Mostrando postagens com marcador Software de Segurança da Informação. Mostrar todas as postagens
Mostrando postagens com marcador Software de Segurança da Informação. Mostrar todas as postagens

segunda-feira, 3 de novembro de 2014

Google Rappor promete privacidade na coleta de dados dos usuários


A Big G liberou recentemente uma ferramenta chamada Rappor (Randomised Aggregatable Privacy-Preserving Ordinal Response), que promete facilitar a vida de quem precisa de dados coletados através de apps. navegadores, etc, mas tem que atender às necessidades de privacidade dos usuários.

A idéia é obter estatísticas estimadas através do que denominaram "privacidade diferencial", que seria uma forma segura de garantir a privacidade individual, ao mesmo tempo que permitiria a obtenção de dados estatísticos sobre um conjunto de indivíduos.

O processo de coleta de dados funciona com base na chamada "resposta aleatorizada aleatória", onde o dado solicitado pode ser real ou fictício, a depender do resultado de uma operação aleatória, como jogar uma moeda.

Assim, imagine que o Google quer saber se você tem uma certa extensão instalada no Chrome. O navegador então "jogaria a moeda", e responderia a verdade, caso o resultado fosse cara. Se o resultado fosse coroa, o navegador responderia sim.

A consequência disso é que os resultados "SIM" serão maioria, porém, considerando que a probabilidade de ocorrência de cara ou coroa é a mesma (50%), é possível estimar a quantidade de usuários que efetivamente teriam a tal extensão instalada no navegador, a partir das respostas sim que excederem o percentual de 50%. Porém, não seria possível revelar exatamente quem tem e quem não tem a extensão, garantindo assim a privacidade do indivíduo.

Com a necessidade de conhecer cada vez melhor o perfil dos usuários (a Google criou a ferramenta para analisar comportamento malicioso no Chrome, mas já tem gente visualizando uso em áreas como marketing), e com a preocupação com privacidade em alta, é natural que se busquem alternativas para viabilizar a coleta de dados sem prejuízo da privacidade dos usuários.

A grande questão, na minha opinião, se deve à falta de credibilidade de grandes empresas quando se trata do quesito privacidade. Seria o Rappor uma iniciativa louvável realmente, ou apenas [mode paranóia ON] uma maneira de maquiar a coleta de dados para entregar ao FBI e NSA ? [mode paranóia OFF].

E você ? O que acha da idéia de uma ferramenta engenhosa como esta ?

segunda-feira, 4 de agosto de 2014

10 ferramentas de gerenciamento de redes e infraestrutura que todo sysadmin devia conhecer (a 6ª me surpreendeu!)


Custos é uma solução livre que agrega vários softwares, oferecendo recursos de monitoramento de aplicações, serviços e rede, com destaque para monitoramento da segurança através de testes de penetração
1 - Custos é uma solução livre que agrega vários softwares, oferecendo recursos de monitoramento de aplicações, serviços e rede, com destaque para monitoramento da segurança através de testes de penetração. As ferramentas da suite incluem nmap, openvas, greenbone, arachni, DIRB, nikto, w3ap e wapiti. Essa vale a pena testar!

Verax NMS & APM é uma ferramenta de monitoramento de rede e aplicações orientada a serviço (aderente ao ITIL, aparentemente!)
2 - O Verax NMS & APM é uma ferramenta de monitoramento de rede e aplicações orientada a serviço (aderente ao ITIL, aparentemente!) e que fornece uma versão gratuita instalável para Windows (760MB!) ou em formato virtual appliance (2,8 GB). Me pareceu uma solução promissora.

NetXMS é uma ferramenta livre (yes!) que fornece recursos desejáveis para um software de monitoramento
3 - O NetXMS é uma ferramenta livre (yes!) que fornece recursos desejáveis para um software de monitoramento, como auto discovery, mapas visuais da rede, interface web, API para integração com aplicativos de terceiros e alertas para eventos.

