O documento discute ações que podem ser tomadas para melhorar a segurança na web, incluindo por legisladores, órgãos de defesa do consumidor, órgãos de controle, instituições de ensino e pesquisa e órgãos governamentais. Essas ações incluem exigir requisitos de segurança em contratos governamentais, responsabilizar organizações por falhas de segurança e promover educação e pesquisa sobre segurança de aplicações.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
1) O documento discute os riscos de segurança mais críticos em aplicações web, conhecidos como OWASP Top 10.
2) A lista dos 10 riscos foi atualizada para 2010 com a adição de dois novos itens e remoção de dois itens anteriores.
3) O objetivo do Top 10 é educar sobre como avaliar e mitigar esses riscos nas aplicações, melhorando assim a segurança.
Conheça os software de Segurança da Informação e Infra que ofertamos ao mercado. Destaques para :Acunetix (scan vuln apl web), SenhaSegura (Cofre Eletronico de Senhas), ControlUP (gerenciamento de ambientes VDI) - além de serviços de consultoria (pentest, scan aplicações web, auditoria de TI, etc).
1. O documento apresenta um trabalho final sobre a ferramenta WebGoat para demonstração de vulnerabilidades em aplicações web.
2. São descritas cinco lições abordadas: falhas no controle de acesso, segurança no AJAX, falhas de autenticação e uma lição desafio.
3. O objetivo é aplicar conceitos de segurança da informação através de exercícios práticos na ferramenta WebGoat e analisar vulnerabilidades.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoJunior Abreu
A União Europeia está enfrentando desafios sem precedentes devido à pandemia de COVID-19 e à invasão russa da Ucrânia. Isso destacou a necessidade de autonomia estratégica da UE em áreas como energia, defesa e tecnologia digital para tornar o bloco menos vulnerável a choques externos. A Comissão Europeia propôs novas iniciativas para fortalecer a resiliência econômica e de segurança da UE nos próximos anos.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
1) O documento discute os riscos de segurança mais críticos em aplicações web, conhecidos como OWASP Top 10.
2) A lista dos 10 riscos foi atualizada para 2010 com a adição de dois novos itens e remoção de dois itens anteriores.
3) O objetivo do Top 10 é educar sobre como avaliar e mitigar esses riscos nas aplicações, melhorando assim a segurança.
Conheça os software de Segurança da Informação e Infra que ofertamos ao mercado. Destaques para :Acunetix (scan vuln apl web), SenhaSegura (Cofre Eletronico de Senhas), ControlUP (gerenciamento de ambientes VDI) - além de serviços de consultoria (pentest, scan aplicações web, auditoria de TI, etc).
1. O documento apresenta um trabalho final sobre a ferramenta WebGoat para demonstração de vulnerabilidades em aplicações web.
2. São descritas cinco lições abordadas: falhas no controle de acesso, segurança no AJAX, falhas de autenticação e uma lição desafio.
3. O objetivo é aplicar conceitos de segurança da informação através de exercícios práticos na ferramenta WebGoat e analisar vulnerabilidades.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoJunior Abreu
A União Europeia está enfrentando desafios sem precedentes devido à pandemia de COVID-19 e à invasão russa da Ucrânia. Isso destacou a necessidade de autonomia estratégica da UE em áreas como energia, defesa e tecnologia digital para tornar o bloco menos vulnerável a choques externos. A Comissão Europeia propôs novas iniciativas para fortalecer a resiliência econômica e de segurança da UE nos próximos anos.
O documento introduz conceitos básicos de computação forense, o processo investigativo de forense digital e as etapas desse processo, que incluem a coleta de dados, análise de informações e geração de relatório final.
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
The document discusses various intrusion techniques used in hacking, including fingerprinting, web vulnerabilities, exploiting default passwords, brute force attacks, exploits, backdoors and rootkits, scanning and fuzzing tools, sniffers, Metasploit, and hardening systems. It provides examples of commands and tools for each technique to gather information and gain unauthorized access to systems, including Nmap, Cross-Site Scripting, SQL injection, command injection exploits, John the Ripper, Netcat, rootkits, Nessus, Wireshark, and HnTool. The presentation aims to demonstrate these hacking methods to attendees.
