Wagner Elias - Think Security First

RSS Feed Homepage

Articles: 1, 2, 3, 4, 5, 6

OWASP AppSec Brasil 2009 – CFP Deadline
2009-07-07 21:12:00
Estamos na última semana para submissão de propostas de palestras para o AppSec Brasil 2009. Mais informações na página do evento: http://www.owasp.org/index.php/AppSec_Bra sil_2009_%28pt-br%29 Ajudem-nos a espalhar o CFP e a solicitar o envio de propostas interessantes para o evento.
More About: Deadline

Fiddler, uma boa opção para teste de app web
2009-06-09 01:08:00
Hoje ao analisar uma aplicação que só funcionava adequadamente no Internet Explorer, eu percebi o quanto sou dependente de alguns plugins do Firefox (HTTP Live Header, Tamper Data, Firebug, HTTPFox, entre outros). Eu realizo muitos testes manuais e eles são essenciais nestas análises, o Internet Explorer também possui alguns plugins, mas eu ainda não tive a oportunidade de testá-los. Como eu precisava de uma opção rápida, optei pelo Fiddler. Já fazia um bom tempo que eu não o utilizava, a última vez foi para testar o Watcher, quando foi lançado há alguns meses atrás. O fiddler, atualmente na versão v2.2.2.2.2 Beta (isso mesmo, eu não me enganei na quantidade de números 2), é um sniffer bem completo e que possui uma série de plugins que ajudam muito na depuração e identificação de falhas em aplicações web. Com uma interface bastante apurada você pode mapear claramente a aplicação e inclusive documentar requisições usando a opção Comment. Para utiliz...

Treinamentos You Sh0t the Sheriff 3.0
2009-05-14 19:46:00
Este ano a Conviso está novamente patrocinando o evento You Sh0t the Sheriff . Além do patrocínio, este ano na sua terceira edição, o evento irá também oferecer treinamentos nos dias 23 e 24 de Junho. A conviso irá ministrar dois treinamentos: Web Hacking Techniques Internet Hacking Techniques O evento acontece no dia 22 de Junho e espero vocês lá.

Chamada de Trabalhos – OWASP AppSec Brasil 2009
2009-05-11 17:19:00
O OWASP solicita propostas de apresentações para a conferência internacional OWASP AppSec Brasil 2009, que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009. Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009. Esta conferência será promovida e organizada pela Comunidade TI-Controle e pela Câmara dos Deputados. Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse: Modelagem de ameaças em aplicações (Application Threat Modeling) Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security) Aplicações de Revisões de Código (Hands-on Source Code Review) Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security) Ferramentas e Projetos do OWASP (OWASP Tools and Projects) Tópicos de Priva...

OWASP AppSec Brazil 2009 – Brasília, 27-30 de outubro de 2009
2009-04-30 23:05:00
Após a perseverança do Eduardo Neves, e o excelente trabalho do Lucas Ferreira, conseguimos aprovar o Primeiro OWASP AppSec Brazil . A conferência será realizada nos dias 27 a 29 de outubro de 2009 nas dependências da Câmara dos Deputados, em Brasília, DF é agora o primeiro OWASP AppSec Brazil 2009. Isso é uma vitória do Capítulo OWASP Brasil que está tentando trazer o evento para o nosso país desde novembro de 2008 e finalmente conseguiu discutir o assunto com todos os envolvidos e conseguir a aprovação necessária para isso. A Conferência será promovida pelo OWASP Brasil com o suporte da Comunidade TI-Controle para tratar os diferentes assuntos relacionados a Segurança de Aplicações, tais como: Desenvolvimento seguro Segurança e arquitetura de software Processos de desenvolvimento de sistemas seguros Ferramentas para análise de segurança de aplicações Bibliotecas e frameworks de segurança para aplicações web Auditoria e testes de segurança em aplicaçÃ...

