Além da Imaginação

Antivirus

2008-07-06T19:15:00.002-03:00

ISSA Day - Junho

2008-06-24T16:56:00.000-03:00

O ISSA Day deste mês está marcado para o próximo dia 26 de junho (nesta quinta-feira). Nesta edição, o capítulo Brasil da ISSA conta com o patrocínio da Fortify e da Leadcomm e com uma apresentação de Leonardo Cavallari sobre o Ranking OWASP TOP 10.

O Capítulo Brasil, por meio de seus voluntários, realizou a tradução do OWASP TOP 10 2007, um documento que reúne as 10 vulnerabilidades mais críticas em aplicações WEB. A versão traduzida pode ser vista aqui.

Data: 26/06 das 19h às 22h
Local: Auditório da LeadComm - Rua Samuel Morse, 120, Brooklin/Berrini (Mapa aqui)

Agenda:
19:00 - 19:15 - Welcome Coffee
19:15 - 19:30 - Abertura ISSA
19:30 - 20:00 - Palestra Leadcomm / Fortify
20:00 - 21:30 - Palestra "OWASP TOP 10", Leonardo Cavallari
21:30 - 22:00 - Coquetel de confraternização

Para inscrições, favor enviar e-mail para "presidencia arroba issabrasil.org" com o assunto "ISSA Day Junho". Informar no corpo do e-mail o seu nome completo, empresa e se é associado da ISSA Brasil (Sim / Não).

Palestra: "OWASP TOP 10" - O projeto OWASP (Open Web Application Security Project) tem como objetivo pesquisar e desenvolver ferramentas, guides para combater as falhas de segurança em aplicações web.

Sobre o palestrante:
Leonardo Cavallari Militelli é formado em Engenharia Elétrica - Modalidade Computação, pela Universidade Santa Cecília (UNISANTA) e Mestre em Engenharia Elétrica pela Escola Politécnica da Universidade de São Paulo. Mais recentemente, tornou-se especialista segurança de redes Wireless, com a obtenção da certificação GAWN, pelo SANS Institute. Atualmente, coordena a área de segurança da E-VAL Tecnologia, participa de projetos de pesquisa junto ao Núcleo de Segurança e Redes de Alta Velocidade (NSRAV) do Laboratório de Sistemas Integráveis (LSI), além de prestar serviços de consultoria e auditoria relacionados à segurança da informação em seus diversos segmentos. Suas principais linhas de atuação são segurança de infra estrutura, redes Wireless, pen-testing de redes e aplicações Web e detecção de intrusos.

Impressora foi acusada de baixar filme do Indiana Jones

2008-06-09T16:20:00.000-03:00

Essa é otima. Veio do excelente Linha Defensiva.

Pronounce Tells You How to Say It

2008-06-02T20:56:00.001-03:00

All platforms with Firefox: Whether English isn't your native language or you're just tired of wondering whether you're reading that unfamiliar word in your mind correctly, the Pronounce Firefox extension is a very handy tool. With the extension installed, highlight a word on any web page, right click, and choose "Pronounce" from the context menu. Have your speakers on, because using pronunciation audio from the Merriam Webster dictionary, Pronounce will tell you how to say it. Give it a try: milquetoast. Pronounce is a free download for all platforms running Firefox, and it's Firefox 3-ready.

Pronounce [Firefox Add-ons via gHacks]

Um pouco de F.U.D.

2008-06-01T13:03:00.002-03:00

Dois posts apocalipticos sobre segurança. Obviamente tem varias verdades neles, mas use com moderação e bom senso.

Mission Accomplished: There is NO Future in Security

8 Dirty Secrets of The Security Industry

Brain rules for PowerPoint & Keynote presenters

2008-06-01T12:55:00.002-03:00

A medida em que voce vai fazendo mais palestras e apresentações, o medo do público e o receio inicial vão diminuindo. O próximo passo é melhorar suas técnicas, "em busca da palestra perfeita".
Neste post tem alguns aspectos neurológicos interessantes envolvidos.

Blog tem que atualizar...

