• Easy Thumbnails Software -- Free thumbnail utility from Fookes Software
  Ferramenta para tratar e redimencionar imagens em lote.
  (tags: imagens Tools)
• blog.tenstep.com.br » ERROS COMUNS COMETIDOS NA CRIAÇÃO DAS ESTIMATIVAS
  Artigo interessante sobre erros comuns cometidos na estimativas de projeto
  (tags: GerenciamentoProjeto)
• Segurança de host
  Artigo bem antigo, mas dá uma visão dos padrões TCSEC, ITSEC e CC
  (tags: Security Padrões)

Eu sou leitor assíduo de um site chamado HowStuffWorks, não preciso nem traduzir o título do site. Eles acabam de escrever um artigo bem interessante (apesar de ser escrito para leigos) sobre a cultura, hacker.

O artigo chamado "Como funciona a cabeça de um hacker" está estruturado em 8 tópicos:

1 - Introdução
2 - Tipos de hackers e suas características
3 - O que motiva o hacker
4 - Como atacam os hackers
5 - A ciência do hacking
6 - Hackers que fizeram história
7 - O glossário do hacker
8 - Mais informações

O artigo começa esclarecendo como surgiu a cultura e qual a origem do termo hacker e passa por termos conhecidos como:

Leet ("lito" como diria meu amigo Wendel): A própria palavra leet admite muitas variações, como l33t ou 1337. O uso do leet reflete uma subcultura relacionada ao mundo dos jogos de computador e internet, sendo muito usada para confundir os iniciantes e para firmar-se como parte de um grupo.

White Hats (hackers éticos): Seguem a mesma linha de pensamento original do hacking. Gostam apenas de saber e conhecer mais das coisas, principalmente as fechadas ao público. Para essas pessoas, aprender é a diversão mais importante do mundo. Elas gastam boa parte de seu tempo estudando o funcionamento do que as cerca, como telefonia, internet e protocolos de rede e programação de computadores.

No mundo da segurança de sofware, os hackers éticos são os responsáveis por “informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre, como o sistema operacional GNU/Linux.

O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa faz mau uso do poder. A quebra da segurança do iPhone, que bloqueia o seu funcionamento com outras operadoras de telefonia, foi um notável ato de um White Hat.

Black Hats (hackers mal-intencionados): Assim como os White Hats, os Black Hats também são movidos pela curiosidade. O que os distingue é o que cada um faz com a informação e o conhecimento.

O Black Hat vê poder na informação e no que ele sabe fazer. São aqueles hackers que descobrem uma vulnerabilidade em um produto comercial ou livre e não contam para ninguém até que eles próprios criem meios de obter dados sigilosos de outras pessoas e empresas explorando a vulnerabilidade recém-descoberta.

Essa espécie de hacker é responsável por gerar a terceira espécie, os script kiddies. Eles surgem quando cai na rede uma ferramenta ou técnica de invasão criado por um grupo de Black Hats.

Por ser escrito de forma simples e para leigos, esclarece vários pontos comumente confundidos por quem não é da área. Vale destacar as referências, que vão de Barata Elétrica (Conteúdo não "hard", mas quem não leu?), um mirror do site Unsekurity e os tradicionais phrack, securityfocus e packetstorm.

• Security Compass - Application Security Canada
  Extensão para firefox que testa SQL Injection e Cross Site Scripting (XSS)
  (tags: extensao pentest)

A coisa está ficando ótima para quem trabalha com Continuidade de Negócios. Calma, não estou falando que estamos ganhando rios de dinheiro ou que o mercado está bombando. Eu me refiro a quantidade de padrões que estão surgindo para embasar argumentos que muitas vezes ecoavam nos corredores sombrios das organizações e nada era feito.

O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.

Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.

Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.

Série 28000 - Security management systems for the supply chain

Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?

ISO/PAS 22399 - Guideline for incident preparedness and operational continuity

Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.

Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!

Todo profissional de segurança adora falar coisas como estas:

• Não existe segurança 100%
• Segurança é equilibrio

Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?

• Gerar grafico de DNS
  Ferramenta que gera um grafo do DNS
  (tags: DNS)

• USVN - UserFriendly SVN
  Ferramenta web para configuração e gestão de Subversion
  (tags: subversion)
• pootle [TranslateWiki]
  Projeto que localiza e traduz documentações
  (tags: traducao)

Eu nunca gostei de flash em sites web, ainda mais agora que existe inúmeras opções para fazer RIA (Interface Rica) de forma muito mais limpa.

Depois destas apresentações então, estou fora!

1 - Finding Vulnerabilities in Flash Applications

2 - Testing Flash Applications

Já não é novidade que eu me interesso por segurança em aplicações SCADA. Sempre que encontro uma notícia eu dou pesquisada para ver se encontro mais informações. O próximo passo é brincar com um simulador, afinal ainda não tive a oportunidade de mexer em um ambiente deste.

Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante.

1 - Um cliente web para SCADA;

2 - Um Scada Open Source;

3 - Uma HoneyNet SCADA;

4 - Link Encryption para SCADA.

O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP.

Quando aqui no Brasil vamos ter soluções que são muito mais que recursos de HA (Alta Disponibilidade)?

O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação.

• Linha de Código - Série Conhecendo Ferramentas de Automação para Teste de Software - WEBLOAD - Parte 3
  Terceira parte de um artigo sobre ferramenta de testes para aplicações web
  (tags: testes artigo)
• CSS Redundancy Checker
  ferramenta online para checar css.
  (tags: css AplicacaoWeb)
• Thomas Alexander Semple - Implementando Chave de Segurança Web com IHttpModule
  Validando sistemas por IHttpModule
  (tags: webdev)