Gbitten

sexta-feira, julho 28, 2006

 

Diferença principal entre os exames do CISA e do CISSP

The main difference between CISSP and CISA exams
But the big issue, as we've said in response to this kind of question before, is that the emphasis is on CONTROLS not on SECURITY. The same question with the same set of answers can have a different 'correct' answer in the CISSP and CISA exams. They are looking for different things. **THAT** is why I said, first and foremost, that experience in Internal Audit, which will give you 'control not security' mind-set, is so important, more important that the CRM or Q&A books.
by Anton Aylward

quinta-feira, julho 27, 2006

 

Clipping

Quantidade e qualidade nos blog de SegInfo tupiniquins: Wagner Elias postou uma notícia bastante interessante sobre os problemas de segurança do Terminal Service e como minimizá-los. Augusto veio com não menos que 3 notícias dignas de nota:
 

Schneier e os botnets

Bot Networks

Marcadores:


quarta-feira, julho 26, 2006

 

CISA

Recebi hoje um email da ISACA informando que passei no exame para o CISA. Não posso negar que estou feliz, por isso compartilho a notícia com os poucos (e persistentes) leitores e amigos deste blog. Agora é completar o processo de qualificação para o CISA.
 

DIGG gets crazy

O sistema de moderação do DIGG ficou louco, me parece que alguém está explorando um bug do sistema. O resultado é no mínimo engraçado, veja por si mesmo: Coincidência ou não, a Netscape, que estreou recentemente um sistema DIGG-like, foi atacada por vários Cross-Site-Scripting-Kids (XSSK). Será uma briginha entre usuários destes sites de notícia?
 

65 em 1

Eu não estou familiarizado com o sistema de patch da Oracle, mas 65 vulnerabilidades para este patch me parece um pouco exagerado. Será o efeito David Litchfield?

terça-feira, julho 25, 2006

 

Privilégios elevados, a origem de todos os males ...

ou quase todos os males de segurança do Windows.

Aplicar o princípio do Least Privilege é simples no ambiente Unix|Linux|BSD, porem é um pesadelo no Windows. Aaron Margosis vem a anos evangelizando o Least Privilege para o sistema operacional da empresa de Redmond, este seu artigo é um belo apanhado dos problemas e das soluções para implantar o Least Privilege.

Marcadores:


segunda-feira, julho 24, 2006

 

Kaspersky, Ransomware, RSA, etc.

Neste artigo, o Kaspersky Lab aborda a evolução dos Ransomwares. Como uma família destes começou utilizando o RSA com chaves de 56 bits e agora usa RSA com chave de 660 bits para criptografar arquivos das vítimas para extorqui-las em troca da chave. Sinceramente, não sei por que os autores destes malwares não usaram chaves maiores que 1024, a final este é o tamanho mínimo recomendado hoje pelo RSA Laboratories. Mas o que me espanta nesta matéria é que o Kaspersky Lab foi capaz de quebrar uma chave RSA de 660 bits em um dia, principalmente levando-se em conta que o RSA-640 (640 bits) levou 5 meses e o RSA-200 (663 bits) levou mais de um ano para fatorar (ver aqui).
Nevertheless, the author of Gpcode refused to throw in the towel. On 7th June 2006, Gpcode.ag was downloaded to thousands of Russian computers from an infected site. This latest variant used a 660 bit key, the longest key which has ever been broken. According to estimates, it would take at least 30 years using a 2.2 GHz computer to break such a key. But luck was on our side - our analysts were able to add decryption routines for files which had been encrypted using this key to antivirus databases within a single day. I won’t go into details here; suffice it to say this particular decryption will go down as a milestone in computer virology.
Malware evolution: April - June 2006

sexta-feira, julho 21, 2006

 

Microsoft iPod


 

O Básico

Augusto Paes de Barros apontou para a excelente entrevista de Marcos Ranum no Silver Bullet Podcast. Na entrevista Ranum fala:
There are people who will try anything to lose weight except diet and exercise. There are people who will try anything to secure their networks except designed correctly, control the access level within them, segment their networks, understand their traffic and monitor things closely.
A duas semanas atrás, escrevi o seguinte na lista CISSPBR durante uma discussão sobre Defense in Depth:
Porem em condições normais de temperatura e pressão, o basicão de segurança é suficiente. Para servidores por exemplo, hardening, patch management, backup e monitoramento de log resolve grande parte das necessidades. Em muitos lugares contudo mal fazem o básico, e ainda sim, resolvem colocar IDS de Rede, IDS de Host, IPS, Firewall, Proxy Reverso, HonyPots, etc.