Encontrando vulnerabilidades em aplicações web com teste fuzzy
2009-04-23 00:50:00
Fuzzing é uma técnica largamente utilizada hoje em dia, para identificar vulnerabilidades em aplicações. A técnica consiste basicamente de submeter pacotes/dados de todos os tipos e identificar como a aplicação se comporta com estes dados. Para mostrar um teste fuzzy na prática, vou usar a ferramenta WebSlayer. Usando o WebSlayer para fuzzing em aplicações WebWebSlayer é uma ferramenta desenvolvida pelo grupo Edge-security, é apoiada pela OWASP e foi lançado no último Summit em Portugal. A ferramenta possibilita que seja realizado inúmeros testes em aplicações web, especialmente fuzzing. Possui uma boa interface gráfica, aliada a uma boa base de conhecimento (wordlists). A ferramenta fornece apenas wordlists, não fornece pacotes, requisições HTTP que possam ser usadas no fuzzing, a ferramenta permite que você gere o payload da forma como achar melhor. Vamos usar uma abordagem estruturada de fuzzing para explorar os recursos do WebSlayer 1 - Identificar o AlvoVa...

Segurança de Cookies de sessão e HTTPOnly
2009-04-21 18:39:00
Cookie é um dos recursos usados para garantir estados em aplicações web. O protocolo HTTP é stateless, como podemos ver no post sobre HTTP. Esta característica nos primórdios não trazia nenhum problema, as páginas eram estáticas. Com o passar do tempo, as aplicações começaram a ficar mais complexas e passou a ser inevitável manter estados. Para fazer isso, utilizamos o recurso de sessão/cookie. Este recurso é a "memória" da aplicação web, ela irá consultar a sessão para lembrar de informações que são necessárias entre as requisições HTTP. O que acontece se eu não tomar cuidado com a sessão? Problemas sérios! Furto de dados, sequestro de sessão, problemas com autenticação, entre outras coisas que podem ser vistas na página sobre gestão de sessão da OWASP.Como mitigar (diminuir) os riscos associados a cookies de sessão? Além de implementar adequadamente a gestão de sessão, um excelente e simples controle para mitigar riscos relacionados a seques...
More About: Cookies

Estou voltando!
2009-04-21 17:33:00
Este é o tipo de post que não ajuda em nada, mas preciso dar uma satisfação aos que me aturam neste blog. Os últimos meses foram alucinantes, muito trabalho, um treinamento na uCon, que foi demais, e sobrou pouco tempo para escrever algo aqui. Cheguei ao cúmulo de esquecer de pagar o host e o domínio ficou suspenso por um dia. Agora estou de volta, vou começar a agitar isso aqui novamente e espero que os leitores apreciem.

Source Code Static Analysis – Quadrante Mágico do Gartner
2009-02-24 21:58:00
Agora em Fevereiro saiu o quadrante mágico do Gartner classificando os players de source-review. A fortify se destaca no quadro! Vale ressaltar que apenas Fortify e Ounce Labs tem ferramentas que nasceram para revisão de segurança de código, todos os outros players tem soluções que evoluiram, foram adaptadas, para revisão de segurança.
More About: Analysis , Source , Code , Source Code

HTTP Essentials
2009-02-06 19:55:00
Como diz meu amigo Sp0oker: "como falar de payload para pessoas que não sabem o que é um Three Way Handshake?" Pensando nisso eu resolvi divulgar esta parte sobre http do material do treinamento de web hacking techniques. O conteúdo é o básico para conhecer como funciona o protocolo HTTP, essencial para análise de segurança em aplicações WEB. O que é o protocolo HTTP O HTTP (Hypertext Transfer Protocol) é um protocolo que atua na camada de aplicação de acordo com o modelo OSI e estabelece um conjunto de regras, padrão para troca de mensagens entre recursos na WEB. O HTTP possui as seguintes versões: HTTP/0.9 (Criado em 1991) HTTP/1.0 (Criado em 1996) HTTP/1.1 (Criado em 1999) Não é o propósito deste tutorial explicar os detalhes de cada versão, mais detalhes podem ser obtidos na RFC 2145 (Use and Interpretation of HTTP Version Numbers). Como trabalha o protocolo HTTP O protocolo HTTP tem uma característica que é de fundamental entendimento para quem analisa...
More About: Http , Essentials

