Segurança de Aplicações Web
Archive for January, 2010
Blogs em português sobre segurança de Informação
Jan 20th
O Sandro Süffert, especialista em Segurança da Informação e blogger, compilou uma lista exaustiva de blogs (até à data são 51 blogs, maioritariamente brasileiros e portugueses) sobre Segurança da Informação.
Esta lista pode ser consultada directamente a partir do seu blog.
IBWAS’09 – Cerimónia de Abertura e Keynote do Bruce Schneier
Jan 15th
Foi finalmente colocada no Youtube a cerimónia de abertura da IBWAS’09, decorreu em Madrid no passado mês de Dezembro, assim como a keynote do Bruce Schneier sobre “O Futuro da Indústria de Segurança”. Se tiverem tempo (cerca de 1h20), vale a pena ver.
Google altera a sua política na China
Jan 12th
Primeiro foi o Twitter que tinha sido atacado. Depois foi a vez do Baidu (motor de busca Google para a China) também ter sido alvo de um ciber-ataque. Estes ataque partiram de um grupo designado por Iranian Cyber Army (que na sua tradução para português significa o Exército Iraniano do Ciberespaço).
Parece-me assim que está dado o mote sobre como serão travadas as batalhas no futuro. Através de um terminal de computador a atacar as infra-estruturas de tecnologia de informação e comunicação de um inimigo remoto, dependente das mesmas.
Agora, numa acção sem precedentes a Google resolve encerrar as suas operações na China, algo que me motiva acima de tudo surpresa. Pode ler-se no blog oficial da Google, toda a história com maior detalhe, mas em traços muito gerais o que se passou foi o seguinte.
Em meados de Dezembro do ano passado a Google tinha sido vítima, assim como outras organizações (presumo que o Twitter esteja neste rol) de um ataque informático originário na China (GhostNet). Outro facto surpreendente é que a Google verificou que houve uma tentativa (sem sucesso) de aceder às contas de Gmail de activistas de direitos humanos chineses. Por outro lado, a Google conseguiu igualmente confirmar que existiram acessos não autorizados a contas Gmail (através de esquemas de spam e de phishing) de diversos cidadãos dos EUA, UE e da China, conhecidos pela sua luta pelos direitos humanos na China.
Posto isto, e visto que o que está em causa não são apenas ataque informáticos “normais”, mas sim tentativas claramente direccionadas de obter informação mais detalhada sobre activistas que lutam por melhores condições humanas e políticas na China, a Google vai alterar a sua política na China, e vai deixar de filtrar conteúdos no seu motor de busca como acontecia até então. Coloca-se o pior cenário, que consiste no encerramento de todas e quaisquer operações na China.
Não deixa de ser curioso o facto de que possivelmente (e conseguimos ler isso nas entrelinhas do texto que a Google escreve) o estado Chinês usar ataques informáticos contra empresas, governos, e cidadãos em qualquer parte do Mundo, violando a sua privacidade, como uma forma de manter a sua política atroz de controlar a voz do seu próprio povo, que parece ganhar tom contra um regime opressor.
Parece que a Google viu isso… e vai tomar a única acção possível.
Saiu a versão final do Backtrack 4
Jan 11th
Quem trabalha na área da segurança de informação deve conhecer, ou pelo menos já deve ter ouvido falar da distribuição Linux que dá pelo nome de Backtrack.
A equipa que desenvolve e distribui a distribuição Backtrack anunciou recentemente que a versão final do BT4.
O BT4 é composto por um conjunto alargado de ferramentas que permitem efectuar testes de penetração, num ambiente integralmente dedicado a profissionais de segurança. O BT permite um leque alargado de opções de instalação e de execução:
1. Pode correr nativamente na máquina
2. Pode ser executado como um Live CD
3. Pode ser executado a partir de uma pen USB
Enfim, o BT4 é uma ferramenta fundamental para quem está trabalha na área de segurança de informação, e tem como principal actividade a realização de testes à segurança de sistemas – em particular testes de penetração. O BT4 vem (bem) apetrechado com as mais recentes versões de todas as ferramentas necessárias à realização da sua actividade profissional.
Como não poderia deixar de ser, queria desde já lançar aqui um alerta para que não hajam posteriores confusões. O BT4, como qualquer ferramenta de segurança informática (especialmente aquelas mais vocacionadas para a realização de testes de vulnerabilidades), podem ser utilizadas para fins maléficos. É completamente desaconselhada a utilização deste tipo de ferramentas para fins ilícitos, sob pena de poderem ser punidos de acordo com a legislação em vigor. O aviso à navegação fica feito.
