domingo, dezembro 12, 2010

Impacto das Redes Sociais na Segurança da Informação

Apresentação realizada no evento ISSA Day Regional – Porto Alegre em 08 de dezembro de 2010 - http://www.issabrasil.org/2010/12/04/issa-day-regional-porto-alegre

Implementando o OSSEC HIDS

Tutorial realizado no GTS 16 em 25 de novembro de 2010. Em breve o vídeo será disponibilizado.


http://gter.nic.br/reunioes/gter-30/programa


quarta-feira, novembro 03, 2010

Tutorial de OSSEC no GTER/GTS em São Leopoldo




Irá ocorrer nos dias 25, 26 e 27 de novembro de 2010 o GTER - Grupo de Trabalho de Engenharia e Operação de Redes - 30ª Reunião e o GTS - Grupo de Trabalho em Segurança de Redes - 16ª Reunião, na Unisinos em São Leopoldo. O evento é gratuito e as inscrições estão abertas e podem ser feitas pelo site http://gter.nic.br/reunioes/gter-30/

Estarei ministrando no primeiro dia um tutorial de 8 horas sobre Implantação do OSSEC HIDS. Abaixo segue a programação do tutorial:

Descrição:
Esse curso tem por objetivo apresentar de forma prática a implantação e uso do HIDS (Host-based intrusion detection system) de código aberto OSSEC - http://www.ossec.net - criado pelo brasileiro Daniel Cid e muito utilizado para monitoramento de servidores.


Sumário:

- Introdução
- Arquitetura
- Análise de logs
- Monitoramento de integridade
- Detecção de rootkits
- Auditoria de políticas
- Alertas
- Active Response
- Instalação de servidor e agentes
- Configuração
- Arquivos de regras
- Personalização de regras: falso positivos e negativos
- Monitoramento e alertas



Abaixo a programção dos demais dias do evento:

25/11/2010 - Tutoriais
08:00 - 17:00 Implementando o OSSEC HIDS
Jerônimo Zucco - Universidade de Caxias do Sul
08:00 - 17:00 BGP para provedores de serviço


26/11/2010 - GTER 30

08:00 - 08:50 Recepção
08:50 - 09:00 Abertura

09:00 - 09:20 De onde vem o spam? Seis meses de funcionamento de um 'spamtrap'
Danton Nunes - Internexo

09:20 - 10:00 Boas práticas para peering no PTTMetro
Luís Balbinot - Commcorp Telecom

10:00 - 10:30 DNSSEC - Provisionamento e reassinatura automática usando BIND
David Robert Camargo de Campos e Wilson Rogério Lopes - Nic.br

10:30 - 11:00 Coffee Break

11:00 - 11:30 Relato da entrada do servidor DNS raiz "I" em Porto Alegre
Leandro Bertholdo e Liane Tarouco - UFRGS

11:30 - 12:30 DNS Root Signing HowTo, Lessons Learned, and Future Impact
Richard Lamb - ICANN

12:30 - 14:00 Almoço

14:00 - 14:50 Ferramentas para coexistência e transição IPv4 e IPv6
Antonio M. Moreiras - Nic.br

14:50 - 15:10 ASN 32bits - Seu uso na Internet BR
Ricardo Patara - Nic.br

15:10 - 15:40 Coffee Break

15:40 - 16:00 IPv6 - Análise sobre seu uso na Internet BR
Ricardo Patara - Nic.br

16:00 - 16:30 IPv6 sobre Redes Metropolitanas. Estudo de Caso: MetroPoa
Cesar Loureiro, Leandro Bertholdo e Liane Tarouco - UFRGS

16:30 - 17:30 BIND 10 - The architecture of the next generation DNS server
Shane Kerr - ISC


27/11/2010 - GTS 16
08:00 - 08:50 Recepção
08:50 - 09:00 Abertura

09:00 - 09:40 Secure Application Development for the Enterprise : Practical,
Real-world Tips
Luiz Gustavo Cunha Barbato, Mauricio Westendorff Pegoraro e
Rafael Dreher - Dell

09:40 - 10:20 Coleta, Identificação e Extração de Dados (Data Carving)
em Mídias e em Redes
Ricardo Kléber Martins Galvão - IFRN

10:20 - 10:50 Coffee Break

10:50 - 11:30 Apresentação convidada (a definir)

11:30 - 12:10 Resposta a incidentes: Diagnosticos equivocados e finais felizes
Nelson Murilo - DTE

12:10 - 14:00 Almoço

14:00 - 14:40 Usando visualização para documentação rápida de incidentes
de segurança
Gabriel Dieterich Cavalcante e Paulo Lício de Geus - IC/UNICAMP

14:40 - 15:20 Análise Comportamental de Malware
André Grégio, Dario Fernandes, Vitor Afonso e
Paulo Lício de Geus - CTI/MCT e UNICAMP

15:20 - 15:50 Coffee Break

15:50 - 16:30 Estudos de Caso
Reinaldo de Medeiros - Entropia Security

16:30 - 17:10 Segurança em Passaportes Eletrônicos
Ivo de Carvalho Peixinho - Polícia Federal

17:10 - 17:20 Encerramento


Estarei participando do evento nos dias 25 e 26, pois no dia 27 estarei indo à São Paulo participar da Sétima Edição da Hackers to Hackers Conference - H2HC. Pena que não vou conseguir participar do GTS, que também vai ser muito bom.

