Hakin9 – Revista de Segurança – Coletânea de 2012 – Downloads

Recebi uma cacetada de e-mails perguntando e solicitando o link para download das últimas edições da revista Hakin9. Uma das poucas em formato eletrônico focada em segurança e com material de primeira.

Lembro-me da primeira vez que tive contato com ela, e disse “Caralho viu, o pessoal lá fora sabe fazer uma revista técnica”

Todos os artigos são escritos e editados por gente que entende do o assunto.

O amado e falecido Demonoid.me era um dos poucos lugares na Internet onde era possível encontrar algumas edições  .

Porém, eu consegui reunir algumas edições e elas poderão ser baixadas a partir do seguintelink. 

P.S.: Aconselho vocês a contratarem o serviço premium da 4Shared, pois é nele que confio 

P.S.S.: Acabei de encontrar a Hakin9 de Setembro e ela está aqui, pronta para download. 

http://www.4shared.com/rar/fcy7lTD2/Hakin9_2012_issue.html?refurl=d1url

O Outro Lado BSidesSP – Conferência de segurança gratuita

A Conferência O Outro Lado – Security BSides São Paulo (Co0L BSidesSP) é uma mini-conferência sobre segurança da informação organizada pelo Garoa Hacker Clube como forma de divulgar o nosso espaço e, principalmente, promover a inovação, discussão e a troca de conhecimento entre os participantes e divulgar os valores positivos e inovadores da cultura hacker.

Desde o início a Co0L foi inspirada no modelo das conferências “Security B-Sides” existentes em vários países, que são mini-conferências que acontecem em conjunto com algum grande evento de segurança, mas normalmente possuem uma estrutura menos formal, voltada para a comunidade, além de incentivarem a integração entre os participantes e ocorrerem em lugares mais descontraídos.

A conferência C0oL BSidesSP será gratuita e pretende criar um final de semana repleto de atividades que promovam a segurança da informação e a cultura hacker, com diversas atividades programadas para acontecer simultaneamente, incluindo duas trilhas de palestras técnicas, debates, oficinas e um “Churrascker” na área externa.

A quarta edição da conferência ocorrerá no dia 21 de Outubro de 2012 (domingo), como parte do apoio a Hackers to Hackers Conference (H2HC), uma das mais importantes conferências de segurança brasileiras, que vai ocorrer de 20 a 21 de Outubro.

Veja como foram as edições anteriores da Co0L aqui e para maiores informações acessem osite do Garoahttps://garoa.net.br/wiki/BSidesSP

VMware lança novo conjunto de certificações – VCP-Cloud, VCAP-CID e VCAP-DTD

Para supresa geral da nação, a VMware, maior fabricante de soluções para virtualização do mundo conhecido, acaba de lançar mais um conjunto de certificações. Algumas delas focadas em Cloud, já outras focadas em design de soluções para alguns de seus produtos.

São elas : — Ponto de atenção, os comentários e descritivos sobre as certificações listadas abaixo estão em inglês já que todo o material e certificação existente para elas é disponibilizado nesta língua.

VCP-Cloud, VCAP-CID e VCAP-DTD.

The VMware Certified Professional – Cloud (VCP-Cloud) certification validates your ability to install, configure and administer a Cloud environment using vCloud Director and related components. Achieving this certification demonstrates your understanding of basic cloud concepts including public/private/hybrid clouds, multi-tenancy and cloud security, as well as your skills in using vCloud Director to create and manage vApps, service catalogs, and organization/provider VDCs, as well as administering cloud enabled networking and storage.

Earning VMware Certified Advanced Professional – Cloud Infrastructure Design (VCAP-CID) certification shows that you have continued to enhance your cloud skills, and gives you a new, industry-recognized credential for your list of accomplishments.

The VCAP-CID certification is designed for architects who can devise a conceptual framework based on business requirements, organize its elements into distinct components, and design a cloud infrastructure that meets those requirements. It also verifies that you can define goals for the architecture, analyze elements of the framework, and make design decisions that ensure the proper physical and virtual components exist in the design. Achieving VCAP-CID status shows that you have skills with:

• Conceptual, Logical, and Physical Design
• Security and Availability Design
• Extended Cloud Design
• Metering and Compliance
• vApp Design

Earning VMware Certified Advanced Professional – Desktop Design (VCAP-DTD) certification shows that you have continued to enhance your desktop virtualization skills, and gives you a new, industry-recognized credential for your list of accomplishments.

VCAP-DTD is designed for architects who can devise a conceptual end user infrastructure framework based on business requirements, organize its elements into distinct components, and design an architecture that meets those requirements. It also shows that you have experience defining goals for the architecture, analyzing elements of the framework, and making design decisions that ensure the proper physical and virtual components exist in the design for the desktop users.

Um gráfico bem legal explicando a certificação da VMware focada em Cloud

O texto acima foi retirado do excelente http://www.ntpro.nl/

Livros focados em segurança e liberados para download – Corram

Caros, acabei dando uma googlada rápida agora no final desta noite e encontrei este site com alguns livros, excelentes por sinal, liberados para download.

Corram porque o dono vai perceber o download e cortará logo.. 

