Excelente artigo de Rafael Cardoso dos Santos sobre engenharia social. Aliás, muito oportuno para a essa época do ano.
quarta-feira, dezembro 08, 2004
terça-feira, dezembro 07, 2004
Handbook of Information Security Management
Não sei se esse documento é oficial, mas pelo que eu li não tem informações erradas. O Handbook of Information Security Management foi disponibilizado pelo ccure para quem está se preparando para o exame CISSP.
segunda-feira, dezembro 06, 2004
Blogs cada vez mais vistos. Por advogados
Faz muito tempo que acompanho o conteúdo de determinados blogs. A maioria deles não passa de entretenimento, mas tem uma turma que força a barra. O anonimato da internet, em parte, é baseado na dificuldade das pessoas em acessar determinadas informações - procurar sem se saber o que realmente pretende achar. Assim sendo, seu chefe/colega de trabalho/desilusão amorosa, que mal sabe usar a máquina de café no final do corredor, não teria como descobrir suas "opiniões secretas" sobre eles. Essa barreira está cada vez menor e o tão sonhado anonimato cai na mesma proporção.
Portanto o blog, aquele cantinho escolhido por tantos para extravasar o estresse diário agora passa a ser olhado como um cartaz pendurado no quadro de avisos, aquele em frente à máquina do café.
Portanto o blog, aquele cantinho escolhido por tantos para extravasar o estresse diário agora passa a ser olhado como um cartaz pendurado no quadro de avisos, aquele em frente à máquina do café.
domingo, dezembro 05, 2004
[Pesquisa] Crimes Digitais na Alemanha
O blog Dislexia 3000 trouxe recentemente dados sobre os Crimes Digitais na Alemanha. Tem de tudo um pouco, desde a ação da polícia até o aumento de sabotagens e espionagem em computadores. Muito do aumento nesses dois últimos índices, imagino, não deve ser exclusividade da comunidade européia. E acredito que esse aumento deve-se principalmente à oferta aberta de ferramentas para a exploração de vulnerabilidades... Sabotagem e espionagem geralmente tem motivação clara - principalmente o ganho financeiro - mas não creio que 90% dos atacantes de hoje tenham intenção de ganhar um centavo com sua prática. A questão é que tudo ficou tão fácil, tão acessível... por que não fazê-lo.
sábado, dezembro 04, 2004
Depois de quase 2 semanas
As últimas semanas foram complicadas, como diria o Faustão, tanto no pessoal como no profissional. Primeiro foi o novo estatuto e a eleição da diretoria 2005 da ISACA - fui reeleito, agora como Diretor de Associados. Vai ser um desafio e tanto para 2005 - imaginando que durante o mesmo ano ainda vou ter que preparar a dissertação de mestrado. Acho que agora vou começar a perder os cabelos...
quinta-feira, novembro 25, 2004
[Eventos] Sarbanes-Oxley para boa Governança Corporativa
Apesar do evento ter sido divulgado em cima da hora, esse painel patrocinado pela Microsiga foi bem interessante. Mais adiante prometo criar uma seção aqui só para eventos...
quarta-feira, novembro 24, 2004
[Sarbanes-Oxley] IT Control Objectives for Sarbanes-Oxley
Muitos profissionais responsáveis pela manutenção e segurança das informações ainda não tem "no sangue" a real idéia do quão crítico os controles internos são importantes em organização. E também não tem idéia da importância de ter esses controles internos adequadamente formalizados para atender as determinações da Sarbanes-Oxley. Esse documento é destinado, não só ao público técnico, mas a todos que ainda não conseguiram enxergar a relação entre os controles de TI e os controles que vão garantir números contábeis sadios no final do dia...
terça-feira, novembro 23, 2004
[Computer Forensics] PDA Forensics Guidelines
Saiu a versão final do protocolo PDA Forensics Guidelines. Cortesia do NIST.
[Bit Brushing] Malicious Code Analysis
Procurando por drivers de rede acabei achando esses dois artigos sobre análise de códigos maliciosos.
[Legislação] Orkut e uso inadequado de imagem
O grande barato do Orkut é, sem dúvidas, reencontrar antigos amigos que a muito não se sabia o paradeiro. Para que isso aconteça são criadas comunidades de afinidade comum - com temas que vão do antigo colégio até a devoção por um amigo em comum. O problema é que muitos estão usando as imagens de empresas, escolas e outras instituições para melhor identificar esse "ponto de encontro" virtual. E já existem pelo menos 2 casos reais em que a justiça exigiu que comunidades desse tipo fossem tiradas do ar.
domingo, novembro 21, 2004
[PDA Utilities] RAR para Pocket PC
Talvez o melhor compactador que já usei, agora na versão para Pocket PC e freeware.