Nos encontramos lá.

quarta-feira, outubro 27, 2010

Três alternativas para se proteger do Firesheep


Alternativa 1: Utilizar o plugin NoScript no Firefox e configurar:

NoScript->Options->Advanced->HTTPS

Force the following sites to use secure (HTTPS) connections:
twitter.com
*.twitter.com
google.com
*.google.com
facebook.com
*.facebook.com




Alternativa 2: Instalar o plugin HTTPS Everywhere no Firefox;




Alternartiva 3: Não usar twitter, facebook, gmail e qualquer serviço que não utilize sempre canal seguro para comunicação em redes públicas, ou sempre verificar se o seu acesso é sempre via https ou através de VPN.


Apresentação sobre o Firesheep realizada na Toorcon aqui.

O ataque do Firesheep não é novidade, apenas facilitou com poucos cliques o que já era possível fazer a mão e escancarou o problema. E o Firesheep também não é único, também existe a ferramenta Idiocy, feita em python.



Para os desenvolvedores Web:

- Todos os cookies das aplicações devem estar com a flag "Secure" especificada.

- Outro cuidado é também especificar a flag "HTTPOnly" nos cookies, para evitar ataques do tipo XSS (cross-site scripting).

Para maiores referências, verifiquem a página da OWASP: http://www.owasp.org/index.php/Testing_for_cookies_attributes_%28OWASP-SM-002%29

quinta-feira, outubro 21, 2010

quinta-feira, setembro 30, 2010

Evento sobre Crimes Cibernéticos em Rio Grande

Para quem é da região sul do RS, por favor ajudem a divulgar. O evento ocorrerá dia 14 de outubro, e é gratuito.

O evento em Rio Grande será promovido pela Superintendência Estadual Rio Grande do Sul da ABIN e pelo Comando do 5º Distrito Naval. É a primeira vez que ocorre um evento desse tipo à Metade Sul do estado. É aberto ao público em geral e tem inscrição gratuita, a ser feita previamente conforme explicado na programação do evento na figura abaixo:

quarta-feira, setembro 29, 2010

RSS feed dos Blogs Brasileiros sobre Segurança da Informação

Todos já devem conhecer a lista de Blogs sobre Segurança da Informação criada pelo Sandro Suffert.

Baseado nessa lista, eu criei um feed RSS no Google Reader com a reunião de todos os blogs e sites. Caso tenha interesse em assinar o feed, use a seguinte url:
http://www.google.com/reader/bundle/user%2F13736961360220030633%2Fbundle%2FBlogs%20de%20Seguran%C3%A7a%20Brasileiros


Tentarei sempre deixar o feed sincronizado com a lista do Suffert, que está em constante atualização. Caso encontre algum problema ou sugestão, por favor me avise.

O ideal seria criar um planeta, como o do Security Bloggers Network, se alguém disponibilizar infraestrutura para hospedagem, pode ser criado um.

Boa leitura!

*UPDATE* : Criei mais um feed somente com os blogs de segurança de Portugal. Você pode assiná-lo aqui:

http://www.google.com/reader/bundle/user%2F13736961360220030633%2Fbundle%2FBlogs%20de%20Seguran%C3%A7a%20Portugueses

terça-feira, agosto 24, 2010

Ciclo de Palestras da Agência Brasileira de Inteligência – ABIN Os Crimes Cibernéticos e a Proteção do Conhecimento Sensível




Dia 16 de setembro de 2010, quinta-feira


8h30min Recepção dos Convidados

9horas Abertura

9h10min A Proteção do Conhecimento Sensível - Eduardo Arthur Izycki, Agência Brasileira de Inteligência (Abin)

10 horas Coffe-Break

10h15min Investigação dos Crimes Praticados em Ambiente Virtual Emerson Wendt, DRCI/Polícia Civil do Rio Grande do Sul

11h15min Introdução a uso da Criptografia na Internet – César Bernado Agência Brasileira de Inteligência (Abin)

12horas Intervalo Almoço

14horas Segurança da Informação – Aspectos Culturais - Thiago Berto, PBI - Segurança da Informação.

14h50min Um panorama atual dos Ataques via Internet – Maria de Fátima Webber do Prado Lima e Jerônimo Zucco – Universidade de Caxias do Sul (UCS).

15h45min Coffee break

16h Segurança em Redes Sociais – Robertson Frizero Barros Agência Brasileira de Inteligência (Abin)


17h Debate: Crimes Cibernéticos e Proteção do Conhecimento Sensível
Abin / DRCI/ PBI / UCS

17h45min Encerramento




Ministrantes:
- Eduardo Arthur Izycki : Oficial de Inteligência da Agência Brasileira de Inteligência, lotado na sede do órgão em Brasília, atuando na Coordenação-Geral de Proteção do Conhecimento Sensível

- Emerson Wendt: Delegado de Polícia Civil do Rio Grande do Sul, Titular da Delegacia de Repressão aos Crimes Informáticos do Departamento Estadual de Investigações Criminais da Polícia Civil do RS. Professor dos cursos de Inteligência de Segurança Pública da Secretaria Nacional de Segurança Pública. Coordenador e Professor da disciplina de Inteligência Policial da Academia de Polícia Civil do RS.

