Offensive Security: Kali Linux

Posted: 17 março 2013 by Bhior in Marcadores: , , , ,
0


Dos criadores de BackTrack vem Kali Linux, a distribuição de teste penetração mais avançado e versátil já criado. BackTrack tem crescido muito além de suas raízes humildes, como um Live CD e agora se tornou um sistema operacional completo.
O que é Kali Linux?
Baixar

BHack Conference - 2° Edição

Posted: 08 março 2013 by Bhior in Marcadores: , , ,
0


Pelo segundo ano consecutivo, Belo Horizonte receberá nos dias 22 e 23 de Junho de 2013 nos auditórios da Faculdade FUMEC a BHack Conference. Evento voltado à Segurança da Informação (SI). Trazendo a cena mineira a possibilidade de espaço para disseminação de informação atualizada e de qualidade sobre temas essenciais, contando com um seleto grupo de palestrantes renomados e com profundo conhecimento em sua área de atuação. Além disso o evento será anfitrião do primeiro capítulo da Owasp Uai Day e da segunda edição do Slackware Show na capital mineira, evento este que ocorre nacionalmente desde 2005.
BHack, como o nome já tenta mencionar, ACK é um sinal que um dispositivo de rede envia a outro para confirmar que recebeu corretamente a mensagem, o propósito do evento é transmitir informação de qualidade, gerar conhecimento e integrar dois públicos que, apesar de distintos, devem ser parceiros no dia a dia: técnicos e gestores de SI.
No intuito de promover a referida integração, neste ano serão dois dias de evento, com palestras intercaladas entre gerenciais e técnicas na Track 1 e Track 2, além de atividades extras sendo realizadas durante todo o evento.
Com uma grade de palestrantes de qualidade, esperamos despertar o interesse de ambos os públicos em participar ativamente de todas as opções.

O QUE É O OWASP UAI DAY?

O Open Web Security Project (OWASP) é um projeto global open source voltado para promover a segurança de aplicações, disponibilizando farto material, guias de boas práticas e ferramentas de código livre para testes de segurança. Assim como vários capítulos espalhados pelo mundo, a capital mineira está inserida neste projeto através do capítulo OWASP Belo Horizonte, que em parceria com a BHack Conference irá compartilhar o know-how da fundação OWASP através do Owasp Uai Day.

O QUE É O SLACKSHOW?

O SlackShow é um evento anual de Software Livre com foco na distribuição Slackware Linux. O evento foi idealizado com o objetivo de promover palestras e minicursos para o público interessado tanto em Software Livre quanto nos detalhes técnicos específicos da distribuição Slackware. Sendo este último, fator que levou o SlackShow a se tornar também o Encontro Nacional dos Usuários Slackware.
A realização do evento é uma iniciativa do Grupo de Usuários Slackware Brasil (GUS-BR), tendo um papel de extrema importância na comunidade de Software Livre no país, auxiliando desde os novos usuários até os mais experientes em dúvidas, troca de experiências, ou até mesmo colhendo informações para ser repassado para a equipe de desenvolvimento da distribuição Slackware.


http://www.bhack.com.br/

Mesmo após update, Java continua sendo ameaça à segurança dos usuários

Posted: 14 fevereiro 2013 by Bruno Alexandre in Marcadores: , ,
0




A um tempo atráz surgiu uma falha 0day para aplicações java, a Sun criou uma atualização onde iria corrigir a suposta falha.