2008-06-01T12:52:00.003-03:00

Semana passada um colega da area, em uma reunião a trabalho me falou: "Voce precisa atualizar seu blog..."
Feliz pela ideia de que alem de mim tem mais algumas pessoas que ainda leem esse abandonado blog, resolvi postar algumas coisas fuçadas no bookmark. Valeu ! :)

Anonimato e Responsabilidade

2008-03-31T20:18:00.001-03:00

O Fernando Cima escreveu um artigo muito bacana em seu blog sobre o tema. Vale a pena ler e refletir.

Revista ISSA Brasil

2008-03-19T16:43:00.001-03:00

Hoje foi publicada no site da ISSA Brasil a Antebellum, revista eletrônica bimestral para os associados do Chapter Brasil. A revista contém artigos do ISSA Journal traduzidos para o português, artigos originais de profissionais do mercado brasileiro, colunas, entrevistas e informações do mercado de Segurança da Informação.

A primeira edição está disponível para o público no web site da ISSA, e as próximas estarão restritas aos membros desta Associação. Se você é um profissional, ou mesmo estudante, que quer mostrar o seu conhecimento, não deixe de contribuir com suas sugestões, comentários e artigos para revista@issabrasil.org.

ISSA Day Março

2008-03-18T14:00:00.003-03:00

No próximo dia 25 (terça-feira) a ISSA Capítulo Brasil/SP realizará mais uma edição do ISSA Day, patrocinado pela Companhia de Sistemas. Nesta edição do encontro, contaremos com a presença do especialista em Segurança da informação Breno Silva. Sua palestra será sobre novaas técnicas de combate a ataques distribuidos.Venha conhecer a ISSA e seja parte da solução.

Agenda:

19:00 ~ 19:15 - Apresentação da ISSA
19:15 ~ 20:15 - Apresentação Companhia de Sistemas
20:15 ~ 20:45 - Coffee-break
20:45 ~ 22:00 - Breno Silva - Detecção de worms 0day

Local: Sonesta Ibirapuera
Av. Ibirapuera, 2534, Moema - CEP:04028-002
Telefone: 2164-6000
São Paulo - SP

Inscrições gratuitas em http://www.issabrasil.org/index.php?option=com_mosforms&Itemid=87

Sobre o palestrante:

Especialista em segurança da informação na Alcatel-Lucent, é também o principal engenheiro de uma solução para detecção e mitigação de ataques DDoS e Worms.

Estudante de Física pela Universidade de Brasilia, aperfeiçoa e cria modelos matemáticos de forma a aumentar a eficiência deste produto.

Programador C para userland e kernel-space melhorou o kernel do Linux para a solução, possibilitando a captura de pacotes em taxas próximas a setecentos mil pacotes por segundo.

Criador de inumeros PoCs (exploits), e referência no SANS em vulnerabilidades de redes Wireless.

Desenvolvedor de patches e melhorias em plataforma Linux e de soluções de segurança como Shells seguros, criptografia em processos userspace através do kernel, ambientes de execução para identificação de shellcodes polimórficos e evasões de sistemas de detecção convencionais, sistema de typping dynamics, e modelos de redes neuraus utilizados na identificação de teclas através da análise do spectro sonoro emitido pelas mesmas.

Videos do You Sh0t the Sheriff

2008-01-27T10:45:00.000-02:00

Depois de alguns meses, lentamente estamos disponibilizando os videos das palestras do You Sh0t the Sheriff. Por enquanto temos a palestra de Abertura, com o Luiz Eduardo, Building a Global Hacker Community, com o Nick Farr e Detecção de ameaças internas, com o Augusto Paes de Barros. Em breve subiremos os outros. Enjoy it !

Google Maps

2008-01-09T01:04:00.000-02:00

Vi isso na Superinteressante:

Como chegar em Miami (por exemplo), saindo da Av Paulista ?
Segundo o Google Maps, basta nadar cerca de 9200Km...
Veja o item 41 deste roteiro do Google Maps...

Como fazer o que voce ama.