- César Luiz Bernardo: Oficial de Inteligência atuando na área de Contra-Inteligência, no Programa Nacional de Proteção do Conhecimento Sensível (PNPC), na Superintendência Estadual do Mato Grosso do Sul

- Thiago Berto: Sócio-fundador e diretor de Negócios da PBI - Segurança da Informação, possuindo mais de 11 anos de experiência na área e ainda algumas das mais importantes certificações no segmento de TI, tais como Microsoft Certified Systems Engineer, Red Hat Certified Engineer e Certificação ITIL Foundations.

- Maria de Fátima Webber do Prado Lima - doutora em Informática na Educação, mestre em Ciência da Computação na área de redes de computadores. Professora e pesquisadora da UCS. Possui atuação na área de redes de computadores onde ministra disciplinas na graduação e no pós-graduação. Atuou como coordenadora da rede da UCS durante 9 anos.

Jerônimo Zucco: é certificado CISSP (Certified Information Systems Security Professional), Bacharel em Ciência da Computação e Pós-Graduado em Gerência e Segurança de Redes de Computadores. Atua na área de segurança de sistemas a 10 anos e trabalha no Núcleo de Processamento de Dados da UCS.

- Robertson Frizero Barros - Oficial de Inteligência atuando na área de Contra-Inteligência, no Programa Nacional de Proteção do Conhecimento Sensível (PNPC), na Superintendência Estadual do Rio Grande do Sul. Formado em Ciências Navais pela Escola Naval, foi Oficial do Corpo de Intendentes da Marinha.

Informações Gerais e Inscrições:
Local: Sala Florense – Bloco M – Cidade Universitária
Público: alunos, professores, funcionários e empresas parceiras da UCS.
Valor: Gratuito
Inscrições no site da UCS no link http://www.ucs.br/ucs/eventos/ciclo_palestras_agencia_brasileira_inteligencia_abin/apresentacao
Informações pelo e-mail: andresa.colloda@ucs.br.

Organização: Coordenadoria de Inovação, Desenvolvimento e Extensão
Escritório de Transferência de Tecnologia – ETT (sala 301, bloco A)
Andresa Colloda – andresa.colloda@ucs.br ((54) 3218.2148 ou ramal 2148)
Andréa Venturini Pavan – avpavan@ucs.br
Agência Brasileira de Inteligência -Abin
Obs.: O Ciclo de Palestras da Agência Brasileira de Inteligência (ABIN), tratando do tema "Os  Crimes Cibérneticos e a Proteção do Conhecimento Sensível" está inserida na Semana Acadêmica do Centro de Computação e Tecnologia da Informação - CCTI. A programação completa da Semana Acadêmica está no site da UCS: http://www.ucs.br/portais/ccti/eventos/

segunda-feira, agosto 16, 2010

Revista Stay Safe - Segunda Edição



Saiu a segunda edição da revista de segurança brasileira Stay Safe. Tive o prazer de ter um artigo meu sobre sVirt publicado nessa edição. Segue abaixo o índice de artigos:


- sVirt: Aumentando a Segurança na Virtualização - por Jerônimo Zucco

- Coluna: Snort Rules - por Rodrigo Montoro

- Segurança no Desenvolvimento de Software - por Renato Salatiel

- Lixo Eletrônico - por Gilberto Sudré

- Selecionadas Stay Safe - por Tony Rodrigues

- Análise de Sessão com Afterflow - por Michel Barbosa

- SET: Social Engineering Toolkit - por Mauro Risonho de Paula

- Coluna Direito Digital - por Roney Médice

- Construindo o futuro: Murphy - por Glaysson dos Santos Tomaz


Baixe a edição através desse link: Revista Stay Safe – 08/2010

sábado, agosto 07, 2010

Palestra de Wietse Venema no FISL 11

Finalmente consegui tempo para postar sobre o FISL 11. Essa edição contou com a presença de Wietse Venema, que veio falar, é claro, sobre Postfix, um dos mais utilizados servidores de e-mail do mundo.




Algumas anotações que fiz durante a palestra:

- Security is hard
- Buggy programs still works
- Plan for failure (less impact in case of failure)
- Errors from others is a oppotunity to learn
- Junk mail is war. RFC is no applyed in it
- Invent sparingly
1999 - Melissa ravages the internet
/ˆSubject:.*Important Message From/ REJECT

- It is never to late to do something right (after-queue content filter support in Postfix 2.6)
- Before-queue content inspection via SMTP: Respond to popular demand (Europe), despite performance limitation
- It's not spammer's who destroy e-mail - Wietse, postfix list, 2003
- 2005: Proliferation of authentication tecnologies - SPF, SenderID, DKIM, BATV, SRS, ADSP - Solution: adopt sendmail milter protocol (have to look in the sendmail source code to do it)
- In 2006, Postfix author receives the Sendmail Inovation Award because of his work in sendmail milter (funny, no?)
- Putting more funcionality into fewer lines od code
- Postfix market share: ~ 8,6%



- "Zombies suck the life out of the mail server"
- RFC 5321 recommends 5 minutes server-side timeout. Result: all SMTP server ports are busy by zombies
- Postfix >= 2.3 logs äll server ports busy" warnings
- Work faster: spend less time (ex: 10 seconds)
- smtp_timeout, smtp_hard_error_limit, smtp -o stress=yes
- Persistent overload_before_smtpd connection filter (POSTSCREEN)
- Parallel "screening" of multiple connections
- Pregreet improved to catch zombies (zombies responds to fast)





E, como não podia faltar, uma foto junto com o Wietse: :-)

segunda-feira, julho 26, 2010

Chamada de trabalhos – OWASP AppSec Brasil 2010

Começou o Call for Papers do OWASP AppSec Brasil 2010, veja abaixo a reprodução da chamada em português.