O documento apresenta o currículo de Luiz Sales Rabelo, incluindo suas experiências profissionais como coordenador de prevenção a fraudes, consultor de investigação digital forense e membro de associações relacionadas a crimes cibernéticos. Ele também fornece links para seu blog sobre cybercrimes e certificações em ferramentas forenses digitais como EnCase e FTK.
Convite de Patrocinio Workshop Seginfo 2013SegInfo
O documento convida empresas a patrocinarem o VIII Workshop SEGINFO sobre Segurança da Informação, que ocorrerá em 29 de agosto de 2013 no Centro de Convenções da Bolsa do Rio. O evento contará com palestras, debates e cursos sobre novas ferramentas e soluções de segurança, e é uma oportunidade para networking entre executivos. Haverá opções de patrocínio Ouro, Prata e Bronze, com benefícios como sugestão de palestrantes, stand e divulgação.
Este documento apresenta uma introdução à computação forense com ferramentas avançadas. Ele discute conceitos básicos de computação forense, o processo investigativo, e as etapas da perícia digital incluindo coleta de dados, análise de informações e geração de relatórios. Demonstrações práticas são fornecidas utilizando ferramentas forenses como FTK Imager e FTK 3.
Este documento fornece uma introdução aos conceitos básicos da computação forense, incluindo como reconhecer incidentes cibernéticos, a metodologia científica aplicada e os principais tipos de perícia digital. Também discute o processo investigativo, incluindo preservação de evidências, coleta, análise, relatório e legislação relevante no Brasil.
O documento fornece uma introdução sobre o OWASP (Open Web Application Security Project), descrevendo sua estrutura, projetos, ferramentas, conferências e como contribuir. O OWASP é uma organização internacional sem fins lucrativos que promove a segurança de aplicações web por meio de projetos open source e uma comunidade global de voluntários.
O documento discute a implementação de segurança no desenvolvimento de software de acordo com a ISO 27001. Apresenta o conceito de Software Security Assurance (SSA) e suas práticas de governança, construção, verificação e implementação. Também descreve os papéis e responsabilidades no SSA e fornece detalhes sobre a ISO 27001 e suas partes futuras.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
O documento apresenta uma proposta para integrar conceitos de segurança da informação e práticas de segurança de software à metodologia ágil SCRUM. Discute desafios como analisar riscos e modelar ameaças. Também aborda princípios de segurança como economia de mecanismos, mediação completa e privilégio mínimo.
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Rodrigo Immaginario
O documento discute o uso do AppLocker no Windows 7 para proteger ambientes contra a execução de aplicações não autorizadas. O AppLocker fornece controle de aplicação granular baseado em regras allow, deny e exception para executáveis, instaladores, scripts e DLLs. O documento também discute as melhores práticas para criar e implementar com sucesso uma política de AppLocker.
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
Uma visão geral sobre segurança e qualidade de software
Foco na importância da integração de práticas de segurança ao ciclo de desenvolvimento de software.
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
O documento discute a importância dos testes de segurança em softwares. Ele apresenta os principais tipos de falhas de segurança e como iniciar um programa de testes de segurança, começando por entender os objetivos do sistema, categorizar níveis de segurança e identificar normas e melhores práticas de segurança da informação.
O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.
O documento discute testes de segurança em aplicações móveis, destacando a importância de aplicações seguras, as principais ameaças e como equilibrar diferentes abordagens de teste, como varredura de vulnerabilidades e teste manual exploratório. É apresentado um overview de ferramentas para desenvolvedores e testadores.