View-State and ASP.NET Security
2009-02-03 14:27:00
Há muito tempo atrás eu fui questionado por um cliente ao mencionar que o view-state de uma aplicação dele estava expondo informações sensíveis. A justificativa dele é que isso era um comportamento padrão do ASP.NET. Ele tinha razão, o ASP.NET depende muito do view-state e cria um campo HIDDEN onde dados são armazenados na sessão. Na situação eu recomendei que pelo menos ele utilizasse recursos para criptografar os dados mantidos na View -State . Um problema do View-State é o mal uso dele, muitos desenvolvedores sem saber dos riscos acabam armazenando muitos dados na sessão usando o recurso. Com isso, além de causar problemas de performance, ele pode expor dados confidenciais, pois os dados podem ser visualizados usando ferramentas que decodifiquem o view-state. A boa notícia é que segundo um post no InfoQ, o ASP.NET vai depender menos do view-state e se estuda a possibilidade dele vir desabilitado por default. De qualquer maneira, cuidado com o view-state em aplic...
More About: Security

Segurança de aplicação e as ferramentas de teste
2009-01-29 15:25:00
Lendo o post do Eduardo sobre a recente divulgação de um comparativo entre três ferramentas de teste de aplicações web, resolvi falar um pouco sobre o que penso sobre o tema. Pra mim o problema todo é comparar bananas com laranjas. As ferramentas realmente não irão substituir a análise humana, são coisas distintas e complementares. Outro ponto é, o tipo de ferramenta, as ferramentas cumprem o seu papel, o problema é o uso, expectativa que, se tem delas. O erro mais comum é comprar uma ferramenta e achar que ela irá cumprir todos os pontos relacionados a segurança de aplicação. Alguns vendedores podem usar este argumento, mas no geral todas deixam claro qual o seu propósito. Para se garantir a segurança de uma aplicação várias atividades devem ser executadas. Atividades que eu classifico como antes, durante e depois do desenvolvimento da aplicação. Antes Treinamento e capacitação Implementação de um processo que garanta que boas práticas de desenvolvimen...

Comunicação durante uma crise/incidente
2009-01-27 20:14:00
Para muitos falar em público já é complicado, imagina durante uma crise grave envolvendo vítimas? Existem alguns guides sobre o tema, mas este link tem um apanhado bem completo: Golden rules for the crisis spokesperson.

Política de Segurança da Informação, como não fazer
2009-01-22 18:16:00
Eu assino o feed do efetividade há muito tempo, sempre gostei do conteúdo, agora hoje fiquei surpreso com um post: Política de Segurança de Informação: um modelo de como não fazer. No post ele comenta sobre falhas comuns em PSI (Políticas de Segurança da Informação), não esperem uma avaliação técnica, mas sim um apanhado de coisas óbvias e simples que muito profissional de segurança sênior não é capaz de evitar quando desenvolve uma PSI. Recomendo a leitura, mas segue alguns pontos. "Tranque tanto a infra-estrutura, que trabalhar se torne complicado demais. Complemento do comentário acima. E há um risco adicional: os usuários vão encontrar “jeitinhos�, como o uso de cópias locais, versões antigas e mídias não-autorizadas." Isso aqui é comum entre profissionais de segurança que só viram as coisas nos livros. "Diga “não� sempre que lhe solicitarem alguma aprovação. Assumindo que você tenha força suficiente para sustentar um comportamento de...
More About: Como , Fazer