APPSEC BRASIL 2010

CHAMADA DE TRABALHOS

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:

* Modelagem de ameaças em aplicações (Application Threat Modeling)
* Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
* Aplicações de Revisões de Código (Hands-on Source Code Review)
* Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
* Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
* Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
* Práticas de Programação Segura (Secure Coding Practices)
* Programas de Segurança para todo o Ciclo de Vida de aplicações
* (Secure Development Lifecycle Programs)
* Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
* Controles de Segurança para aplicações Web (Web Application Security countermeasures)
* Testes de Segurança de aplicações Web (Web Application Security Testing)
* Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010

Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.

Datas importantes:

* A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
* A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
* A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:

* Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
* OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
* Página do OWASP: http://www.owasp.org
* Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
* Formulário para apresentação de propostas: http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip

ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário

Favor divulgar a todos os possíveis interessados.

Post descaradamente copiado do Wagner Elias.

quarta-feira, julho 21, 2010

Back to Apple

É, não resisti. Depois de tanto me falarem bem, acabei adquirindo um MacBook Pro 2010.

Mas minha história com a Apple não é recente. Na verdade, o primeiro computador que usei era clone do Apple ][, e isso aconteceu em 1989. Imagine usar um computador que foi criado em 1977 somente doze anos depois no Brasil. Essa era a reserva de mercado de informática da época, com o pretexto de desenvolver a indústria nacional. Desenvolveu sim, a industria da pirataria e clones através de engenharia reversa, como foi o caso de TK3000.



Já bem mais tarde, em 2005, a Apple muda o seu sistema para rodar em plataformas Intel ao invés de plataformas PowerPC. E surgem os primeiros Hackintosh, que consistiam em guias para instalar (de forma não autorizada pela Apple) o MacOSX em PCs comuns, de acordo com alguns requisitos. Cheguei a testar isso em um Pentium 4 em 2005. Cinco anos depois, estou aqui de volta a Apple, usando o MacOS X Snow Leopard em um MacBook Pro. Mas porque, você pode perguntar.




Já reparava em alguns eventos, que muita gente estava utilizando Macs. Perguntei para alguns amigos também que atuam na área de segurança, e percebi que a MAIORIA estava usando Mac. As razões vão desde razões técnicas, até emocionais. Ou então razões elitistas, diriam alguns.

Na verdade eu não reparei esse fato sozinho. o Paul Graham também escreveu sobre isso, anos atrás:

"All the best hackers I know are gradually switching to Macs. My friend Robert said his whole research group at MIT recently bought themselves Powerbooks. These guys are not the graphic designers and grandmas who were buying Macs at Apple's low point in the mid 1990s. They're about as hardcore OS hackers as you can get.

The reason, of course, is OS X. Powerbooks are beautifully designed and run FreeBSD. What more do you need to know?˜"


Realmente o fato do Mac vir com o FreeBSD (na verdade o Darwin) te dá o poder de ter um desktop funcional, estável, bonito, seguro e confiável, e além de tudo, você pode instalar vários pacotes de código aberto utilizando o MacPorts ou o Fink, como se fosse um Unix (Linux) comum.

Que tal ter todo esse poder em um desktop que você não precisa mais se preocupar se a sua placa de vídeo tem driver nativo ou não? Ou se preocupar de na hora de ligar o notebook em um projetor, não ter que cumprir todo um ritual para configurar para que sua imagem seja projetada?

Sim, existe a questão moral do software livre. Eu ainda uso Linux. Virtualizado no meu desktop ou em servidores, onde não existem as preocupações citadas acima. E chega um momento que você quer simplesmente trabalhar na máquina, não ficar procurando receitas na internet para fazer funcionar algum dispositivo que não funciona bem em seu desktop. Eu ainda uso software livre. Apenas não tenho mais tempo ou motivação para fazer algumas coisas em meu desktop.

Se eu recomendo o Mac? Ainda é cedo pra dizer. Por enquanto a experiência está sendo boa, tudo é muito simples e existe uma infindade de softwares livres para a plataforma. Estou ainda aprendendo, e sempre aprendemos mais quando abrimos a cabeça para novas experiências.

quarta-feira, julho 14, 2010

Dilbert + Segurança

Coletânea das melhores tirinhas do Dilbert que abordam segurança da informação:

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

segunda-feira, julho 05, 2010

SELinux no FISL 11



Vão acontecer duas palestras sobre SELinux no Fórum Internacional de Software Livre 11 - FISL 11:


- Criando uma política no SELinux em 50 minutos - com Douglas Schilling Landgraf e Marcelo Moreira de Mello, ambos funcionários da Red Hat.
Resumo: SELinux para muitos administradores pode ser um assunto compplexo, se tornando sinônimo de preocupações e aborrecimentos. Por que não entender o funcionamento do SELinux e aproveitarmos todas as características de segurança que esse subsistema oferece?!?! Entenda como podemos criar uma política no SELinux de maneira prática e funcional e também estendê-la para as demais aplicações no sistema.


