Estão disponíveis no site da IV Seginfo - Workshop de Segurança da Informação, os slides das apresentações do evento.

Foram excelentes apresentações, bem articuladas, relevantes ao mercado e ao estudo de Segurança da Informação, tais como Gestão de Riscos, Análise Forense, Direito Digital e Teste de Invasão

Para quem perdeu o evento ou simplesmente quer relembrar as palestras, vale a pena entrar no site e dar uma conferida.

http://www.seginfo.com.br/palestras/index.php

O Dia Internacional de Segurança em Informática (DISI) é um evento comemorado no mundo inteiro desde 1988, ano em que foi realizado o CSD (Computer Security Day). O objetivo é educar e conscientizar os usuários sobre segurança na Internet e em outros ambientes informatizados.

Neste ano, o DISI acontecerá em 2 de dezembro de 2009 na Universidade Federal da Bahia (segundo ano consecutivo). O tema deste ano é Redes Sociais.

A submissão de trabalhos já está aberta e deve ser feita até 7 de setembro de 2009, por meio da página: http://papers.cais.rnp.br

Nela você encontrará todas as informações sobre a submissão de trabalhos, como datas importantes, formato de envio, formulário de submissão, entre outro dados. Vale salientar que a organização custeará as despesas de transporte, hospedagem e alimentação dos palestrantes selecionados.

Participe.

Durante a conferência de segurança DEFCON 17 a equipe "Sapheads" participou de uma competição conhecida como CTF (Capture the Flag) e resolveu inovar.

Durante a competição os participantes deveriam extrair uma chave criptográfica de um arquivo executável chamado B300.exe.

A inovação foi no fato da equipe ter desenhado o seu relatório final e publicado o quadrinhos. O conteúdo da história apresenta as técnicas e ferramentas envolvidas no processo de engenharia reversa utilizado durante o envento.

Bem curioso e divertido.

Abaixo segue o link:
http://hackerschool.org/DefconCTF/17/B300.html

São 04:00 da madrugada e estou cá trabalhando na proteção(Hardening) de servidores, que necessitam estar prontos até amanhã para entrar em produção e em paralelo monitorando o comportamento de um servidor Web que anda sofrendo constantes ataques de DoS.

Além de realizar toda a preparação do ambiente, implementei algumas técnicas de IPS, Port Knocking, Firewall, Monitoramento, para garantir o máximo de segurança, sem que para isso tenha perda de flexibilidade para manuseio dos programadores.

Neste momento estou rodando alguns programas de auditoria para verificar se ainda tem algumas brechas e realizas os ajustes finos.

É extremamente necessário realizar todos os procedimentos de segurança de um servidor ou de uma infraestrutura antes que a mesma entre em produção. Avaliar as ameaças, mitigar os riscos, implementar ações corretivas, são passos essenciais para garantir a disponibilidade e o futuro do projeto.

Todos sabemos que é impossível garantir 100% de segurança, porém com algumas ferramentas podemos realizar o monitoramento ostensivo do comportamento e desempenho do projeto, estando sempre um passo a frente de quem deseja burlá-lo.

Este trabalho porém exige muito e não possui uma receita de bolo específica, pois cada servidor, cada infraestrutura possui as suas necessidades e peculiaridades. Entrentanto é sempre bom que se tenha um checklist de segurança bem elaborado, de forma genérica, com cada passo que deve ser seguido, incluindo se possível ferramentas e comandos a serem executados.

Em relação a resposta de incidentes, precisamos ter o conhecimento necessário e documentação de gerenciamento para que tudo seja realizado de maneira transparente aos usuários, mas que possa trazer resultados na identificação do ataque e na garantia de prevenção futura.

Como Analistas de Segurança, temos que ser rápidos e precisos. Temos que estar atentos, procurando cada brecha, cada possível falha, para que possamos corrigí-las antes de que sejam exploradas.

Assim como os samurais, não podemos demonstrar medo ou covardia diante de qualquer situação. Seja diante de um ataque de DoS ou SQL Injection ou diante de uma Implementação mal feita com erros que não geram logs.

Temos nosso código de honra, mesmo conhecendo as técnias inimigas, optamos por proteger o bem mais valioso de uma organização, a Informação. Somos guerreiros nobres, prezamos a honra, a integridade, a confidencialidade e disponibilidade. Estamos sempre prontos para servir, com lealdade e empenho. Seja de madrugada, final de semana ou feriado.

Pois nesta Arte da Guerra, "se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória, sofrerá uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas..." - Sun Tzu

Nós somos os verdadeiros samurais.