Como obter o máximo aproveitamento do firewall de última geraçãoCisco do Brasil
O documento discute os desafios enfrentados por organizações para equilibrar a segurança e produtividade em ambientes de trabalho modernos. Ele descreve como as tendências de mídia social, dispositivos móveis e aplicativos complexos tornam difícil aplicar políticas de uso aceitáveis e controlar acessos. O documento argumenta que visibilidade e controle abrangentes são necessários para permitir a inovação enquanto se protege contra riscos emergentes.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
A Katana Security é uma empresa de consultoria em segurança da informação da Paraíba, fundada por Magno Rodrigues. Ela oferece serviços como análises de segurança, auditoria PCI, testes de segurança em aplicações e infraestrutura, revisão de código, e treinamentos em segurança da informação. A empresa também fornece licenças de ferramentas de teste de segurança como Syhunt, Netsparker e Acunetix.
O documento descreve o que é a OWASP, uma organização sem fins lucrativos dedicada à melhoria da segurança de software. A OWASP tem mais de 12 anos, recebe 800.000 visualizações de página por mês, possui 140 projetos ativos e 190 capítulos ativos em todo o mundo. O documento também descreve o capítulo da OWASP em Brasília e seus objetivos.
O documento discute a importância dos testes de invasão para avaliar a segurança de sistemas e alcançar a conformidade com padrões e normas. Testes de invasão simulam ataques reais e identificam falhas de segurança, ao contrário de auditorias tradicionais que se baseiam em amostras. Vários padrões como PCI DSS e HIPAA requerem a realização periódica de testes de invasão.
O documento introduz conceitos básicos de computação forense, o processo investigativo de forense digital e as etapas desse processo, que incluem a coleta de dados, análise de informações e geração de relatório final.
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
The document discusses various intrusion techniques used in hacking, including fingerprinting, web vulnerabilities, exploiting default passwords, brute force attacks, exploits, backdoors and rootkits, scanning and fuzzing tools, sniffers, Metasploit, and hardening systems. It provides examples of commands and tools for each technique to gather information and gain unauthorized access to systems, including Nmap, Cross-Site Scripting, SQL injection, command injection exploits, John the Ripper, Netcat, rootkits, Nessus, Wireshark, and HnTool. The presentation aims to demonstrate these hacking methods to attendees.
O documento apresenta o currículo de Luiz Sales Rabelo, incluindo suas experiências profissionais como coordenador de prevenção a fraudes, consultor de investigação digital forense e membro de associações relacionadas a crimes cibernéticos. Ele também fornece links para seu blog sobre cybercrimes e certificações em ferramentas forenses digitais como EnCase e FTK.
Convite de Patrocinio Workshop Seginfo 2013SegInfo
O documento convida empresas a patrocinarem o VIII Workshop SEGINFO sobre Segurança da Informação, que ocorrerá em 29 de agosto de 2013 no Centro de Convenções da Bolsa do Rio. O evento contará com palestras, debates e cursos sobre novas ferramentas e soluções de segurança, e é uma oportunidade para networking entre executivos. Haverá opções de patrocínio Ouro, Prata e Bronze, com benefícios como sugestão de palestrantes, stand e divulgação.
Este documento apresenta uma introdução à computação forense com ferramentas avançadas. Ele discute conceitos básicos de computação forense, o processo investigativo, e as etapas da perícia digital incluindo coleta de dados, análise de informações e geração de relatórios. Demonstrações práticas são fornecidas utilizando ferramentas forenses como FTK Imager e FTK 3.
Este documento fornece uma introdução aos conceitos básicos da computação forense, incluindo como reconhecer incidentes cibernéticos, a metodologia científica aplicada e os principais tipos de perícia digital. Também discute o processo investigativo, incluindo preservação de evidências, coleta, análise, relatório e legislação relevante no Brasil.
O documento fornece uma introdução sobre o OWASP (Open Web Application Security Project), descrevendo sua estrutura, projetos, ferramentas, conferências e como contribuir. O OWASP é uma organização internacional sem fins lucrativos que promove a segurança de aplicações web por meio de projetos open source e uma comunidade global de voluntários.