Analisando código php encriptado
2009-01-21 16:37:00
Stefan Esser publicou informações bem interessantes sobre o core do php. Na última 25C3 ele fez uma apresentação demonstrando como é possível fazer análise em códigos encriptados usando bibliotecas de encriptação de Bytecode como: ZendGuard, ionCube PHP Encoder e SourceGuardian. Segundo o paper mesmo com técnicas de anti-hooking e decryption é possível analisar o código devido as padrões do bytecode que são mantidos. Leitura altamente recomendada.

u-Con 2009
2009-01-03 14:17:00
Em Fevereiro vai acontecer em Recife, mais uma edição de uma das principais conferências sobre hacking/security. Estarei lá ministrando um treinamento de Web Hacking Techniques e a Conviso está apoiando o evento. Mais informações no site da conferência, como diria meu amigo sp0oker: Happy Hacking!

Twitter?
2008-12-30 11:14:00
É eu me rendi a mais uma "ferramenta" geek! Eu conheci o twitter há algum tempo atrás e confesso que achei meio bobo, sem sentido. Conversando com alguns amigos eu fui convencido a olhar com mais calma, afinal, poderia ser mais uma ferramenta para troca de idéias, opiniões, sobre o que eu penso e faço no meu dia-a-dia. Bom, fui lá e dei-um "Forgot password" e resolvi começar a "twittar" (é assim que se fala?). Quem quiser acompanhar e claro, apreciar com moderação, é só me incluir (é assim? Calma, estou começando.) acessando a URL: http://twitter.com/welias
More About: Twitter

Pen-test não morre não, fiquem tranquilos!
2008-12-29 20:56:00
No início de Dezembro Brian Chess co-fundador da Fortify escreveu um artigo para o portal CSO Online com o seguinte título: Penetration Test ing: Dead in 2009. Como o título foi extremamente sensacionalista e na minha opinião, as declarações de Chess foram bastante parciais em favor do produto/negócio da Fortify, as interpretações não foram as melhores. Ivan Arce CTO da Core Security escreveu um outro artigo para o mesmo portal com o título: Twelve Reasons Pen Testing Won't Die Neste artigo Arce "contra-ataca" Chess e faz uma brincadeira criando o acrônimo, SISSP (School of Information Systems Security Prophets) e descreve de forma muito clara inúmeros motivos para se realizar testes de segurança (pen-tests). No maior estilo Schopenhauer, Chess, escreveu outro post no blog da Fortify: Penetration Testing is Dead, Long Live Penetration Testing A minha opinião sobre esta novela toda é: Muda-se o nome, muda-se a "roupagem" mas os testes de segurança sempre deverão ser...

SDL e falha de XML Parser do Internet Explorer
2008-12-22 20:30:00
Um excelente post no blog Security Development Lifecycle, fala sobre a falha de XML Parser que afeta algumas versões do Internet Explorer da Microsoft. A falha irá causar algumas mudanças na capacitação dos desenvolvedores, segundo o post o conteúdo dos treinamentos voltados ao SDL (Secure Development Lifecycle) não cobre com clareza a falha que ocorreu. "Code Analysis and Review Memory-related TOCTOU bugs are hard to find through code review; we teach TOCTOU issues, and we teach memory corruption issues, and issues with using freed memory blocks; but we do not teach memory-related TOCTOU issues. We will update our training to address this. Our static analysis tools don't find this because the tools would need to understand the re-entrant nature of the code." Devido a característica bastante peculiar da falha, muito provavelmente a falha foi encontrada por acaso, pois até mesmo as técnicas de fuzzing (considerada bala de prata por alguns) não conseguiriam identificar fa...
More About: Internet Explorer