Desastres esquisitos com o computador
Recentemente saiu uma nota no Folha Online sobre os Desastres esquisitos com computadores. Tem coisas idiotas e coisas não tão idiotas assim como, por exemplo, o cara que colocou o HD no freezer para recuperar os dados. Estúpido, não? Mas funciona - o tal fulano só não teve cuidado para preparar o equipamento.
segunda-feira, novembro 15, 2004
Recovering From an Attack
Esse artigo é muito legal e trata de forma muito abrangente as rotinas de recuperação em caso de ataque bem sucedido. Cortesia do Network Computing.
domingo, novembro 14, 2004
[Sarbanes-Oxley] Começa essa semana nos Estados Unidos
É isso aí. A partir dessa semana começa a valer a lei Sarbanes-Oxley para as empresas americanas. Não sei direito como ficou para os demais países, mas creio que até o ano que vem todas as empresas não-americanas com ações na bolsa de NY devem estar em linha com a cartilha SOX.
[Hacking] Ataque de DoS na camada de aplicação
A InfoSecWrites divulgou esse bom documento sobre os diferentes tipos de ataques de Denial of Service via camada de aplicação.
quinta-feira, novembro 11, 2004
[Computer Forensics] Using Perl to Harvest Hash Sets
O uso do Perl em forense computacional não é novo. Segundo os especialistas, essa linguagem é uma excelente "cola" para os diversos tipos de testes e análises inerentes de uma perícia. Documento do NIST, portanto, procedência garantida!
[Leitura] As leis de Murphy na computação
Parece texto de piada, mas é um artigo até bem sério. O autor, Wietse Venema, se não me falha a memória, é o criador do software de auditoria de redes SATAN.
[Hacking] Aprenda e se proteja - Buffer Overflow
A proposta desse documento é meio que ensinar como funciona, e como executar, um buffer overflow. Não sei se é atual ou não, mas vale pela curiosidade
[ISACA] ATENÇÃO - Eleição da diretoria 2005
Pois chegou a hora de você, associado da ISACA, eleger a direção da associação em 2005. Para saber mais sobre o local e hora da votação acesse o site da ISACA São Paulo. Compareça!
segunda-feira, novembro 08, 2004
[Bit Brushing] Cryptovirology
Criptovirologia é o estudo das aplicações de criptografia para softwares maliciosos (leia-se worms, trojans e outras pragas). A coisa é mais ou menos assim: alguns desenvolvedores de softwares maliciosos tem usado criptografia em seus códigos para que a aplicação de engenharia reversa seja mais demorada, ou até impossível de ser praticada. Dessa forma as vacinas tendem a ser menos eficientes ou simplesmente demoram tempo valioso até que sejam liberadas.
Interessado? Consulte o site Cryptovirology (mantido por Adam Young e Moti Yung - a dupla sertaneja!).
Agora, se você adorou o tema (mas gostou muito mesmo), leia esse artigo sobre Extorção e Criptovirologia. Diversão garantida.
Interessado? Consulte o site Cryptovirology (mantido por Adam Young e Moti Yung - a dupla sertaneja!).
Agora, se você adorou o tema (mas gostou muito mesmo), leia esse artigo sobre Extorção e Criptovirologia. Diversão garantida.
[Computer Forensics] Protocolos do NIJ, Pesquisa Pessoal e outros.
Electronic Crime Needs Assessment for State and Local Law Enforcement - Mais um do NIJ. A cada dia um novo volume!
Personal Digital Forensics Research - Ferramentas de investigação, documentos de pesquisa e estudos de caso. Uma das fontes mais completas sobre o assunto.
Searching and Seizing Computers and Related Electronic Evidence Issues
Personal Digital Forensics Research - Ferramentas de investigação, documentos de pesquisa e estudos de caso. Uma das fontes mais completas sobre o assunto.
Searching and Seizing Computers and Related Electronic Evidence Issues
domingo, novembro 07, 2004
As piores explicações de endereço que já ouvi em toda a minha vida
1) Esta eu ouvi de uma prima, quando perguntei para ela o endereço de uma
loja: "Vai a pé, que é perto da sua casa. Você pega a rua São Paulo e vai andando, andando. Quando você cansar de andar, é porque chegou a hora de virar, aí você vira à direita."