Quer aumentar a segurança das suas senhas, coloque um espaço nelas

Estamos trabalhando em um projeto que tem como objetivo analisar a segurança das senhas utilizadas em aplicações Web. Nem preciso dizer que senhas como 123456, qazwsx12345, qazxsw, datas de aniversários, nomes de familiares e seus animais de estimação, além de times de futebol são as mais utilizadas.

Reunimos um banco de senhas bem legal – milhões para ser mais exato. Daí eu parti para análise reversa “O que seria uma senha segura?”,nada de milhares de caracteres, frases fantásticas, algoritmos complexos, mas sim a utilização de espaço no início delas.

Vejam que a maioria dos softwares de quebra de senhas trabalha com um dicionário repleto de palavras e termos, e para minha supresa, eu não encontrei casos de testes que continhamespaços. 

Claro que alguns softwares que trabalham com a quebra de senhas e com aceleradores gráficos possuem a opção de colocarem espaço nas palavras que serão testadas para a quebra de senha, mas quantos de vocês já viram alguém colocar espaço em suas senhas ou habilitar esta opção para quebra de senhas ?

Mas um aviso, não achem que um simples espaço aumentará em 100% a segurança de suas senhas, ou melhor, inviabilizará a sua quebra. Nada disso, a adição do espaço só aumentará a dificuldade. Continuem usando senhas fortes (maiúsculas, caracteres especiais e alfa numéricas), sem esquecer de colocar o espaço logo no início. 

Apache 2.4.3 – Nova Release do Apache – problemas de segurança resolvidos ?

Então, o pessoal da apache foundation acabou de liberar a release 2.4.3 do velho índio, quer dizer, do HTTP Server que domina mais de 60% do mercado, dito pelo pessoal da Netcraft.

Essa nova release trouxe uma série de correções para problemas já relatados junto ao pessoal que desenvolve e mantêm o projeto, além de corrigir duas vulnerabilidades . São elas:

*) SECURITY: CVE-2012-3502  (cve.mitre.org)
     mod_proxy_ajp, mod_proxy_http: Fix an issue in back end
     connection closing which could lead to privacy issues due
     to a response mixup. PR 53727. [Rainer Jung]

  *) SECURITY: CVE-2012-2687 (cve.mitre.org)
     mod_negotiation: Escape filenames in variant list to prevent a
     possible XSS for a site where untrusted users can upload files to
     a location with MultiViews enabled. [Niels Heinen <heinenn google.com>]

E aí, devo ou não devo atualizar o meu ambiente com essa nova release ? Essa é a pergunta que está passando na cabeça de centenas de admins.. A resposta é sim, e façam o quanto antes, mas planejado.

A forma correta de implementar esta nova versão/release seria baixar o pacote/código fonte e compilá-lo, apontando um novo prefix para um diretório diferente, tipo /opt/apache-2-4-3. Tendo assim dois produtos instalados no mesmo ambiente.

Depois copiar todas as configurações da versão anterior para esta nova, agendar uma janela de manutenção e subi-lo, digo, a nova release.

Alguns colegas iniciaram a migração da versão 2.2 para a 2.4 e reclamaram de algumas configurações. Nada é feito de forma simples e suave, já diz o ditado.

A estúpida disputa de performance entre o Nginx e o Apache

Eu ainda dou belas risadas quando escuto que a nova versão do Apache, a 2.4, consegue ser mais performática que o Nginx. Meus amigos, isso é mentira. O Nginx ainda ganha, e com centenas de corpos de distância do apache, quando o assunto e prover conteúdo estático, essa diferença aumenta mais ainda quando adicionamos o Memcached e o FastCGI.

OWASP Floripa Day 2012

Nos dias 15 e 16 de Outubro ocorrerá mais uma edição do OWASP Floripa, um evento de segurança focado em WEB. Grandes nomes do mercado palestrarão por lá. Vamos a alguns nomes:

VICTOR RAMOS MELO – TEMPEST Security Intelligence
Tema: Return-Oriented Programming na Unha
LUIZ VIEIRA – CEO OYS Academy
Tema: Análise Forense de ataques através de Aplicações WEB
MATEO MARTÍNEZ – McAfee
Tema: OWASP Software Security Assurance Process Project
RAFAEL SOARES FERREIRA – Diretor da Clavis Segurança da Informação
Tema: Principais Ameaças à Aplicações Web – OWASP Top 10
OSCAR MARQUES – SERPRO-RJ
Tema: Mobile Malware em Android
ANTONIO COSTA – Conviso Application Security
Tema: “Web Spiders” – Automação para Web Hacking
TIAGO FERREIRA 
Tema: Building Client-Side Attacks with HTML5 Features
RODRIGO MONTORO – Trustwave Spider Labs
Tema: Scoring PDF structure to detect Malicious Files

O pessoal do lab estava preparando um paper para o evento, mas esbarraram no velho e conhecido problema: Prazo. Eles perderam o prazo de envio.. heheh

Well, eu sempre ouvi falar muito bem dos eventos organizados pela OWASP, mas acho que ainda faltam palestras de pessoas que trabalham suportando grandes ambientes WEB, que sofram com milhares de ataques a cada instante e que possam compartilhar com o público sobre o que é feito para mitigar este tipo de problema ou problemas.