuação eu consigo rapidamente listar três sistemas: 1 - ISO 27000 (Sistema de Gestão de Segurança da Informação); 2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios); 3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos). Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001. Os sistemas de gestão geralmente são estruturados da seguinte forma: 1 - Política; 2 - Estrutura Organizacional e responsabilidades; 3 - Objetivos; 4 - Definições de Processos; 5 - Estatuário 3 Requerimentos Regulatórios Legais; 6 - Competência; 7 - Treinamento; 8 - Procedimentos; 9 - Controle Operacio...
More About: Stem

links for 2007-11-28
2007-11-29 00:28:00
SQL Auditing Tools | cqure.net Ferramenta de auditoria em banco de dados SQL Server (tags: SQL pentest Tools) SecurityFriday [Dr.Morena] Ferramenta para validação de regras de firewall (tags: Firewall Tools) ENISA CSIRT - How to set-up a CSIRT Guide e ferramentas para implementação de um CSIRT (tags: CSIRT Tools IncidentResponse) Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-27
2007-11-28 00:26:00
Guia do PC » Firefox consumindo menos de 1 MB! Conheça o Firefox Ultimate Optimizer Pequeno software que faz o firefox consumir apenas 1mb. O software força o firefox a liberar memória (tags: firefox tuning) Salve este post em Pdf.Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Cross Build Injection
2007-11-26 15:44:00
Em Setembro deste ano a fortify publicou um paper sobre um ataque intitulado Cross -Build Injection . O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção. Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra. Salve este post em Pdf.Deixe um comentários e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

links for 2007-11-23
2007-11-24 00:29:00
HashTab... is the coolest thing ever! Solução freeware que adiciona um guia nas propriedades para ver o hash dos arquivos no explorer do windows (tags: hash Tools Windows) Paste-it - Colaborative Debugging Tool Ferramenta de debug colaborativo. Você posta um código com a dúvida e alguém responde ou ajuda a chegar a solução. (tags: debug desenvolvimento) Linux: Usando LANMAP para criar uma imagem da rede local [Dica] Ferramenta para gerar uma imagem com os pontos de rede e suas conexões (tags: linux networking pentest) Guia de Referencias do Linux Dicionário com todos os comandos linux like (tags: linux Dicionario guides) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-22
2007-11-23 00:28:00
SourceForge.net: IM Sniffer Sniffer para IM (tags: IM sniffer) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-21
2007-11-22 00:28:00
Multiple-User Simultaneous Testing: MUST (Jakob Nielsen's Alertbox) Artigo sobre MUST (Multiple-User Simultaneous Testing) (tags: testes desenvolvimento) favikon Site para criar icones online (tags: icones AplicacaoWeb) Cadeia de valor - O que é e pra que serve? | Sobre Administração Artigo sobre cadeia de valor (tags: CadeiaValor BCP) Chart Chooser Ferramenta online onde você escolhe o tipo de gráfico e se é para powerpoint ou excel. Escolhendo o gráfico é só baixar um exemplo (tags: excel gráficos AplicacaoWeb) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Simulação e Testes
2007-11-21 19:33:00
Meu amigo Eduardo Neves me enviou uma notícia bem interessante pra quem trabalha com BCP (Business Continuity Plan). Notícia veiculada no G1 Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente. A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB. A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aér...
More About: Testes

links for 2007-11-20
2007-11-21 00:31:00
Pink Elephant - Leading The Way In IT Management Best Practices - PinkVerify™ - Ferramentas Ferramentas para suportar os processos do ITIL (tags: ITIL Tools) Bluetoothtracking.org Portal que lista online dispositivos bluetooth disponíveis. (tags: bluetooth) Designing Effective Customer Questionnaires on BNET Um artigo sobre como elaborar questionários/checklists efetivos (tags: checklists artigo) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Datacenter em 90s
2007-11-20 18:38:00
Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters. Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

REST Insecurity
2007-11-20 01:48:00
Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails). Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Rest

links for 2007-11-14
2007-11-15 00:31:00
Download PE Explorer 1.99, DLL Viewer, EXE Resource Editor and Disassembler - Borland Delphi EXE Decompiler and Editor. Página oficial do PE Explorer (tags: Assembly) | SWAMP Workflow Administration and Management Platform | home Ferramenta de workflow (tags: workflow) Common Configuration Enumeration (CCE): Unique Identifiers for Common System Configuration Issues Projeto do mitre que busca identificar e padronizar configurações de sistemas (tags: GestaoConfiguracao Mitre) Linha de Código - Série Conhecendo Ferramentas de Automação para Teste de Software - WebLOAD - Parte 2 Continuação do artigo sobre a ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga. (tags: testes desenvolvimento) Linha de Código - Automação e Gerenciamento de Testes: Aumentando a Produtividade com as Principais Soluções Open Source e Gratuitas (2a edição) Artigo citando uma série de ferramentas open-source para o processo de engenharia de software (...
More About: Links

Gripe Aviária (Pandemic Flu)
2007-11-14 22:06:00
Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária. Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos. O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária: Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências; Monitora a rota migratória das aves; Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária; Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil. De qualquer forma...
More About: Pandemic , Gripe