- SELinux: como tornar um servidor seguro - com Alex Sander de Oliveira Toledo.
Resumo: Este trabalho é resultado de pesquisa monográfica no ano de 2009. A proposta é demonstrar os sistemas de controle de acesso incorporados ao kernel do Linux e, também, o nível de gerenciamento das políticas de acesso do SELinux, as ferramentas para gerenciamento das políticas mandatórias do SELinux, bem como o nível de dificuldade de implementar o SELinux, através da identificação de fatores que dificultam a implantação de segurança em servidores e das melhores práticas metodológicas.

terça-feira, junho 29, 2010

Monografia sobre SELinux

Como o antigo site onde eu havia hospedado a minha monografia sobre SELinux está offline, resolvi disponibilizar a versão em PDF do mesmo. Foi minha monografia de conclusão da pós-graduação em Gerência e Segurança de Redes de Computadores. A monografia aborda o uso de SELinux para aumentar a segurança de servidores Linux:

Hardening Linux Usando Controle de Acesso Mandatório

Bom proveito !

segunda-feira, junho 21, 2010

Instalando o KeePassX no Linux



No caso de você não conhecer o que é o KeePassX, aqui vai uma breve descrição...

KeePassX é uma aplicação para pessoas com alta demanda em gerenciamento seguro de dados pessoais. Ele possui uma interface leve, é multi-plataforma e publicado sob os termos da GNU General Public License.


KeePassX salva muitas informações diferentes, como: usuários, senhas, urls, anexos e comentários em uma única base de dados. Para uma melhor gerência, títulos e ícones personalizados podem ser especificados para entrada. Além disso, as entradas podem ser classificadas em grupos, que também são personalizáveis. A função de busca integrada possibilita procurar em um único grupo ou em toda a base de dados.

KeePassX oferece um pequeno utilitário para geração de senhas seguras, O gerador de senhas é altamente personalizável, rápido e simples de usar. Pessoas que geram senhas frequentemente irão apreciar essa característica.

A base de dados é completamente criptografada com o algoritmo AES (conhecido como Rijndael) ou Twofish utilizando uma chave de 256 bits. Portanto, a informação salva pode ser considerada suficientemente segura. KeePassX utiliza um formato de base de dados que é compatível com KeePass Password Safe. Isso torna a utilização da aplicação ainda mais favorável.

Originalmente KeePassX era chamado KeePass/L para Linux uma vez que foi portado da aplicação windows KeePass Password Safe. Depois que KeePass/L se tornou uma aplicação multi-plataforma, o nome não era mais apropriado, e portanto o nome foi modificado para KeePassX em 22 de março de 2006.


Passo a passo para instalação do KeePassX em um Linux Fedora 13:

- Baixe o código fonte do KeePassX aqui;

- Instale as dependências para compilação do KeePassX:
# yum install autoconf automake libtool ntp gcc openssl-devel gcc-c++ make xorg-x11-proto-devel libXtst-devel

- Descompacte o código fonte em um diretório temporário:
# tar xvfz keepassx-0.4.3.tar.gz

- Dentro do diretório do código fonte, digite os comandos para compilação:
# qmake-qt4
# make
# make install


Pronto, está compilado e instalado, basta chamar o programa com o comando keepassx.



Nesse link, você poderá ver mais telas do KeePassX em ação. A interface é intuitiva, mas caso precise de ajuda, poderá verificar na ajuda do programa ou no site do KeePassX.

UPDATE: Esse meu guia era antigo, e agora o Fedora já inclui o KeePassX em seus repositórios oficiais e a instalação ficou ainda mais fácil, bastando dar o comando:
# yum install keepassx

Mas o guia continua válido se você utilizar alguma outra versão de Linux (ou BSD) e precisar compilar de seu código fonte.

quinta-feira, junho 17, 2010

Chamada por treinamentos - OWASP AppSec Brasil 2010





**APPSEC BRASIL 2010**
**CHAMADA DE MINI-CURSOS**

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar mini-cursos sobre segurança de aplicações. Destacamos os seguintes tópicos de interesse:
- Modelagem de ameaças em aplicações (Application Threat Modeling)
- Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
- Aplicações de Revisões de Código (Hands-on Source Code Review)
- Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
- Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
- Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
- Práticas de Programação Segura (Secure Coding Practices)
- Programas de Segurança para todo o Ciclo de Vida de aplicações (Secure Development Lifecycle Programs)
- Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
- Controles de Segurança para aplicações Web (Web Application Security countermeasures)
- Testes de Segurança de aplicações Web (Web Application Security Testing)
- Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip, que deve ser enviado por email para organizacao2010@appsecbrasil.org.

Cada mini-curso poderá ter 1 ou 2 dias (8 horas por dia) de duração e deverão estar em conformidade com as regras definidas pelo OWASP em seu "Speaker Agreement". A conferência pagará aos instrutores pelo menos 30% do fatuamente de seus mini-cursos. Cursos que consigam atrair mais que o número mínimo de alunos poderão receber percentagens maiores (mais detalhes abaixo). Não haverá qualquer outro tipo de remuneração (passagens, hospedagem, etc) para os apresentadores ou autores dos mini-cursos. Caso seja necessário um arranjo diferente, favor entrar em contacto com o comitê organizador pelo email abaixo.