A empresa AVG Technologies lançou, nesta quarta-feira (12/8), um antivírus gratuito em português voltado a pequenas empresas, o "AVG Antivírus Free: Small Business Edition (SB Free)". A estratégia da AVG é atrair empresários e tem como objetivo ser a solução de segurança de pequenas empresas que não possuem recursos suficiente para pagar um antivírus corporativo.

O antivírus da AVG usa a tecnologia LinkScanner, que protege os usuários contra ameaças online, além de vírus e programas espiões.

Para maiores informações, assim como realizar o download do AVG Antivírus Free: Small Business Edition, acesse o link:
http://free.avg.com/br-pt.small-business-free-detalhes

Seguindo as tradições, a Microsoft disponibilizou hoje (segunda terça-feira do mês) seu boletim de segurança mensal.O pacote traz 9 correções de segurança, sendo 5 consideradas "críticas". Além de eliminarem brechas no próprio Windows, també serão eliminadas brechas no Microsoft Office, no “Client for Mac”, no Microsoft ISA Server e no Microsoft Visual Studio .NET 2003.

Os resumos destes novos boletins estão disponíveis em:
http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx

É recomendada a utilização do recurso de atualizações automáticas. Se estiver configurado, você deverá receber um aviso de que as atualizações estão sendo baixadas ou um pedido de confirmação para baixá-las e/ou instalá-las. A instalação das atualizações são extremamente importantes para impedir que pessoas com mal intencionadas possam se aproveitar de erros nos programas para infectar seu computador.

Também é recomendado utilizar algumas ferramentas para garantir uma maior integridade de seu sistema Windows, tais como:

• Microsoft Windows Malicious Software Removal Tool


• Microsoft Security Essentials


• Microsoft Baseline Security Analizer

O blog iceBreaker está disponibilizando a partir de hoje, com apoio do The Hackerbuster - Segurança da Informação, mais um eBook para download gratuito, essencial para os usuários do Blogspot.

O eBook Blogger Seguro é uma compilação de diversos tutoriais publicados no iceBreaker, focados na proteção do capital intelectual dos usuários do Blogger e reunidos num só arquivo PDF para você baixar ter sempre a mão.

Algumas técnicas abordadas neste eBook, são:

• Proteção contra plágio;


• Licenciamento de conteúdo via Creative Commons;


• Bloqueios contra cópias não autorizadas;


• Prevenção contra invasões e roubo de identidade virtual;


• Backup e restauração de templates e posts;

Veja o vídeo promocional de lançamento do eBook Blogger Seguro:



Link para download do ebook:
http://sites.google.com/site/icebreakerebooks/downloads/blogger_seguro.pdf

Estão participando do lançamento do Blogger Seguro, os seguintes blogs: UsuárioCompulsivo, 365 dias, ENE – Eu Nós Eles, ZiunaNet, Plugado, Amt Online, Blog do Loko, JC Digital, Virtual Z1, InfoDrama, O Melhor e Pior, Pandongo, Códigos Blog, Pixel White, Blog do Dan, ALLgoritmos, Filhos da Web, Usuário Black Power, Internet Ativa, Fabrizio Malta – Diário de Bordo, NaSorte Promoções, Marynet, Amostra Grátis, Aero Gamer, Blog de Tarô, Egopidemia, Lavanderia Virtual, Infinito Positivo, Grãos de Areia pelo Infinito, PopNutri, Grupo NGJ, Sai Azar, Além das Curvas, O Bob ta Ocupado, Joserilde Júnior, Blog do Zé Marcos, Marketing Digital, Uhu! Galera!…, Ponto.Caos, Blog do Xavier, Intelectualmente™, Portal Meira, BlogIdéias, SequelaNet, Made in Brasilis, GlobGoo, Blogger na Web, Worms Web Group, Gerenciando Blog, Blog do Lausi, Advanced Unit, I/O Tecnologia, Blog EJM, The Hackerbuster, Luz de Luma, Árvore Dourada, Blog do Bauru, Nintendo Blast e Crazyseawolf's Blog

Estão disponíveis no site da Black Hat 2009, todo o material sobre os trabalhos apresentados durante o evento.

