Gbitten
sexta-feira, julho 28, 2006
Diferença principal entre os exames do CISA e do CISSP
The main difference between CISSP and CISA exams
But the big issue, as we've said in response to this kind of question before, is that the emphasis is on CONTROLS not on SECURITY. The same question with the same set of answers can have a different 'correct' answer in the CISSP and CISA exams. They are looking for different things. **THAT** is why I said, first and foremost, that experience in Internal Audit, which will give you 'control not security' mind-set, is so important, more important that the CRM or Q&A books.
postado por Gustavo Araujo Bittencourt # 8:51 PM
quinta-feira, julho 27, 2006
Clipping
Quantidade e qualidade nos blog de SegInfo tupiniquins:
Wagner Elias postou uma notícia bastante interessante sobre os problemas de segurança do Terminal Service e como minimizá-los.
Augusto veio com não menos que 3 notícias dignas de nota:
- A iniciativa "Mais Segurança Itaú"
- Um excelente artigo sobre EFS
- Um estudo sobre como implementar um port scanner via javascript. Simples e genial, vale a pena ler e testar a prova de conceito.
postado por Gustavo Araujo Bittencourt # 5:11 PM
Schneier e os botnets
quarta-feira, julho 26, 2006
CISA
Recebi hoje um email da ISACA informando que passei no exame para o CISA. Não posso negar que estou feliz, por isso compartilho a notícia com os poucos (e persistentes) leitores e amigos deste blog. Agora é completar o processo de qualificação para o CISA.
postado por Gustavo Araujo Bittencourt # 7:16 PM
DIGG gets crazy
O sistema de moderação do DIGG ficou louco, me parece que alguém está explorando um bug do sistema. O resultado é no mínimo engraçado, veja por si mesmo:
- 25 of the best extensions for Firefox - Have It Your Way!
- Bug or Conspiracy? Digg users go CRAZY modding down comments!
postado por Gustavo Araujo Bittencourt # 12:54 PM
65 em 1
Eu não estou familiarizado com o sistema de patch da Oracle, mas 65 vulnerabilidades para este patch me parece um pouco exagerado. Será o efeito David Litchfield?
postado por Gustavo Araujo Bittencourt # 11:21 AM
terça-feira, julho 25, 2006
Privilégios elevados, a origem de todos os males ...
ou quase todos os males de segurança do Windows.
Aplicar o princípio do Least Privilege é simples no ambiente Unix|Linux|BSD, porem é um pesadelo no Windows. Aaron Margosis vem a anos evangelizando o Least Privilege para o sistema operacional da empresa de Redmond, este seu artigo é um belo apanhado dos problemas e das soluções para implantar o Least Privilege.
Marcadores: Windows
postado por Gustavo Araujo Bittencourt # 9:00 PM
segunda-feira, julho 24, 2006
Kaspersky, Ransomware, RSA, etc.
Neste artigo, o Kaspersky Lab aborda a evolução dos Ransomwares. Como uma família destes começou utilizando o RSA com chaves de 56 bits e agora usa RSA com chave de 660 bits para criptografar arquivos das vítimas para extorqui-las em troca da chave. Sinceramente, não sei por que os autores destes malwares não usaram chaves maiores que 1024, a final este é o tamanho mínimo recomendado hoje pelo RSA Laboratories.
Mas o que me espanta nesta matéria é que o Kaspersky Lab foi capaz de quebrar uma chave RSA de 660 bits em um dia, principalmente levando-se em conta que o RSA-640 (640 bits) levou 5 meses e o RSA-200 (663 bits) levou mais de um ano para fatorar (ver aqui).