Treinamentos em Janeiro
2008-12-15 18:00:00
A Conviso IT Security oferece no primeiro trimestre de 2009, os cursos "Internet Hacking Techniques" e "Web Hacking Techniques" em várias capitais brasileiras: Internet Hacking Techniques Ensina o processo de análise de vulnerabilidades técnicas em redes de dados, incluindo técnicas para teste de intrusão (pen-test), scan de vulnerabilidades, testes de resistência de senhas e análise do controle de acesso a dados. Belo Horizonte: 12, 13 e 14 de janeiro Manaus: 19, 20 e 21 de janeiro Recife: 21, 22 e 23 de janeiro Curitiba: 26, 27 e 28 de janeiro Web Hacking Techniques Ao entender as principais vulnerabilidades em aplicações web e como evitar que elas sejam criadas, os alunos deste curso aprendem a revisar a segurança das aplicações web, além de serem capacitados em práticas de programação segura e no uso de ferramentas Open Source para testes de segurança e criação de medidas de proteção neste modelo de aplicação. Belo Horizonte: 15 e 16 de janeiro Manaus: 2...

Browser Security Handbook
2008-12-11 17:09:00
O Google lançou um book em versão wiki que, descreve várias características de segurança de diversos browsers. A wiki é atualizada constantemente e é um material interessantíssimo para quem deseja conhecer um pouco mais dos "internals" dos browsers. As informações são valiosas para quem deseja ir além do debug.print/echo POST/GET no desenvolvimento web. Recomendo fortemente a parte 3 - Experimental and legacy security mechanisms. O conteúdo se mostrou bastante imparcial e não é voltado apenas para o Chrome do Google.
More About: Security , Browser , Handbook

O novo cenário do mercado globalizado e a segurança da informação
2008-02-21 02:17:00
O incentivo ao avanço tecnológico, assim como a necessidade de renovação processual cumpre um papel essencial na formulação do sistema de formação de quadros que corresponde às necessidades. A nível organizacional, o desenvolvimento contínuo de distintas formas de atuação é uma das consequências das diversas correntes de pensamento. No mundo atual, a consulta aos diversos militantes deve passar por modificações independentemente do processo de comunicação como um todo. Desta maneira, a valorização de fatores subjetivos oferece uma interessante oportunidade para verificação dos níveis de motivação departamental. A certificação de metodologias que nos auxiliam a lidar com a estrutura atual da organização possibilita uma melhor visão global das condições inegavelmente apropriadas. Calma pessoal! Não estou ficando louco e estou longe de ser prolixo, apenas estou utilizando uma ferramenta muito usada por consultores, doutores e qualquer tipo de charlatã...
More About: Mercado , Novo

SAP Security
2008-02-21 01:31:00
Eu nunca tive a oportunidade de desenvolver em ABAP (linguagem utilizada para desenvolvimento em ambiente SAP R-3), por isso uma coisa me deixava curioso. Em ambientes deste tipo é comum o desenvolvedor abrir a suíte de desenvolvimento (IDE) de qualquer máquina. Curioso e questionador como sempre fui, fiquei com uma dúvida durante algum tempo, existe algum tipo de controle na comunicação entre as máquinas que se conectam ao repositório de códigos? Hoje lembrei e dei uma pesquisada no google. A IDE chamada SAPGui ou o ambiente de desenvolvimento SAP R-3 SAP@Studio Home se conecta a um gateway de serviços chamado ITS (Internet Transaction Server) e a comunicação é toda criptografada usando uma implementação de 3Des. Aos curiosos como eu, segue uma referência. http://www.erpgenie.com/sap/its/security. htm http://www.erpgenie.com/sap/its/its_compo nents.htm Tenho muito interesse sobre segurança em ambientes SAP, quem quiser trocar informações estou a disposição! De...
More About: Security

