O site phpfreaks publicou um tutorial de 14 páginas sobre segurança em php. O Tutorial não trás nenhuma técnica nova, mas gostei dele por estar orientado as falhas do Top Ten da OWASP. Ao invés de uma lista de dicas, eles estruturaram o conteúdo. O tutorial pode ser acessado no site ou você pode baixar um pdf.

A HP utilizando a tecnologia que adquiriu comprando a Spidynamics lançou uma ferramenta freeware chamada Scrawlr para procurar por Sql Injections.

A iniciativa foi em conjunto com a Microsoft, mais detalhes você pode conferir em um post no blog da Conviso.

Vale ressaltar que as ferramentas automatizam o processo, mas ainda tem dificuldades em ataques complexos.

O MAS (Monetary Authority of Singapore) acaba de atualizar seu guideline de gestão de risco relacionado a Internet Banking.

O IBTRM (Internet Banking and Technology Risk Management) está disponível para download no site do MAS.

As soluções de controle de dispositivos USB estão em alta. Eu cheguei até esta ferramenta freeware da Nirsoft.

Ela monitora dispositivos USB locais e remotos, gera relatórios HTML e possibilita que você bloqueie dispositivos.

Não é nenhuma solução completa de DLP (Data Leak Protection) mas, pode ser útil.

Recentemente o pesquisador Sebastian Muniz da Core Security falou na EuSecWest Conference sobre o desenvolvimento de Rootkits para o Cisco IOS.

A notícia foi dado com um certo alarde pelas comunidades de segurança. A Cisco divulgou um documento sobre como tratar esta possibilidade de infecção por um Rootkit.

O paper basicamente trata de boas práticas de hardening (Controle de Acesso, Logs, etc...) e obviamente fala da utilização de hash para validação de integridade do IOS. Vale a leitura.

Qualquer atividade com certa complexidade e que envolva um conjunto de atividades que devem ser executadas de forma estruturada para que se alcance o objetivo desejado, necessita de um método claro e documentado.

Muitos profissionais citam alguns pontos negativos da utilização de uma metodologia:

• Um método previamente descrito limita as ações/técnicas do analista;
• Teste de intrusão é uma arte e não uma prática;

Eu vejo um certo desconhecimento do que é metodologia quando vejo citações como essa. Afinal, metodologia não é instrução de trabalho e sim uma descrição dos métodos para chegar aos resultados.

O que são métodos?

“A palavra método vem do grego méthodos, (caminho para chegar a um fim). O método científico é um conjunto de regras básicas para desenvolver uma experiência a fim de produzir novo conhecimento, bem como corrigir e integrar conhecimentos pré-existentes. Na maioria das disciplinas científicas consiste em juntar evidências observáveis, empíricas (ou seja, baseadas apenas na experiência) e mensuráveis e as analisar com o uso da lógica. Para muitos autores o método científico nada mais é do que a lógica aplicada à ciência (Haddad).
Metodologia literalmente refere-se ao estudo dos métodos e, especialmente, do método da ciência, que se supõe universal. Embora procedimentos variem de uma área da ciência para outra (as disciplinas científicas), diferenciadas por seus distintos objetos de estudo, consegue-se determinar certos elementos que diferenciam o método científico de outros métodos (filosófico, algoritmo – matemático, etc.).”
Fonte: Wikipedia

Para que serve a Instrução de Trabalho?

“a mesma tem como função básica definir todo o funcionamento de um processo, para que os envolvidos entendam o mesmo de um forma só, considerando que todas as suas etapas são fundamentais, e quando no caso de uma auditoria o mesmo tenha os seus processos definidos e documentados e sendo o mesmo deverá realizar através de inspeção e ou auditoria interna se o mesmo processo atende o documento elaborado ou vice e versa.”
Fonte: ISO 9001

Esclarecendo este ponto, fica claro que um pen-test necessita sim de uma metodologia clara. Os seguintes pontos podem estar descritos na metodologia:

• Quais as etapas serão seguidas para atingir o resultado;
• Qual o papel de cada analista no processo;
• Como será manuseada e armazenada as informações do cliente;
• Como será divulgada informações confidenciais que forem identificadas;

Ao contrário de que alguns pregam, metodologia não é diferencial é obrigação, exija sempre que contratar um serviço de consultoria.

A VMware em conjunto com a Tripwire desenvolverão uma ferramenta gratuita para verificar a as configurações buscando por falhas que podem comprometer a segurança do ambiente.

A ferramenta chama ConfigCheck.

Legenda:

Escola:
- Olá, aqui é da escola do seu filho. Nós estamos tendo um problema com o computador.
Mãe:
- Nossa, ele quebrou alguma coisa?
Escola:
- De certa forma... Você realmente deu ao seu filho o nome de Robert'); DROP TABLE Alunos;--?
Mãe:
- Ah, sim! Nós chamamos ele de pequeno Bobby Tables.
Escola:
- Bem, nós perdemos todos os registros dos alunos deste ano. Espero que esteja satisfeita.
Mãe:
- E eu espero que vocês tenham aprendido a sanitizar entradas no banco de dados.

Fonte: ISTF - Marcos Machado

A Apple acaba de lançar um guide sobre configurações de segurança em seu sistema Operacional (Leopard). Bela iniciativa da Apple.

Não deixe de conferir mesmo que não seja usuário de Mac, pois o guide tem muitos detalhes e é bastante útil para profissionais de segurança.

Leopard Security Config

A Microsoft disponibiliza uma série de recursos para aumentar a segurança no desenvolvimento de software, desde guides, bibliotecas, até características do próprio Visual Stúdio.

Este artigo do Weber Ress mostra algumas preocupações e dicas de bibliotecas e neste link você pode encontrar tudo sobre as características de segurança do Visual Studio.