Nevertheless, the author of Gpcode refused to throw in the towel. On 7th June 2006, Gpcode.ag was downloaded to thousands of Russian computers from an infected site. This latest variant used a 660 bit key, the longest key which has ever been broken. According to estimates, it would take at least 30 years using a 2.2 GHz computer to break such a key. But luck was on our side - our analysts were able to add decryption routines for files which had been encrypted using this key to antivirus databases within a single day. I won’t go into details here; suffice it to say this particular decryption will go down as a milestone in computer virology.
postado por Gustavo Araujo Bittencourt # 8:07 PM
sexta-feira, julho 21, 2006
Microsoft iPod
postado por Gustavo Araujo Bittencourt # 7:06 PM
O Básico
Augusto Paes de Barros apontou para a excelente entrevista de Marcos Ranum no Silver Bullet Podcast. Na entrevista Ranum fala:
There are people who will try anything to lose weight except diet and exercise. There are people who will try anything to secure their networks except designed correctly, control the access level within them, segment their networks, understand their traffic and monitor things closely.A duas semanas atrás, escrevi o seguinte na lista CISSPBR durante uma discussão sobre Defense in Depth:
Porem em condições normais de temperatura e pressão, o basicão de segurança é suficiente. Para servidores por exemplo, hardening, patch management, backup e monitoramento de log resolve grande parte das necessidades. Em muitos lugares contudo mal fazem o básico, e ainda sim, resolvem colocar IDS de Rede, IDS de Host, IPS, Firewall, Proxy Reverso, HonyPots, etc.
Marcadores: BombaDeFumaça
postado por Gustavo Araujo Bittencourt # 5:23 PM
Virus Quality Assurance
Interessante:
However, the actual reason why the top selling antivirus applications don't work is because malware authors are specifically testing their Trojans and viruses to make sure they can bypass these applications before releasing them in the wild.
postado por Gustavo Araujo Bittencourt # 2:02 PM
quinta-feira, julho 20, 2006
Ranum on Certification (juro que é último da série)
For example, if someone wanted to hire me to lock down an ULTRIX 3.1d system, I'm eminently qualified. But I'd be at a loss when presented with today's confusing plethora of Linux "distros"--I'd need months of studying and experimenting before I'd be ready to work on one of them. But if I had a certification, maybe someone would hire me by mistake, thinking I was qualified, and then I could do that retraining on the company's nickel. If someone asked one of my peers who they'd recommend for a Linux project, I'm sure my name wouldn't come up. But if the job called for a "senior curmudgeon," well, that would be another story entirely.
The bottom line is that, regardless of whether a candidate is certified, a smart interviewer needs to know enough to judge if a candidate is the right person for the job. In fact, a smart employer is always going to check references and evaluate a candidate based on past accomplishments--only one of which may be successfully cramming for an exam.
Marcus Ranum (para acessar tem que responder uma pesquisa enjoada)
Marcadores: BombaDeFumaça
postado por Gustavo Araujo Bittencourt # 5:52 PM
Godzilla crypto tutorial
Godzilla é um bom apelido para o tutorial do pesquisador Peter Gutmann, afinal são 811 slides divididos em 10 partes.
Godzilla crypto tutorial
postado por Gustavo Araujo Bittencourt # 11:59 AM
Mitos de segurança: Certificações (mais um contraponto)
Se o certificado parece ser um diferencial, o que acontecerá se ou quando todos os profissionais forem certificados? Aliás essa é uma forma perversa de seleção, visto que os certificados têm custo alto e pessoas com boa experiência mas com menor poder aquisitivo são postas automaticamente fora da disputa por uma vaga.
postado por Gustavo Araujo Bittencourt # 11:19 AM
Bejtlich on CISSP (em contraponto à notícia anterior)
I think the root of the problem is the concept that the CISSP somehow measures technical competence. The CISSP in no way measures technical skills. Rather, it should measure knowledge of security principles. It does not meet that goal, either. At this point we are left with a certification that only provides a code of ethics. That brings us back to my original point.
postado por Gustavo Araujo Bittencourt # 11:02 AM
Schneier on Certification
Profiling based on security certifications is the easiest way for an organization to make a good hiring decision, and the easiest way for an organization to train its existing employees. And honestly, that's usually good enough.Update: Eu, Augusto Paes de Barros e Willian Caprino postamos a mesma notícia quase simultaneamente. Influente esse tal de Schneier :)
Marcadores: BombaDeFumaça
postado por Gustavo Araujo Bittencourt # 10:42 AM
quarta-feira, julho 19, 2006
80% dos novos malwares não são percebidos pelos antivírus
Isso apenas reforça minha afirmação anterior.