Vazamento de Informação na Petrobras
2008-02-14 14:45:00
O roubo de informações confidenciais sobre as operações da Petrobras é um evento que pode trazer inúmeras lições sobre segurança da informação. A Policia Federal trabalha com inúmeras hipóteses, do simples roubo de equipamentos a espionagem industrial envolvendo a Petrobras e a Halliburton. "PETROBRAS: Tinha reservas estimadas em 14,4 bilhões de barris, o que colocava o Brasil em 24º lugar no ranking das maiores reservas mundiais. Isso até as descobertas de Tupi - a partir da bacia de Santos. Supõe-se que o Brasil salte agora para a 8ª ou 9ª posição neste ranking. A Petrobras é a quinta empresa do mundo entre as que têm grandes reservas e operam em Bolsas de Valores. Com as descobertas recentes deve saltar para o terceiro lugar. O lucro da Petrobras em 2006 foi recorde: R$ 25,9 bilhões, um aumento de 9% em relação aos R$ 23,7 bilhões em 2005. HALLIBURTON: é tida como a maior empresa de serviços em campos de petróleo mundo afora. Com a Petrobras a Hallib...

links for 2008-02-13
2008-02-14 00:27:00
National Software Reference Library Base com hash de softwares conhecidos mantido pelo NIST. (tags: Hash) Deixe um comentário e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links , 2008

links for 2008-02-12
2008-02-13 00:23:00
SourceForge.net: Ncartographer Ferramenta Open Source para gerar gráficos dos resultados do Nmap (tags: Nmap Tools) Deixe um comentário e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links , 2008

Controle e Distribuição de Planos (BCP)
2008-02-10 20:11:00
No meu último post sobre BCP, algumas considerações apareceram, a primeira delas do meu amigo Paulo Teixeira, tratava da necessidade de se manter planos atualizados e disponíveis. Vou falar um pouco sobre minha experiência em controle e distribuição de planos. O comentário do colega Fabio Urias será respondido em outro post sobre conscientização e treinamento. A primeira coisa que devemos deixar bem claro quando falamos de controle e distribuição dos planos é a diferença entre documentação física e digital. Vamos começar tratando as características comuns sobre os dois tipos. Organização Os planos devem estar disponíveis/acomodados de maneira organizada e com índices/ferramentas que facilitem a pesquisa e consulta. Controle de Versão e Alteração A base para um controle eficaz de toda documentação é o controle das alterações e versões de cada documento. É necessário documentar todas as alterações realizadas em cada documento e saber exatamente qua...

links for 2008-02-09
2008-02-10 00:20:00
SlimTimer - Time Tracking without the Timesheet Ferramenta de TimeSheet (tags: TimeSheet AplicacaoWeb) Deixe um comentário e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links , 2008

links for 2008-02-08
2008-02-09 00:23:00
Como funcionam os exploits - ISTF Artigo em português (de portugal) sobre exploit (tags: exploit artigo) Deixe um comentário e acompanhe a discussão assinando a feed deste post. Contrate uma hospedagem de qualidade com desconto usando o meu promocode!
More About: Links , 2008

Novidades OWASP
2008-02-04 15:42:00
Eu estava esperando algumas coisas se resolverem para eu anunciar algumas novidades sobre o OWASP. Por problemas de comunicação o owasp.org acabou criando mais um capítulo no Brasil. Antes nós eramos capítulo Brasil, quando percebemos havia sido criado o capítulo São Paulo e nós viramos capítulo Brasília. O Alfredo Luiz então líder do capítulo São Paulo entrou em contato comigo, conversamos e decidimos entrar em contato com o owasp.org e unir as forças e não criar um novo capítulo. Nosso pedido foi aceito e tudo está resolvido. Agradeço ao Alfredo pela compreensão e agora vamos tocar os trabalhos. Agora as boas notícias do OWASP: 1 - Recentemente foi finalizado e entregue a tradução do Top Ten 2007; 2 - Foi disponibilizado uma série de livros sobre o OWASP que podem ser baixados gratuitamente. Quero agradecer ao Rodrigo "Spooker" Montoro que tem dado gás a iniciativa e foi fundamental para a tradução. Falando em tradução, fica aqui os agradecimentos ao p...