**Remuneração**
Os instrutores e autores dos cursos serão remunerados conforme a quantidade de alunos. Se o curso atrair apenas o número mínimo de alunos, a remuneração será 30% do faturamento. Para cada 10 alunos a mais, a remuneração será acrescida de 5% do faturamento, até um máximo de 45% do faturamento do curso. Por exemplo, para um curso de 1 dia para uma turma de 10 a 19 alunos, os instrutores e autores receberão 30% do faturamento do curso. Para turmas entre 20 e 29 alunos, a remuneração sobe para 35% do faturamento e assim sucessivamente.

Em casos excepcionais, poderá ser acordado um esquema diferente para remuneração dos instrutores. Possíveis interessados devem entrar em contacto com a comissão organizadora pelo email organizacao2010@appsecbrasil.org

**Valores das inscrições**
Cursos de 1 dia: R$ 450 por aluno
Cursos de 2 días: R$ 900 por aluno

**Mínimo de alunos**
10 alunos para cursos de 1 dia
20 alunos para cursos de 2 dias

**Datas importantes:**
A data limite para apresentação de propostas é 26 de julho de 2010 às 23:59, horário de Brasília.
A notificação de aceitação ocorrerá até o dia 16 de agosto de 2010.
A versão final do material dos mini-cursos deverá ser enviada até o dia 15 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:
Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
Página do OWASP: http://www.owasp.org
Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
Formulário para apresentação de propostas: http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip

********* ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário *********

Favor divulgar a todos os possíveis interessados.

quarta-feira, junho 16, 2010

(IN)SECURE Magazine Issue 26 released

(IN)SECURE Magazine is a freely available digital security magazine
discussing some of the hottest information security topics.

Issue 26 has just been released. Download it from:
http://www.insecuremag.com

The covered topics include:

- PCI: Security's lowest common denominator
- Analyzing Flash-based RIA components and discovering vulnerabilities
- Logs: Can we finally tame the beast?
- Launch arbitrary code from Excel in a restricted environment
- Placing the burden on the bot
- Data breach risks and privacy compliance: The expanding role of the IT security professional
- Authenticating Linux users against Microsoft Active Directory
- Hacking under the radar
- Photos: Infosecurity Europe 2010
- Securing the office in your pocket
- iPhone backup, encryption and forensics
- The growing problem of cyber bullying
- Secure collaboration: Managing the inside threat posed by trusted outsiders
- SMS spamming
- A new scalable approach to data tokenization

quinta-feira, abril 15, 2010

Hardening Tomcat



Baseado na documentação da OWASP disponível em http://www.owasp.org/index.php/Securing_tomcat.

1 - Instalar a última versão do Java (JRE ou JDK) e do Tomcat;


2 - Remover as aplicações exemplo em webapps (ROOT, balancer, jsp-examples, servlet-examples, tomcat-docs, webdav, servlets-examples);

Ubuntu/Debian:
apt-get remove tomcat5.5-webapps



3 - Não rodar o servidor Tomcat como root. Criar um usuário e grupo específico para o serviço, e mudar a permissão de usuário e grupo do diretório CATALINA_HOME. O diretório CATALINA_HOME/conf deverá ter a permissão 400 e apenas o diretório CATALINA_HOME/logs deverá ter permissão de escrita para o usuário e grupo específico do serviço, além do /tmp;


4 - Desabilitar a exibição de arquivos, caso não exista o index. Editar o arquivo CATALINA_HOME/conf/web.xml :

<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value> <!-- make sure this is false -->
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>



5 - Remover a string de versão do Tomcat, para não mostrar em mensagens de erros:

* Extrair o arquivo:
cd CATALINA_HOME/server/lib
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

* Modificar a linha: server.info=Apache Tomcat

* Reempacotar o arquivo catalina.jar:
jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties

* Remover o diretório CATALINA_HOME/server/lib/org (criado quando extraído o arquivo ServerInfo.properties )



6 - Modificar a página de erro do Tomcat, pois a padrão do servidor expões informações sensíveis. Editar o arquivo CATALINA_HOME/conf/web.xml e adicionar a entrada abaixo após a entrada welcome-file-list:
 <error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/error.jsp</location>
</error-page>




7 - Trocar a string de versão dos cabeçalhos HTTP, no arquivo CATALINA_HOME/conf/server.xml:
 <Connector port="8080" ...
server="Apache" /> <!-- server header is now Apache -->



8 - Proteger a porta 8005, através de firewall (porta de shutdown);
 <Server port="8005" shutdown="ReallyComplexWord">



9 - Remover os usuários não utilizados do manager do tomcat e trocar a senha do admin, no arquivo tomcat-users.xml:
 <role rolename="manager"/>
<user username="darren" password="ReallyComplexPassword" roles="manager"/>



10 - Caso tenha certificado SSL no tomcat, para garantir que o acesso ao manager seja feito de forma criptografada, adicionar no arquivo CATALINA_HOME/webapps/manager/WEB-INF/web.xml:
  <user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>

<user-data-constraint>



11 - Limitar acesso à página de administração, editando o arquivo CATALINA_HOME/conf/Catalina/localhost/manager.xml :
 <!-- allow only LAN IPs to connect to the manager webapp -->

<!-- contrary to the current Tomcat 5.5 documation the value for allow is not a regular expression -->
<!-- future versions may have to be specified as 192\.168\.1\.* -->
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="192.168.1.*" />

terça-feira, abril 13, 2010

Filosofia do Sucesso

Fugindo um pouco do assunto desse blog, eu não podia deixar de postar isso, depois do último final de semana.


http://www.youtube.com/watch?v=cWnmCu3U09w

"Filosofia do Sucesso"
Napoleon Hill

Se você pensa que é um derrotado,
você será derrotado.
Se não pensar, quero a qualquer custo,
Não conseguirá nada.
Mesmo que queira vencer, mas pensa que
não vai conseguir,
A vitória não sorrirá pra você.