2008-01-09T00:14:00.000-02:00

O Anderson Ramos traduziu e publicou em seu blog um texto excelente sobre como trabalhar naquilo que voce gosta. Segundo suas próprias palavras:

"Há quase dois anos eu recebi na lista SecurityGuys um texto belíssimo enviado pelo Ronaldo Vasconcelos. Era um ensaio escrito pelo Paul Graham, um programador que também escreve sobre assuntos “que escapam um pouco de tecnologia”, como disse o Ronaldo na época. Gostei tanto que, já naquela época, tomei a decisão de traduzi-lo cuidadosamente, para que o pessoal não tão familiarizado com o inglês pudesse capturar todos os detalhes, sutilezas, ironias e provocações do texto original.

Durante o Réveillon 2008, estava eu pensando na vida, vasculhando meu cesto de idéias, quando reencontrei o ensaio. Não haveria melhor época para a tarefa. Decidi que seria um presente para todos os amigos próximos, principalmente aqueles que ainda estão tentando encontrar o seu caminho profissional. Porém, o resultado me agradou tanto e deu tanto trabalho, que eu resolvi publicá-lo, com autorização do autor, claro.

O texto fala sobre como escolher uma profissão e direcionar a carreira. A primeira reação que tive ao lê-lo foi o desejo de ter encontrado algo parecido anos atrás, pois suas observações são fortes, marcantes, polêmicas e desencadeiam um fluxo de pensamentos que todo mundo deve experimentar em algum momento da vida. O autor chega a proporcionar um método simples, mas poderoso, para dar aquela guinada na carreira com a qual muitos sonham. Como essa é a época das grandes resoluções de ano novo, espero que gostem do que vão encontrar aqui.

É longo, mas vale cada parágrafo! "

ISSA Day - Janeiro

2008-01-03T14:25:00.000-02:00

No próximo dia 23 (quarta-feira) a ISSA Capítulo Brasil/SP realizará mais uma edição do ISSA Day, patrocinado pela CLM. Nesta edição do encontro, contaremos com a presença do consultor de segurança David Thomason.

Sua palestra será sobre o uso de tecnologias de monitoração de redes para detecção de intrusos.

Inscrições aqui.

Agenda:

19:00 ~ 19:15 - Apresentação da ISSA
19:15 ~ 20:15 - Apresentação CLM
20:15 ~ 20:45 - Coffee-break
21:15 ~ 22:00 - David Thomason - Network Intelligence: The Benefits of a Passive vs. an Active Approach

Local: Sonesta Ibirapuera - Sala Caju
Av. Ibirapuera, 2534, Moema - CEP:04028-002 Telefone: 2164-6000
São Paulo - SP

Sobre o palestrante:

Depois de 20 anos trabalhando no mercado de segurança de redes, David Thomason fundou sua própria empresa de produtos e serviços de segurança. Thomason é um líder dinâmico e montou alguns dos melhores times de desenvolvimento e consultoria em segurança. Thomason é um palestrante requisitado por diversos eventos ao redor do mundo e já foi entrevistado por diversos jornais e revistas, além de programas de rádio. Após passar por empresas como a ISS e a Sourcefire, Thomason agora está proporcionando sua experiência, liderança e habilidade de comunicação para na criação de uma nova empresa de consultoria e produtos de segurança.

Brazil Off the wall

2007-12-11T10:29:00.000-02:00

Emmanuel Goldstein, da 2600, que participou do YSTS 1.0, postou a gravação de seu programa de rádio, Off the Wall, feita no Brasil, com entrevistas com o Luiz Eduardo e o Nick Farr.

Animoto

2007-12-06T23:43:00.001-02:00

Animoto é um site que permite fazer videos sincronizados com música, de forma automatizada e "cool". Para videos de até 30 segundos (como esse), é grátis.

Hashs e Colisões

2007-12-04T10:56:00.000-02:00

Este pessoal, utilizando um Playstation 3 previu quem vencerá a próxima eleição presidencial dos EUA. Para evitar influenciar os eleitores, eles não publicaram o resultado, apenas o hash MD5 do documento. Será que eles irão acertar ?
Texto muito bom e didático sobre colisões, vale a pena ler.

