OWASP Chapter Recife
A fundação Open Web Application Security Project (OWASP) é uma associação profissional de membros globais e está aberta a todas as pessoas interessadas em aprender mais sobre segurança de software. Já existem diversos capítulos da OWASP no Brasil, mas o de Recife é recente e esse será o primeiro encontro do pessoal com o seus líderes locais, Felipe Ferraz e Rodrigo Assad.
O evento acontecerá no dia 31 de janeiro de 2012, e contará com as seguintes palestras:
MANHÃ
- 08h00 : Abertura - Rodrigo Assad e Vinicius Garcia
- 08h30 : Como o Exército Brasileiro está Tratando a Defesa Cibernética - Cel. Luiz Gonçalves
- 09h15 : Segurança e Mobilidade - Felipe Ferraz
- 09h45 : Segurança e Cloud Computing - Caio Dias
- 10h15 : Intervalo - Coffee Break
- 10h30 : Vulnerabilidades que você já conhece, ataques que você nunca viu - Osvaldo Vilar
- 11h15 : Ruy Guerra de Queiroz
- 12h00 : Intervalo - Almoço (Não fornecido pelo evento)
TARDE
- 13h00 : Improving the Security of Web Applications and Services - Marco Vieira
- 13h45 : Windows Phone and Security - Kuai Hinojosa
- 14h30 : Intervalo - Coffee Break
- 14h45 : Segurança em TV-Digital - Guido Lemos
- 15h30 : Mesa Redonda
- 17h00 : Apresentação de cases sobre segurança na web
- 18h00 : Encerramento
Aqueles que tem interesse na área são muito bem vindos. Nos vemos lá.
Façam suas inscrições pelo site do evento http://bit.ly/x6TZtZ
--
Última atualização em 13/01/2012 as 19:36
Hackers pretendem lançar satélite ao espaço
Em que nível está a sua paranoia?
Os planos para enviar um satélite ao espaço acabam de ser revelados por um grupo de hackers, durante a Chaos Communication Congress (CCC), sediada em Berlim, Alemanha. Os precursores do projeto HackerSpace Global Grid planejam ainda construir estações terrestres para se comunicar com os satélites.
O hacker Nick Farr disse que o principal objetivo é o de encontrar uma alternativa para se sobrepor às ameaças de censura na rede (referindo-se ao SOPA). Para Farr, um satélite iria proporcionar uma Internet livre, longe de entidades terrestres.
Leia a matéria completa no Tecmundo
Hackers vazam números de cartões de crédito para fazer doações à caridade
O que aconteceu? A Stratfor – que fornece análise política, econômica e militar para reduzir riscos de segurança na internet – tem como clientes empresas como a Apple e órgãos como a Força Aérea dos EUA e a polícia de Miami. Eles, no entanto, não foram afetados: só vazaram dados de indivíduos que assinam a newsletter paga da Stratfor. Os hackers dizem que as informações desses clientes não estavam criptografadas, por isso foi fácil usá-las; a empresa não revela se isso é mesmo verdade. Segundo a empresa, os servidores e newsletters foram suspensos depois do ataque, e o site da Stratfor está “em manutenção” desde ontem.
De um jeito ou de outro, o ataque foi mesmo real: a Stratfor já disse que vários órgãos já estão investigando o incidente. E os hackers fizeram mesmo doações à caridade: segundo Allen Barr, cliente da Stratfor, US$700 de seu cartão foram enviados a entidades como Care, Cruz Vermelha e Save the Children. O F-Secure mostra mais duas pessoas cujas informações foram vazadas, com mais doações. Mas, como explica o F-Secure, os donos dos cartões podem simplesmente contestar as cobranças indevidas, e as instituições precisam perder tempo e dinheiro com as devoluções – em alguns casos, elas podem até sofrer penalidades.
Fonte: Gizmodo
É impressionante como ainda hoje é possível encontrar informações privadas que não são salvas/armazenadas criptografadas. O que me assusta mais é isto acontecer com um empresa grande, com foco em segurança. Pelo visto o velho ditado se concretiza: "Casa de ferreiro, espeto de pau".
OWASP Paraiba Day 2012
O OWASP Paraíba Day 2012 será um evento de Segurança da Informação, mais especificamente Segurança em Aplicações, que acontecerá no dia 20 de Janeiro de 2012 em João Pessoa, Paraíba.
