TDC 2013

terça-feira, 25 de outubro de 2011

THC SSL DOS

THC-SSL-DOS é uma ferramenta para verificar o desempenho de SSL. 

Estabelecer uma conexão segura (SSL) requer um processamento 15x a mais no servidor
do que no cliente. 
THC-SSL-DOS explora exatamente esta propriedade assimétrica sobrecarregamento do servidor e colocando fora da internet. 
Esse problema afeta todas as implementações de SSL hoje em dia. Os vendors estão conscientes deste problema desde 2003 o tema tem sido amplamente discutido. 

Este ataque explora ainda mais o recurso habilitado por padrão nos servidores que é
a "SSL-Renegotiation", que consiste em disparar milhares de renegociações via única conexão TCP.

Medidas metigatórias 

Hoje não existe nenhuma solução real. Os passos a seguir podem mitigar (mas não resolver)
o problema:
  1. Desabilitar o "SSL-Renegotiation"
  2. Investir em um "SSL Accelerator"
Qualquer uma destas medidas defensivas podem ser contornar modificando THC-SSL-DOS.





Maiores detalhes: http://www.thc.org/thc-ssl-dos e http://thehackerschoice.wordpress.com/2011/10/24/thc-ssl-dos/

sábado, 22 de outubro de 2011

Bypass na autenticação do iPad 2

Foi descoberto como "burlar" a autenticação do iPad e acessa-lo. A forma é muito simples e basta seguir o passo a passo abaixo.
Essa brecha pode ser usada no iPad 2 com o novo iOS 5. Fiz um teste com o iPad 1 e o iOS 4 e não funcionou.

Como recriá-lo:
  1. Bloqueio o iPad 2 protegido por senha
  2. Segure o botão de on/off até iPad 2 chegar a mostrar o controle deslizante para desligar
  3. Feche a tampa inteligente
  4. Abra a tampa inteligente
  5. Clique em Cancelar na parte inferior da tela
Depois de efetuar os passos citados, o seu iPad estará desbloqueado. Mas não poderá abrir nenhuma aplicação nova. Só terá acesso aos aplicativos já abertos.
Uma ação mitigatória até uma bugfix da Apple é a desativação do "Smart Cover".

Abaixo o vídeo da prova de conceito:







Fonte: http://9to5mac.com/2011/10/20/anyone-with-a-smart-cover-can-break-into-your-ipad-2

sábado, 10 de setembro de 2011

eXtreme Go Horse Programming

1- Pensou, não é XGH.
XGH não pensa, faz a primeira coisa que vem à mente. Não existe segunda opção, a única opção é a mais rápida.

2- Existem 3 formas de se resolver um problema, a correta, a errada e a XGH, que é igual à errada, só que mais rápida.
XGH é mais rápido que qualquer metodologia de desenvolvimento de software que você conhece (Vide Axioma 14).

3- Quanto mais XGH você faz, mais precisará fazer.
Para cada problema resolvido usando XGH, mais uns 7 são criados. Mas todos eles serão resolvidos da forma XGH. XGH tende ao infinito.

4- XGH é totalmente reativo.
Os erros só existem quando aparecem.

5- XGH vale tudo, só não vale dar o toba.
Resolveu o problema? Compilou? Commit e era isso.

6- Commit sempre antes de update.
Se der merda, a sua parte estará sempre correta.. e seus colegas que se fodam.

7- XGH não tem prazo.
Os prazos passados pelo seu cliente são meros detalhes. Você SEMPRE conseguirá implementar TUDO no tempo necessário (nem que isso implique em acessar o BD por um script malaco).

8- Esteja preparado para pular fora quando o barco começar a afundar… ou coloque a culpa em alguém ou algo.
Pra quem usa XGH, um dia o barco afunda. Quanto mais o tempo passa, mais o sistema vira um monstro. O dia que a casa cair, é melhor seu curriculum estar cadastrado na APInfo, ou ter algo pra colocar a culpa.

9- Seja autêntico, XGH não respeita padrões.
Escreva o código como você bem entender, se resolver o problema, commit e era isso.

