segunda-feira, janeiro 30, 2006

Worms "do bem"

Essa questão deve render algumas boas discussões: É possível criar um worm (ou um vírus) com propósitos benéficos ? Esta matéria da SecurityFocus traz o assunto a tona novamente. Recomendo antes a leitura desse texto de 1994, assinado pelo pesquisador de anti-vírus da universidade de Hamburg, Vesselin Bontchev. Na versão 2006, David Aitel da empresa Immunity, afirmou na conferência Black Hat Federal em sua apresentação "Nematodes" (disponível aqui) sobre a utilização de um worm para scanear redes corporativas além da sub-rede local, dando ao administrador desta rede a habilidade de transformar cada host em um scanner em potencial.

quinta-feira, janeiro 26, 2006

CERT Virtual Training

O colega Fernando Lima postou esta dica na CISSPBR:


O CERT está disponibilizando para o publico na Web 160hs de treinamento
interativo em segurança, com material de boa qualidade. Para quem tiver
interesse:

http://vte.cert.org/

---

CERT's Virtual Training Environment (VTE), with more than 160 hours of
multimedia-based instruction in information assurance and computer
forensics, is now available to the public. The Virtual Training
Environment (VTE) is a Web-based knowledge library for Information
Assurance, computer forensics and incident response, and other IT-
related topics. VTE is produced by the Software Engineering Institute
at Carnegie Mellon University.

---

terça-feira, janeiro 24, 2006

Mais sobre a 27001 e 17799:2005

A Módulo publicou em seu portal alguns artigos bem interessantes e didáticos sobre as normas ISO/IEC 17799 (versão 2005) e ISO/IEC 27001.

quarta-feira, janeiro 18, 2006

25 Gb de armazenamento gratis

Mediamax: 25 Gigabytes de armazenamento, com limite de trafego mensal de 500Mb. Isso é gratis. Tem planos pagos para mais espaço ou mais tráfego. Boa !

segunda-feira, janeiro 16, 2006

Historia da Segurança de Computadores

Peguei este post no Digg: Uma compilação de papers sobre segurança em computadores, publicada no NIST. Veja a descrição original: "This list of papers was initially distributed on CD-ROM at NISSC '98. These papers are unpublished, seminal works in computer security. They are papers every serious student of computer security should read. They are not easy to find. The goal of this collection is to make them widely available. This list was compiled by the Computer Security Laboratory of the Computer Science Department at the University of California, Davis."

Como diz no texto, "todo estudante sério de segurança de computadores deve ler".

sexta-feira, janeiro 13, 2006

Anti-Spyware

O Anti-Spyware Coalition, grupo composto pela McAfee, Symantec, Yahoo, F-Secure, Microsoft, Lavasoft, CA, HP, Dell, entidades academicas, etc, que tem como objetivo construir um consenso sobre o que é Spyware e quais as melhores práticas contra eles, publicou uma série de documentos para Modelagem de Risco, Definições, Glossário, Dicas de Segurança e Instruções para fabricantes que tem sido acusados de distribuir spyware para que possam limpar seu nome. Guarde no seu bookmark do del.icio.us para referencia :)

terça-feira, janeiro 10, 2006

Resoluções de ano novo

Adotei estas resoluções de ano novo, publicadas originalmente no BBspot

11. I will not start playing any video game after 2 am.
10. I will read a book that's neither sci-fi nor fantasy.
9. I will only make insightful, relevant posts in forums.
8. I will spend more of my waking hours away from the computer than on it.
7. I will stop correcting friends when they refer to Star Trek as Star Wars and vice versa.
6. I will only patch my software when I need to.
5. I will not make any expensive hardware upgrades just to get a 5% performance increase.
4. I will not talk about my awesome computer system at non-geek social events.
3. I will only blame Bill Gates for things that are actually his fault.
2. I will always show tolerance for people who don't know the difference between memory and hard drive space.
1. I will not deface your website just because you disrespected my level 60 Night Elf druid.

sexta-feira, janeiro 06, 2006

A Maravilhosa Internet

Ja pensou como seria o mundo sem internet ? Já pensou como seria a sua vida sem a internet ? Melhor talvez ? Confira esta fábula.

terça-feira, janeiro 03, 2006

Games dos anos 80


Donkey Kong, Space Invaders, 1942, Galaxian, Circus Charlie, Hyper Sport, Pacman, Green Beret, Frogger, Gun Smoke. Arcade, Nintendo e outros.. Quer mais ? Tem muito mais aqui. Emulação direto no seu browser, em Java.

Teoria da Evolução

Uma visão interessante e bem humorada da evolução das vulnerabilidades está no blog do colega Augusto Paes de Barros. Confira !

segunda-feira, janeiro 02, 2006

Vulnerabilidade do WMF

Feliz 2006. Começamos bem...

Tanto a F-Secure quanto SANS Internet Storm estão recomendando um procedimento a ser efetuado ASAP, antes do release do patch oficial, devido a gravidade da situação.
Maiores informações nos Links do Sans Internet Storm e no blog
da F-Secure
, mas para os apressados, segue um resumo:

1. "des-registre" a DLL do windows para "Picture and Fax Viewer":
Start, Run, "regsvr32 -u %windir%\system32\shimgvw.dll" (sem as aspas)
Clique em OK
(Para *desfazer*, no futuro, utiliza o comando “regsvr32 %windir%\system32\shimgvw.dll” )

2. Aplique o patch nao oficial, feito pelo Ilfak Guilfanov, autor do IDA Pro e provavelmente um dos maiores experts no mundo programação baixo-nível em Windows.

Não subestime esse problema. Leia o histórico e aplique as recomendações imediatamente.

ISO 27001

Já está disponível no site da ABNT a consulta nacional da futura norma ABNT NBR ISO/IEC 27001. Este processo é a ultima parte do Projeto de revisão de Norma, onde sugestões de correção podem ser enviadas pelo público em geral.
A ISO/IEC 27001 é a norma de Sistemas de Gestão de Segurança da Informação, e substitui a BS-7799 parte 2. Seu uso está diretamente relacionado a ISO/IEC 17799:2005, publicada em agosto de 2005 e que já pode ser adquirida no site da ABNT.
A ABNT é a única instituição nacional autorizada a representar a ISO no Brasil. O CB 21 é o comitê técnico para Computadores e Processamento de Dados e revisa diversas normas, entre elas a ISO 17799, ISO 15408 e a série ISO 27000, etc. O comitê se reune trimestralmente em São Paulo e está aberto a quem quiser colaborar. Caso você tenha interesse, me envie um e-mail para maiores informações.