Palestras
| 08:00 - 08:15 | Credenciamento |
| 08:15- 09:00 | OWASP: Quem somos e o que fazemos? - Magno Rodrigues da OWASP |
| 9:00 - 10:00 | Attacking Session Management - Alexandre Villas do HSBC GLT |
| 10:00 - 11:00 | Segurança em Dispositivos Móveis - Wagner Elias da Conviso |
| 11:00 - 12:00 | Segurança em Cloud Computing - Rodrigo Assad e Caio Dias do C.E.S.A.R. |
| 12:00 - 13:00 | Almoço (Não fornecido pelo evento) |
| 13:00 - 14:00 | HTTP e Segurança - Maurício Linhares da Office Drop |
| 14:00 - 15:00 | Desenvolvimento Seguro de Aplicações para Android - Ana Cláudia da UFPB |
| 15:00 - 16:00 | O Ciclo do Software Inseguro - Rodrigo Jorge da Qualitek |
| 16:00 - 17:00 | Serviços de um CSIRT: Computer Security Incident Response Teams - Daniel Araújo Melo do SERPRO |
| 17:00 - 18:00 | Invisible Web - Noilson Caio da SET-RN |
| 18:00 - 18:15 | Encerramento |
Inscrições abertas, clique aqui para fazer a sua inscrição!
É sempre bom ver eventos assim no Nordeste.
--
Última vez Atualizado: 13/01/2012 10:21
Tendências na área de segurança para 2012
Estamos chegando ao fim de 2011, é nesta época que as empresas normalmente fazem suas previsões para 2012. 
Segundo a PandaLabs, laboratório anti-malware da Panda Security.
A violação de privacidade e o roubo de dados serão os principais problemas relacionados com segurança em que as organizações se deverão focar durante o próximo ano. A ciber-espionagem e os ataques nas redes sociais serão tendências a observar atentamente, em conjunto com os outros tipos de ameaças tradicionais.
A ciber-espionagem destinada a empresas e organizações governamentais será mais predominante este ano. Da Nova Zelândia ao Canadá, passando pelo Japão e pelo Parlamento Europeu, foram inúmeros os ataques destinados ao roubo de informação secreta ou classificada. De acordo com Luis Corrons, Director Técnico do PandaLabs: “Vivemos num mundo em que toda a informação se encontra em formato digital, e por isso os espiões modernos já não necessitam de se infiltrar em instalações para roubar informação. Desde que tenham os conhecimentos informáticos necessários, poderão gerar o caos e aceder aos segredos melhor guardados das organizações sem sequer sairem da sua sala.”
No caso dos utilizadores particulares, os ciber-criminosos continuarão a estar direccionados para as redes sociais para procederem ao roubo de dados pessoais. As técnicas de engenharia social destinadas a explorar a ingenuidade dos utilizadores com menos conhecimentos, tornaram-se no principal método de ataque para os hackers. “As redes sociais representam um espaço em que os utilizadores se sentem seguros ao interagirem com amigos e familiares. O problema é que os atacantes estão a criar worms que tiram partido da falsa sensação de segurança para propagar as suas criações, tornando-se extremamente fácil enganar utilizadores com mensagens genéricas como “Olha, estás neste vídeo”, por exemplo. "Por vezes, a curiosidade pode ser o nosso pior inimigo” explica Corrons.
O PandaLabs revela as suas principais previsões para a segurança informática em 2012:
- Malwares para smartphones
- Malwares para tablets
- Malwares para Mac
- Malwares para PCs
- Ciber-criminosos direccionados a PMEs
- Windows 8
Leia mais sobre esse material da PandaLabs em Panda revela previsões para segurança informática em 2012.
E de acordo com o Key security threats in the coming year, a ampla adoção de dispositivos móveis, a proliferação de aplicações e o crescimento do cloud computing estão inegavelmente proporcionando inovações comerciais e benefícios sociais. Porém, esse mundo cada vez mais conectado traz uma série de novos desafios e riscos de segurança.
De acordo com um estudo de violação de dados realizado este ano, o número de ataques triplicou nos últimos 5 anos, fazendo-se necessário ajustar a balança risco/segurança com maior prioridade para consumidores e corporações.
Com isso em mente, a equipe responsável pelo estudo recomendou que o mercado se prepare contra as seguintes ameaças de segurança em 2012:
- Contínuo crescimento no número de aplicativos maliciosos para dispositivos móveis;
- Criminosos atacando e infectando lojas de aplicativos de smartphones e tablets;
- Conectividade demasiada levando a maiores desafios de privacidade e segurança;
- Novos riscos de ataque aos serviços públicos de saúde digitalizados, especialmente nos Estados Unidos e na Europa;
- Novas preocupações com a segurança no IPv6;
- A volta reforçada dos ataques de engenharia social;
- Crescimento dos grandes volumes de armazenamento de dados corporativos, exigindo maior segurança desses dados;
- Entre outras.
