230Voltz

Voltando a ativa pra falar de uma ferramenta muito legal para forense.
Durante um trabalho de construção de laudo para a cadeira de Forense Digital, meu colega Ricardo Alves descobriu o PTK. Uma ferramenta Open Source para coleta e analise de informações em imagens de discos.
Se você costuma usar o Autopsy recomendo dar uma olhada nesse cara. Vale a pena.
Pode ter alguns problemas pra instalar mas esta disponível aqui um pacote com as dependências do PTK.
Boa investigação.

Durante esse semestre percebi que no que tange a segurança da informação um dos artefatos mais importantes que podem ser gerados por um Security Officer é a Gestão de Riscos.

Através da Gestão de Riscos podemos gerenciar e administrar os tudo o que diz respeito a riscos na instituição.

O negocio da empresa é o foco da Gestão de Risco, o documento deve estar totalmente alinhado com o negocio.

Conceitos importantes:

Riscos:

    Combinação de probabilidade da ocorrência de um evento com o seu respectivo impacto sobre um ativo.

Evento:

    É quando há uma relação entre uma ameaça, vulnerabilidades e impacto (danos).

    Ex: Atacante consegue acesso privilegiado a sistema web devido a falha de filtragem de dados no formulário de login.

Escopo:

    Parte mais sensível de um projeto. A escolha do escopo correto pode fazer toda a diferença no sucesso da gestão de riscos.

    Como mencionado anterior mente a Gestão de Riscos visa o negocio, proteger o que gera o lucro da empresa, porém a escolha do escopo não precisa ser necessariamente um processo. Algumas classificações de escopo:

• Processo de negócio
• Localidade Física     
• Por Ativo
• Mista

Identificando riscos:

    A técnica usada durante o semestre para levantar riscos foi de identificar:

• Ativos
• Vulnerabilidades
• Ameaças
• Danos

Identificar impactos:

    Pode ser feito de modo qualitativo ou quantitativo.

Análise de riscos:

    Trabalhar com as informações levantadas para estimar os riscos.

    Para cada item do CID estimar probabilidade, impacto e valor do risco.

Para calcular probabilidade e impacto deve ser levado em consideração o histórico da instituição.

Avaliação dos riscos:

    Deve ser pré-definido qual será o nível de aceitação que empresa usará para tratar os riscos.

Tratamento dos riscos:

    Baseado nos critérios definidos pela empresa deve ser implementado os controles para modificar cada risco encontrado.

Continuando nossos estudos…

Vulnerabilidades:

    Segundo a ISO27002 é uma fragilidade que atinge um ativo ou grupos de ativos.

– Tipos de vulnerabilidades

• Físicas
• Naturais
• Hardware e software
• Comunicação
• Humanas

Ameaças:

    Causa potencial de um incidente indesejado, que pode resultar em dono para um sistema ou organização.

- Tipos de ameaças:

• Ameaças naturais
• Intencionais
• Involuntárias

Incidentes:

    Evento em que uma vulnerabilidade é explorada por uma ameaça ferindo a CID

Controles:

    Mecanismo usado para proteger os ativos. Podem impedir, reduzir a quantidade de vulnerabilidades ou minimizar os impactos.

Nesse primeiro artigo da série vamos definir alguns conceitos básicos para nos localizar neste ambiente perigoso…

Segurança da informação (SI):

    Pela definição literal da ISO27002: É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

A SI é composta pelas propriedades da famosa tríade CID:

- Confidencialidade:

    Garante que as informações serão acessadas somente por quem realmente deve acessar.

- Integridade:

    Diz que a informação deve permanecer conforme era inicialmente, sem ser corrompida.

- Disponibilidade:

    Garante que a informação está acessível no momento que deve estar.

Ativos:

    Define-se como qualquer informação que tenha valor para a organização.

- Classificação de ativos quanto a sua natureza:

• Informação
• Documentos em papel
• Software
• Físico
• Pessoa
• Serviço ou atividade

Continua…

Ola..

Por motivos acadêmicos estarei disponibilizando,  durante os próximos dias  uma serie de artigos sobre Segurança da informação.

Os assuntos serão norteados pelo conteúdo da cadeira de segurança da informação ministrada pelo professor Leonardo Lemes na Unisinos – RS Curso de Segurança da Informação.

Abaixo a lista de assuntos que serão abordados. Se alguém quiser contribuir será muito bem vindo.

• Conceitos Gerais
• Gestão de riscos
• Politica de segurança
• Legislação e normas
• Política de Classificação da Informação
• Organização da Segurança da Informação
• SGSI
• Métricas em Segurança da Informação
• Ética e Segurança da Informação

Boa leitura.

Um assunto muito falado já a algum tempo é a questão do uso correto dos padrões de desenvolvimento web e a importancia do CSS nessa questão.

Tenho me atualizado um pouco nesse assunto que pode ser uma dor de cabeça para os novatos.

Queria indicar alguns links legais que fazem a diferença no mundo CSS.  Boa diversão!!!

A Unisinos(São Leopoldo – RS) abriu alguns cursos de extensão voltados ao desenvolvimento seguro.

Serão ministrados cursos para linguagens especificas mas também relacionados ao ciclo de desenvolvimento a testes de segurança.

Segue o link com mais informações: Mais Informações

Ola!

Snort? Sim, snort.

A maioria das pessoas que trabalham com redes baseadas em Linux já ouviu falar ou já trabalhou com o Snort, pois bem, segue aí um link para um trabalho que alguns colegas e eu fizemos sobre Assinaturas no Snort.

Fica muito claro o quanto é importante o conhecimento de quem administra um IDS ao analisarmos os números deste artigo. Mudanças mínimas e grandes efeitos.

Agradecimento especial a Fernado e Vagner. Valeu pessoal.

Artigo: Assinaturas no Snort

Começamos os trabalhos!

Bom, como está visível este é um espaço para falar de segurança e web, ou os dois juntos. Pra iniciar segue a dica da melhor fonte de estudos on-line que eu encontrei: O projeto OWASP .

Com muita informação e com um conteúdo bem completo esse é o melhor projeto de segurança de sistemas web do planeta. Bom proveito.