2) Esta veio de uma amiga, há uns dois anos, na hora de ela me explicar o endereço de um prédio onde ia ter uma festa: "Sabe onde é a loja tal? Então. Esse prédio fica mais ou menos na frente dessa loja. Não tenho o número dele, mas é fácil: mais ou menos na frente dessa loja, tem uns sete prédios, e é só você entrar no mais bonito."
3) Esta veio de outra amiga, que queria me explicar o endereço de não me lembro o quê: "Pega a rua tal e abre o vidro de carro. Você vai sentir um cheiro de pão, porque lá perto tem uma padaria que a essa hora fica com o maior cheiro de pão. Vai seguindo o cheiro de pão e, quando o cheiro começar a diminuir, pode ir estacionando."
Que bom que existem os catálogos telefônicos e o Google.
Extraído de http://liliprata.blog.uol.com.br/
loja: "Vai a pé, que é perto da sua casa. Você pega a rua São Paulo e vai andando, andando. Quando você cansar de andar, é porque chegou a hora de virar, aí você vira à direita."
2) Esta veio de uma amiga, há uns dois anos, na hora de ela me explicar o endereço de um prédio onde ia ter uma festa: "Sabe onde é a loja tal? Então. Esse prédio fica mais ou menos na frente dessa loja. Não tenho o número dele, mas é fácil: mais ou menos na frente dessa loja, tem uns sete prédios, e é só você entrar no mais bonito."
3) Esta veio de outra amiga, que queria me explicar o endereço de não me lembro o quê: "Pega a rua tal e abre o vidro de carro. Você vai sentir um cheiro de pão, porque lá perto tem uma padaria que a essa hora fica com o maior cheiro de pão. Vai seguindo o cheiro de pão e, quando o cheiro começar a diminuir, pode ir estacionando."
Que bom que existem os catálogos telefônicos e o Google.
Extraído de http://liliprata.blog.uol.com.br/
sábado, novembro 06, 2004
[Computer Forensics] Protocols 'n' Tools
Novamente o NIJ (US National Institute of Justice) disponibiliza material sobre Forense Computacional.
O primeiro é um protocolo para os times de primeira resposta (aqueles que devem chegar antes dos curiosos). Coisa básica mas que, se não estiver bem definida e treinada, pode comprometer seriamente uma investigação.
O segundo (na verdade mais de um) são testes comparativos feitos pelo NIJ em diversas ferramentas para recuperação de informações em HD.
O primeiro é um protocolo para os times de primeira resposta (aqueles que devem chegar antes dos curiosos). Coisa básica mas que, se não estiver bem definida e treinada, pode comprometer seriamente uma investigação.
O segundo (na verdade mais de um) são testes comparativos feitos pelo NIJ em diversas ferramentas para recuperação de informações em HD.
- Partial Results from Prototype Testing Efforts for Disk Imaging Tools: SafeBack 2.0
- Test Results for Disk Imaging Tools: dd GNU fileutils 4.0.36,Provided with Red Hat Linux 7.1
- Test Results for Disk Imaging Tools: dd Provided with FreeBSD 4.4
- Test Results for Disk Imaging Tools: EnCase 3.20
- Test Results for Disk Imaging Tools: SafeBack 2.18
quinta-feira, novembro 04, 2004
[Cotidiano] Um dia o telefone serviu apenas para telefonar...
... mas aí começaram a encher o pobre coitado com um monte de outras coisas e agora o ex-finado Napster vai ser o novo membro a penetrar na ainda ampla gama de serviços semi-inúteis a serem oferecidos por meio dos aparelhinhos. Claro que com o Napster e assemelhados começam a surgir as ameaças - e onde tem ameaça tem firewall, anti-vírus, etc, etc, etc...
[Objetos de Desejo] Eu quero uma camiseta dessas!
Gostei do repertório das camisetas e moletons. E agora que a Error 404 ficou famosa, parece que vai ser difícil acessar o site deles.
Resumindo: os caras fazem camisetas com mensagens divertidas com temas relacionados à paixão pela informática - acho que a mais espirituosa é uma azul calcinha (e só fica bem dessa cor) com a mensagem de Erro Fatal do Windows 98.
http://www.erro404.com.br/catalog/popup_image1.php?pID=90
Resumindo: os caras fazem camisetas com mensagens divertidas com temas relacionados à paixão pela informática - acho que a mais espirituosa é uma azul calcinha (e só fica bem dessa cor) com a mensagem de Erro Fatal do Windows 98.
http://www.erro404.com.br/catalog/popup_image1.php?pID=90
As 75 melhores ferramentas para avaliação de segurança
O portal Insecure divulgou a lista das 75 melhores ferramentas de segurança. A grande maioria delas é "di grátis", em código aberto (ou seja, você pode baixa o código-fonte e adaptar a ferramenta à sua necessidade) e compatível com plataforma Windows e Linux.
quarta-feira, novembro 03, 2004
Coleta de evidências digitais
Para quem se interessa por forense computacional, um bom protocolo para coleta de evidências digitais. Divulgado pelo Departamento de Justiça Norte-Americano (uia!)
terça-feira, novembro 02, 2004
Depois do Wardriving...Bluedriving?