Eighty percent of new malware defeats antivirus
postado por Gustavo Araujo Bittencourt # 11:22 AM
Efetividade.net
Descobri hoje este blog do Augusto Campos, editor do BR-Linux. Do Augusto não pode ser esperar menos do que um site de excelente qualidade. Nada melhor do que o próprio editor para descrever o blog:
Este blog concentra-se na busca de métodos, técnicas e ferramentas para alcançar a efetividade e a eficiência. O ideal é a cada dia conseguir agregar mais valor ao ambiente, de forma positiva e dispendendo menos esforço.Efetividade.net
postado por Gustavo Araujo Bittencourt # 10:03 AM
terça-feira, julho 18, 2006
Malware Search
H.D. Moore, o cara por trás dos projetos Metasploit e Browser Fun, lançou um serviço de procura de malwares que utiliza o Google para identificá-los. É um serviço similar ao anunciado pela Websense, porem, diferente deste último, qualquer um pode consultá-lo e seu código é aberto.
Malware Searchpostado por Gustavo Araujo Bittencourt # 8:53 PM
Full-disclosure na berlinda
Dia movimentado hoje, isso porque não "postei" sobre a aquisição da Winternals/Sysinternals pela Microsoft.
A questão é que o Full-disclosure está na berlinda, muito por causa das iniciativas como o Metasploit e Browser Fun. Dois blogs da Computerworld abordam este tema:
- HD Moore annoys both sides of the security aisle: Good for him
- Who really benefits from responsible disclosure?
postado por Gustavo Araujo Bittencourt # 4:09 PM
[Direito] O meio-de-campo
postado por Gustavo Araujo Bittencourt # 2:05 PM
McAfee erra nos responsáveis pela ameaça dos Botnets
Essa matéria está cheia de erros, a começar pelo título. Hackers não aprendem com o open source, Hackers (no verdadeiro sentido da palavra), como Linus Torvalds, Richard Stallman, Theo de Raadt, Bruce Perens e Eric S. Raymond, inventaram o Open Source.
Além disso, a McAfee transfere para a comunidade Open Source e para o movimento Full-disclosure uma responsabilidade que não é deles, mas sim da própria indústria de anti-vírus. O fato é que o modelo de proteção utilizado pelos anti-vírus é um modelo fadado ao insucesso. O que ocorre agora, uma evolução tão rápida dos malwares que inviabiliza os software de decteção por assinatura, aconteceria mais cedo ou mais tarde.
UPDATE: Além dos Bots, os Rootkits não são problema de antivírus!
UPDATE2: Segundo a McAfee, a comunidade Open Source também encoraja os Rootkits!
postado por Gustavo Araujo Bittencourt # 12:37 PM
segunda-feira, julho 17, 2006
Zidane phishing
domingo, julho 16, 2006
Palestra sobre Análise de Risco
Realizei ontem uma palestra para o grupo de estudo da lista CISSP-DF.
Marcadores: Risco
postado por Gustavo Araujo Bittencourt # 9:16 AM
sexta-feira, julho 14, 2006
Com NÃO recuperar um laptop roubado
Pelo artigo sobre Jasper Rine na Wikipedia, sua tática não foi bem sucedida:
Rine gave a deadline to return the computer warning that the student's academic career was over and that, "I'm the only hope you've got of staying out of deeper trouble than you or any other student that I have ever known has ever been in." Later the university press office admitted that Rine's threats were "exaggerated." The deadline passed without the return of the computer or the purported stolen data.
postado por Gustavo Araujo Bittencourt # 6:15 PM
quinta-feira, julho 13, 2006
Diadem Firewall
Se tem uma ameaça eletrônica que realmente temo é a ameaça causada pelos Botnets, principalmente quando utilizados para DDoS.
Um grupo de acadêmicos europeus financiados por empresas de telecom está desenvolvendo o Diadem Firewall, que busca entre outras coisas uma forma de proteção contra DDoS. Torço para que a proteção seja efetiva, mas tenho minhas dúvidas.
O site tem uma série de papers sobre a tecnologia, vou estudá-los antes de emitir mais opiniões.
postado por Gustavo Araujo Bittencourt # 8:40 PM
quarta-feira, julho 12, 2006
A ABNT tem o direito autoral sobre as NBRs?