Uptrends Infra é uma solução para monitoramento a partir da nuvem, que oferece funcionalidades para monitoramento de servidores, rede, alertas e relatórios

4 - O Uptrends Infra é uma solução para monitoramento a partir da nuvem, que oferece funcionalidades para monitoramento de servidores, rede, alertas e relatórios sem a necessidade de instalar nada. Possui versão gratuita, mas não consegui identificar as limitações.

Netrounds é um software de monitoramento de rede baseado em probes
5 - O Netrounds é um software de monitoramento de rede baseado em probes, o que significa que ele gera tráfego na sua rede, fazendo monitoramento tanto ativo como passivo, com o objetivo de medir latência, jitter e outros indicadores importantes para qualquer sysadmin. Versão gratuita limitada a duas probes.

6 - O FactFinder é uma ferramenta de monitoramento focada em aplicações, que segundo o fabricante, é capaz de identificar gargalos em aplicações, monitorando transações, identificando dependências e com suporte a vários sistemas operacionais e até mesmo na nuvem. Tem versão gratuita que pode ser utilizada em um servidor.

GotsiteMonitor é um serviço de monitoramento de sites, hosts e serviços que permite observar os tempos de resposta para seus serviços a partir de 12 pontos espalhados pelo mundo
7 - GotsiteMonitor é um serviço de monitoramento de sites, hosts e serviços que permite observar os tempos de resposta para seus serviços a partir de 12 pontos espalhados pelo mundo. Muito útil para empresas que têm clientes e/ou filiais espalhadas pelo mundo. Versão gratuita permite até 5 monitores com alerta por email ilimitado e 20 via SMS.

Express Metrix é uma solução de inventário com versão gratuita (até 1000 nós) que permite controlar o uso de software, licenças, data de compra
8 - Express Metrix é uma solução de inventário com versão gratuita (até 1000 nós) que permite controlar o uso de software, licenças, data de compra e outras informações importantes sobre os ativos da infraestrutura de TI.

Sparrow IQ é uma ferramenta para monitoramento de banda, com detalhes sobre o volume de tráfego e identificação de protocolos e aplicações
9 - Sparrow IQ é uma ferramenta para monitoramento de banda, com detalhes sobre o volume de tráfego e identificação de protocolos e aplicações. Me pareceu semelhante ao NTOP, talvez mais limitada e simples. Tem versão gratuita.

GNS3 é uma ferramenta de simulação de redes, muito útil pra quem está estudando pras certificações da Cisco
10 - A rigor, o GNS3 não é uma ferramenta de monitoramento, mas de simulação de redes, muito útil pra quem está estudando pras certificações da Cisco ou desenvolvendo algum projeto que depende de simulações de cenários de rede. Muito útil também pra professores.

terça-feira, 27 de maio de 2014

FISL 15: Ataques super eficientes de negação de serviço (DoS, DDoS)



Este ano, diferentemente do ano passado, não pude ir ao FISL.

Mas isto não significa que o evento vai passar batido aqui no blog, afinal o maior evento de software livre do Brasil sempre traz coisas interessantes, e este ano não foi diferente.

Para minha felicidade e de muitos, muitas apresentações estão disponíveis, com gravação completa em vídeo, no site da programação do evento.

E foi com base nestas informações que comecei a baixar e assistir algumas palestras, e começo compartilhando com vocês esta ótima palestra do Jan Seidl sobre Ataques super eficientes de negação de serviço

Nesta palestra ele mostra que a idéia de que um ataque de negação é sempre resultado da ação de uma "rede zumbi" de milhares de equipamentos atacando um alvo se tornou equivocada e obsoleta, sendo possível atualmente causar muito dano com pouco esforço, graças a algumas características dos servidores web modernos.

Ele mostra como realizar os ataques e como se prevenir, além de abordar algumas ferramentas muito legais desenvolvidas por ele e outros especialistas em segurança pra testar sua infraestrutura e se proteger destes ataques DoS e DDoS modernos.

Confira abaixo a palestra.

terça-feira, 14 de janeiro de 2014

10 ferramentas de #segurança que você deve conhecer já!



Vou listar aqui 10 ferramentas que todo profissional de segurança deve conhecer. São ferramentas para testes de penetração, análise de malware, detecção de vulnerabilidades em aplicações web e muito mais!