Marcadores:


 

Virus Quality Assurance

Interessante:
However, the actual reason why the top selling antivirus applications don't work is because malware authors are specifically testing their Trojans and viruses to make sure they can bypass these applications before releasing them in the wild.
Why popular antivirus apps 'do not work'

quinta-feira, julho 20, 2006

 

Ranum on Certification (juro que é último da série)

For example, if someone wanted to hire me to lock down an ULTRIX 3.1d system, I'm eminently qualified. But I'd be at a loss when presented with today's confusing plethora of Linux "distros"--I'd need months of studying and experimenting before I'd be ready to work on one of them. But if I had a certification, maybe someone would hire me by mistake, thinking I was qualified, and then I could do that retraining on the company's nickel. If someone asked one of my peers who they'd recommend for a Linux project, I'm sure my name wouldn't come up. But if the job called for a "senior curmudgeon," well, that would be another story entirely.
The bottom line is that, regardless of whether a candidate is certified, a smart interviewer needs to know enough to judge if a candidate is the right person for the job. In fact, a smart employer is always going to check references and evaluate a candidate based on past accomplishments--only one of which may be successfully cramming for an exam.
Marcus Ranum (para acessar tem que responder uma pesquisa enjoada)

Marcadores:


 

Godzilla crypto tutorial

Godzilla é um bom apelido para o tutorial do pesquisador Peter Gutmann, afinal são 811 slides divididos em 10 partes. Godzilla crypto tutorial
 

Mitos de segurança: Certificações (mais um contraponto)

Se o certificado parece ser um diferencial, o que acontecerá se ou quando todos os profissionais forem certificados? Aliás essa é uma forma perversa de seleção, visto que os certificados têm custo alto e pessoas com boa experiência mas com menor poder aquisitivo são postas automaticamente fora da disputa por uma vaga.
Nelson Murilo

 

Bejtlich on CISSP (em contraponto à notícia anterior)

I think the root of the problem is the concept that the CISSP somehow measures technical competence. The CISSP in no way measures technical skills. Rather, it should measure knowledge of security principles. It does not meet that goal, either. At this point we are left with a certification that only provides a code of ethics. That brings us back to my original point.
Richard Bejtlich

 

Schneier on Certification

Profiling based on security certifications is the easiest way for an organization to make a good hiring decision, and the easiest way for an organization to train its existing employees. And honestly, that's usually good enough.
Bruce Schneier
Update: Eu, Augusto Paes de Barros e Willian Caprino postamos a mesma notícia quase simultaneamente. Influente esse tal de Schneier :)

Marcadores:


quarta-feira, julho 19, 2006

 

80% dos novos malwares não são percebidos pelos antivírus

Isso apenas reforça minha afirmação anterior. Eighty percent of new malware defeats antivirus
 

Efetividade.net

Descobri hoje este blog do Augusto Campos, editor do BR-Linux. Do Augusto não pode ser esperar menos do que um site de excelente qualidade. Nada melhor do que o próprio editor para descrever o blog:
Este blog concentra-se na busca de métodos, técnicas e ferramentas para alcançar a efetividade e a eficiência. O ideal é a cada dia conseguir agregar mais valor ao ambiente, de forma positiva e dispendendo menos esforço.
Efetividade.net

terça-feira, julho 18, 2006

 

Malware Search

H.D. Moore, o cara por trás dos projetos Metasploit e Browser Fun, lançou um serviço de procura de malwares que utiliza o Google para identificá-los. É um serviço similar ao anunciado pela Websense, porem, diferente deste último, qualquer um pode consultá-lo e seu código é aberto. Malware Search
 

Full-disclosure na berlinda

Dia movimentado hoje, isso porque não "postei" sobre a aquisição da Winternals/Sysinternals pela Microsoft. A questão é que o Full-disclosure está na berlinda, muito por causa das iniciativas como o Metasploit e Browser Fun. Dois blogs da Computerworld abordam este tema: UPDATE: Augusto Paes de Barros também entra no assunto em seu blog em inglês:
 

[Direito] O meio-de-campo

Luiz FirminoGilberto Bonilha apontou no CISSPBR para este excelente artigo do Dr. Gilberto Martins sobre monitoramento eletrônio. O meio-de-campo
 

McAfee erra nos responsáveis pela ameaça dos Botnets

Essa matéria está cheia de erros, a começar pelo título. Hackers não aprendem com o open source, Hackers (no verdadeiro sentido da palavra), como Linus Torvalds, Richard Stallman, Theo de Raadt, Bruce Perens e Eric S. Raymond, inventaram o Open Source.