Uma apresentação bem legal é a "Anti-Forensics: The Rootkit Connection", feita por Bill Blunden. Neste paper são demonstradas técnicas detalhadas sobre:

• Destruição de Dados (File scrubbing, Meta-data wiping, File System Attacks);


• Ocultação de Dados (In-Band, Out-of-Band, and Application Layer Concealment);


• Corrupção de Dados (Compression, Encryption, Code Morphing, Direct Edits);


• Fabricação de Dados (Introduce known files, String decoration, False audit trails); 


• Eliminação da Fonte de Dados (Data Contraception, In-Memory DLL Injection)

Rafael, mais trabalho para você nesta fase de ajuste final do material do curso "Análise Forense Computacional"...heheheh :) !!!
Quem vai sair ganhando são os alunos que terão um material excelente e atualizdo sobre as principais técnicas de coleta e exame de evidências digitais, reconstrução de dados e ataques, identificação e rastreamento de invasores.

Irei continuar assistindo outras apresentações e postanto aqui as mais interessantes.
No site ainda devem ser disponibilizados video e áudio do evento.

O Tenable’s Research Group lançou recentemente 3 novos plugins(betas), todos eles para o assinantes do ProfessinalFedd, que automatizam o processo de prepração de uma auditoria do PCI-DSS. Os 3 novos plugins disponíveis são:

• PCI DSS compliance: tests requirements


• PCI DSS compliance: passed


• PCI DSS compliance
  
  

Estes plugin avaliam os resultados de suas varreduras e da atual configuração de seus varredores para determinar se o Servidor alvo pode ser compatível com o PCI-DSS ou não.

Um sistema só será confirmado como sendo aparentemente compatível com o PCI-DSS, se os resultados da varredura forem positivos. O PCI-DSS exige muitos tipos diferentes de análise minuciosa, então é recomendado que todas as opções deste novos plugins sejam habilitadas.

Para quem não conhece, o PCI-DSS (Payment Card Industry – Data Security Standard) é o padrão internacional definido pelas principais operadoras de cartão de crédito para assegurar níveis aceitáveis de segurança aplicados às rotinas de processamento, armazenamento e gerenciamento dos dados transacionais de cartões de crédito.

O PCI-DSS possui 12 requerimentos, são eles:

• Instalar e manter um firewall para proteger dados de cartão de crédito.


• Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados.


• Proteger dados de cartões de crédito armazenados.


• Utilizar criptografia na transmissão de dados de cartões de crédito, manter um programa de Gerenciamento de Vulnerabilidades.


• Utilizar regularmente programas anti-vírus.


• Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso.


• Restringir acesso a dados de cartões de crédito por negócio e por pessoas que realmente precisam acessá-los.


• Designar um único ID para cada usuário da rede e sistemas.


• Restringir acesso físico aos dados de cartão de crédito, testar e monitorar a rede regularmente.


• Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.


• Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidades.


• Manter uma política que enderece informações de segurança.

É uma pena o Nessus não ser mais GPL, restringindo seus usuários "livres" a terem acesso somente aos HomeFeeds. Agora é esperar que o OpenVAS, Fork do Nessus 2, também desenvolva e disponibilize este plugin. Entrentano, OpenVas é assunto para um outro post. :) !!!

Para maiores informações sobre os plugins do nessus, acesse:
http://blog.tenablesecurity.com/2008/10/pci-dss-plugins.html

Para maiores informações sobre a PCI-DSS, acesse:
https://www.pcisecuritystandards.org/

via infoplantão


A equipe do Twitter afirmou que o site foi vítima de um ataque de negação de serviço, também conhecido como DDoS.

Na página de status do microblog, os funcionários publicaram uma linha de informação dizendo que as causas da queda do site estavam processo de apuração. Após uma hora sem notícias, um update avisou que o serviço sofreu o ataque.

O blog oficial da ferramenta chegou a ser identificado como ameaça pelo Google. O site de busca bloqueou o endereço por alguns minutos com uma mensagem alegando que a pesquisa foi gerada a partir de pedidos enviados por malware.

O objetivo de um DDoS é interromper a comunicação entre o website e seus visitantes. O ataque geralmente sobrecarrega o sistema deixando-o sem recursos. Isso faz com que o serviço saia do ar.

Update: O microblog caiu por volta das 10h20, horário de Brasília, e ainda não voltou, apesar da mensagem postada no blog oficial avisando que o site já está no ar novamente.
--

Muitas pessoa já andam reclamando que a Infra-estrutura do Twitter não comporta a capacidade de usuários e recursos que possui. O serviço de microblog possui quedas constantes do serviço, carregamento demorado e lotação de usuário [Um verdadeiro DoS].

Não posso afirmar que o Twitter é uma moda passageira que está chegando ao final, (Bill Gates não disse que a internet era uma moda passageira ? E está ai até hoje passando), porém devido a sua irregularidade muitos usuários já andam migrando para outros serviços. Uns meses atrás o Twitter teve uma interrupção de mais ou menos uma hora, que foi divulgado como uma manutenção programada.

