Às vezes me pego há pensar: em terra que ainda se conta nos dedos a figura do CSO (Chief Security Officer) quando as empresas terão um CCO (Chief Continuity Officer)?

Sabemos que muitas empresas, principalmente instituições financeiras que estão sujeitas a regulamentações como Basileia 2, existe profissionais ou áreas responsáveis por CONTINGÊNCIA, essa bem diferente de Continuidade de Negócios.

O CCO é um EXECUTIVO responsável não só por controles, soluções buscando contingência de ativos que suportam o negócio, como planos estratégicos buscando vantagens competitivas e continuidade dos negócios.

Com a publicação da BS 25999 as possibilidades desse profissional aparecer aumenta, e caso essa BS vire ISO e a mesma certifique uma empresa, tornando ela "compliance" em continuidade de negócios, creio que o valor dessa certificação tenha peso maior que a própria certificação de um ISMS (Information Security Management System).

Sim eu sei que um dos controles da ISO 27001 trata de continuidade de negócios e que a SOX exige conformidade com BCP, mas, os controles sugeridos pela ISO e exigidos pela SOX estão longe de fazer a diferença na imagem da empresa.

Quando falo que uma empresa terá muito mais valor quando certificada em Continuidade de Negócios do que em Segurança da Informação, associo essa certificação a garantia de que a empresa garante a sua continuidade através do envolvimento de todo Supply Chain, que seus principais fornecedores são incluídos em testes do plano, que ela possui uma estratégia que garanta que aquela empresa lá em Israel que é a única empresa que fabrica sua principal matéria prima, tenha um plano de contingência ou que ela tem uma alternativa caso não consiga lhe entregar a matéria prima.

Isso é o que eu espero, mas, o futuro a Deus pertence. Ou seria o Gartner?

A SPI Dynamics divulgou mais um paper sobre injeção de códigos, o paper demonstra um ataque a implementações feed RRS/ATOM.

Só não concordo com o título "Feed Injection in WEB 2.0", os feeds estão ai há muito tempo, muito antes da "tal" WEB 2.0

Feed Injection in WEB 2.0

O IT Examination HandBook da Federal Financial Institutions Examination Council é uma excelente referência para gestão de segurança, elaboração de políticas e procedimentos.

O Guide trata de tópicos como: Análise de riscos; como medir efetividade dos controles; processo de aquisição e desenvolvimento de software; outsorcing de segurança; continuidade de negócios; monitoramento de segurança; tratamento de logs; e gestão de incidentes de segurança.

O Guide é mais gerencial, não segue a linha "técnica" de OSSTMM, ISSAF e outros.

IT Examination Handbook
Federal Financial Institution Examination Council

O AJAX MAssive Storage System (AMASS) é um script que permite incluir um volume de dados muito maior que o permitido pelo internet explorer (64k) na maquina cliente.

Ao passar dos 100k o script dispara um aviso perguntando para o cliente se ele permite armazenar os dados na maquina cliente.

Esse script foi criado para você desenvolver alguma aplicação que necessite disso, por isso ele avisa e possibilita que você não aceite.

Agora imagine isso usado por alguém mal intencionado, o desenvolvedor diz ter realizado testes conseguindo armazenar na maquina client até 10 mb.

As possibilidades de exploração são inúmeras. Combinado com o excesso de privilégio dos Browser, pode-se injetar um código e executar.

O AJAX MAssive Storage System (AMASS)

Na base de dados do MSDN se encontra um excelente conteúdo sobre desenvolvimento seguro.

O conteúdo está dividido em tópicos que tratam desde arquitetura, validação de inputs, modelagem de ameaças até defesa em profundidade.

Arquitetura

Decomposição da Aplicação

Validação de inputs

Modelagem de Ameaças

Arvore de Ataques

Chapter 1- Web Application Security Fundamentals
Chapter 2 – Threats and Countermeasures
Chapter 3 – Threat Modeling
Chapter 4 – Design Guidelines for Secure Web Applications
Chapter 5 – Architecture and Design Review for Security
Chapter 6 - .NET Security Overview
Chapter 7 – Building Secure Assemblies
Chapter 8 – Code Access Security in Practice
Chapter 9 – Using Code Access Security with ASP.NET
Chapter 10 – Building Secure ASP.NET Pages and Controls
Chapter 11 – Building Secure Serviced Components
Chapter 12 – Building Secure Web Services
Chapter 13 – Building Secure Remoted Components
Chapter 14 – Building Secure Data Access
Chapter 15 – Securing Your Network
Chapter 16 – Securing Your Web Server
Chapter 17 – Securing Your Application Server
Chapter 18 – Securing Your Database Server
Chapter 19 – Securing Your ASP.NET Application and Web Services
Chapter 20 – Hosting Multiple Web Applications
Chapter 21 – Code Review
Chapter 22 – Deployment Review

Também não posso deixar de falar do Guide do OWASP e do Top10 que foi traduzido pelo capítulo Brasil do OWASP.

OWASP Guide
Top10 OWASP [Português]

Participem da lista de discussão do OWASP Brasil

Mapping The Global Future é um relatório preparado pela National Intelligency Council (NIC) que faz uma visão de longo prazo do futuro.

O objetivo não é fazer uma previsão, mas sim, um exercício sobre o que nos espera no futuro e como nos preparar para isso. Sem dúvida muito interessante.

Também está disponível o livro: O Relatório da CIA: Como Será o Mundo em 2020, que tem prefácio de Heródoto Barbeiro da CBN.

Mapping The Global Future

O PIPSS (Perl Internet Protocol Scanner/Sniffer) é um sniffer baseado no ethereal que mostra de forma gráfica os protocolos.

Para quem não se familiariza com a tela preta do TcpDump ou as características do Ethereal, o PIPSS é uma opção.

Deve ficar bem interessante essas imagens em um telão. A imagem a seguir mostra o tráfego em espiral entre um gateway e um firewall.

PIPSS