Se você fizer as coisas pela metade
Você será um fracassado.
Nós descobrimos neste mundo
que o sucesso começa pela intenção da gente,
e tudo se determina pelo nosso espírito.

Se você pensa que é um malogrado
você se torna como tal.
Se você almeja atingir uma posição mais elevada
Deve, antes de obter a vitória
Dotar-se da convicção de que conseguirá infalivelmente.

A luta pela vida, nem sempre é vantajosa
aos fortes, nem aos espertos
Mais cedo ou mais tarde
Quem cativa a vitória é aquele que crê plenamente:

"Eu conseguirei"



http://www.youtube.com/watch?v=4on-I4mActs

Um abraço (4) a todos os amigos do Projeto Despertar!

domingo, março 28, 2010

VMware-server-2.0.2-203138 + Fedora 12 + Kernel 2.6.32

Apesar de preferir outros softwares para virtualização, como o Virtualbox, KVM e Xen, tive a necessidade de instalar o VMWare na minha máquina esse final de semana, para brincar um pouco com a máquina virtual OWASP Broken Web Applications Project. Eu sei que existem ferramentas para conversão de máquinas virtuais vmware para outros formatos, mas não tive sucesso nas poucas vezes que tentei fazer isso.

Acho que foram poucas vezes que o VMWare Server não deu problemas na instalação no Fedora Linux, por isso segue abaixo os passos que precisei realizar para instalá-lo com sucesso:

- Rodar esse script conforme passos descritos em http://radu.cotescu.com/2010/01/19/how-to-install-vmware-server-ubuntu-fedora-opensuse/ ou aplicar esse patch manualmente: VMware-server-2.0.2-203138-update.patch;

- Vai dar erro de compilação do vmnet. Para consertar, edite o arquivo vnetUserListener.c e adicione o '#include "compat_sched.h"', conforme instruções apresentadas em http://blog.chmouel.com/2009/12/05/vmware-vmplayer-and-kernel-2-6-32/.

Após esses dois passos, rode a instalação normalmente.

E não é só isso. Caso tenha problemas em acessar o VMWare Console, baixe esse script presente em http://shellack.de/info/content/vmware-server-20-console-failure.


Espero que essa dica tenha sido útil como foi para mim.


PS: ás vezes usuário Linux sofre... :-(

UPDATE: Consegui rodar a máquina virtual do OWASP Broken Web Applications Project no VirtualBox usando a solução 2 demonstrada em http://www.ubuntugeek.com/howto-convert-vmware-image-to-virtualbox-image.html.

sábado, março 20, 2010

Trainspotting

A cena de abertura do filme Trainspotting (você ainda não assistiu? Pare já o que está fazendo, saia da internet e vá até a locadora mais próxima, foi um dos melhores filmes que já vi) já foi utilizada nas mais diversas áreas, inclusive TI e segurança.


http://www.youtube.com/watch?v=koP4O6QAzx4

Eu já conhecia esse feita para o SysAdmin Day, o adminspotting:




Mas hoje eu encontrei um que achei bem engraçado no site do Marco Ivaldi, compartilho abaixo:



Choose Windows. Choose the eXPerience.
Choose flashy menus on your fucking server.
Choose Exchange. Choose IIS.
Choose Code Red, Nimda, the Lovebug, and a sexy Melissa...
Choose Outlook and end up wondering where your stupid .docs are.
Choose not to choose. Let Micro$oft do it for you.

But why would I want to do a thing like that?

I choose not to be chosen: I choose something else.
The reasons? There are too many reasons.
And who needs reasons when you've got Linux?

(from http://p.ulh.as/)

quarta-feira, fevereiro 17, 2010

Generalismo versus Especialização




Estava lendo o (excelente) blog do Sandro Süffert, mais especificamente esse post: 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Disponibilidade e Integridade e me deparei com um problema que eu sinto todos os dias: Desafio Intelectual e Generalismo versus Especialização:

"Dan Geer defende que a segurança seja uma das profissões que exigem um maior desafio intelectual no planeta. Segundo ele, o conhecimento basilar em segurança chegou a um ponto em que novos profissionais e/ou estudiosos não conseguirão ser generalistas verdadeiramente competentes - e por isto a unica opção que eles possuem é a especialização cada vez maior.

Sobre a classificação de informações e controle a aplicações e dados críticos:

* Se você não sabe nada, 'permit-all' é a única opção;
* Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
* Se você sabe tudo, somente aí o 'default-deny' se torna possível."


Realmente, com a quantidade de informações disponíveis hoje, está cada vez pior ser um generalista. O profissional da área de segurança tem que decidir mais cedo qual a especialização deve seguir. O post The 10 Coolest Information Security Careers poderá ajudar na sua decisão, caso esteja pensando em atuar na área.