10- Não existe refactoring, apenas rework.
Se der merda, refaça um XGH rápido que solucione o problema. O dia que o rework implicar em reescrever a aplicação toda, pule fora, o barco irá afundar (Vide Axioma 8).

11- XGH é totalmente anárquico.
A figura de um gerente de projeto é totalmente descartável. Não tem dono, cada um faz o que quiser na hora que os problemas e requisitos vão surgindo (Vide Axioma 4).

12- Se iluda sempre com promessas de melhorias.
Colocar TODO no código como uma promessa de melhoria ajuda o desenvolvedor XGH a não sentir remorso ou culpa pela cagada que fez. É claro que o refactoring nunca será feito (Vide Axioma 10).

13- XGH é absoluto, não se prende à coisas relativas.
Prazo e custo são absolutos, qualidade é totalmente relativa. Jamais pense na qualidade e sim no menor tempo que a solução será implementada, aliás… não pense, faça!

14- XGH é atemporal.
Scrum, XP… tudo isso é modinha. O XGH não se prende às modinhas do momento, isso é coisa de viado. XGH sempre foi e sempre será usado por aqueles que desprezam a qualidade.

15- XGH nem sempre é POG.
Muitas POG’s exigem um raciocínio muito elevado, XGH não raciocina (Vide Axioma 1).

16- Não tente remar contra a maré.
Caso seus colegas de trabalho usam XGH para programar e você é um coxinha que gosta de fazer as coisas certinhas, esqueça! Pra cada Design Pattern que você usa corretamente, seus colegas gerarão 10 vezes mais código podre usando XGH.

17- O XGH não é perigoso até surgir um pouco de ordem.
Este axioma é muito complexo, mas sugere que o projeto utilizando XGH está em meio ao caos. Não tente por ordem no XGH (Vide Axioma 16), é inútil e você pode jogar um tempo precioso no lixo. Isto fará com que o projeto afunde mais rápido ainda (Vide Axioma 8). Não tente gerenciar o XGH, ele é auto suficiente (Vide Axioma 11), assim como o caos.

18- O XGH é seu brother, mas é vingativo.
Enquanto você quiser, o XGH sempre estará do seu lado. Mas cuidado, não o abandone. Se começar um sistema utilizando XGH e abandoná-lo para utilizar uma metodologia da moda, você estará fudido. O XGH não permite refactoring (vide axioma 10), e seu novo sistema cheio de frescurites entrará em colapso. E nessa hora, somente o XGH poderá salvá-lo.

19- Se tiver funcionando, não rela a mão.
Nunca altere, e muito menos questione um código funcionando. Isso é perda de tempo, mesmo porque refactoring não existe (Vide Axioma 10). Tempo é a engrenagem que move o XGH e qualidade é um detalhe desprezível.

20- Teste é para os fracos.
Se você meteu a mão num sistema XGH, é melhor saber o que está fazendo. E se você sabe o que está fazendo, vai testar pra que? Testes são desperdício de tempo, se o código compilar, é o suficiente.

21- Acostume-se ao sentimento de fracasso iminente.
O fracasso e o sucesso andam sempre de mãos dadas, e no XGH não é diferente. As pessoas costumam achar que as chances do projeto fracassar utilizando XGH são sempre maiores do que ele ser bem sucedido. Mas sucesso e fracasso são uma questão de ponto de vista. O projeto foi por água abaixo mas você aprendeu algo? Então pra você foi um sucesso!

22- O problema só é seu quando seu nome está no Doc da classe.
Nunca ponha a mão numa classe cujo autor não é você. Caso um membro da equipe morra ou fique doente por muito tempo, o barco irá afundar! Nesse caso, utilize o Axioma 8.

quarta-feira, 7 de setembro de 2011

Noticias da semana

Sony contrata VP de Segurança da informação

A empresa contratou um VP para conduzir a área de segurança da informação e dessa forma começar a reverter a imagem e os prejuízos causados pelos ataques a sua rede PSN.
Essa medida mostra que nas grandes corporações a figura de um executivo de segurança da informação é cada fez mais necessário. Na medida que os ataques aumentam, uma pessoa que fale a "língua dos negócios" acaba sendo justificável. No caso Sony o prejuízo está estimado em de 1,5 bilhões (Mizuho Investors Securities) e um acumulo de 55% de queda em suas ações (InfoExame).


