Projeto OWASP Broken Web Applications
27 de Março de 2010, 0:00 - sem comentários aindaO OWASP Broken Web Applications é uma máquina virtual contendo uma coleção de aplicações Web vulneráveis e várias ferramentas para explorar estas vulnerabilidades. O principal objetivo deste projeto é prover num único lugar todas as ferramentas necessárias para o estudo de vulnerabilidades em diversas aplicações Web. Servindo também para:
* Aprendizado sobre segurança de aplicações Web;
* Técnicas manuais de avaliação;
* Técnicas de avaliação automatizadas;
* Ferramentas de análise de código.
Este projeto encontra-se na versão 0.91rc1 e nela poderemos encontrar as seguintes ferramentas e aplicações:
OWASP WebGoat version 5.3-SNAPSHOT (Java)
OWASP Vicnum version 1.4 (PHP/Perl)
Mutillidae version 1.3 (PHP)
Damn Vulnerable Web Application version 1.06 (PHP)
Ghost (PHP)
Peruggia version 1.2 (PHP)
OWASP CSRFGuard Test Application version 2.2 (Java)
OWASP AppSensor Demo Application (Java)
Mandiant Struts Forms (Java/Struts)
Simple ASP.NET Forms (ASP.NET/C#)
Simple Form with DOM Cross Site Scripting (HTML/JavaScript)
Antigas versões de aplicações reais:
WordPress 2.0.0 (PHP, released December 31, 2005, downloaded from www.oldapps.com)
phpBB 2.0.0 (PHP, released April 4, 2002, downloaded from www.oldapps.com)
Yazd version 1.0 (Java, released February 20, 2002)
Clique em DOWNLOAD para baixar a versão mais recente deste projeto.
See:
Beta-Testing: Ossec 2.4 Beta
26 de Março de 2010, 0:00 - sem comentários ainda
A versão beta do Ossec 2.4 já está disponível para download. Veja a lista de novidades:
1.Suporte para MSE (Microsoft Security Essentials).
2. Daily Reports.
3. Support para check_diff
4. Adicionada opção one-way para o agente lidar com sistemas onde o manager não pode responder às solicitações de keep alive.
5. Regras para ignorar crawlers causando errors 404s (MSN, Google, Yahoo, etc).
6. Implementado o ossec-logtest para ser usado em análise forense de logs.
7. Support para logging de modulos sem agente.
Veja lista completa de melhorias
Contribua com o desenvolvimento do Ossec baixando a versão BETA, testando e reportando erros.
See:
Novidades FLISOL 2010 Salvador
24 de Março de 2010, 0:00 - sem comentários ainda
Devido ao crescente número de submissões de palestras para o FLISOL 2010 Salvador conseguimos junto as Faculdades Area1FTE mais uma sala para realização de palestras.
Com isso estamos criando um nova grade destinada a palestras para iniciantes e outros temas que não sejam Segurança e Sysadmin. Nesta nova grade já estão inclusas as palestras sobre o Inkscape do palestrante Aurium e sobre Foswiki do palestrante Antonio Terceiro.
Convidamos a todos que submetam suas palestras até o dia 03/04 quando fecharemos definitivamente a grade. Daremos prioridade as palestras com temas focados nos usuários iniciantes e a novos palestrantes.
As palestras devem ser enviadas para flisol2010@gmail.com até o dia 03/04.
See:
Grade de Palestras FLISOL 2010 Salvador
23 de Março de 2010, 0:00 - sem comentários ainda
Dos 3 anos que venho colaborando com o FLISOL este foi um dos melhores em submissões. A concorrência foi muito forte, os temas abordados foram de alto nível e o mais estranho é que a maioria quase que absoluta eram temas técnicos.
Por isso resolvemos fazer um temário totalmente técnico abordando temas ligados a Segurança e Sysadmin dando oportunidade a novos palestrantes e com convidados ilustres como Joaquim Espinhara e o Hugo Dória.
Pedimos desculpas ao nosso grande amigo e companheiro de luta Aurium por não adicionar suas palestras sobre o Inkscape, infelizmente possuimos somente uma sala para palestras e aproveitamos para dar oportunidade aos novos já que o Aurium tem cadeira cativa em todas as edições do evento.
