Wagner Elias - Think Security First

RSS Feed Homepage

Articles: 1, 2, 3, 4, 5

[blog] Dica de conteúdo
2007-02-28 16:50:00
Hoje eu recebi um e-mail do meu amigo Cristiano Lincoln informando a URL do seu blog Life Without Knowledge Death in Disguise. Não deixe de acompanhar mais um blog com conteúdo de qualidade.
More About: Blog

Infectando Linux com vírus para Windows
2007-02-26 03:39:00
O blog Doses Diárias publicou um post sobre a possibilidade de infectar ambientes Linux com vírus originalmente desenvolvidos para ambiente windows. Para que isso seja possível é necessário estar trabalhando com o Wine, pacote que traduz requisições de funções (windows API) do windows para ambiente Linux. Isso possibilita rodar aplicações originalmente desenvolvidas para ambiente Wind ows em
More About: Indo

BCP FAQ
2007-02-16 02:48:00
Por que um FAQ sobre BCP em um blog? Porque durante o longo período que venho estudando, executando projetos e aprendendo com grandes profissionais que tive a oportunidade de trabalhar, sempre ouvi muita bobagem e todo tipo de informação que não colabora em nada com a cultura de continuidade de negócios. Venho colecionando essas “perolas� há um bom tempo, agora decidi escrever um FAQ para

Hacking HD DVD and Blu-Ray
2007-02-13 19:02:00
Segundo o hacker os padrões foram quebrados apenas monitorando a memória, não foi preciso mais nada. Será que deixaram a "Processing Key" no lugar errado? Hack ers discover HD DVD and Blu-ray "processing key" -- all HD titles now exposed
More About: Hd Dvd , Blu-Ray , Dvd , King

BCP and Supply Chain
2007-02-13 01:31:00
Recentemente o amigo Augusto Paes de Barros comentou um post meu e orientou aos profissionais sobre a necessidade de abrir os olhos sobre os planos de continuidade de negócios dos datacenters. Queria ter escrito sobre isso antes, mas, só agora isso foi possível. A preocupação do Augusto é adequada e muito trabalhada em outros países como os Estados Unidos, que é o estudo do Supply Chai n ou cadeia
More About: Hain

PHP Security
2007-01-26 14:31:00
Fundado em Janeiro de 2005 o PHP Security Consortium trabalha atualmente em três projetos relacionados a segurança em PHP. PHP Security Guide Um manual de 37 páginas sobre configurações adequadas e boas práticas de desenvolvimento em PHP. Em alguns pontos ele complementa o OWASP, pois, trata de características bem específicas de PHP. SecurityFocus Summaries Uma lista de vulnerabilidades em
More About: Php

Crisis Communication
2007-01-23 02:56:00
Os últimos incidentes em nosso país, como a queda do avião do 747-800 da gol; acidente na linha amarela do metro paulista; crise no sistema aéreo brasileiro e o mais recente acidente em fábrica de cimento mineira, onde o desabamento de um andaime deixou três mortos e até o momento a controladora da empresa não se pronunciou, nos levam a pensar em um problema sério em nossa cultura de
More About: Communication , Cat , Muni , Comm , Crisis

Disaster Recovery and Virtualization
2007-01-10 22:38:00
Um dos assuntos que tem se falado muto sobre recuperação de desastres é a utilização de recursos de virtualização na estratégia de recuperação de desastres. Apesar de não ser um grande especialista em consolidação/virtualização de servidores, acredito que realmente seja uma solução bem interessante. Uma solução de virtualização basicamente consiste em “emular� várias maquinas dentro de apenas um
More About: Recovery , Disaster , Virtualization , Cover , Virtual

Security Developer
2007-01-08 04:22:00
Um estudo do NIST (National Institute of Standarts Technology) aponta que 43% das vulnerabilidades em aplicações na WEB estão associadas ao PHP, O NIST atribui isso à utilização por profissionais amadores. Eu classificaria como alienados, e não amadores. Porque alienados e não amadores? Porque muitos profissionais são profissionais de desenvolvimento e não dão a mínima para o resto. Costumo
More About: Security , Developer , Develop

[Livro] Software Security - Building Security In
2006-11-17 01:40:00
Estava dando uma olhada no livro Software Security - Building Security In do Gary McGraw e gostei muito do que vi. Seguindo o chavão: uma imagem vale mais do que mil palavras, eu separei uma imagem que mostra pontos chaves no desenvolvimento seguro de software. Software Security - Building Security In Gary McGraw
More About: War , Ware

Microsoft Software License for DRP
2006-11-14 14:01:00
Recentemente a microsoft disponibilizou uma licença que permite que seja instalada uma versão em um Cold Site, ou seja, a segunda licença deve ser usada somente na ativação do Cold Site. Mais detalhes sobre a licença "Cold Server Backup for Disaster Recovery a Microsoft Soft ware Assurance Benefit" pode ser encontrada no site da microsoft. Volume Licensing Briefs Backup Sites by Wikipedia
More About: War , Ware

Code coverage
2006-10-19 17:03:00
Quem nunca se deparou com aquele ambiente legado, com uma maquina antiga, e uma aplicação mais antiga ainda e que eventualmente é necessário dar um boot, pois, o aplicativo travou e ninguém sabe porque? Situações como essas poderiam ser minimizadas se fosse realizado um teste de cobertura de software ou code coverage em inglês. O que é o teste de cobertura? Teste de cobertura podemos dizer que
More About: Code , Rage , Cover , Over , Vera

