A área de Segurança de Informação ou Segurança de TI é uma das áreas com maior peculiaridade dentro das empresas, pois é ela quem define os controles e mecanismos físicos e lógicos que devem ser adotados pela empresa para mitigar ameaças e reduzir riscos, estes muitas vezes diretamente associados ao negócio. Essa situação se agrava […]
Cada vez mais, com o processo de eliminação do papel, vantagem competitiva e velocidade dos negócios, os processos antes realizados em papel são substituídos por sistemas e tecnologias que apóiam decisões, facilitam o gerenciamento e aprovações de solicitações, entre outros. A tal “informática” evoluiu e se transformou em Tecnologia da Informação – TI, e isso […]
Quais são as melhores práticas para desenvolver um código de qualidade? Existem diversas metodologias disponíveis para tratar desses assuntos, como o guia de desenvolvimento da OWASP e o modelo de maturidade de software OpenSAMM do Pravir Chandra, livros como o Software Security: Building Security In do Gary McGraw, entre diversas outras referências, modelos de SDLC […]
Recentemente, a Symantec divulgou os resultados de sua pesquisa anual sobre cyberataque, a qual mais uma vez revela o aumento de ataques virtuais e os custos consequentes a estes. Este estudo considerou 2100 empresas de todo mundo, sendo 73 brasileiras. Para se ter uma idéia, 100% empresas consultadas disseram ter sofrido algum tipo de perda […]
Há um bom tempo estudamos a efetividade dos scanners de aplicação Web e, apesar das melhorias observadas nessas ferramentas, ainda está longe de podermos confiar cegamente nos resultados obtidos por elas. Recentemente, Larry Suto, pesquisador que ficou famoso por um estudo comparativo entre três grandes ferramentas (Webinspect, AppScan, NTOSpider) em 2007, do qual os resultados […]
Durante a sexta edição da H2HC, aconteceu o primeiro H2CSO, um encontro apoiado pela Decision Report que colocou hackers e CSOs, gerentes e diretorias que respondem pela segurança da informação, juntos em um fórum para debate e aproximação dos dois lados da “força”. Estavam presentes CSO de diversas empresas como Daniel Sobral, da Friboi, Antonio […]
Hoje em dia com os inúmeros ataques via aplicações web com banco de dados e suas facilidades, o uso de WAF (Web Application Firewall) está sendo mais comum. O WAF pode trabalhar basicamente de 3 formas: Blacklist, Whitelist e Profiling, sendo que a mais comum aplicada (mais fácil de ser implementada) é blacklist, onde são […]
Nos dias 28/29 de Novembro deste ano ocorrerá a sexta edição da Hackers 2 Hackers Conference, a famosa H2HC, que ocorrerá no Novotel Morumbi em São Paulo Capital, o evento como em todos anos com bastante novidades liderada pelo famoso pesquisador Rodrigo Rubira Branco (BSDaemon) e Filipe Balestra vão tentar surpreender novamente os expectadores com […]
Após uma longa viagem de 23 horas com mais 11 horas de diferença de fuso horário, eu, Bruno, chego a Malásia onde seria a sede da maior e mais respeitada conferência hacker da Ásia, a Hack In The Box, a conferência aconteceu no Crowne Plaza Multiara no coração da capital Kuala Lumpur; como já suspeitava […]
Recentemente o blog do Metasploit divulgou uma nova funcionalidade do famoso framework, entendendo que vários administradores possuem restrições quanto ao acesso a serviços/portas na Internet, e é cansativo o acesso manual de porta a porta para o tal ataque, agora os pentesters de plantão ficarão um pouco mais aliviado! O novo payload reverse_tcp_allports tenta fazer a […]