Seguem palestras do FLISOL 2010 em Salvador:
Ekaaty 4 Desktop Cristiano Furtado
HNTool – Ferramenta para Hardening de Servidores Palestrantes Rafael Gomes e Hugo Dória
“Atacar” e Proteger sistemas de informação utilizando Software livre e uma dose de Pitu Palestrante Joaquim Espinhara
Explorando Softwares Vulnerabilidades Palestrante Anderson Eduardo
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas Palestrante. Alexandro Silva
Gerenciando servidores com o Spacewalk Palestrante Hugo Dória
Varnish: Uma camada de velocidade Palestrante Alexandre Haguiar
Maiores informações: FLISOL Salvador
See:
Bacula: Gestão de Backup Distribuida – Conceitos
16 de Março de 2010, 0:00 - sem comentários aindaDe acordo com a norma NBR ISO/IEC 17799:2005:
12.1.3 Salvaguarda de registros organizacionais
Convém que registros importantes de uma organização sejam protegidos contra perda, destruição e falsificação. Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutários ou regulamentações, assim como para apoiar as atividades essenciais do negócio…
Para atender este controle da norma torna-se imprescindível a implantação de um sistema de backup. Existem vários sistemas pontos para realizar está tarefa dentre vários posso citar algumas estrelas do mundo proprietário:
* ArcServe
* BackupEXEC
Porém posso destacar dentro da vasta lista de ferramentas livres o Bacula. Ele anda lado a lado com os softwares citados anteriormente sem dever nada ( veja Current State). As poucas “limitações” encontradas são:
* Não possuir agentes para banco de dados. Porém antecipo que isso não venha a ser uma grande limitação como mostrarei mais tarde.
* Sua configuração é um pouco complicada para quem não tem muita experiência.
Porém depois de configurado o Bacula mostra que não deve nada a ninguém, ele da conta do recado e sobra em funcionalidades.
Veja um comparativo entre os diversos softwares de backup
Antes de apresentar um completo how-to sobre o Bacula preciso falar sobre alguns conceitos importantes para o bom entendimento não só da ferramenta, mas de todo o conceito por trás da arte de manter cópias de segurança do seus dados.
Estratégias
O básico de tudo é entender as possíveis estratégias de backup, a melhor estratégia é aquela que atende suas necessidades. Alguns itens que ajudarão na escolha são:
* O que irei guardar?
* Qual o tamanho dos dados que serão guardados?
* Qual tipo de mídia utilizar? Fita, CD, DVD, HD?
* Os dados serão mantidos por quanto tempo?
* De acordo com o valor da informação qual o tempo de recuperação ideal?
Após responder estes e outros questionamentos você estará habilitado a definir a melhor estratégia
Backup Completo ( Full )
Faz um backup completo dos dados. Uso recomendado na inexistência de uma política de backup. A grande desvantagem é a quantidade de espaço ocupado, consequentemente os dados não serão mantidos por muito tempo. Dependendo do volume de dados a rotatividade máxima será semanal.
Backup Diferencial
Este tipo de estratégia é bastante interessante para quem ainda não confia em suas estrutura de backup. Aqui é gerado um backup full e vários backups diferenciais. O backup diferencial é o somatório do que foi alterado após o full, isto significa que para recuperar os dados somente são necessários o full e o último backup diferencial. A grande vantagem é a diminuição da quantidade de volumes e o restore não necessita de todos os diferenciais gerados.
Backup Incremental
Nesta estratégia após o backup full serão gerados backups incrementais. Para fazer o restore serão necessários os volumes full e todos os volumes incrementais. Ela se aplica a uma estrutura totalmente confiável de backup pois se qualquer volume estiver danificado o restore não será realizado.
Seus backups poderão seguir as rotações diárias ( full ), semanais e mensais. Para reduzir os custos com mídia o ideal é fazer a reciclagem dos volumes.
Exemplo de rotação semanal:
Dom – Backup Full
Seg a sexta-feira – Backups Diferenciais
Reciclagem – Semanal ou Quinzenal
Como informei anteriormente a melhor estratégia é aquela que une eficiência e menor custo. Na conclusão do segundo post apresentarei a minha experiência com o Bacula na Colivre