Pronuncia em ingles

2007-12-04T10:40:00.000-02:00

Este site fala palavras em ingles para voce. Pode ser útil...

ISSA day - Novembro

2007-11-26T14:38:00.000-02:00

No próximo dia 26 (segunda-feira) a ISSA Capítulo Brasil/SP realizará mais uma edição do ISSA Day, patrocinado pela CLM. Nesta edição do encontro, contaremos com a presença da Dra. Patrícia Peck, especialista em direito digital.

Sua palestra será sobre Direito Digital e Gestão do Risco Eletrônico nas Empresas.

Agenda:

19:00 ~ 19:15 - Apresentação da ISSA
19:15 ~ 20:15 - Apresentação CLM
20:15 ~ 20:45 - Coffee-break
21:15 ~ 22:00 - Dra. Patrícia Peck - Direito Digital e Gestão do Risco Eletrônico nas Empresas

Local: Sonesta Ibirapuera
Av. Ibirapuera, 2534, Moema - CEP:04028-002 Telefone: 2164-6000
São Paulo - SP

Faça sua inscrição aqui.

After Sh0t

2007-11-03T22:03:00.000-02:00

Pouco mais de uma semana depois do You Sh0t the Sheriff e ainda tem muitas coisas a fazer. Filmes, palestras, fotos, organizar o próximo...

Tem algumas fotos aqui e um clip aqui.
Grato a todos que foram, prestigiaram, etc. Foi uma experiencia inesquecivel pra mim.

Empregos de Seginfo em Dubai

2007-10-22T11:22:00.000-02:00

Repassando a mensagem do amigo Montanaro:

----------------------

Amigos da comunidade,

Durante o ano corrente, no meio da loucura das palestras ao redor de países no mínimo "diferentes", notei uma ótima oportunidade que gostaria de repassar para todos.

Na atual semana (até dia 27/10) estou em Dubai e andei conversando com o CEO da empresa Scanit, maior player de Segurança da Informação aqui do Oriente médio, que foi recém adquirida pelo grupo Saudi Oger (que tem um turn-over de 45 bilhões de dólares anual).

Nesse batepapo com David (CEO da Scanit), incrivelmente fiquei sabendo que brasileiros são muito bem aceitos por aqui e, acreditem, muito mais do que por questões de capacidade e competência, por questões raciais. Explico: Certa vez precisaram de um gestor para a área de SegInfo num banco aqui nos Emirados Árabes. O baixo clero (assistentes e analistas) era composto por locais, paquistaneses, iranianos, indianos, Philipinos, etc. Nesse sentido, não poderiam trazer um europeu porque eles achavam que não ia saber lidar com o baixo clero, ou seja, aconteceria uma revolução abaixo dele. Se trouxessem um indiano, achavam que este encobriria os erros de sua equipe, uma vez que são bem unidos. Se trouxessem um americano, ia sofrer de um índice de rejeição altíssimo. Se trouxessem um chinês ou japonês, culturalmente não se encaixaria nesse tipo de empresa aqui nos Emirados Árabes (pela diversidade racial, etc). E, ademais, não existem centros de capacitação ou comunidades de Segurança por aqui, ou seja, o povo local simplesmente não conhece nada de SegInfo. Sobraram então os latino-americanos que são proficientes em Segurança da Informação, ou seja, por pura eliminação restaram os Brasileiros e Argentinos. Aqui em Dubai mesmo existem exemplos de brasileiros e argentinos que estão se dando bem em cargos bons em empresas locais (e no exemplo acima inclusive quem assumiu o cargo foi um brasileiro muito conhecido por nós que estamos há alguns anos no "cenário") ;)

A Scanit desenvolveu um portal de recursos humanos focado em Segurança da Informação para trabalhos principalmente no oriente médio (tem alguns cargos para malásia e outros tb). Para o interessado, o uso é gratuito. Portanto, após me certificar de exemplos de pessoas que se deram bem por aqui (e, convenhamos, não é à toa que estou por aqui), recomendo pessoalmente que acessem e cadastrem currículos no endereço:

http://hr.scanit.net

É uma boa dica para todos os amigos brasileiros, uma vez que senti na pele que as empresas daqui:

1) Pagam muito bem
2) Precisam de pessoas capacitadas e culturalmente/racialmente compatíveis
3) Precisam de pessoas para início imediato

Abraços e boa sorte :)

Domingo Martin Montanaro Barrales
Perito em TI

You Sh0t The Sheriff

2007-10-15T20:13:00.000-02:00

Para quem não nos conhece, fazemos um podcast sobre segurança da
informação chamado "I Sh0t the Sheriff". Desde o início, o programa
tem uma forma descontraída e informal, onde discutimos e divagamos
sobre as ultimas notícias sobre segurança da informação. A
periodicidade é (mais ou menos) semanal, e até o momento já fizemos 37
edições.

Nessa mesma linha, criamos um evento onde pretendemos atingir todo tipo
de profissional de seginfo, com conteúdo técnico de primeira linha
para os gestores e
assuntos gerenciais que agradarão os escovadores de bits.

Vem ai o You Shot The Sheriff, com a presença confirmada de:

Emmanuel Goldstein - Fundador da 2600, The Hacker Quarterly.

Nick Farr, co-fundador da "The Hacker Foundation"

Felix "FX" Lindner, líder da Recurity-Labs

Adriano Cansian - UNESP, coordenador do ACME Security Labs

Augusto Paes de Barros - Consultor de Segurança da Tempest Security Intelligence

Eduardo Camargo Neves - Security Officer da Philip Morris Latin America

Eldon Sprickerhoff - eSentire Inc.

Luis Miras - Pesquisador de Segurança e Engenharia Reversa

Rodrigo Rubira Branco (BSDaemon) - Engenheiro de Software da IBM

O evento será um open-bar em São Paulo, no dia 24 de outubro, durante
o dia, somente para convidados de nossos patrocinadores. Confira a
lista e peça hoje mesmo um dos poucos e disputados convites.

Mas, se voce não conseguir de jeito nenhum, pode tentar a sorte.
Ouça nesta semana a próxima edição do Podcast I Shot the Sheriff (edição 37) e
saiba como ganhar um convite.

Rebootando o cérebro

2007-10-02T12:30:00.001-03:00

Dormiu mal a noite passada ? Tome uma xícara de café, feche os olhos e fique quieto por 15 minutos (não mais do que isso). Após este breve período, voce deverá estar revigorado... Pelo menos é o que dizem aqui...

ISSA Day - Setembro

2007-09-25T10:16:00.000-03:00

É hoje !!

próximo dia 25 (terça-feira) a ISSA Capítulo Brasil/SP realizará
mais uma edição do ISSA Day, que será patrocinado e acontecerá nas
dependências da DARYUS (www.daryus.com.br). Nesta edição do encontro,
contaremos com a presença de um palestrante internacional, o Sr. Ralph
Thomas, gerente do time de pesquisa de códigos maliciosos da VeriSign.
Sua palestra será sobre as tendências em fraudes eletrônicas e formas
de defesa.

Agenda:

19:00 ~ 19:15 - Apresentação da ISSA
19:15 ~ 20:15 - Apresentação Daryus
20:15 ~ 20:45 - Coffee-break
21:15 ~ 22:00 - Palestra "Cyber Fraud Trends and Mitigation", Ralph
Thomas (VeriSign)

Local: DARYUS Strategic Risk Consulting

Av. Paulista, 1009, 11o andar, cjto 1102 - São Paulo - SP
Tel: (11) 3285-6539

Inscrições, a partir de 24/09, através do site da ISSA Brasil:
http://www.issabrasil.org

Cyber Fraud Trends and Mitigation //
Ralph Thomas

Phishing Trojan horse programs are not traditional bots, but
sophisticated and original pieces of malicious code. Since iDefense
began tracking the technique in May 2006, the attackers have quietly
seeded dozens of variants into the wild to target at least 30 specific
banks. These attackers had intimate knowledge of each targeted bank's
Web infrastructure and built a sophisticated command-and-control
system that completely automated the attacks. The authors believe that
criminal organizations are using these phishing Trojans to compromise
millions of bank accounts across the globe. These Phishing Trojan
attacks can defeat sophisticated authentication schemes that security
experts previously thought to be rock solid.