Eu que possuo e uso raramente o twitter (assino e leio os RSS's), vejo a ferramenta apenas como um meio de comunicação e divulgação deste blog. Imaginei até que o Google compraria o serviço, pois o gigante de buscas compra tudo que é viral na internet. Porém, vamos esperar por novidades sobre este ataque e a resposta da equipe do Twitter, assim como da comunidade.

Pessoal, estou aqui hoje para anunciar o novo curso da Clavis Segurança da Informação, que acontecerá nos dias 15, 22 de 29 de agosto de 2009 na cidade do Rio de Janeiro e será ministrado por este que vos fala, que é o curso "Proteção de Perímetro II".

O Curso de “Proteção de Perímetro II” visa aprofundar ainda mais os conhecimentos adquiridos no curso “Proteção de Perímetro I”, com o objetivo de proteger a sua informação de forma proativa, não apenas dificultando ao máximo atividades não-autorizadas na rede como também identificando e registrando quaisquer ocorrências que violem uma política de uso aceitável. São abordadas de formas mais profundas técnicas como Sistemas de Detecção de Intrusão ( Preprocessadores, Decodificadores e snort-inline) e Sistemas de Monitoramento (Otimização, Performance e Addons). Além disso serão introduzidos novos assuntos, como Proteção de Redes Sem Fio e Política de Segurança.

Trabalhei, junto com uma equipe de analistas da Clavis, fortemente no desenvolvimento e aperfeiçoamento deste curso. E posso afirmar que o material (em fase de ajustes finais) está bem didático, bem elaborado e com comentários que irão acrescentar muito na evolução dos alunos. Coletamos diversos cenários e estudos de caso para realização de testes com IPS, tanta na core do snort (com snort inline), quanto na integração do mesmo com o OSSEC e com SnortSAM. Além disso, estamos trabalhando no hand's-on de autenticação no firewall e aplicação do Layer7, assim como na otimização e demonstrações de uitlização do Nagios integrado com plugins e addons. Tudo para tornar a aula mais dinâmica.

Durante todo o curso teremos sempre um analista da Clavis, muito bem preparado, auxiliando todos os alunos, tirando dúvidas, tudo para que o curso se desenvolva perfeitamente e que todos os alunos entendam e absorvam os conhecimentos passados em sala de aula.

No último dia o curso, contaremos com a participação especial do Rafael Soares Ferreira, que irá instruir os alunos na parte de "Proteção de Redes Sem Fio". O Rafael é o instrutor oficial do curso de "Segurança em redes Sem Fio" da Clavis e foi convidado por mim para dar mais interatividade ao curso.

“Proteção de Perímetro II“ é ideal para profissionais que queiram implementar controles precisos de segurança em seu ambiente de TI e aprofundar seus conhecimentos técnicos em Segurança da Informação. O Curso oferece a oportunidade de não apenas conhecer detalhes técnicos das soluções, como também retornar à organização com experiência suficiente para começar a aplicar tudo que foi aprendido imediatamente.

Bom espero encontrar vocês lá.

Para mais informações sobre o curso:
Site:http://www.clavis.com.br/curso/protecao_de_perimetro_2/index.php
Telefone: +55 (21) 2561-0867
Formulário de Contato: http://www.clavis.com.br/contato.php

Para aqueles que estão um tanto cansados de analisar os alertas gerados pelo snort através do arquivo de log, ou de lhe dar com alguns front-ends sem recursos e com pouca funcionalidade, apresento para vocês o Snorby.

O Snorby é um moderno front-end para o Snort, com base em simplicidade, funcionalidade e gerenciamento. O objetivo do projeto é criar uma fonte livre, aberta e altamente competitiva de monitoramento de alertas de detecção de intrusão, tanto para uso pessoal, quanto empresas.

Ele possui gráficos de severidade para cada alerta, chamado para tratamento de incidentes, links de cve e sid do snort, ele tambéms separa e classifica os alertas de acordo com o seu tipo. Bem elegante e funcional.

O Snorby ainda está em sua versão Beta e sua instalação ainda é uma missão trabalhosa. Porém os seus criadores aconselham a utilizar o Google grupos de apoio do projeto, relatando bugs sempre que encontrar.

Site do projeto: http://www.snorby.org
Site Oficial do Snort: http://www.snort.org
Grupo de usuários do snorby: http://groups.google.com/group/snorby