O documento discute a implementação de segurança no desenvolvimento de software de acordo com a ISO 27001. Apresenta o conceito de Software Security Assurance (SSA) e suas práticas de governança, construção, verificação e implementação. Também descreve os papéis e responsabilidades no SSA e fornece detalhes sobre a ISO 27001 e suas partes futuras.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
O documento apresenta uma proposta para integrar conceitos de segurança da informação e práticas de segurança de software à metodologia ágil SCRUM. Discute desafios como analisar riscos e modelar ameaças. Também aborda princípios de segurança como economia de mecanismos, mediação completa e privilégio mínimo.
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Rodrigo Immaginario
O documento discute o uso do AppLocker no Windows 7 para proteger ambientes contra a execução de aplicações não autorizadas. O AppLocker fornece controle de aplicação granular baseado em regras allow, deny e exception para executáveis, instaladores, scripts e DLLs. O documento também discute as melhores práticas para criar e implementar com sucesso uma política de AppLocker.
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
Uma visão geral sobre segurança e qualidade de software
Foco na importância da integração de práticas de segurança ao ciclo de desenvolvimento de software.
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
O documento discute a importância dos testes de segurança em softwares. Ele apresenta os principais tipos de falhas de segurança e como iniciar um programa de testes de segurança, começando por entender os objetivos do sistema, categorizar níveis de segurança e identificar normas e melhores práticas de segurança da informação.
O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.
O documento discute testes de segurança em aplicações móveis, destacando a importância de aplicações seguras, as principais ameaças e como equilibrar diferentes abordagens de teste, como varredura de vulnerabilidades e teste manual exploratório. É apresentado um overview de ferramentas para desenvolvedores e testadores.
Como obter o máximo aproveitamento do firewall de última geraçãoCisco do Brasil
O documento discute os desafios enfrentados por organizações para equilibrar a segurança e produtividade em ambientes de trabalho modernos. Ele descreve como as tendências de mídia social, dispositivos móveis e aplicativos complexos tornam difícil aplicar políticas de uso aceitáveis e controlar acessos. O documento argumenta que visibilidade e controle abrangentes são necessários para permitir a inovação enquanto se protege contra riscos emergentes.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
A Katana Security é uma empresa de consultoria em segurança da informação da Paraíba, fundada por Magno Rodrigues. Ela oferece serviços como análises de segurança, auditoria PCI, testes de segurança em aplicações e infraestrutura, revisão de código, e treinamentos em segurança da informação. A empresa também fornece licenças de ferramentas de teste de segurança como Syhunt, Netsparker e Acunetix.
O documento descreve o que é a OWASP, uma organização sem fins lucrativos dedicada à melhoria da segurança de software. A OWASP tem mais de 12 anos, recebe 800.000 visualizações de página por mês, possui 140 projetos ativos e 190 capítulos ativos em todo o mundo. O documento também descreve o capítulo da OWASP em Brasília e seus objetivos.
O documento discute a importância dos testes de invasão para avaliar a segurança de sistemas e alcançar a conformidade com padrões e normas. Testes de invasão simulam ataques reais e identificam falhas de segurança, ao contrário de auditorias tradicionais que se baseiam em amostras. Vários padrões como PCI DSS e HIPAA requerem a realização periódica de testes de invasão.
A proteção jurídica do programa de computador: ótica da empresaCEST
O documento discute a proteção jurídica de programas de computador e o uso de software livre versus proprietário. Apresenta as vantagens e desvantagens de cada modelo e os desafios no uso de software livre pelo governo, sugerindo parcerias público-privadas e garantias como formas de acelerar seu desenvolvimento.
DevSecOps - Integrando Segurança no Processo DevOpsAlessandra Soares
DevSecOps é a integração da equipe de segurança com as equipes de desenvolvimento e operações para aproveitar os benefícios do DevOps sem negligenciar a segurança, adicionando etapas de segurança no ciclo de desenvolvimento de software de forma automatizada.