O estudo ainda aponta os fatores positivos para a segurança em 2012, como o aperfeiçoamento e implementação dos “scoring systems” para assegurar as novas aplicações desenvolvidas e a evolução dos sistemas “smart grid” de segurança. Para mais detalhes, confira o estudo realizado pela Verizon no link abaixo.
Fonte: Blog SegInfo
Mandic:eService
É notável que o modelo de login e senha está defasado, mas como substitui-lo e manter um nível de segurança aceitável?
Pensando nisso, a Mandic anunciou ontem via Twitter do seu fundador Aleksandar Mandic, o mandic:eService. Serviço no qual você acessa suas contas de e-mail da Mandic apenas digitando uma URL aleatória, e, autorizando a exibição de sua conta pelo seu celular, de forma fácil e segura, sem a digitação de login ou senhas. Como pode ser visto nas imagens abaixo.
Desenvolvido para dispositivos móveis, o mandic:eService atua de forma simples. O usuário cadastra a conta de e-mail e sempre que quiser acessá-lo, o aplicativo gera uma URL única na plataforma móvel, que deve ser digitada no browser, dispensando assim a inserção de login e senha. Além disso, o usuário deverá confirmar a solicitação e liberar o acesso a URL temporária, via o aplicativo para celulares. Caso negado, a URL é instantaneamente bloqueada.
Achei interessante o modelo. De fato essa solução da Mandic é mais simples do que a verificação em duas etapas do Google e outros.
Windows 8 e as senhas
O Windows 8 vem ai e com ele uma série de novidades, entre elas vale destacar a central de credenciais (tradução livre). Nela é possível salvar todos os seus logins e senhas de sites e programas utilizados no Windows 8. Para a galera que usa Mac, já está habituado com o Keychain.
Pelo o que pode ser visto na imagem a direita (clique para ampliar), é possível notar que o Windows 8 irá separar as credenciais do próprio sistema das utilizadas na web. Isso deve facilitar na hora da busca.
Mas hoje em dia já é possível através de aplicativos/programas de terceiros e geralmente multiplataforma usufruir desse serviço, como por exemplo o 1Password e LastPass (o qual já uso). Ambos guardam suas credenciais e faz a autenticação automática para você. Não há necessidade de lembrar quantos números ou códigos alfanuméricos você utilizou, o programa tem um gerador de senha segura, no qual você informa quantos dígitos deseja, entre outros detalhes, recomendo utilizar sempre senhas acima de 25 caracteres, afinal você não vai precisar lembrar dessa senha mesmo. Não há necessidade de lembrar várias senhas diferentes.
Mas como isso vai funcionar no Windows 8?
A própria Microsoft explica:
Quando você guarda credenciais em conjunto com a entrada do Windows e a Windows Live ID, o Windows permite que você guarde senhas de cada uma das suas outras contas para algo que seja complexo e único; Como o Windows 8 vai automaticamente mandar a credencial para os sites em seu nome, você nunca vai precisar de lembrá-la. Se você precisar de ver a senha em algum ponto no futuro, basta abrir este “credential manager” de qualquer um de seus PCs seguros.
Basicamente tudo vai girar em torno da sua senha de acesso a Live, geralmente o famigerado hotmail. Vale lembrar que a conta que dá acesso a central de gerenciamento de credenciais deve ser a senha mais forte e "segura", pois é ela que dará acesso a todas as outras senhas.
Stuxnet suspeito de causar explosão de míssil
Um míssil explodiu matando o chefe de mísseis balísticos do Irã, entre outros 36 oficiais, numa explosão que abalou a cidade Teerã a 46km de distância, no último dia 12 de Novembro de 2011.
Isto aconteceu pouco depois de IAEA ter informado que o programa tinha fins militares e não apenas civis. Com isto surgiu a suspeita de que está explosão tenha sido causada através de um ciber-ataque, possivelmente utilizando o Stuxnet.
Suspicion in Iran that Stuxnet caused Revolutionary Guards base explosions
DEBKAfile Exclusive Report November 18, 2011, 2:29 PM (GMT+02:00)
Tags: Stuxnet Iran nuclear Iran's Revolutionary Guards missiles Duqu
Iran's Sejil 2 ballistic missile.Is the Stuxnet computer malworm back on the warpath in Iran?