O wardriving nunca chegou forte por essas bandas, provavelmente porque os dispositivos móveis fossem ainda muito caros e tal.
Mas parece que estamos recuperando o tempo e, com a popularização das redes pessoais sem fio e uma infinidade de dispositivos com Bluetooth "passeando" pelos grandes centros, esse tipo de leitura começa a fazer sentido.
Material para saber como funciona e para se proteger... e para pensar: para que alguém construiria uma antena direcional para Bluetooth? Hackear agenda telefônica?
Mas parece que estamos recuperando o tempo e, com a popularização das redes pessoais sem fio e uma infinidade de dispositivos com Bluetooth "passeando" pelos grandes centros, esse tipo de leitura começa a fazer sentido.
Material para saber como funciona e para se proteger... e para pensar: para que alguém construiria uma antena direcional para Bluetooth? Hackear agenda telefônica?
10 preocupações que deveriam ser destacadas sobre PKI
O artigo parece mais um desabafo com muita ironia (destaque para "Relying party
liability"), mas tem algumas considerações interessantes sobre o uso de PKI
dentro de uma empresa.
liability"), mas tem algumas considerações interessantes sobre o uso de PKI
dentro de uma empresa.
segunda-feira, novembro 01, 2004
Top 20.... as maiores vulnerabilidades da internet
O dado não é dos mais novos mas serve como referência. São as 20 maiores vulnerabilidades críticas da Internet segundo o SANS... em 2002. Dá pra ver que pouca coisa mudou de lá pra cá.
Primeiro post via email... será que funciona?
Jornal de segurança “di grátis” e em PDF. A qualidade das matérias é discutÃvel, mas volta e meia tem um artigo bacana. Vale a pena uma visita mensal.
Forgotten Passwords & Recovery Methods
Um guia não tão básico para recuperação de senhas perdidas. Bom para estudo.
domingo, outubro 31, 2004
sábado, outubro 30, 2004
Internet Legal ou quase...
Artigos sobre direito digital e leis aplicáveis na internet... a maior parte dos artigos já se tornou peça de museu, mas vale uma passadolhos.
quinta-feira, outubro 07, 2004
Phishing IQ Test
Esse é realmente interessante. Um bom teste que poderia ser reproduzido para nossa realidade - talvez até para promover um auto-treinamento na sua empresa...
Vamos escovar bits - LM Hash
Começando do começo: A teoria de LM Hash.
Depois vem o porque de não ser eficiente em "Quebrando o LM Hash" e uma documentação meia boca da MS em LM Hash Microsoft .
Pra fechar, um documento não tão ruim da MS sobre Como Selecionar Senhas Seguras.
Depois vem o porque de não ser eficiente em "Quebrando o LM Hash" e uma documentação meia boca da MS em LM Hash Microsoft .
Pra fechar, um documento não tão ruim da MS sobre Como Selecionar Senhas Seguras.
segunda-feira, outubro 04, 2004
quinta-feira, setembro 30, 2004
A preguiça e as férias
Agora voltei em definitivo. E se tudo der certo e a minha preguiça permitir, hoje ainda publico meu novo layout... de novo...
Senha é como chiclete...
Lição de casa: coloque um desses em cada quadro de avisos da empresa. Seu Security Officer vai agradecer.
Microsoft® Security E-Learning Clinics
A promessa do tio Gates em dar ênfase à segurança está de pé: finalmente a Microsoft fundou (e divulgou) esse Centro de Treinamento de Segurança no qual é possível fazer cursos de auto-instrução gratuitos voltados para o tema.
É fácil medir (direito) a audiência de seu site
O básico para entender como o $$$ circula na internê.
terça-feira, setembro 28, 2004
A diferença entre "História de Horror" e "Horror de História"
Leia a matéria "1 minuto na web basta para ser atacado, diz ISS" e tire suas próprias conclusões...
segunda-feira, setembro 27, 2004
Ah, como era grande...
O programador Kevin Gilbertson criou uma ferramenta que converte longos endereços da Web em links bem menores. A memorização não fica lá essas coisas, mas funciona muito bem quando se trata daquele link gigante que geralmente "quebra" no e-mail.