Internet Banking, de quem é a culpa?
2006-10-17 19:55:00
A bola da vez na lista de discussão CISSP-BR é a iniciativa brasileira em responsabilizar os clientes por ações de hacker contra usuários que usam o Inter net Bank ing . Existem argumentos convincentes e corretos de ambas as partes, partes que acreditam que o problema é do banco e outros que acreditam que o problema realmente é do usuário. Discussões sobre qual o melhor controle a se implementar,
More About: King

OWASP and PCI
2006-10-17 16:29:00
PCI Security Standard são critérios de segurança que foram definidos pela VISA e Mastercard para implementar segurança em sistema de pagamentos eletrônicos. Estudando o guide encontrei referência a desenvolvimento seguro e ao OWASP. Basicamente implementando o Top10 do OWASP você está compliance com o requerimento 6.5. Requirement 6: Develop and maintain secure systems and applications

Blackberry Security Checklists
2006-10-16 15:25:00
Recentemente foi discutido na CISSP-BR questões de segurança na implementação de Black berry , aqui mesmo no blog e no blog do Eduardo Cabral já haviamos comentado sobre os perigos que uma implementação incorreta pode causar. Já existe bastante material sobre o assunto, agora em Setembro de 2006 a DISA e o DOD lançaram um checklist de segurança para o Blackberry. O checklist trata de
More About: Security , Berry , Lists

Screensaver for Awareness
2006-10-12 21:36:00
Recentemente o Secure Team divulgou um screensaver para usar em campanhas de conscientização, ele não é tão completo quanto o visible statement, mas, sem dúvida é uma boa opção freeware e com o código fonte disponivel. Se você não quer fazer grandes alterações, é possivel mudar somente o conteúdo das mensagens, você pode incluir suas próprias mensagens. O code.ae.screensavers usa um xml chamado
More About: Screen , Screensaver , War , Ware , Awareness

ISO 13335-3 Techniques for the management of it security
2006-10-11 16:27:00
Para os profissionais, estudantes que não tiveram contato com a ISO 13335 sobre análise de riscos, o Vanderson C. Siewert fez um bom resumo sobre a norma no site Viva o Linux. 1. Resumo 2. Artigo 3. Anexos 4. Tabela 5. Referência e créditos Viva o Linux
More About: Security , Management , Tech , Men , Technique

Security Pendrive 2 (backup)
2006-09-05 19:23:00
Como havia falado, eu já tinha meus dados criptografados, só precisava de uma "estratégia" de backup dos dados. Primeiro vou explicar como ficou toda solução. 1 - Peguei meu mp3 player e criei três pastas: TrueCrypt - Onde instalei o truecrypt;Musica - Onde coloco as músicas que estou ouvindo;Dados - Diretório onde criei o diretório criptografado; 2 - Criptografei o volume dados usando o
More About: Security , Backup , Drive , Back , Pendrive

Data Warehouse for Security
2006-08-23 15:35:00
Devido a minha "veia" de desenvolvedor eu sempre me mantenho antenado em aspectos relacionados a banco de dados, desenvolvimento, e claro, associando tudo isso a segurança. Uma coisa que já havia comentado com alguns amigos é a possibilidade de utilizar técnicas de Data War ehouse em segurança. A técnica de Data Ware house consiste basicamente em extrair dados essenciais de grandes volumes de
More About: Security , House

Google
2006-02-03 10:34:00
Lendo uma dessas listas da vida, peguei um link desses que não se coloca na mão de um Script Kid nunca, onde ele lista uma série de comandos que você busca no google e encontra senhas, informações, etc...Tem muita coisa na net, e pior, não é de hoje, sempre existiu e continua existindo.Agora o que me levou a escrever esse post foi um comando em especial:http://www.google.com/search?&am p;amp;amp;amp;amp;ie=UTF-8&oe=UTF-8&q =%22Network+Host+Assessment+Report%22+%22 Internet+Scanner%22Você vai encontrar inúmeros resultados de análise de vulnerabilidade. Ai eu pergunto, como um "especialista" pode deixar um documento desse exposto? Sem comentários!
More About: Google , Googl

Alternate Data Stream
2005-12-29 19:08:00
Por motivos de compatibilidade o NTFS possui um recurso que pode se tornar uma ameaça facilmente, basta o usuário ser um pouco mais desligado ou inexperiente. O Recurso é o Alter nate Data Stream , com esse recurso um usuário mal intencionado pode “esconder� um trojam, ferramenta ou qualquer outro arquivo em um arquivo de sua confiança. Isso só irá funcionar na maquina onde foi executado, não é
More About: Nate , Alterna

Dados a "salvo"
2005-09-30 14:14:00
Ontem iniciei uma discussão na CISSP-BR sobre a confidencialidade e integridade das mídias de backup. Hoje é comum empresas entregarem suas mídias para empresas especializadas em armazenamento de mídias. Essas empresas possuem infra-estrutura adequada para armazenamento, mais meu questionamento vai um pouco mais longe e o Rafael Hashimoto descreveu bem isso na lista. Ok, transferimos a
More About: Dados