Policia londrina diz que prende o numero 2 do Anonymous

Segundo a Scotland Yard, foram presos para serem interrogados dois jovens de 20 e 26 anos, sobre a alegação de crimes digitais. Esses jovens usavam como codenome Kayla. Kayla segundo relatado de alguns grupos contra o Anonymous, seria o numero 2 do grupo de hackerativistas.
Mas até o momento nada se confirma que realmente seja a(o) verdadeira(o) Kayla. Na minha opnião mais uma tentativa de querer mostrar autoridade num campo em que a legislação é ultrapassada e nada dinâmica.

terça-feira, 30 de agosto de 2011

Uncharted 3

Nesse trailer dublado em português mostra um pouco desse jogo que promete ser um dos melhores de 2011. Muitos não gostaram da dublagem, mas eu pessoalmente, gostei muito. Deu um dinamismo muito melhor. Está ma hora da Sony e a Microdsoft dar mais atenção ao nosso mercado.

Com certeza será minha próxima aquisição.




Fonte: INFO Games

sábado, 13 de agosto de 2011

Plágio ou homenagem?


Não costumo “muretar” em meus comentários (mesmo estando errado algumas vezes). Mas no caso da cena do assassinato do Salomão Hayalla, não tem como dizer que não foi uma cópia descarada da cena do assassinato do comediante em Watchmen.





Não pode confundir inspiração com plágio.  Temos capacidade suficiente de inovar e criar, sem depender de copias Hollywoodianas.

segunda-feira, 11 de julho de 2011

Matéria do CQC sobre o Anonimous

A matéria gravada pelo CQC sobre o Anonimous e o que eles querem alcançar com essa onda de invasões. Não vou comentar que como tudo que passa na TV brasileira é forçado.

quinta-feira, 5 de maio de 2011

JustJava 2011


Esse ano nos dias 13 e 14 de maio teremos a 9° edição do JustJava. Evento voltado para desenvolvimento da comunidade Java. Esse evento tem uma grade de palestras muito interessantes para capacitação e aprimoramento profissional.

Nesta edição teremos uma novidade. Terá uma palestra sobre desenvolvimento seguro ministrada por mim. A palestra será: Top 5 vulnerabilidades em aplicações web e seus riscos, que será apresentado no dia 14 de maio as 13h30 no auditório.

Conto com a presença do pessoal e nós vemos lá.

domingo, 10 de abril de 2011

Battlefield 2 - A volta - part I

Depois de um longo período sem jogar on-line (isso se chama casamento) estou de volta. Depois desse longo período não seria diferente e estou tendo muitas dificuldades para voltar a jogar na rede (ainda não consegui jogar on-line). Isso em momento algum está sendo um empecilho, mas claro que não tenho a mesmo “network” que tinha antigamente e por consequência as soluções estão sendo mais lentas e a base de muita pesquisa (vulgo Google).

Como sou da "old school" após a instalação do BF2 fui atrás das maiorias dos sites e fóruns que frequentava. Claro que não encontrei nenhum deles mais ativos. Até mesmo o "clã" que fui um dos fundadores e no qual originou uma rede de lan houses (isso é uma outra história) não estava mais on-line. Bom, não tive muita escolha então terei que recomeçar. E esse recomeço irei postar aqui no blog e assim sair um pouco do mundo técnico e da segurança da informação e ir para um viés mais descontraído.

Em breve teremos novos capítulos

segunda-feira, 21 de março de 2011

Oracle Security Summit em São Paulo

No dia 29 de Março, terça-feira, acontecerá o Oracle Security Summit em São Paulo.
É um evento de meio período, das 8:30hs às 12:30hs.

O evento é gratuito, porém as vagas são limitadas.
Para se inscrever, basta acessar o site:
http://www.oracle.com/us/dm/68526-ladfm10051273mpp005c004-oem1-333253-ptb.html

Ou pelo telefone:
0800 772 6282

Nos vemos lá!