Wagner Elias - Think Security First

RSS Feed Homepage

Articles: 1, 2, 3, 4, 5

Evento de segurança
2007-10-08 16:44:00
Interessado em participar de um evento de segurança com uma abordagem totalmente nova e com palestrantes de renome no mercado nacional e internacional? Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade! Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!

links for 2007-10-06
2007-10-07 01:27:00
Desenvolvendo equipes Artigo detalhando a formação de um time com habilidades complementares para alcançar seus objetivos (tags: FormacaoEquipes) SSHatter Ferramenta de brute force em SSH que também possuí recursos para enumerar usuários via timing attacks (tags: pentest Tools password) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Plano de sucessão
2007-10-06 20:31:00
Algumas vezes você já pensou como a sua organização iria se comportar caso uma pessoa chave para o negócio não estivesse mais ocupando a posição que ele ocupa hoje? Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa. Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave. Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que  pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar. Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continu...
More About: Plano

links for 2007-10-05
2007-10-06 01:27:00
SP Plan Ferramenta desenvolvido com apoio da FIESP para ajudar na elaboração de Business Plan (tags: BusinessPlan) Monitoramento e gerenciamento de nobreaks Ferramenta Open Source de Gerenciamento de UPS (tags: UPS opensource) BitNami: Open Source. Simplified Site que disponibiliza pacotes de intalações completos para soluções open source. (tags: opensource) phpLogCon :: a syslog data viewer for the web Ferramenta Web para monitoramento de syslog (tags: syslog monitoramento) Download details: Windows Server 2003 Terminal Server Security Artigo da microsoft sobre segurança em terminal service (tags: TerminalService) Download details: Locking Down Windows Server 2003 Terminal Server Sessions Artigo da microsoft sobre sessões e segurança em Terminal Services (tags: TerminalService) Adempiere Bazaar - The ERP Community ERP Open Source (tags: ERP) Welcome to dimdim Aplicação Open Source semelhante ao Webex para video conferência via web. (tags: WebConference) ...
More About: Links

links for 2007-10-04
2007-10-05 01:27:00
Defraggler - Defragment your files! Ferramenta para defragmentação de discos que possibilita defragmentar arquivos individualmente. (tags: Tools) Using Subversion with TortoiseSVN - The Code Project - Book Chapters Tutorial de utilização do Subversion com o cliente Tortoise para controle de versões (tags: desenvolvimento ControleVersao subversion) Ten Step | You can manage Metodologia de gerenciamento de projetos. (tags: GerenciamentoProjeto) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

FUD 2.0
2007-10-04 16:50:00
Um termo bastante conhecido entre os profissionais de segurança é FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida). Este termo é usado pelos profissionais para influenciar decisões de compra ou implementações de serviços de segurança. Usar FUD como justificativa para implementar segurança é pura incompetência e imaturidade do nosso segmento. Usar argumentos como: "Se você não implementar X, vai parar Y" só mostra nossa incapacidade de gerar valor ao negócio e mostrar métricas tangíveis. Já que o mercado mostra uma dita WEB 2.0 como uma nova visão da antiga internet, porque nós não podemos criar o FUD 2.0 para nosso segmento. O FUD 2.0 seria uma visão totalmente nova para conseguir o comprometimento do negócio com nossos objetivos e soluções. O acrônimo FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida) seria substiuído por: FUD (Feasibility, Usability, Dashboard - Praticabilidade, Usabilidade, Dashboard). Qualquer iniciativa de segura...