This presentation discusses mitigation techniques that work and fail
in light of these new malicious code attacks. The audience will be
given an overview on malicious code attacks against the financial
infrastructure as well as an introduction into banking authentication
schemes. The presentation also includes cyber-fraud detection and
mitigation strategies.

iDefense Security Intelligence Services, VeriSign(r) (http://labs.idefense.com/)

BIO
====

Ralph Thomas, Manager - iDefense Malicious Code Operations

Mr. Thomas heads the iDefense Malicious Code Operations Group. This
group is responsible for the active collection of open-source
intelligence, and for the reporting and analysis of public reports and
outbreaks of malicious code. Mr. Thomas also directs the malicious
code research lab in iDefense, which is tasked with the development of
tools for discovery and analysis of malicious code and related
threats. Before joining iDefense, Mr. Thomas worked as Principal
Computer Forensics Consultant in several data acquisition and
litigation support projects and served as expert witness in federal
court. Early in his career Mr. Thomas designed hardware and real-time
software in the controls and digital television sectors before turning
his attention to enterprise software. A Certified Lotus Specialist, he
has expertise in e-mail archiving, document imaging, Siebel, SAP, and
Oracle Applications. Mr. Thomas holds a Masters of Science degree in
Electrical Engineering from the University Dortmund, Germany.

Os 10 mandamentos da etiqueta em celulares

2007-09-12T20:56:00.000-03:00

ripado do blog do Weber Ress

Os 10 mandamentos da etiqueta em celulares

publicado no www.efetividade.net

I - Não sujeitarás o próximo à obrigação de ouvir tuas conversas - quem está em uma situação em que as pessoas ao seu redor não poderão escapar da banalidade de suas conversações, como em um ônibus, mesa de restaurante ou taxi, deve refrear seus impulsos e falar apenas o inevitável.

II - Não configurarás o ringtone MP3 para tocar La Cucaracha em todas as ligações - Ou a quinta sinfonia de Beethoven, ou Bee Gees, ou qualquer sucesso recente que ninguém aguente mais. Ter de ouvir o seu telefone tocar já é chato, mas ouvir uma mesma melodia todas as vezes pode ser insuportável.

III - Desligarás teu celular em eventos públicos, cerimônias e reuniões - ou você quer correr este risco ?

IV - Não carregarás contigo mais do que 2 aparelhos sem fio - a tendência do mercado parece ser querer que transportemos verdadeiros bat-cintos de utilidades conosco todo o tempo. Diga não e obrigue os fabricantes a oferecer maior integração de suas soluções.

V - Não discarás enquanto diriges - já há pessoas suficientes no mundo tendo problemas para se comunicar ou para dirigir. Juntar as duas coisas é sinônimo de problemas maiores, além de ser contra a lei.

VI - Não transformarás acessórios bluetooth em bijouteria - Use o seu fone bluetooth sempre que estiver em uma ligação e quiser manter as mãos livres, mas retire-o e guarde-o imediatamente após.

VII - Não falarás mais alto ao celular do que falarias em outro telefone - Os microfones dos celulares já estão bastante desenvolvidos, e se o sinal estiver ruim, falar mais alto não vai melhorar nada - a não ser que a pessoa esteja de fato ao alcance da sua voz.

VIII - Não amarás teu celular - a dependência de estar sempre em contato é perigosa. Saiba em que momentos cortar os laços.

IX - Não tentarás impressionar com teu celular - usar celulares e smartphones não impressiona positivamente a mais ninguém - no máximo dá aquela impressão de que você está querendo se mostrar. Seja discreto e trate seu celular com naturalidade.

X - Não colocarás teu celular sobre a mesa do almoço para o caso de ele tocar - Não estamos no velho oeste. Se o seu celular tocar, você o ouvirá ou perceberá. Mantenha-o em seu lugar.