O documento discute a importância da segurança da informação nas empresas e fornece recomendações sobre como proteger os dados e sistemas. Aborda conceitos como confidencialidade, integridade e disponibilidade da informação, além de ameaças cibernéticas e medidas de proteção como antivírus, firewalls e criptografia. Também discute a terceirização de serviços de TI e a necessidade de monitoramento dos funcionários com respeito à privacidade.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
O documento descreve um projeto de pesquisa para desenvolver um aplicativo web chamado EpViX Allocator para orquestrar a alocação de órgãos sólidos entre pacientes hipersensibilizados de forma mais rápida e eficiente. O objetivo é unificar softwares existentes em uma plataforma que facilite o processo de transplante para receptores hipersensibilizados com baixo risco imunológico. O projeto piloto já implantado em Recife teve sucesso ao aumentar transplantes nesse grupo de pacientes.
Este documento fornece orientações sobre como escolher e instalar sistemas eletrônicos de segurança, incluindo realizar diagnóstico de riscos, projeto do sistema, escolha de equipamentos e empresa, contrato e instalação. A ABESE busca promover boas práticas no setor.
Semelhante a "Segurança na web: uma janela de oportunidades" por Lucas Ferreira (20)
O documento resume o Workshop SegInfo, um dos principais eventos de segurança da informação do Brasil. Ele descreve que o evento está em sua décima edição e promove a integração entre pesquisa, inovação e mercado. Além disso, lista palestrantes convidados e informações sobre datas, localização e público-alvo do evento.
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)
Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.
A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBSegInfo
Temos a satisfação de anunciar que o IX SEGINFO está próximo. Amadurecido e com apelo nacional, a edição desse ano acontece tradicionalmente no Rio de Janeiro-RJ no dia 11 abril, no Centro de Convenções da Bolsa do Rio e pela primeira vez fora de sua cidade natal, no dia 14 agosto no Hotel Naoum Plaza em Brasília-DF.
Com o tema de SEGURANÇA OFENSIVA, o evento está estruturado para atendimento de um público executivo que está atento às novas preocupações de segurança e com poder de tomada de decisão para resolução das questões estratégicas de suas corporações.
A organização está preparando um conjunto de palestrantes e convidados que proporcionarão um espaço para apresentações de palestras, discussões e debates sobre assuntos como espionagem, proteção e defesa em ambientes críticos, cyber attacks e soluções evasivas de defesa, dentre outros.
Reserve sua agenda e acompanhe as próximas novidades no site do evento em http://www.seginfo.com.br/workshop/
O blog SegInfo publica conteúdo sobre segurança da informação desde 2010, com mais de 1.500 posts e milhares de seguidores nas redes sociais. Oferece anúncios e projetos como podcasts, workshops e campanhas para divulgar empresas do setor.
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...SegInfo
- O documento discute os desafios da segurança cibernética para o governo brasileiro, incluindo a proteção de informações, redes e sistemas governamentais contra ameaças cibernéticas em expansão.
- É destacada a necessidade de aprimorar as metodologias e cultura de segurança da informação, construir um marco legal contra ataques cibernéticos e atualizar normas de acordo com as novas tecnologias.
- O Gabinete de Segurança Institucional da Presidência da República é apontado
"ENG++: Permutation Oriented Programming" por Nelson BritoSegInfo
- Permutation Oriented Programming (POP) is a technique that aims to circumvent pattern-matching security solutions by analyzing vulnerabilities in depth to find alternatives and variants, intending to change the behavior of exploit developers and provide unpredictable payloads through randomness.
- POP focuses on manipulating the vulnerable ecosystem and memory rather than shellcode execution, aiming to exploit older vulnerabilities even when only mitigated instead of patched.
- By generating diverse variants, POP treats old exploits as new vulnerabilities not matched by signatures according to pattern-matching approaches.