Exhaustive investigations into the deadly explosion last Saturday, Nov. 12 of the Sejil-2 ballistic missile at the Revolutionary Guards (IRGC) Alghadir base point increasingly to a technical fault originating in the computer system controlling the missile and not the missile itself. The head of Iran's ballistic missile program Maj. Gen. Hassan Moghaddam was among the 36 officers killed in the blast which rocked Tehran 46 kilometers away.
(Tehran reported 17 deaths although 36 funerals took place.)Since the disaster, experts have run tests on missiles of the same type as Sejil 2 and on their launching mechanisms.
debkafile's military and Iranian sources disclose three pieces of information coming out of the early IRGC probe:
1. Maj. Gen. Moghaddam had gathered Iran's top missile experts around the Sejil 2 to show them a new type of warhead which could also carry a nuclear payload. No experiment was planned. The experts were shown the new device and asked for their comments.
2. Moghaddam presented the new warhead through a computer simulation attached to the missile. His presentation was watched on a big screen. The missile exploded upon an order from the computer.The warhead blew first; the solid fuel in its engines next, so explaining the two consecutive bangs across Tehran and the early impression of two explosions, the first more powerful than the second, occurring at the huge 52 sq. kilometer complex of Alghadir.
3. Because none of the missile experts survived and all the equipment and structures pulverized within a half-kilometer radius of the explosion, the investigators had no witnesses and hardly any physical evidence to work from.
Iranian intelligence heads entertain two initial theories to account for the sudden calamity: a) that Western intelligence service or the Israeli Mossad managed to plant a technician among the missile program's personnel and he signaled the computer to order the missile to explode; or b), a theory which they find more plausible, that the computer controlling the missile was infected with the Stuxnet virus which misdirected the missile into blowing without anyone present noticing anything amiss until it was too late.
It is the second theory which has got Iran's leaders really worried because it means that, in the middle of spiraling tension with the United States and Israel or their nuclear weapons program, their entire Shahab 3 and Sejil 2 ballistic missile arsenal is infected and out of commission until minute tests are completed. Western intelligence sources told debkafile that Iran's supreme armed forces chief Gen. Hassan Firouz-Abadi was playing for time when he announced this week that the explosion had "only delayed by two weeks the manufacturing of an experimental product by the Revolutionary Guards which could be a strong fist in the face of arrogance (the United States) and the occupying regime (Israel)."...
Confira a notícia completa aqui.
Adobe dá indícios de abandono do Flash
Pouco tempo depois de anunciar a morte do Flash Mobile, a Adobe anuncia que irá doar o Flex SDK para a Apache Software Foundation, onde ele continua como um projeto independente da Adobe. O Flex SDK era oferecido em código aberto desde 2008, e agora vai para a Fundação Apache, a mesma que recebeu o Google Wave e prometeu lançar o Apache Wave, mas até então não foi lançado.
Seria a Fundação Apache o cemitério de alguns softwares? 
Leia mais no Gizmodo.
Hacker consegue destruir uma bomba de uma concessionária
Poucos dias após o post sobre Sistema SCADA, a bola da vez? um hacker cracker destruiu uma bomba usada por uma concessionária de serviços de água nos Estados Unidos depois de ganhar acesso não autorizado ao sistema de controle industrial utilizado para operar as máquinas, segundo alertou um especialista em segurança de computadores.
Joe Weiss, sócio-gerente da empresa “Applied Control Solutions”, disse que a violação foi provavelmente realizada após o atacante invadir o fabricante do software de controle de supervisão e aquisição de dados usado pela concessionária e furtado nomes de usuários e senhas pertencentes a clientes daquele fabricante. O atacante desconhecido teria utilizado endereços “I.P.” alocados para a Rússia.
Weiss citou um relatório oficial do governo do estado, onde estaria localizado o distrito regional da concessionária. Ele é datado de 10 de novembro, dois dias após a invasão ter sido descoberta. O documento indica que a concessionária havia enfrentando problemas inexplicáveis com o seu sistema informatizado nas semanas que antecederam a violação.
Durante um período de dois a três meses, problemas menores teriam sido observados no acesso remoto ao sistema de controle de água denominado “Scada”, segundo teria afirmado Weiss durante uma entrevista, na qual ele leu uma parte do documento.
Ainda segundo ele, os atacantes foram capazes de queimar uma das bombas de água da concessionária, fazendo com que tanto a bomba como o sistema “Scada”, que a controlava ligasse e desligasse repetidamente.
Leia mais no blog do Delegado Mariano
Atualização 21/11/2011
Silvio Meira escreveu um pouco mais sobre este caso em seu blog, recomendo a leitura.