Não tem, segundo uma decisão judicial recente. Uma interessante matéria do Consultor Jurídico reporta que:
No último dia 9 de maio, o juiz Maurício Sato, da 21ª Vara Federal de São Paulo, concedeu tutela assecuratória de direitos contra a ABNT — Associação Brasileira de Normas Técnicas a favor da empresa Target Engenharia e Consultoria, uma das maiores empresas de tecnologia da informação da América do Sul.Os articulistas da matéria citam a lei 9.610 que rege o direito autoral no artigo 8º inciso I, onde está dito:
Art. 8º Não são objeto de proteção como direitos autorais de que trata esta Lei: I - as idéias, procedimentos normativos, sistemas, métodos, projetos ou conceitos matemáticos como tais;Numa análise leiga da lei, eu diria que as NBRs não poderiam ser protegidas pelo direito autoral. O legislador provavelmente colocou esta limitação do direito autoral para beneficiar o bem comum em detrimento ao bem individual. Uma consequência provável do domínio público é a disseminação e popularização das normas da ABNT. Por outro lado, eu tenho duas preocupações:
- Quão dependente é a ABNT da receita gerada pela venda das NBRs?
- Qual a consequência da liberação destas normas em domínio público com relação a ISO, entidade de padronização internacional a qual a ABNT é filiada e de onde muitas NBRs são oriundas?
postado por Gustavo Araujo Bittencourt # 6:12 PM
segunda-feira, julho 10, 2006
Quote of the year
You are better off running as non-admin WITHOUT anti-virus than you are running as admin WITH anti-virus.
postado por Gustavo Araujo Bittencourt # 5:28 PM
quinta-feira, julho 06, 2006
O direito de monitorar
Mais uma decisão da Justiça legitima o direito do empregador em controlar o correio eletrônico fornecido a seus empregados. Contudo, vale a resalva do ministro João Oreste Dalazen:
O ministro João Oreste Dalazen concluiu que o empregador pode exercer, “de forma moderada, generalizada e impessoal”, o controle sobre as mensagens enviadas e recebidas, com a finalidade de evitar abusos.A lição que devemos tomar é que o direito de monitorar, derivado do direito a propriedade, não é absoluto.
postado por Gustavo Araujo Bittencourt # 10:24 PM
terça-feira, julho 04, 2006
Linha Defensiva
Augusto Paes de Barros levantou a bola. Espero que ele perdoe o plágio da notícia, mas vale reforçar a divulgação deste excelente site de segurança direcionado ao usuário comum.
http://linhadefensiva.uol.com.br/
postado por Gustavo Araujo Bittencourt # 8:25 PM
segunda-feira, julho 03, 2006
GMail sob SSL
Essa dica é muito boa. É possivel utilizar a sessão SSL em toda a conversação do Gmail e não apenas no login. Basta colocar "https" na URL do Gmail, ficando:
postado por Gustavo Araujo Bittencourt # 4:21 PM
Eventos de InfoSec
Transcrevi os eventos de infosec para o Google Calendar:
Fontes:
- The Best of Security Events (calendário estruturado por Ronaldo Vasconcellos)
- (ISC)² 2006 Resource Guide
- CERIAS: Infosec Events
- InfoSec events
postado por Gustavo Araujo Bittencourt # 12:10 PM
Arquivos
janeiro 2000 fevereiro 2000 março 2000 julho 2005 agosto 2005 setembro 2005 outubro 2005 novembro 2005 dezembro 2005 janeiro 2006 março 2006 abril 2006 maio 2006 junho 2006 julho 2006 agosto 2006 setembro 2006 outubro 2006 novembro 2006 dezembro 2006 janeiro 2007 fevereiro 2007 abril 2007 maio 2007 junho 2007 julho 2007 agosto 2007 setembro 2007 outubro 2007 novembro 2007 janeiro 2008 fevereiro 2008 março 2008 junho 2008 setembro 2008 novembro 2008 dezembro 2008 junho 2009 julho 2009 agosto 2009 setembro 2009 outubro 2009 dezembro 2009 fevereiro 2010
Assinar Postagens [Atom]