As novas configurações de segurança do Java, projetadas para bloquear ataques drive-by download do navegador, podem ser contornadas por crackers, disse um pesquisador no domingo (27/1). Vale lembrar que ataques desse tipo instalam automaticamente malwares nas máquinas de usuários que visitam sites comprometidos.
A notícia veio na sequência de várias e embaraçosas vulnerabilidades 0-day, e do recente compromisso assumido pelo chefe de segurança do Java de que a sua equipe corrigiria os bugs no software.
As configurações de segurança do Java que podem ser contornadas foram introduzidas no mês passado, com o Java 7 Update 11. Essas disposições permitem que os usuários decidam quais applets podem ser executados dentro dos navegadores. A mais rigorosa das quatro configurações supostamente bloqueia qualquer applet não-assinado com um certificado digital válido.
Outras restrições aprovam livremente a maioria dos applets não-assinados, executam applets não-assinados somente se o próprio Java estiver atualizado, ou exibem um aviso antes que applets não-assinados sejam executados.
Mas, de acordo com CEO da Security Explorations Adam Gowdiak, nenhuma dessas configurações chega a atrapalhar um cracker. "O que descobrimos é que o código Java não-assinado pode ser executado com sucesso em um sistema-alvo Windows, independente do nível de segurança definido pelo usuário no Painel de Controle do Java", escreveu o especialista em um post no domingo (27/1), na lista de discussão Bugtraq. "O 'alto' ou 'muito alto' não importa muito aqui. Ainda assim o código será executado."
Seguro, mas nem tanto
Depois de identificar a vulnerabilidade e criar um exploit prova-de-conceito que funciou no Java 7 Update 11 (a versão lançada há duas semanas) rodando em Windows 7, Gowdiak reportou o bug para a Oracle.
Sua descoberta torna discutível - pelo menos em teoria - a última alteração de segurança da Oracle. Quando liberou a atualização de emergência em 13 de janeiro para anular duas vulnerabilidades críticas do plug-in do Java, incluindo uma que foi ativamente explorada por cibercriminosos, a Oracle também redefiniu automaticamente o Java para o nível de segurança "Alto". Nessa configuração, o software notifica os usuários antes que eles possam executar applets não-assinados.
Embora não haja evidências de que crackers estejam explorando essa nova vulnerabilidade, Gowdiak deu a entender que não seria difícil para eles o fazerem. "Ela deve ser considerada", disse Gowdiak. "Estamos realmente surpresos ao descobrir o quão trivial é contornar essas novas configurações de segurança."
Os cibercriminosos intensificaram seus ataques contra o Java e o seu plug-in, e algumas empresas de segurança estimam que eles sejam responsáveis ​​por mais de metade de todas as tentativas de explorações. Na maioria das vezes, exploits Java são utilizados para realizar ataques drive-by download.
Gowdiak publicou sua reivindicação poucos dias depois de a Oracle lançar uma gravação de uma conferência entre os líderes do grupo de usuários Java e o principal gerente sênior de produto, Milton Smith, responsável por supervisionar a segurança do software. Eles discutiram as recentes vulnerabilidades e o caminho que a Oracle estava tomando.
Durante a chamada, Smith explicou os aperfeiçoamentos de segurança para o Java 7, incluindo a introdução das configurações do Update 10 e a mudança do padrão de "médio" para "alto" do Update 11. "As mudanças efetivamente fazem com que applets não-assinados não sejam executados sem um aviso", disse Smith. "Algumas das coisas que estávamos vendo eram feitos silenciosos, onde as pessoas clicam em um link dentro de um e-mail e sem querer comprometem a máquina. Mas agora, essas características realmente impedem isso. Mesmo que o Java tenha um exploit, seria muito difícil atacar em silêncio."
Mas, de acordo com Gowdiak, não é bem assim que acontece. "As melhorias de segurança feitas recentemente para o Java 7 de jeito nenhum impedem ataques silenciosos", escreveu o especialista no Bugtraq.
Quando questionado sobre como os usuários que necessitam executar o Java em seu navegador devem se proteger, Gowdiak sugeriu que eles migrassem para um navegador com "click-to-play" - um recurso que obriga os usuários a autorizar explicitamente a execução de um plug-in. Tanto o Chrome quanto o Firefox incluem o click-to-play. "Isso pode ajudar a prevenir a exploração automática e silenciosa de vulnerabilidades conhecidas e ainda não corrigidas do plug-in do Java", disse Gowdiak.

fonte:

Empresas criam aliança para acabar com as senhas

Posted: 13 fevereiro 2013 by Bruno Alexandre in Marcadores:
0





Sistema OSTP, da Aliança para Rápida Identificação Online (Fido, em inglês), quer agilizar autenticação usando outros métodos, como dispositivos do usuário

Uma nova associação chamada Aliança para Rápida Identificação Online (Fido, em inglês) anunciou nesta terça (12) sua proposta para promover um novo sistema de autenticação. Trata-se de um protocolo de autenticação inovador que tem a intenção de trazer um maior nível de segurança para os usuários de e-commerce e demais serviços web.

O Protocolo Online de Transação Segura (OSTP), e seus componentes cliente/servidor, trabalham angariando dados do usuários coletados em seus dispositivos - por exemplo, se o internauta tem um chip Trusted Platform Module, uma webcam, um dispositivo de impressão digital ou biometria ou utiliza autenticação de dois fatores. Essas informações são combinadas em criptografia para criar um código compartilhado entre o servidor de back-end e o do usuário. 

Este sistema de autenticação multifatorial poderá ser utilizado pelo internauta para fins de segurança em transações para assegurar a identidade, além de login simples e senha. 

Uma das forças motrizes por trás da Aliança FIDO é o chefe de segurança de informação da PayPal, Michael Barrett.

