.:. security is not for lazy minds .:. Evolve or Die .:. computer bushi .:.

domingo, maio 04, 2008

Meu dia de Security Evangelist

Em abril/08 aconteceu o "I Evento da Faculdade Pitágoras", evento pelo que pude entender, acontece sempre após a finalização de um trimestre do curso de Ciência da Computação da Faculdade Pitágoras. Interessante, principalmente, por apresentar aos alunos, profissionais que estão no mercado e acadêmicos que estão realizando pesquisas.

Minha palestra foi sobre Segurança da Informação em geral, a intenção principal foi a de disseminar a cultura de Segurança da Informação no nosso Estado e estimular os estudantes a caminharem nessa estrada tão carente de pessoas qualificadas no Maranhão.

JIM2008

Putz, 7 meses sem postar, não imaginava que seria difícil manter o blog atualizado. Para romper o silêncio trago uma informação interessante.

Em junho deste ano, mais especificamente no dias 18,19 e 20 se realizará o JIM2008, um evento que já em sua 2nd edição, demostra ser promissor. Espero que eventos como este se perpetuem e se multipliquem, pois eventos de tecnologia no Maranhão são parcos e tendem a ser estritamente comerciais. Apareçam, nos vemos por lá.

Site do evemto:

http://jim2008.deinf.ufma.br/

sábado, setembro 22, 2007

Virtualização não é igual a segurança

Um assunto está nas rodas de conversa da TI, a Virtualização. É um dos assuntos mas quentes do momento com certeza. Os players da tecnologia vem prometendo flexibilidade, disponibilidade, redução de custo, etc. Estes são apenas alguns benefícios alardeados a todo momento.

Tem um outro benefício que também aparece nas conversas, SEGURANÇA, será? Bom em parte, eu diria, existe(+-) a separação lógica das VMs (Virtual Machines), segmentação de redes virtuais, dentre outras. Mas, sempre tem um mais, assim com o recente sucesso desta tecnologia, os olhares dos bughunters se abrem e com eles vulnerabilidades aparecem (nada novo).

Um exemplo desta segurança "parcial" são as recentes vulnerabilidades descobertas pela IBM ISS X-Force no software Vmware, o mais falado por ae. Em uma delas existe a possibilidade de execução de código, de uma VM no sistema que está "hosteando" o software de virtualização. Outro exemplo está descrito no advisory MS07-049 da Microsoft.


Pois é, perceberam o problema, se você tiver uma infra-estrutura grande que utiliza várias VMs, a exploração em uma VM pode comprometer toda a infra-estrutura. Como eu sempre digo, pense bem, avalie, não seja levado tanto pelos modismos, pois você pode estar em apuros no final do dia.

Bom, com isso não quero dizer que esta tecnologia não deva ser usada, eu mesmo uso. Mas quando o assunto é virtualizar toda a sua infra-estrutura , você deve sempre avaliar os poréns para não ser pego de calça curta. :)

Vulns citadas:

CVE-2007-4496
CVE-2007-4497

Abraços....

quarta-feira, setembro 05, 2007

CISSP : finalmente chegou o resultado WOW I GOT

Depois de uma longa auditoria e problemas do serviço de email do provedor, recebi finalmente o resultado, sim, I GOT. Depois de ter sido aprovado, posso garantir que a prova não é fácil, pois aborda muitos domínios de estudo (10 ao todo), além de ser muito cansativa - 250 questões em 6hs.

Respostas que depois de 3h :) parecem idênticas, mas com diferenças muito sutis. Pelo que me lembro fiz a prova em 5hs, muito cansativo mesmo. Só me lembrava de fazer uma prova no "CANETÃO" na época do vestibular e pensava que isto tinha ficado para trás, acreditem, a mão já estava doendo. Mas vou parar de reclamar :).

Bom, espero que a certificação ajude a empresa em que trabalho, a fortalecer sua posição no mercado maranhense, que é muito inclinado a filososia do "Só o que é de fora é bom", espero que um dia entendam que experiência é muito mais importante.