O que eu recomendo:

- Aprenda inglês: a melhor e maior documentação (se ela existir) está em inglês. Se for para investir em algum curso, faça aulas de inglês;

- Goste de estudar: se você não gosta de ler e estudar, e estudar MUITO, repense se essa é a área que você quer seguir. Você terá que estudar e ler o tempo todo, e o que você aprendeu ontem pode mudar totalmente amanhã;

- Seja autoditada: você aprenderá mais por conta própria do que em cursos. Os cursos podem até te dar uma visão superficial sobre um determinado assunto, mas você terá que se aprofundar por conta própria;

- Participe do máximo de eventos da área que puder: eventos são ótimos para reciclagem, aprender coisas novas, descobrir algo que antes você nunca tinha ouvido falar;

- Assista a vídeos dos eventos: se não puder participar dos eventos, muitos publicam os vídeos e as apresentações. Já citei antes que você terá que estudar muito ?

- Tenha foco: você nunca irá conseguir saber tudo sobre tudo, é a questão do generalismo x especialização. Descubra o que você gosta de fazer e foque nisso: hoje a área de segurança da informação está dividida em muitas áreas distintas (thanks @ivocarvi):
1. Normativos e governança
2. Tratamento de incidentes
3. Pesquisa de vulnerabilidades em redes e sistemas
4. Implementação técnica de segurança em redes, sistemas e perímetros (firewalls, IDS/IPS, VPN, analisadores de conteúdo, HIDS, hardening, etc).
5. Pesquisas em novas tecnologias (ferramentas, produtos, etc)
6. Pesquisas diversas na área (tendências, novos ataques, honeypots, darknets, etc).


Alguém tem mais alguma dica? Por favor, use os comentários.

quarta-feira, fevereiro 10, 2010

CISSP

Demorei para postar, mas agora vai: passei na prova de certificação do CISSP - Certified Information Systems Security Professional.



Para quem não conhece, o CISSP é uma das mais cobiçadas certificações de segurança da informação, não só no Brasil mas também no mundo. Ele é emitido e mantido pelo consórcio ISC2 (International Information Systems Security Certification Consortium), fundado com o objetivo de estabelecer critérios para avaliar profissionais que trabalham com segurança da informação.

Apesar de eu ter feito a prova em dezembro de 2009, o resultado demorou em torno de um mês para sair, e após receber o e-mail com o resultado positivo, não basta apenas passar na prova, levou mais um mês para questões de envio de documentação. Existem
alguns requisitos para se tornar CISSP, como:

- Possuir um mínimo de 5 anos de experiência de trabalho em regime full-time na área de segurança em 2 ou mais dos 10 domínios do CBK (Common Body of Knowledge);

- Comprovar a experiência profissional e aceitar o código de ética CISSP;

- Responder algumas questões na inscrição sobre o seu histórico criminal;

- Passar no exame CISSP com uma pontuação de 700 pontos ou mais. O exame é de múltipla escolha, consistido de 250 questões com quatro alternativas cada, e deve ser concluída num período de até 6 horas (acredite, você vai precisar de todo esse tempo);

- Ter a sua qualificação endossada por outro profissional certificado.


O CBK (Common Body of Knowledge) é dividido em 10 dominios:

- Access Control
- Application Security
- Business Continuity and Disaster Recovery Planning
- Cryptography
- Information Security and Risk Management
- Legal, Regulations, Compliance and Investigations
- Operations Security
- Physical (Environmental) Security
- Security Architecture and Design
- Telecommunications and Network Security

O material é vasto, e demanda bastante tempo. O livro mais conhecido sobre o assunto é o All-in-One, da Shon Harris. Além do material oficial da ISC2, simulados na internet, forums, grupo de estudos, etc.




Em 2008 eu já havia pensado em realizar essa certificação, porém comecei a estudar mesmo no período de abril até dezembro de 2009.

Um bom resumo sobre a certificação CISSP pode ser vista aqui: http://www.cccure.org/flash/intro/player.html.

Como já disse o meu amigo Marcos, não acho que pessoas certificadas são melhores profissionais que pessoas não certificadas, mas as certificações ajudam muito na carreira profissional e o aprendizado durante o estudo pode ser mais válido do que a própria certificação. E eu encarei essa certificação como um desafio pra mim, visto que precisei estudar muito. E aprendi muito, estudo nunca é tempo perdido. E a certificação veio como recompensa dessa dedicação.

domingo, janeiro 24, 2010

Vídeo da apresentação sobre SELinux no FISL 10

English version bellow.

Abaixo segue o vídeo da apresentação feita por mim e pelo Ulisses Castro no FISL-10 Forum Internacional de Software Livre, realizado em Junho de 2009.



http://stream.softwarelivre.org/video/selinux-everyday-sysadmins



http://www.slideshare.net/guest552ebe/selinux-for-everyday-sysadmins-fisl-10

Na demonstração, confinamos uma PoC de uma vulnerabilidade do PhpMyAdmin (CVE-2009-1151), mostrando a sua exploração com selinux habilitado e desabilitado.

Obrigado a todos que puderam comparecer na apresentação.



English version:

Follow bellow the video of presentation that I've made with Ulisses Castro in FISL-10 Free Software Internacional Forum, in June of 2009.





http://www.slideshare.net/guest552ebe/selinux-for-everyday-sysadmins-fisl-10

In the demonstration, we have confined a PoC of a vulnerability of PhpMyAdmin (CVE-2009-1151), with selinux enabled and disabled.


Thanks to all who could attend the presentation.