Confira a lista.

OWASP ZAP - Zed Attack Proxy Project 
Ferramenta para teste de penetração e análise de vulnerabilidades em aplicações web.

BeEF – The Browser Exploitation Framework Project
Ferramenta focada na análise do navegador e suas vulnerabilidades.

Burp Suite
Também é voltado para análise de vulnerabilidades em aplicações web, com possibilidades de automatização sofisticadas.

PEStudio
Voltado para análise de executáveis Windows sem a necessidade de executá-los, permitindo a análise de malware com segurança.

OWASP Xenotix
Dedicado à identificação e exploração de falhas do tipo XSS em aplicações web, garante que não ocorra falso positivo com três engines de navegadores embutidos na ferramenta.
Lynis
Já conhecia o Lynis de loga data (obrigado FISL :), e fiquei muito feliz em saber que a ferramenta continua "viva" e ativa. É interessante para hardening de servidores, verificando uma infinidade de configurações do sistema, aplicações instaladas e adequação a padrões de segurança. Recomendo!

Recon-NG The Web Reconnaissance Framework
Voltado para o "reconhecimento" de aplicações web (confesso que não conhecia o termo), permite a análise de aplicações, mas não a exploração de falhas identificadas, sendo menos intrusivo, digamos assim, que outros frameworks como o metasploit. 

Suricata
O nome engenhoso identifica bem a idéia deste IPS/IDS de rede. Sempre alerta ao que acontece no ambiente, permite detectar e previnir incidentes de segurança.

WPScan WordPress Security Tool
É natural que o CMS mais usado na web tenha ferramentas dedicadas, e uma delas é o WPScan, que ajuda a verificar a segurança de sua instalação.

O-SAFT OWASP SSL Advanced Forensic Tool
Uma das ferramentas que mais me chamou a atenção, pois permite verificar uma série de características de conexões SSL, ajudando a identificar falhas, vulnerabilidades e reduzir riscos, já que sabemos que atualmente SSL não é mais garantia de tranquilidade no acesso a web.

Via ToolsWatch.


Receba nosso boletim semanal!
Tecnologia que Interessa!

sábado, 23 de novembro de 2013

Safeplug, o appliance anti-NSA!

Que tal um dispositivo que oferece criptografia, navegação anônima (quase sempre) e ainda bloqueia propaganda ? É isso que propõe o Safeplug, da Pogoplug, empresa conhecida por "appliances pessoais" para armazenamento de dados na nuvem e streaming de mídia.

O equipamento nada mais é que um computador estilo nettop, com Linux embarcado e Tor instalado. 

Sabendo disso, surge automaticamente o questionamento quanto ao desempenho. Qualquer um que já tenha usado proxy, em especial os que prometem "anonimizar" a conexão, como o Tor, sabe que a degradação de desempenho pode ser bastante significativa.

Mesmo com limitações, acho que, em tempos de NSA, Snowden, PRISM e assemelhados, seria questão de tempo as iniciativas deste tipo. Além disso, o preço de U$ 49,00 torna o equipamento até atraente, diante do benefício de reduzir bastante a chance de bisbilhotagem de sua navegação.

E vocês, o que acham da idéia de um "appliance pessoal anti-NSA" ?


Receba nosso boletim semanal!
Tecnologia que Interessa!

segunda-feira, 18 de novembro de 2013

FBStalker: "espiar" o #facebook de alguém nunca foi tão fácil!


Em mais uma prova de que as redes sociais criam possibilidades interessantíssimas ou "preocupantíssimas", a depender do ponto de vista, vi que já lançaram uma ferramenta que, a partir de um usuário e senha, além de um "alvo", traça um perfil social com base na Graph Search, a nova pesquisa do facebook.

FBStalker é o nome da criança, que é software livre, foi desenvolvida em Python, é facim de instalar no Ubuntu e muito em breve deve fazer parte do arsenal do Kali Linux. Todos os detalhes na página do projeto no github.


Receba nosso boletim semanal!
Tecnologia que Interessa!