Parabéns ao amigo Sangiorgi, que conseguiu o seu MCSE+Security.

E meus amigos Michel e Gemayel quase tirando certs da GIAC, além do Neto, com LPI, ITIL, 17799 etc. Sem esquecer do Marley (O estagiário hehehe) que vai tirar ITIL.


É isso ae, Intechne crescendo e se fortalecendo.

quinta-feira, março 01, 2007

Mês dos BUGS.:. Alvo da vez :: PHP

Começa mais um "[Month|Week] of Bugs". Desta vez o alvo é o PHP, e neste caso é o "Month". Pelo que pude sondar, diversas divergências entre Stefan Esser, até então membro do grupo de resposta a incidentes do PHP group e os desenvolvedores, culminaram nestes lançamentos de bugs diários. Hoje já foram lançados 3 vulnerabilidades. Apenas lembrando que grande parte (senão todas), são oriundas de falhas na engine do PHP. Isto denota o fato que o desenvolvimento de software (arquitetura, requisitos, codificação, etc) deve levar em consideração não apenas requisitos estritamente funcionais.


ALERTA:

Desenvolvedores que utilizem a linguagem PHP, ainda devem se preocupar com os outros problemas de segurança vinculados a codificação de suas aplicações(arquitura+código}+...). Ainda existem validação de dados de entrada, controle de acesso, tratamento de erros, etc.


Mais informações : http://www.php-security.org/


Notícia direto do CIU (Counter Intrusion Unit)

sexta-feira, novembro 17, 2006

MS06-070 Exploit NO AR - Direto do Underground

Exploit primeiro distribuído em sites chineses, especificamente para aquela arquitetura e com alguns bugs, caprichosamente inseridos. Mas agora, já está disponível uma versão do exploit chinês com as modificações necessárias para executar em todas as linguagens e com a correção de alguns bugs do antecessor.

.:. KIDZ estão felizes agora, a temporada de caça está aberta .:.

.:. Protejam-se.:.

Notícia direto do CIU (Counter Intrusion Unit)

terça-feira, abril 25, 2006

NIST 800-92: Security Log Management

Saiu um documento, ainda draft, sobre Security Log Management, uma leitura interessante , para quem já conhece o assunto, nada muito novo, mas uma boa compilação do que se vê no processo de gerenciamento de logs. Maiores informações no link abaixo:

http://csrc.nist.gov/publications/drafts.html#sp800-92


Para quem não conhece o NIST, seria bom se inteirar dos seus materiais, sempre interessantes e completos.

segunda-feira, abril 17, 2006

MS06-015, traz uma discussão antiga

Uma discussão ressurgiu, relacionada ao boletim da Microsoft MS06-015, devido a falta de informações no boletim. Fato que fez ressurgir críticas antigas sobre os patches da Microsoft corrigirem mais coisas do elas informam ou se propõem(O pessoal só quer um fio para puxar hehehe). Caso semelhante já havia acontecido, quando a Microsoft descobriu uma vulnerabilidade internamente e corrigiu "silenciosamente" no Windows 2003 e não repassou as correções aos outros sistemas, como o W2K, e a EEye "redescobriu" a vulnerabilidade forçando a Microsoft a emitir o boletim MS05-047 e corrigindo a vulnerabilidade sobre as demais plataformas.

Por que isso é importante?

Nós que somos responsáveis pela segurança de diversas redes, precisamos de toda informação disponível, com a garantia que os patchs corrijam exatamente o que está sendo informado. Por isso testes e avaliações de impacto são feitos antes de aplicá-los no ambiente de produção. Agora imaginem uma correção não informada esteja provocando problemas no funcionamento de algum componente chave ou irresponsavelmente abrindo uma nova brecha na rede?

Imaginou? Mais problemas para os clientes e dor de cabeça para nós.

Mais informações sobre a história no link abaixo.

http://blogs.securiteam.com/index.php/archives/394