links for 2007-10-03
2007-10-04 01:24:00
Glossary Of Socket Programming - The Code Project - VB.NET Glossário de termos sobre Socket Programming (tags: desenvolvimento) FEBE :: Firefox Add-ons Extensão do firefox para realizar back-up de todas as configurações do Firefox (tags: extensao) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Preparando aulas
2007-10-03 20:16:00
O site BetterExplained é uma excelente ferramenta para quem possuí facilidade em aprender com imagens. A maioria dos posts são relacionados a desenvolvimento de software, mas o site trata outros assuntos. Eu acho uma excelente fonte para desenvolver materiais de aula. Um exemplo de um post sobre MVC (Model, View, Controller). Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Prep

links for 2007-10-02
2007-10-03 01:32:00
PHP: Gettext - Manual API do PHP para implementar internacionalização de aplicações. (tags: php classesPHP) PHPSurveyor - software livre de criação de questionários on-line Artigo explicando o funcionamento do PHPsurveyor. Projeto open source de criação de formulários de pesquisas (tags: php Pesquisa) Converta este post para pdf.Deixe um comentários e acompanhe a discussão nos comentários assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links

Novo blog - http://wagnerelias.com
2007-06-07 16:57:00
Esse post é para avisar que o meu blog foi migrado para o endereço http://wagnerelias.com.Os assinantes de feed rss agora tem duas feedsFeed com os PostsFeed com os comentários do blogPor favor, se esse blog lhe é útil, atualize os endereços das feeds.
More About: Blog , Http , Elias , Novo

Security Cartoon
2007-06-06 19:48:00
Para os fãs de tiras cômicas como as de Dilbert, agora pode acompanhar as tirar do Security Cart oon .As Tiras são relacionadas a segurança.

EndPoint Security
2007-06-01 01:18:00
Hoje eu li uma notícia no Slashdot e fiquei impressionado com as características de uma solução de EndPoint Security . Confesso que me pareceu uma faca ginsu, muitas funcionalidades para uma solução barata e prática. Será uma panacéia?Uma solução composta por nada menos que 13 controles de segurança, inclusive um controle batizado de L8, isso mesmo, Layer 8. Olha que esse layer 8 não é nenhum usuário inexperiente, e sim, um recurso que promete detectar detectar código malicioso baseado em comportamento.Vamos a lista de recursos:Anti VirusAnti SpamAnti PhishingAnti SpywareIntrusion Detection (IDS)Intrusion Prevention (IPS)Firewall (Stateful Inspection)VPNWeb FilteringParental Content ControlAdaptive Security Policy?Multi-Layer Security Agent?Layer-8 Security Engine ?Segundo esse paper: Yoggie Pico Personal Datasheet a solução de filtro de conteúdo é da SurfControl; Anti Vírus e Anti Spyware da Kaspersky; e o resto linux-like.

Security Research
2007-05-28 04:20:00
Você quer dar os primeiros passos como security research? O site Security -Freak.net dá uma forcinha!Você pode assistir uma série de vídeos educacionais sobre os seguintes temas:Basic Socket Programming;Packet Sniffing Using Raw SocketsPacket Injection Using Raw Sockets;Architecture of a Proactive Security Tool;Encryption Basics Using RC4.Videos: Security-Freak.net
More About: Research

CERT Resiliency Engineering Framework
2007-05-09 21:42:00
CERT Resiliency Engineer ing Frame work é um projeto novo do CERT. Desenvolvido em conjunto com instituições financeiras renomadas e especialistas em continuidade de negócios como: DRII, DRJ, SunGard e IBM, tem um objetivo bastante ambicioso: desenvolver ferramentas, técnicas e metodologias para garantir a resiliência das organizações unindo segurança e continuidade de negócios.Bom, o que seria Resiliência?"A resiliência é um termo oriundo da física. Trata-se da capacidade dos materiais de resistirem aos choques. Esse termo passou por um deslizamento em direção às ciências humanas e hoje representa a capacidade de um ser humano de sobreviver a um trauma, a resistência do individuo face às adversidades, não somente guiada por uma resistência física, mas pela visão positiva de reconstruir sua vida, a despeito de um entorno negativo, do estresse, das contrições sociais, que influenciam negativamente para seu retorno à vida. Assim, um dos fatores de resiliência é a capacidade do individuo...
More About: Ework