Simplezinho: entre no TinyURL.com e digite (ou cole) o endereço gigante... ele converte em um endereço curtinho na hora.
terça-feira, setembro 14, 2004
Oh! A novidade...
quinta-feira, setembro 02, 2004
Computer Forensics é a novidade... por aqui...
A IISFA (International Information Systems Forensics Association) é referência internacional quando o tema é Forense Computacional - a nova moda por aqui. Os newsletters são leitura obrigatória para quem ainda não entendeu direito o lugar dessa atividade no mundo da segurança da informação.
Recentemente o capítulo Brasil foi fundado com direito a divulgação no jornal oficial e tudo mais.
Recentemente o capítulo Brasil foi fundado com direito a divulgação no jornal oficial e tudo mais.
quarta-feira, setembro 01, 2004
Mamãe! Olha! Sem os fios!
Absolutamente tudo em telecom você encontra aqui. Esse site já me salvou de umas boas saias justas no mestrado.
Ares de liberdade: saindo da rotina.
Tirando 50% do romantismo do artigo, tenho que concordar com o Allyson: Mozilla, Firefox e Thunderbird rulez.
sexta-feira, agosto 27, 2004
Game Boy na Palm
Aplicativo minúsculo, conversão rapidíssima e satisfação garantida por 24 horas. Só para Palm OS.
quinta-feira, agosto 26, 2004
Stealing passwords via browser refresh
Não testei ainda, mas vale a pena dar uma olhada no material. Leitura rápida (9 páginas).
Sabe qual a diferença entre os mocinhos e os bandidos da internet?
Os bandidos trocam informações, se comunicam e acham de forma eficiente os meios para exporar vulnerabilidades. Já os mocinhos...
Mas nem todos são assim.
O InfoSecurity TaskForce é uma excelente iniciativa brasileira para quem quer aprender, trocar informações e até tirar dúvidas técnicas. Eu recomendo!
Abaixo as maiúsculas!
Taí uma coisa que deveria ter acontecido a muito tempo. Uma decisão da mais alta importância: Internet com "i" minúsculo e seus seguidores.
quarta-feira, agosto 25, 2004
Relax - it´s just Flash!
Dia difícil? Se o proxy não bloquear e não tiver ninguém olhando, dê uma passada na maior coleção de jogos e filmes em Flash já vista. Diversão garantida! Destaque para Bowman - simples e divertido.
MID é FUD e vice versa!
terça-feira, agosto 24, 2004
Security Day - São Paulo
No geral, o Security Day - São Paulo, promovido pela ISS, trouxe mais do mesmo sem muitas novidades. Maaaas uma figura saiu do lugar comum: conseguiu manter sala cheia por 20 minutos além dos 45 previstos e pedindo por mais. Ao final foi cercada de "perguntantes" ávidos por um momento de sua atenção.
Dra. Patrícia Peck é o nome da responsável pelo fato poucas vezes presenciado em todo o evento. Apesar do assunto abordado ser a nova "moda" do mercado, o que realmente cativou a platéia foi a proximidade com que o tema jurídico fou abordado.
Patrícia mostrou em várias oportunidades que é bilíngue - domina com fluência o informatiquês e o juridiquês - fato poucas vezes alcançado até pelos mais destacados nomes do chamado "direito eletrônico".
A palestrante ainda é autora do livro Direito Digital (editora Saraiva), minha provável próxima aquisição.
segunda-feira, agosto 23, 2004
Quer ser um bandido digital? Pergunte-me como!
Em meio ao bombardeio de SCAMs que o mundo bem conhece o MillerSmilles divulgou recentemente o Beginner's Guide to Phishing.
Para quem esteve em férias no Himalaia nesse último ano, Phishing é a nova modalidade de estelionato, agora impulsionada pela Internet.
O papel de TI na Sarbanes-Oxley
O SANS disponibilizou o documento "The Role of IT Security in Sarbanes-Oxley Compliance", que discute os requerimentos de TI necessários para a proteção das informações financeiras.
Documento importante para quem trabalha em empresas multinacionais (com ações na bolsa de NY) e ainda pensa que esse negócio todo não passa de modismo do mercado.
Documento importante para quem trabalha em empresas multinacionais (com ações na bolsa de NY) e ainda pensa que esse negócio todo não passa de modismo do mercado.
P2P
Faz um tempinho tentei achar alguma coisa diferente de música e vídeo no meu KazaA. Parece que não sou o único a tentar fazer essas coisas por curiosidade.
Assinar:
Postagens (Atom)