Além disso, a McAfee transfere para a comunidade Open Source e para o movimento Full-disclosure uma responsabilidade que não é deles, mas sim da própria indústria de anti-vírus. O fato é que o modelo de proteção utilizado pelos anti-vírus é um modelo fadado ao insucesso. O que ocorre agora, uma evolução tão rápida dos malwares que inviabiliza os software de decteção por assinatura, aconteceria mais cedo ou mais tarde.

UPDATE: Além dos Bots, os Rootkits não são problema de antivírus!

UPDATE2: Segundo a McAfee, a comunidade Open Source também encoraja os Rootkits!

segunda-feira, julho 17, 2006

 

Zidane phishing

Estes phishers são realmente criativos.

Websense® - Security Labs Alert: World Cup Final Trojan Horse

domingo, julho 16, 2006

 

Palestra sobre Análise de Risco

Realizei ontem uma palestra para o grupo de estudo da lista CISSP-DF.

Marcadores:


sexta-feira, julho 14, 2006

 

Com NÃO recuperar um laptop roubado

Pelo artigo sobre Jasper Rine na Wikipedia, sua tática não foi bem sucedida:

Rine gave a deadline to return the computer warning that the student's academic career was over and that, "I'm the only hope you've got of staying out of deeper trouble than you or any other student that I have ever known has ever been in." Later the university press office admitted that Rine's threats were "exaggerated." The deadline passed without the return of the computer or the purported stolen data.

quinta-feira, julho 13, 2006

 

Diadem Firewall

Se tem uma ameaça eletrônica que realmente temo é a ameaça causada pelos Botnets, principalmente quando utilizados para DDoS. Um grupo de acadêmicos europeus financiados por empresas de telecom está desenvolvendo o Diadem Firewall, que busca entre outras coisas uma forma de proteção contra DDoS. Torço para que a proteção seja efetiva, mas tenho minhas dúvidas. O site tem uma série de papers sobre a tecnologia, vou estudá-los antes de emitir mais opiniões.

quarta-feira, julho 12, 2006

 

A ABNT tem o direito autoral sobre as NBRs?

Não tem, segundo uma decisão judicial recente. Uma interessante matéria do Consultor Jurídico reporta que:
No último dia 9 de maio, o juiz Maurício Sato, da 21ª Vara Federal de São Paulo, concedeu tutela assecuratória de direitos contra a ABNT — Associação Brasileira de Normas Técnicas a favor da empresa Target Engenharia e Consultoria, uma das maiores empresas de tecnologia da informação da América do Sul.
Os articulistas da matéria citam a lei 9.610 que rege o direito autoral no artigo 8º inciso I, onde está dito:
Art. 8º Não são objeto de proteção como direitos autorais de que trata esta Lei: I - as idéias, procedimentos normativos, sistemas, métodos, projetos ou conceitos matemáticos como tais;
Numa análise leiga da lei, eu diria que as NBRs não poderiam ser protegidas pelo direito autoral. O legislador provavelmente colocou esta limitação do direito autoral para beneficiar o bem comum em detrimento ao bem individual. Uma consequência provável do domínio público é a disseminação e popularização das normas da ABNT. Por outro lado, eu tenho duas preocupações:

segunda-feira, julho 10, 2006

 

Quote of the year

You are better off running as non-admin WITHOUT anti-virus than you are running as admin WITH anti-virus.
Aaron Margosis

quinta-feira, julho 06, 2006

 

O direito de monitorar

Mais uma decisão da Justiça legitima o direito do empregador em controlar o correio eletrônico fornecido a seus empregados. Contudo, vale a resalva do ministro João Oreste Dalazen:
O ministro João Oreste Dalazen concluiu que o empregador pode exercer, “de forma moderada, generalizada e impessoal”, o controle sobre as mensagens enviadas e recebidas, com a finalidade de evitar abusos.
A lição que devemos tomar é que o direito de monitorar, derivado do direito a propriedade, não é absoluto.

terça-feira, julho 04, 2006

 

Linha Defensiva

Augusto Paes de Barros levantou a bola. Espero que ele perdoe o plágio da notícia, mas vale reforçar a divulgação deste excelente site de segurança direcionado ao usuário comum. http://linhadefensiva.uol.com.br/

segunda-feira, julho 03, 2006

 

GMail sob SSL

Essa dica é muito boa. É possivel utilizar a sessão SSL em toda a conversação do Gmail e não apenas no login. Basta colocar "https" na URL do Gmail, ficando:
 

Eventos de InfoSec

Transcrevi os eventos de infosec para o Google Calendar: Fontes:

Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]