Proxypot
2007-05-09 14:43:00
Depois do Honeypot, sistemas na sua maioria em perl que simulavam serviços como Telnet, SMTP entre outros, surgiram os honeypots voltados para identificar ataques voltados a aplicações web.Após algum tempo pesquisadores do WASC (Web Application Security Consortium) concluiram que o esforços para desenvolver honeypots "atrativos" consomem muito tempo e esforço. A solução proposta é o Proxy pot.Proxypot é um sensor que irá analisar tráfego em Open Proxys, isso mesmo, a idéia é que contribuintes ao redor do mundo disponibilize proxy aberto para que pessoas mal intencionadas o utilizem e um sensor desenvolvido pelo o WASC vai analisar o tráfego e identificar tendências e ataques conhecidos, armazenando os logs em um local centralizado para pesquisas.A idéia me parece interessante, mas, vou esperar um tempo para ter uma visão melhor da solução.Quem quer disponibilizar um Proxypot o projeto disponibiliza imagens prontas para VMWARE, basta enviar um e-mail e solicitar.O primeiro relatório e...
More About: Roxy

XML Firewall
2007-05-06 04:18:00
Muito tem se falado sobre XML Firewall devido a abundância de aplicações na web utilizando webservice/xml, um trabalho publicado por Don Patterson no SANS Institute dá uma visão da solução : XML Firewall Architecture and Best Practices for Configuration and Auditing.Para os desenvolvedores web eu recomendo fortemente os excelentes artigos, Charset e Encoding e XHTML Media Types escrito por Henrique C. Pereira do Revolução Etc e Entendendo um pouco mais sobre o protocolo HTTP escrito por Nando Vieira do Simples Idéias.

BCI x DRII
2007-05-04 15:21:00
Calma, não é nenhuma comparação ou defesa de um time ou outro, sim, as vezes parece que os profissionais tem um time de futebol e não uma base de informações e estudos para desenvolver um plano de continuidade de negócios.Estou afirmando isso pois, ultimamente tenho visto atitudes no mínimo questionáveis de players de mercado. Ontem levantavam a bandeira do DRII (Disaster Recovery Institute International) e por motivos puramente comerciais começam a levantar a bandeira do BCI (Business Continuity Institute).Ok, escolhas são escolhas! E quando não se aplica escolhas?O DRII e BCI são as duas principais escolas sobre continuidade de negócios e ambas tem a mesma filosofia e práticas, com um único objetivo que é garantir a continuidade. Continuidade no sentido amplo da palavra, pois, a ciência se aplica a tudo não apenas a negócios.Nunca vamos saber se as atitudes são devido a incapacidade intelectual ou falta de ética, mas, cabe a profissionais neutros e que atuam deixar claro questões ...

Cross-Site Request Forgery
2007-04-23 05:53:00
Como havia comentado em um post anterior, uma das novidades do Top10 2007 do OWASP é o CSRF (Cross -Site Request Forgery ) vulnerabilidade que tem o conhecido XSS (Cross-Site Scripting) como vetor.O CGIsecurity.com explica CSRF
More About: Quest

Fuzzing Test
2007-04-23 05:37:00
Fuzzing test é uma técnica que consiste em submeter à aplicação a todo tipo de input de forma estruturada buscando pelas mais variadas vulnerabilidades causadas por inputs indevidos. Apesar do grande número de ferramentas para realizar o teste de fuzzing, não lembro de ter visto nenhum desenvolvedor utilizar tal recurso. Felizmente tal teste é comum em fontes de informações relacionadas a segurança no desenvolvimento de aplicações. Inicialmente eu associava a baixa utilização a dificuldade de encontrar ferramentas e conteúdo relacionado, mas, pesquisando melhor e acompanhando algumas listas de discussão eu encontrei inúmeras ferramentas open source e bons tutoriais. Segue algumas referências:Uma análise do ciclo de vida do desenvolvimento da segurança na MicrosoftThe Art File Format FuzzingUsing Fuzzers in Software Test ing
More About: Security , Fuzzing , Uzzi