A aliança não espera poder publicar sua especificação até a segunda metade do ano. 

E as aspirações do grupo vão enfrentarão alguns céticos que questionarão se ele pode conseguir que tanto empresas quanto internautas adotem o software necessário. 

O tipo de autenticação multi-flexível proposto pela Fido com o padrão OSTP nunca foi feito antes, e seria um sucesso inovador.

Além PayPal e Nok Nok Labs, os outros quatro membros fundadores da Fido são Lenovo, Validity Sensors, Agnitio e Infineon. Clain Anderson, diretor de software da Lenovo, diz que a esperança é que o protocolo FIDO possa ser adicionado como código simples e sem custo em todos os tipos de computadores e smartphones. "Nós precisamos de algo que funcione em tudo", diz ele.

Fonte: http://idgnow.uol.com.br/internet/2013/02/12/empresas-criam-alianca-para-acabar-com-as-senhas/

Estágio em TI no exterior

Posted: 12 fevereiro 2013 by Bruno Alexandre in Marcadores:
0


Essa é uma pergunta feita por milhares de jovens e adultos quando estão terminando seus estudos, seja no ensino médio ou faculdade. Geralmente o grande fator impeditivo para a realização de um intercâmbio é o dinheiro, isso porque tais programas passam dos R$ 10.000,00 e se faltar um aporte financeiro familiar ou se a pessoa não guardar dinheiro durante algum tempo, realmente não consegue realizar.
As pessoas fazem intercâmbio por diversos motivos: aprender outro idioma, conhecer novas culturas, novos lugares, cursar um semestre da faculdade, terminar relacionamentos (sim, já conheci pessoas que foram para outros países para terminar uma relação ou para esquecer um antigo amor). Se o seu intuito é viajar muito e conhecer lugares históricos, sugiro a Europa, principalmente a Irlanda, que é um dos países que mais cresce nesta região e existe menos burocracia para entrar nele. O preço das passagens aéreas pode ser adquirido por até 10 euros. Tudo aquilo que a gente vê nos livros de história pode ser presenciado pessoalmente, como o Coliseum, em Roma e o Campo de Concentração nazista Auschwitz, na Alemanha.
Muitos descendentes de europeus, como é o meu caso, querem conhecer os países de origem de seus familiares, no meu caso, sei até de qual cidade que eles sairam. Outro fator de escolha da Europa é a religião, por lá que católicos e protestantes levaram suas crenças aos demais países, muitas pessoas religiosas querem conhecer o Vaticano, ver o Papa, visitar Fátima em Portugal e Lourdes na França, onde aconteceram as aparições de Nossa Senhora.
Mas se você pretende ir com o intuito de estudar e trabalhar, o Canadá é uma excelente opção, já que nesses últimos anos se tornou o novo “sonho americano”, pois em todas as áreas existem oportunidades de trabalho e os estudantes das diversas partes do mundo serão muito bem vindos, ao contrário dos EUA e Europa em que muitas vezes você é visto como um intruso e rotulado de latino. Além do mais, o Dólar Canadense vale mais do que o Dólar Americano, portanto, você tem um poder de compra maior. Você pode preferir destinos exóticos como a África do Sul, Nova Zelândia, China, Singapura, Austrália e Malta, que são lugares alternativos, tanto para trabalho, quanto para intercâmbio, são locais pouco procurados, mas também oferecem excelentes oportunidades.
Muitos vão pensar: e os EUA e a Inglaterra? Bem, são dois países muito difíceis de entrar, para realizar um intercâmbio na Inglaterra é preciso depositar 1000 Libras Esterlinas a cada mês que você desejar ficar por lá, como garantia de que você irá se manter, se fosse na Irlanda o valor reduziria a apenas 3 mil euros que precisa apresentar na imigração. Já nos EUA, depois do 11 de Setembro e da crise de 2008, se tornou muito mais rigoroso em diversos aspectos, porém, quem tem cidadania européia, facilita as coisas em qualquer país do mundo. Fortemente considero um intercâmbio fora do Brasil, pois irá ampliar sua visão de mundo e voltará à nossa terra amada com novas habilidades.

Nos países desenvolvidos ou naqueles que desejam se tornar desenvolvidos um dia, é comum encaminharem seus jovens para outros países, para obterem este tipo de experiência. Sugiro também um intercâmbio dentro do Brasil. Sim! Morar algum tempo em outro estado nos fornece a percepção de que existem outras culturas além daquela do nosso estado ou região.

A E-Dublin Tv fez uma matéria falando a respeito do assunto , confira.