Metodologia para pentest
2007-11-14 21:29:00
A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado. A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência. O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos. A estrutura do documento é a seguinte: 1 - Introdução 2 - Information Security Testing Overview 3 - Review Techniques 4 - Target Identification and Anal...
More About: Para , Logi

Supply Chain Security
2007-11-14 20:14:00
Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain ). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores. ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems ISO 28000:2007Specification for security management systems for the supply chain ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000 ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão. Converta este post para pdf.Deixe u...

links for 2007-11-13
2007-11-14 00:33:00
Workflow Download.com - Download Workflow Software Repositório com várias ferramentas de workflow para download (tags: workflow) WifiZoo Ferramenta de captura de dados em redes wireless (tags: wifi pentest Tools) Nikto Página oficial do Nikto (ferramenta de análise de segurança em aplicações web) (tags: webdev Tools pentest) OpenWFE - open source workflow engine Engine em Java para gerar workflow com base em notações XML (tags: xml workflow) Welcome to REMO | REMO - Rule Editor for ModSecurity Interface gráfica para mod_security (tags: apache GUI) Basic Analysis and Security Engine (BASE) -- Homepage Ferramenta baseada no ACID para gestão de alertas de Snort (tags: IDS Snort) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-12
2007-11-13 00:32:00
cqure.net Várias ferramentas para análise de segurança, inclusive banco de dados DB2 (tags: DB2 Tools pentest) untidy - XML Fuzzer Ferramenta de Fuzzing em XML (tags: fuzzing xml) Yawcam - Yet Another Webcam Software Software que adiciona a característica de detecção de movimentos em webcam (tags: CFTV webcam) NTCore's Homepage Ferramenta de edição de arquivos PE (tags: PE desenvolvimento) Bloodshed Software - Dev-C++ Programa para edição de C/C++ (tags: C++ IDE desenvolvimento) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-07
2007-11-08 00:31:00
BC Management Portal especializado em carreiras relacionadas a gestão de continuidade de negócios (tags: BCP) UK Resilience - Publications Vários papers sobre gestão de riscos e BCP (tags: BCP riskanalysis) Good practice archive Vários papers sobre segurança física e infra-estrutura (tags: papers BCP) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-06
2007-11-07 00:34:00
BindShell.Net: BeEF Framework para explotation usando browser (tags: exploit pentest) betabug.com Ferramenta de Bug Traking estilo blog (tags: BugTraking) PassPack Online Password Manager Ferramenta online para gestão de senhas (tags: password) sqlmap: a SQL injection tool Ferramenta para automatizar ataques de sql injection (tags: SqlInjection Tools pentest) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-11-05
2007-11-06 00:30:00
Welcome to the RESTORE Website Solução OpenSource de gestão de backups para multiplos Sistemas Operacionais (tags: backup) Architecture Solução que cria um baseline de configuração de sistemas operacionais e compara identificando alterações (tags: GestaoConfiguracao) Workrave Ferramenta que condiciona o usuário de micro a parar e realizar exercícios para evitar LER (Lesões por Esforços Repetitivos). (tags: LER) TaskFreak! web based task manager / todo list written in PHP Solução em PHP para gestão de ToDo List (tags: ToDoList) VEJA on-line Arquivo com as revistas vejas publicadas na internet (tags: revistas) Samhain Labs | samhain HIDS que pode gerenciar múltiplos HOSTs (tags: IDS) Fabricio Valadares - Metodologia matemática da criptografia RSA Cálculo do algoritmo RSA (tags: Criptografia matematica) UK Resilience - The Exercise Planners Guide - Index Um guia para exercitar um plano de continuidade de negócios (tags: BCP) ProgrammableWeb Portal qu...
More About: Links

links for 2007-10-31
2007-11-01 00:29:00
Integrating Visio 2007 and Access 2007 Documentação para desenvolvimento em Microsoft Visio (tags: Visio) Flow Chart Software Ferramenta que cria fluxograma automaticamente com dados do excel (tags: excel fluxograma) http://peltiertech.com/Excel/Charts/Chart Index.html#Gantt Muito material sobre gráficos em excel. (tags: excel gráficos) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

links for 2007-10-30
2007-10-31 00:28:00
HttpBee - Web Application Hacking Toolkit | Darknet - The Darkside Kit de ferramentas para hacking em aplicações web baseado em Lua. (tags: hacking Tools) Mission Assurance Analysis Protocol (MAAP): Assessing Risk in Complex Environments Metodologia do SEI para Análise de Riscos (tags: riskanalysis metodologia) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

H2HC 2007
2007-10-30 15:16:00
Nos dias 8 e 9 de Novembro acontece em Brasília a Conferência H2HC (Hacker To Hacker Conference). Vou estar palestrando sobre Insegurança em REST (Representational State Transfer), conto com a presença de todos. H2HC 2007 Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

Tech-Ed 2007 Segurança no Desenvolvimento de Software
2007-10-30 15:13:00
Assim como meu amigo Weber Ress vou estar palestrando no Tech -Ed 2007. Minha palestra será sobre o TopTen do OWASP, além da palestra vou estar junto com o Weber no Ask the Experts. O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.  Tech-Ed 2007 Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Software