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de PaulaSegInfo
O documento discute a guerra cibernética e o hacktivismo, destacando o vírus Stuxnet de 2010 e as ações do grupo Anonymous entre 2010-2011, como ataques DDoS contra empresas que se opunham ao Wikileaks. O documento também analisa as motivações por trás da guerra cibernética e do hacktivismo e suas implicações para o setor privado.
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...SegInfo
This document discusses automated malware analysis techniques used by Dissect || PE. It describes the challenges of processing large volumes of samples from different sources. The system uses a feed server, scheduler, unpackers, dissectors, and kernel driver. Samples are run in virtual machines and real machines. Plugins allow custom analysis. The architecture is scalable and supports community research through shared samples and results.
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...SegInfo
O documento apresenta o projeto MUFFIN, uma proposta de toolkit para resposta a incidentes que visa resolver as fraquezas das ferramentas atuais. O projeto sugere a criação de uma estrutura de diretórios para armazenar ferramentas homologadas para diferentes sistemas operacionais e automatizar a coleta de dados voláteis usando WFT ou batch scripts. Além disso, propõe redirecionar as saídas das ferramentas para hash ou rede criptografada para evitar alterações nos dados coletados.
Jordan Bonagura apresenta sobre segurança da informação e como as empresas podem melhorar seus processos de segurança. Ele destaca problemas comuns como visão "inbox" em vez de "outbox", pseudo-segurança e falhas no processo construtivo. Bonagura fornece exemplos de vulnerabilidades encontradas em diversos setores e conclui destacando a necessidade de melhor integração com hackers e visão "outbox" para políticas de segurança.
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
O documento discute jogos de guerra e como eles podem ser usados para pesquisa, treinamento e avaliações de segurança da informação. Exemplos como capture a bandeira, fortalecimento de servidores e análise forense são apresentados, assim como casos de sucesso como o I SegInfo Wargames. Jogos de guerra podem testar novas vulnerabilidades e treinar equipes de resposta a incidentes, desde que realizados em ambientes controlados.
"How to track people using social media sites" por Thiago BordiniSegInfo
O documento discute como as pessoas expõem muitas informações pessoais em mídias sociais e como isso pode ser usado para fins maliciosos. Ele resume os principais problemas com a exposição excessiva de dados, apresenta casos reais de como dados foram usados indevidamente e dá dicas sobre como se proteger melhor online.
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
O documento discute técnicas avançadas de pentest, incluindo: (1) evasão de antivírus usando técnicas como edição de binários e encoding, (2) exploração de LFI combinada com outras vulnerabilidades para escrever comandos arbitrários no disco, (3) uso de netcat sem a ferramenta netcat para transferência de arquivos e backdoors.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
2. Agenda
OWASP - apresentação
O manifesto e seus objetivos
O que pode ser feito?