Google Information Leakage
2007-04-17 06:19:00
Eu já comentei aqui no blog algumas vezes, os problemas com o "excesso" de informação publicada na internet.Google Imagens no GooglePelo Jeito tem muita gente que ainda não percebeu os problemas, o site undergoogle postou uma notícia do digg sobre algumas pessoas que estão "publicando" números de licenças de software no google por um simples erro, deixar disponivel relatórios gerados pelo Belarc.Talvez esse artigo ajude os desavisados!
More About: Information , Informa , Form , Format

Business Continuity Plan, not Bullshit Compliance Plan
2007-04-12 16:00:00
Algumas pessoas me perguntaram porque questionar tanto o profissionalismo e conteúdo disponibilizado em "terra brasilis" sobre BCP. Simples, para espetar e incentivar as pessoas a sairem da simples "rodinha de hamster" do BCI (Business Continuity Institute). A explicação para tantos profissionais utilizarem é uma só: o The BCI Guide descreve de forma simples os passos para a implementação de um processo de continuidade de negócios. Excelente documentação que recomendo a todos como ponto de partida.Conhecer o The BCI Guide me torna um especialista em BCP? Não. Um especialista se faz do senso crítico e muito estudo e dedicação a vários temas que envolvem determinada ciência. Assim como The BCI Guide, qualquer outra fonte de informação como: 10 práticas profissionais; NIST 800-34; CISSP-CBK; e outras, deve servir como base para seu entendimento e implementação, não como características mandatórias e verdades absolutas.O problema é tão sério que esses dias me deparei com uma notícia em ...
More About: Disaster , Bullshit , Bulls , Shit

BS 25999
2007-04-12 15:59:00
Tem uma nova falácia no mercado que eu decidi que deveria escrever um post e não um dos tópicos do BCP FAQ. Simplesmente porque ela é um absurdo e mostra o despreparo de alguns profissionais sobre o tema.Meu amigo e companheiro de trabalho há vários anos, Jeferson D'Addario, comentou que algumas pessoas o endagaram sobre a possibilidade do DRII (Disaster Recovery Institute International) perder sua "força".Bom, aqui a coisa fica realmente feia, pois, estão comparando bananas com laranjas. O DRII não só vai permanecer da mesma forma, como vai ser muito melhor aproveitado. O DRII não possui nem mesmo uma metodologia, quem dirá uma norma. Ele possui uma base de conhecimento chamada de dez práticas profissionais, muito semelhante a iniciativa do PMI (Project Management Institute).Uma norma como a BS 25999-1:2006 e muito em breve ISO 27006, só fortalece os propósitos do DRII, um instituto sem fins lucrativos que busca fomentar e capacitar profissionais do mundo todo sobre continuidade d...

BCP FAQ 2
2007-04-07 21:41:00
Como havia comentado na primeira versão desse FAQ, poderíamos escrever uma série de perguntas e respostas enorme com a quantidade de bobagem que é falado por aí. Como o feedback foi positivo e tenho umas pérolas que são a ?última moda? no mercado, resolvi escrever a seqüência do FAQ. 1 - Realizar entrevista para coleta de informações sobre ativos é ultrapassado. As novas ferramentas possibilitam coletar automaticamente as informações. Bom, se é um inventário de ativos que você precisa, as ferramentas já possibilitam isso há vários anos. Como BCP é Business Continuity Plan e não Bullshit Compliance Plan, não é um inventário de ativos que eu preciso. Uma entrevista com gestores dos ativos que suportam os processos serve para coletar informações que nenhuma ferramenta pode lhe oferecer de forma automatizada, Cenários de Falha; Tempo Estimado de Recuperação; Dependência de Ativos; Contratos de Níveis de Serviços; entre outras informações que são necessárias para desenvolver uma es...