Por legisladores
Por órgãos de defesa do consumidor
Por órgãos de controle
Por instituto de ensino e pesquisa
Por todas os órgãos de governo
OWASP 2
Monday, August 8, 11
3. OWASP
Open Web Application Security Project
Comunidade aberta
Segurança de aplicações
Voluntários
8 capítulos no Brasil
Materiais disponíveis
Sistemas
Documentos
Apresentações
Conferências AppSec OWASP 3
Monday, August 8, 11
4. O Manifesto e seus Objetivos
O manifesto
Baseado em conversas e idéias de vários especialistas
Objetivos
Sugerir ações de governo para melhorar a segurança na
web
Usar o poder de compra do estado para influir
positivamente
Proteger os consumidores
Permitir a inovação e a criação de negócios na área
OWASP 4
Monday, August 8, 11
5. O que pode ser feito?
Por legisladores
Permitir e incentivar pesquisas sobre ataques
cibernéticos
Punir criminosos sem criminalizar atividades legítimas e benéficas
Focar na intenção
Requerer a publicação de avaliações de segurança
Permitir amplo acesso a informações sobre vulnerabilidades
Criar agência para tratar os aspectos de divulgação de
falhas de segurança
garantir uma postura ética e responsável de todas as partes
Exigir requisitos de segurança em contratos
governamentais
OWASP 5
Monday, August 8, 11
6. O que pode ser feito?
Por legisladores
Responsabilizar organizações que não tratem com
diligência os aspectos de segurança de aplicações
Organizações são responsáveis por sistemas que vendem e usam
Fornecedores co-responsáveis nos moldes do CDC
Exigir que o governo tenha acesso às atualizações de
segurança durante toda a vida útil do software
Aplicar patches é o mínimo em termos de segurança
Exigir a abertura do código após o termino da vida útil
Softwares usados pelo governo
Apenas para o desenvolvimento de patches
Eliminar necessidade de compra de novas versões
OWASP 6
Monday, August 8, 11
7. O que pode ser feito?
Por legisladores
Eliminar as licenças de software que isentam os
fabricantes da responsabilidade com a segurança de
seus produtos
Responsabilidade igual aos fabricantes de qualquer produto
(CDC)
Limitada ao valor pago
OWASP 7
Monday, August 8, 11
8. O que pode ser feito?
Por órgãos de defesa do consumidor
Restringir o uso de licenças de abusivas
Exigir a divulgação de informações inteligíveis
Nos moldes dos eletro-eletrônicos, carros, etc
Atendimento ao art. 31 do CDC
Necessidade de pesquisas na área
Exigir nível adequado de segurança de sistemas que
afetem a privacidade dos consumidores ou cidadãos
Proteger os dados
Avisar em caso de vazamento
OWASP 8
Monday, August 8, 11
9. O que pode ser feito?
Por órgãos de defesa do consumidor
Definir que os consumidores devem ser informados dos
possíveis usos dos dados inseridos em sistemas ou sites
Consumidor deve aprovar os usos previstos
Comunicar alterações de políticas
Estabelecer campanhas de conscientização de
segurança para os consumidores
OWASP 9
Monday, August 8, 11
10. O que pode ser feito?
Por órgãos de controle
Definir claramente as responsabilidades com relação à
segurança de aplicações
Verificar e auditar que práticas adequadas de segurança
são adotadas
Inserir os aspectos de segurança de aplicações em seus
regulamentos e/ou recomendações setoriais
Facilitar a criação de um mercado de seguros
Tendência a aumentar a segurança para diminuir os custos com
seguros
Requerer o uso de conexões criptografadas (SSL) para
aplicações web
OWASP 10
Monday, August 8, 11
11. O que pode ser feito?
Por órgãos de ensino e pesquisa
Inclusão das boas práticas de segurança de aplicações
no conteúdo dos cursos
Em todos os níveis de ensino
Definição de cursos avançados para formação de mão-
de-obra
Fomentar e financiar pesquisas sobre segurança de
aplicações
Em universidades e empresas
Promover a formação de profissionais capazes de atuar
com ética e responsabilidade
OWASP 11
Monday, August 8, 11
12. O que pode ser feito?
Por todos os órgãos públicos
Financiar validações e segurança para sistemas de
código aberto
Produzir avaliações e correções de segurança para a sociedade
Promover o uso de tecnologias e metodologias de
segurança de aplicações
Internamente e por fornecedores
Promover e permitir testes de segurança de forma
responsável mas aberta
Permitir acesso aos pesquisadores éticos
Procedimentos definidos
Promover treinamento e conscientização dos gestores
para os desafios da segurança na web OWASP 12
Monday, August 8, 11
13. Vantagens para o país
Área em crescimento em todo o mundo
Desenvolvimento tecnológico
Desenvolvimento de mão-de-obra altamente
capacitada
Crescimento de áreas afins
e-commerce
e-gov
Atração de investimentos
Criação de negócios e empresas
OWASP 13
Monday, August 8, 11
14. AppSec Latam 2011
4 a 7 de outubro de 2011
www.appseclatam.org
@AppSecLatam OWASP 14
Monday, August 8, 11