Security is not TI
2007-03-21 16:04:00
Problemas antigos de segurança estão cada dia mais em evidência atualmente. Confira as notícias da semana:Caso 1 - Vazamento de Informação na operação de venda da Ipiranga"No mesmo dia em que Petrobras, Braskem e Ultra confirmaram a compra do Grupo Ipiranga por cerca de US$ 4 bilhões, cresceram os indícios de vazamento de informação durante as negociações."Caso 2 - Aeroporto de "Cãogonhas""E esta: cachorro invade pista e interdita Congonhas por meia hora. Então é o aeroporto de CÃOgonhas! Só faltou o cachorro mijar na torre. Por isso que se chama zona aérea. Tá uma puta zona!Passageiros rumo ao caos, dirijam-se ao aeroporto de Congonhas! E ANAC quer dizer: Aviões Não Aterrissam em Congonhas! E o problema é que o ministro se chama Pires. Pires não tem asa. Muda pra xícara, que xícara tem asa e voa! Waldir Xícara. Ministro da Defesa do Palmeiras. Rarará! Aliás, peguei a gripe Congonhas: aquela que te deixa no chão! Rarará!"Como segurança ainda pode ser tratada pela área de TI?As análi...
More About: Security

Firefox Hacking
2007-03-19 01:36:00
FireCAT (Firefox Catalog of Auditing Toolbox) segundo o Security Database Team é um framework que mapeia extensões do firefox que podem ser utilizadas para auditoria ou testes de segurança.O mind map classifica as extensões pelos seguintes temas:Security Auditing;Editors;Information Gathering;Network Utilities;Proxying/Web Utilities; eMisc.FireCAT (Firefox Catalog of Auditing Toolbox)
More About: King

SECMASTER
2007-03-16 13:49:00
O SECMASTER é a principal premiação do segmento de Gerenciamento de Risco e Segurança da Informação, e é uma iniciativa conjunta do Capítulo Brasileiro do ISSA e da Via Forum O SecMast er é uma iniciativa significativa de desenvolvimento do setor, e tem como objetivo reconhecer os profissionais de gerenciamento de risco e segurança da informação que mais contribuiram no ano de 2006 para que o segmento crescesse, fosse reconhecido, fosse debatido, fosse melhorado, fosse divulgado, fosse capacitado, fosse desenvolvido e aumentasse a conscientização da sua importância. Este ano teremos premiação para as seguintes categorias: Melhor Profissional do Ano Melhor Contribuição para o Setor Privado Melhor Contribuição para o Setor Público Melhor Contribuição para o Desenvolvimento de Mercado Melhor Trabalho Acadêmico Melhor Contribuição Editorial e Jornalística Teremos também um prêmio especial de Honra ao Mérito. Participe! Divulgue! Indique! Candidate-se! Sua participação é...
More About: Aster

SWOT and Risk Analysis
2007-03-09 19:05:00
Como profissional de segurança eu me considero um gestor de riscos, assim como qualquer profissional de segurança envolvido em qualquer fase da análise dos riscos e implementação de controles para mitigação. Eu vejo empresas, profissionais e estudantes sempre a busca de uma fórmula perfeita para análise de riscos, isso se deve há um mito que foi criado sobre tal tema. Sim, na minha humilde
More About: Analysis , Risk , Risk Analysis , Anal

OWASP Top10 2007 RC
2007-03-09 10:56:00
Estive analisando o Release Candidate do Top 10 2007 do OWASP (Open Web Application Security Project) e pude perceber que o projeto está sempre pesquisando e atendendo as tendências no desenvolvimento seguro de aplicações web. A1 – Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that

PCI Compliance Demystified
2007-03-06 14:38:00
O PCI Comp liance Demystified é um excelente blog sobre segurança em meios de pagamentos eletrônicos. Ele foca em questões relacionadas ao padrão PCI (Payment Card Industry) e os meios de pagamento eletrônico. Um exemplo é um vídeo que mostra como é simples (com ferramentas adequadas) clonar um cartão de crédito.
More About: Compliance , Myst

Metasploit and OSSTMM video
2007-03-01 18:52:00
Estão disponíveis no site do FOSDEM - Free and Open Source Software Development dois vídeos fantásticos. Simplesmente duas apresentações sobre duas ferramentas essenciais em pentest, metasploit e a metodologia OSSTM (Open Source Security Testing Methodology Manual). E não é uma simples apresentação, são duas apresentações de duas horas tendo como apresentador os pais das crianças H. D. Moore e
More About: Video , Meta , Metasploit